|
Anti Virus 2008 auf meinem PC Hallo Liebe User, wie die Überschrift schon sagt, habe ich mir unerklärlicherweise einen Virus gefangen und seit dem habe ich ein Programm, welches sich AntiVirusXP 2008 nennt. Folgende veränderungen spüre ich: - Blauer Desktophintergrund mit einer großen "Warning"meldung - Langsames Internet - Wenn ich bei google auf einen link klicke, führt mich dies zu dubiosen Homepages Ansonsten kann ich weiterhin arbeiten. Alle Programme (Word, Outlook, Scanner etc.) funktionieren problemlos. Kann mir jemand helfen und definitiv sagen, ob man dieses Programm wieder los wird, da ich es natürlich nicht behalten möchte :) Im internet wird so viel erzählt und geschrieben, doch vertraue ich diesbezüglich nur einer Meinung eines Trojaner Board Users. Über eine schnelle Antwort wäre ich euch sehr dankbar. Viele Liebe Grüße Mathias |
Hallo, anbei eine Anmerkung: Es ist nicht möglich, dass ich das Windows neue draufspiele, da dass sehr schwierig und Zeitaufwendig war (netzwerk etc.). Es wäre allerdings möglich, dass ich es wieder auf Null setze (Anfangseinstellungen) weiss aber nicht wie das geht. Ich habe auf jeden Fall kaum etwas auf meiner Festplatte gespeichert, nur im Netzwerk. Die Dinge die ich dann neu installieren müsste, hätte ich in 30 minuten wieder drauf. Ist so etwas möglich oder kennt jemand ein Programm dass alles wieder herstellt oder das Programm entfernt? Oder kann mir überhaupt helfen? Vielen Dank und Grüße Mathias |
Hi, bitte HJ-Log gemäß der Signatur und den Boardregeln; MAM installieren, updaten und laufen/bereinigen lassen, Log posten. MAM (Malwarebytes Antimalware). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html chris |
Huhu, danke für die schnelle Nachricht. Anbei die Hijackthis Log. Die Log von MAM kommt gleich ! Grüße Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:51:23, on 10.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\PDF Complete\pdfsty.exe C:\WINDOWS\SMINST\Scheduler.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\pphcngcj0e529.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\OLXTools\OLXTeamOutlook\OLXTOWStandBy.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\twain_32\escndv\escndv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [PDF Complete] "C:\Programme\PDF Complete\pdfsty.exe" O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe O4 - HKLM\..\Run: [StatusClient 2.6] "C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [OLXAddinMonitor] "C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe" O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe" O4 - HKLM\..\Run: [SMrhcjgcj0e529] C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: OLXConvert Agent - GANGL Dienstleistungen - C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe -- End of file - 7028 bytes |
Hi, Dein Problem dürfte hier liegen, mal sehen ob MAM es erwischt: Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste jeweils das gesamte Ergebnis mit Filename chris |
Hallo, anbei die Logdatei von MAM. Danke und Grüße Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1136 Windows 5.1.2600 Service Pack 2 10.09.2008 14:21:00 mbam-log-2008-09-10 (14-20-56).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 97168 Laufzeit: 18 minute(s), 37 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 5 Infizierte Dateiobjekte der Registrierung: 4 Infizierte Verzeichnisse: 12 Infizierte Dateien: 23 Infizierte Speicherprozesse: C:\WINDOWS\system32\pphcngcj0e529.exe (Trojan.FakeAlert) -> No action taken. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcjgcj0e529 (Rogue.Multiple) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\rhcjgcj0e529 (Rogue.Multiple) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcjgcj0e529 (Rogue.Multiple) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: c:\windows\system32\ -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: system32\ -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: C:\Programme\rhcjgcj0e529 (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529 (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Packages (Rogue.Multiple) -> No action taken. Infizierte Dateien: C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP89\A0047387.scr (Trojan.FakeAlert) -> No action taken. C:\Programme\rhcjgcj0e529\database.dat (Rogue.Multiple) -> No action taken. C:\Programme\rhcjgcj0e529\license.txt (Rogue.Multiple) -> No action taken. C:\Programme\rhcjgcj0e529\MFC71.dll (Rogue.Multiple) -> No action taken. C:\Programme\rhcjgcj0e529\MFC71ENU.DLL (Rogue.Multiple) -> No action taken. C:\Programme\rhcjgcj0e529\msvcp71.dll (Rogue.Multiple) -> No action taken. C:\Programme\rhcjgcj0e529\msvcr71.dll (Rogue.Multiple) -> No action taken. C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe (Rogue.Multiple) -> No action taken. C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe.local (Rogue.Multiple) -> No action taken. C:\Programme\rhcjgcj0e529\Uninstall.exe (Rogue.Multiple) -> No action taken. C:\WINDOWS\system32\casino1.ico (Malware.Trace) -> No action taken. C:\WINDOWS\system32\casino2.ico (Malware.Trace) -> No action taken. C:\WINDOWS\system32\casino3.ico (Malware.Trace) -> No action taken. C:\WINDOWS\system32\ (Malware.Trace) -> No action taken. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\phcngcj0e529.bmp (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\pphcngcj0e529.exe (Trojan.FakeAlert) -> No action taken. |
Zitat:
die Homepage geht bei mir nicht bzw. wird nicht gefunden :( aber andere wie z.b. diese gehen! Grüße |
Hi, bitte MAM reinigen lasse und combofix durchführen, Log posten (inkl. ein neues HJ-Log; diesmal bitte Log anpassen, keine ausführbaren Links etc.): Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird chris |
Hallo, das war ein Drama :( Aber hier die Combofix Log: ComboFix 08-09-05.14 - sprenker2 2008-09-10 15:33:35.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.525 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\sprenker2\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529 C:\Dokumente und Einstellungen\sprenker2\Desktop\Error Cleaner.url C:\Dokumente und Einstellungen\sprenker2\Desktop\Privacy Protector.url C:\Dokumente und Einstellungen\sprenker2\Desktop\Spyware&Malware Protection.url C:\Dokumente und Einstellungen\sprenker2\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\sprenker2\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\sprenker2\Favoriten\Spyware&Malware Protection.url C:\Programme\PCHealthCenter\0.exe C:\Programme\PCHealthCenter\0.gif C:\Programme\PCHealthCenter\1.gif C:\Programme\PCHealthCenter\1.ico C:\Programme\PCHealthCenter\2.gif C:\Programme\PCHealthCenter\2.ico C:\Programme\PCHealthCenter\3.gif C:\Programme\PCHealthCenter\4.exe C:\Programme\PCHealthCenter\5.exe C:\Programme\PCHealthCenter\7.exe C:\Programme\PCHealthCenter\sc.html C:\WINDOWS\erkn.exe C:\WINDOWS\privacy_danger C:\WINDOWS\privacy_danger\images\capt.gif C:\WINDOWS\privacy_danger\images\danger.jpg C:\WINDOWS\privacy_danger\images\down.gif C:\WINDOWS\privacy_danger\images\spacer.gif C:\WINDOWS\privacy_danger\index.htm C:\WINDOWS\system32\a.exe C:\WINDOWS\system32\aHiilUvw.ini C:\WINDOWS\system32\aHiilUvw.ini2 C:\WINDOWS\system32\dbddlamv.dll C:\WINDOWS\system32\fccbCtSI.dll C:\WINDOWS\system32\ggumljoc.dll C:\WINDOWS\system32\phcngcj0e529.bmp C:\WINDOWS\system32\pmnmnOHb.dll C:\WINDOWS\system32\tdssadw.dll C:\WINDOWS\system32\tdssinit.dll C:\WINDOWS\system32\tdssl.dll C:\WINDOWS\system32\tdsslog.dll C:\WINDOWS\system32\tdssmain.dll C:\WINDOWS\system32\tdssservers.dat C:\WINDOWS\system32\vmalddbd.ini C:\WINDOWS\system32\wvUliiHa.dll C:\WINDOWS\system32\x64 C:\WINDOWS\system32\ylxziz.dll C:\WINDOWS\system32\YUR11.exe C:\WINDOWS\system32\YUR12.exe C:\WINDOWS\system32\YUR13.exe C:\WINDOWS\system32\YUR2.exe C:\WINDOWS\system32\YUR3.exe C:\WINDOWS\system32\YURF.exe D:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-08-10 bis 2008-09-10 )))))))))))))))))))))))))))))) . 2008-09-10 14:50 . 2008-09-08 17:32: VIRUS ALERT! 3,262 --a------ C:\WINDOWS\system32\2.ico 2008-09-10 14:46 . 2008-09-10 15:58: VIRUS ALERT! <DIR> d-------- C:\Programme\PCHealthCenter 2008-09-10 14:46 . 2008-09-10 15:14: VIRUS ALERT! <DIR> d-------- C:\Programme\MSA 2008-09-10 14:46 . 2008-09-08 16:50: VIRUS ALERT! 165,888 --a------ C:\WINDOWS\system32\MSa.cpl 2008-09-10 14:46 . 2008-09-08 17:32: VIRUS ALERT! 32,768 --a------ C:\WINDOWS\system32\YUR10.VIR 2008-09-10 14:46 . 2008-09-08 17:32: VIRUS ALERT! 3,262 --a------ C:\WINDOWS\system32\1.ico 2008-09-10 14:45 . 2008-09-10 09:20: VIRUS ALERT! 364,544 --a------ C:\WINDOWS\vmgspntbter.dll 2008-09-10 14:45 . 2008-09-10 09:20: VIRUS ALERT! 335,872 --a------ C:\WINDOWS\dtseqrxk.dll 2008-09-10 14:45 . 2008-09-10 09:20: VIRUS ALERT! 229,376 --a------ C:\WINDOWS\mgxfebsq.dll 2008-09-10 14:45 . 2008-09-10 09:20: VIRUS ALERT! 192,512 --a------ C:\WINDOWS\fqbewlna.dll 2008-09-10 14:45 . 2008-09-10 09:21: VIRUS ALERT! 135,168 --a------ C:\WINDOWS\mqgldfvo.exe 2008-09-10 13:57 . 2008-09-10 13:57: VIRUS ALERT! <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-10 13:57 . 2008-09-10 00:04: VIRUS ALERT! 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-10 13:57 . 2008-09-10 00:03: VIRUS ALERT! 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-10 11:42 . 2008-09-10 11:42: VIRUS ALERT! <DIR> d-------- C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Malwarebytes 2008-09-10 11:41 . 2008-09-10 11:41: VIRUS ALERT! <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-10 09:28 . 2008-09-10 09:28: VIRUS ALERT! <DIR> d-------- C:\Programme\rhcjgcj0e529 2008-09-10 09:28 . 2008-09-10 11:21: VIRUS ALERT! 106,496 --a------ C:\WINDOWS\system32\2.tmp 2008-09-10 09:24 . 2008-09-10 09:24: VIRUS ALERT! <DIR> d-------- C:\Programme\AVG 2008-09-10 09:24 . 2008-09-10 12:10: VIRUS ALERT! <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8 2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 88,878 --a------ C:\WINDOWS\system32\casino3.ico 2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 88,878 --a------ C:\WINDOWS\system32\casino2.ico 2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 88,878 --a------ C:\WINDOWS\system32\casino1.ico 2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 14,848 --a------ C:\WINDOWS\system32\tdsspopup.dll 2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 120 --a------ C:\WINDOWS\system32\tdsspopup3.url 2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 120 --a------ C:\WINDOWS\system32\tdsspopup2.url 2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 120 --a------ C:\WINDOWS\system32\tdsspopup1.url 2008-08-17 08:37 . 2008-05-01 16:30: VIRUS ALERT! 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll 2008-08-14 15:40 . 2008-08-14 15:40: VIRUS ALERT! <DIR> d-------- C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\FileOpen 2008-08-14 15:40 . 2008-08-14 15:40: VIRUS ALERT! <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FileOpen . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-10 13:59 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\TmpRecentIcons 2008-09-10 11:55 --------- d-----w C:\Programme\Avira 2008-09-10 10:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-09-10 10:10 --------- d-----w C:\Programme\BOINC 2008-09-10 07:39 --------- d-----w C:\Programme\Opera 2008-09-09 08:47 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\FileZilla 2008-08-20 06:47 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\gtk-2.0 2008-08-19 13:30 --------- d-----w C:\Programme\LBBW_LIMOSV 2008-07-30 08:41 --------- d-----w C:\Programme\VideoLAN 2008-07-28 08:54 85,440 ----a-w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-07-24 11:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems 2008-07-24 11:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-07-24 11:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared 2008-07-17 08:38 --------- d-----w C:\Programme\Azureus 2008-07-17 08:37 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Azureus 2008-07-14 12:55 --------- d-----w C:\Programme\Hewlett-Packard . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F6EE5875-4854-4408-B12D-3290883D966E}] 2008-09-10 09:20: VIRUS ALERT! 364544 --a------ C:\WINDOWS\vmgspntbter.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{9F342F63-3E27-4BB6-8A01-D7C2C6FEB055}"= "C:\WINDOWS\fqbewlna.dll" [2008-09-10 192512] [HKEY_CLASSES_ROOT\clsid\{9f342f63-3e27-4bb6-8a01-d7c2c6feb055}] [HKEY_CLASSES_ROOT\fqbewlna.1] [HKEY_CLASSES_ROOT\TypeLib\{91DCF0F9-6943-48A2-9B54-30201F7253A0}] [HKEY_CLASSES_ROOT\fqbewlna] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableTaskMgr"= 1 (0x1) "DisableRegistryTools"= 1 (0x1) "NoDispCPL"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoToolbarCustomize"= 1 (0x1) "StartMenuLogoff"= 1 (0x1) "NoStartMenuMorePrograms"= 1 (0x1) "NoSetFolders"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source= file:///C:\WINDOWS\privacy_danger\index.htm FriendlyName= Privacy Protection [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "mgxfebsq"= {D92C4C3D-8DD1-435A-A4E2-A84918ADDCCE} - C:\WINDOWS\mgxfebsq.dll [2008-09-10 229376] "dtseqrxk"= {29C8E233-DD5E-4802-9385-0D154ABD307B} - C:\WINDOWS\dtseqrxk.dll [2008-09-10 335872] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=ylxziz.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\SMINST\\Scheduler.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office10\\OUTLOOK.EXE"= "C:\\Programme\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 28933976] R2 OLXConvert Agent;OLXConvert Agent;C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe [2007-06-29 372736] R2 pdfcDispatcher;PDF Document Manager;C:\Programme\PDF Complete\pdfsvc.exe [2007-08-07 540184] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##Linux-server#Ablage] \Shell\AutoRun\command - autorun.exe . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - BHO-{58DC00EE-BF0B-45C9-A4CD-C3F41F522C35} - C:\WINDOWS\system32\wvUliiHa.dll BHO-{6AFB6F98-289C-442E-B577-5E5125C742E2} - C:\WINDOWS\system32\pmnmnOHb.dll BHO-{e130dded-62eb-4c83-a513-7bfafc6995bb} - C:\WINDOWS\system32\ylxziz.dll ShellExecuteHooks-{6AFB6F98-289C-442E-B577-5E5125C742E2} - C:\WINDOWS\system32\pmnmnOHb.dll Notify-NavLogon - (no file) Notify-WRNotifier - (no file) . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Mozilla\Firefox\Profiles\62k43a39.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-10 15:59:22 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\TmpRecentIcons C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\TmpRecentIcons\HijackThis.lnk 1698 bytes C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\TmpRecentIcons\Verknüpfung mit Arbeitsplatz.lnk 104 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 3 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher] "ImagePath"="C:\Programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.NET CLR Data] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.NET CLR Networking] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.NET Data Provider for Oracle] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.NET Data Provider for SqlServer] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.NETFramework] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Abiosdsk] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\abp480n5] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ac97intc] "ImagePath"="system32\drivers\ac97intc.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ACPI] "ImagePath"="system32\DRIVERS\ACPI.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ACPIEC] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Adobe LM Service] "ImagePath"="\"C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe\"" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\adpu160m] "ImagePath"="\SystemRoot\system32\DRIVERS\adpu160m.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\adpu320] "ImagePath"="\SystemRoot\system32\DRIVERS\adpu320.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aec] "ImagePath"="system32\drivers\aec.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AFD] "ImagePath"="\SystemRoot\System32\drivers\afd.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Aha154x] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aic78u2] "ImagePath"="\SystemRoot\system32\DRIVERS\aic78u2.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aic78xx] "ImagePath"="\SystemRoot\system32\DRIVERS\aic78xx.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Alerter] "ServiceDll"="%SystemRoot%\system32\alrsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ALG] "ImagePath"="%SystemRoot%\System32\alg.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AliIde] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\amsint] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirScheduler] "ImagePath"="\"C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe\"" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirService] "ImagePath"="\"C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe\"" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AppMgmt] "ServiceDll"="%SystemRoot%\System32\appmgmts.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\asc] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\asc3350p] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\asc3550] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASP.NET] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASP.NET_1.1.4322] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASP.NET_2.0.50727] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aspnet_state] "ImagePath"="%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AsyncMac] "ImagePath"="system32\DRIVERS\asyncmac.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\atapi] "ImagePath"="system32\DRIVERS\atapi.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Atdisk] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Atmarpc] "ImagePath"="system32\DRIVERS\atmarpc.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AudioSrv] "ServiceDll"="%SystemRoot%\System32\audiosrv.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\audstub] "ImagePath"="system32\DRIVERS\audstub.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avgio] "ImagePath"="\??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avgntflt] "ImagePath"="\??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avipbb] "ImagePath"="system32\DRIVERS\avipbb.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BattC] "MofImagePath"="System32\Drivers\battc.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Beep] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BITS] "ServiceDll"="%systemroot%\system32\qmgr.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Browser] "ServiceDll"="%SystemRoot%\System32\browser.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme] "ImagePath"="\??\C:\ComboFix\catchme.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cbidf2k] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cd20xrnt] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdaudio] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdfs] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdrom] "ImagePath"="system32\DRIVERS\cdrom.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Changer] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CiSvc] "ImagePath"="%SystemRoot%\system32\cisvc.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ClipSrv] "ImagePath"="%SystemRoot%\system32\clipsrv.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\clr_optimization_v2.0.50727_32] "ImagePath"="C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CmdIde] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\COMSysApp] "ImagePath"="C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ContentFilter] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ContentIndex] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cpqarray] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CryptSvc] "ServiceDll"="%SystemRoot%\System32\cryptsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dac2w2k] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dac960nt] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DcomLaunch] "ServiceDll"="%SystemRoot%\system32\rpcss.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dhcp] "ServiceDll"="%SystemRoot%\System32\dhcpcsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Disk] "ImagePath"="system32\DRIVERS\disk.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmadmin] "ImagePath"="%SystemRoot%\System32\dmadmin.exe /com" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmboot] "ImagePath"="System32\drivers\dmboot.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmio] "ImagePath"="System32\drivers\dmio.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmload] "ImagePath"="System32\drivers\dmload.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmserver] "ServiceDll"="%SystemRoot%\System32\dmserver.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DMusic] "ImagePath"="system32\drivers\DMusic.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dnscache] "ServiceDll"="%SystemRoot%\System32\dnsrslvr.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dot4] "ImagePath"="system32\DRIVERS\Dot4.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dot4Print] "ImagePath"="system32\DRIVERS\Dot4Prt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dot4usb] "ImagePath"="system32\DRIVERS\dot4usb.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dpti2o] "ImagePath"="\SystemRoot\system32\DRIVERS\dpti2o.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\drmkaud] "ImagePath"="system32\drivers\drmkaud.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\E100B] "ImagePath"="system32\DRIVERS\e100b325.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ERSvc] "ServiceDll"="%SystemRoot%\System32\ersvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog] "ImagePath"="%SystemRoot%\system32\services.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EventSystem] "ServiceDll"="C:\WINDOWS\system32\es.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fastfat] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FastUserSwitchingCompatibility] "ServiceDll"="%SystemRoot%\System32\shsvcs.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fdc] "ImagePath"="system32\DRIVERS\fdc.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fips] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Flpydisk] "ImagePath"="system32\DRIVERS\flpydisk.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FltMgr] "ImagePath"="system32\DRIVERS\fltMgr.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fs_Rec] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ftdisk] "ImagePath"="system32\DRIVERS\ftdisk.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Gpc] "ImagePath"="system32\DRIVERS\msgpc.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HDAudBus] "ImagePath"="system32\DRIVERS\HDAudBus.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\helpsvc] "ServiceDll"="%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HidServ] "ServiceDll"="%SystemRoot%\System32\hidserv.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hpn] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HTTP] "ImagePath"="System32\Drivers\HTTP.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HTTPFilter] "ServiceDll"="%SystemRoot%\System32\w3ssl.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\i2omgmt] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\i2omp] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\i8042prt] "ImagePath"="system32\DRIVERS\i8042prt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\i81x] "ImagePath"="system32\DRIVERS\i81xnt5.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP0] "ImagePath"="system32\DRIVERS\wADV01nt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP1] "ImagePath"="system32\DRIVERS\wADV02NT.sys" |
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP2] "ImagePath"="system32\DRIVERS\wADV05NT.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP3] "ImagePath"="system32\DRIVERS\wSiINTxx.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP4] "ImagePath"="system32\DRIVERS\wVchNTxx.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP5] "ImagePath"="system32\DRIVERS\wADV07nt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP6] "ImagePath"="system32\DRIVERS\wADV08nt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP7] "ImagePath"="system32\DRIVERS\wADV09nt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV0] "ImagePath"="system32\DRIVERS\wATV01nt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV1] "ImagePath"="system32\DRIVERS\wATV02NT.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV3] "ImagePath"="system32\DRIVERS\wATV04nt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV4] "ImagePath"="system32\DRIVERS\wCh7xxNT.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV5] "ImagePath"="system32\DRIVERS\wATV10nt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV6] "ImagePath"="system32\DRIVERS\wATV06nt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ialm] "ImagePath"="system32\DRIVERS\igxpmp32.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Imapi] "ImagePath"="system32\DRIVERS\imapi.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ImapiService] "ImagePath"="%systemroot%\system32\imapi.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\inetaccs] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ini910u] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Inport] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IntcAzAudAddService] "ImagePath"="system32\drivers\RtkHDAud.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IntelIde] "ImagePath"="\SystemRoot\system32\DRIVERS\intelide.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\intelppm] "ImagePath"="system32\DRIVERS\intelppm.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ip6Fw] "ImagePath"="system32\DRIVERS\Ip6Fw.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IpFilterDriver] "ImagePath"="system32\DRIVERS\ipfltdrv.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IpInIp] "ImagePath"="system32\DRIVERS\ipinip.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IpNat] "ImagePath"="system32\DRIVERS\ipnat.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IPSec] "ImagePath"="system32\DRIVERS\ipsec.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IRENUM] "ImagePath"="system32\DRIVERS\irenum.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ISAPISearch] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\isapnp] "ImagePath"="system32\DRIVERS\isapnp.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Kbdclass] "ImagePath"="system32\DRIVERS\kbdclass.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kmixer] "ImagePath"="system32\drivers\kmixer.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KSecDD] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lanmanserver] "ServiceDll"="%SystemRoot%\System32\srvsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lanmanworkstation] "ServiceDll"="%SystemRoot%\System32\wkssvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lbrtfdc] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ldap] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LicenseService] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LmHosts] "ServiceDll"="%SystemRoot%\System32\lmhsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MDM] "ImagePath"="\"C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe\"" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Messenger] "ServiceDll"="%SystemRoot%\System32\msgsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mnmdd] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mnmsrvc] "ImagePath"="C:\WINDOWS\system32\mnmsrvc.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Modem] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Mouclass] "ImagePath"="system32\DRIVERS\mouclass.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MountMgr] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mraid35x] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MRxDAV] "ImagePath"="system32\DRIVERS\mrxdav.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MRxSmb] "ImagePath"="system32\DRIVERS\mrxsmb.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MS1000] "ImagePath"="System32\DRIVERS\MS1000.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSDTC] "ImagePath"="C:\WINDOWS\system32\msdtc.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Msfs] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIServer] "ImagePath"="%systemroot%\system32\msiexec.exe /V" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSKSSRV] "ImagePath"="system32\drivers\MSKSSRV.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSPCLOCK] "ImagePath"="system32\drivers\MSPCLOCK.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSPQM] "ImagePath"="system32\drivers\MSPQM.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mssmbios] "ImagePath"="system32\DRIVERS\mssmbios.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSSQL$MSSMLBIZ] "ImagePath"="\"c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe\" -sMSSMLBIZ" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSSQLServerADHelper] "ImagePath"="\"c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe\"" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Mup] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NDIS] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NdisTapi] "ImagePath"="system32\DRIVERS\ndistapi.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ndisuio] "ImagePath"="system32\DRIVERS\ndisuio.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NdisWan] "ImagePath"="system32\DRIVERS\ndiswan.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NDProxy] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetBIOS] "ImagePath"="system32\DRIVERS\netbios.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetBT] "ImagePath"="system32\DRIVERS\netbt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDE] "ImagePath"="%SystemRoot%\system32\netdde.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDEdsdm] "ImagePath"="%SystemRoot%\system32\netdde.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Netlogon] "ImagePath"="%SystemRoot%\system32\lsass.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Netman] "ServiceDll"="%SystemRoot%\System32\netman.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Nla] "ServiceDll"="%SystemRoot%\System32\mswsock.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Npfs] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ntfs] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtLmSsp] "ImagePath"="%SystemRoot%\system32\lsass.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc] "ServiceDll"="%SystemRoot%\system32\ntmssvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Null] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NwlnkFlt] "ImagePath"="system32\DRIVERS\nwlnkflt.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NwlnkFwd] "ImagePath"="system32\DRIVERS\nwlnkfwd.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\odserv] "ImagePath"="\"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE\"" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OLXConvert Agent] "ImagePath"="C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ose] "ImagePath"="\"C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE\"" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Outlook] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\P3] "ImagePath"="system32\DRIVERS\p3.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Parport] "ImagePath"="system32\DRIVERS\parport.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PartMgr] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ParVdm] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCA] "ImagePath"="C:\WINDOWS\SMINST\PCAngel.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCI] "ImagePath"="system32\DRIVERS\pci.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCIDump] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCIIde] "ImagePath"="system32\DRIVERS\pciide.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Pcmcia] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDCOMP] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher] "ImagePath"="C:\Programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDFRAME] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDRELI] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDRFRAME] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\perc2] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\perc2hib] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfDisk] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfNet] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfOS] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfProc] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PlugPlay] "ImagePath"="%SystemRoot%\system32\services.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Pml Driver HPZ12] "ServiceDll"="C:\WINDOWS\system32\HPZipm12.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PolicyAgent] "ImagePath"="%SystemRoot%\system32\lsass.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PptpMiniport] "ImagePath"="system32\DRIVERS\raspptp.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ProtectedStorage] "ImagePath"="%SystemRoot%\system32\lsass.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PSched] "ImagePath"="system32\DRIVERS\psched.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ptilink] "ImagePath"="system32\DRIVERS\ptilink.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql1080] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ql10wnt] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql12160] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql1240] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql1280] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasAcd] "ImagePath"="system32\DRIVERS\rasacd.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasAuto] "ServiceDll"="%SystemRoot%\System32\rasauto.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Rasl2tp] "ImagePath"="system32\DRIVERS\rasl2tp.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasMan] "ServiceDll"="%SystemRoot%\System32\rasmans.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasPppoe] "ImagePath"="system32\DRIVERS\raspppoe.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Raspti] "ImagePath"="system32\DRIVERS\raspti.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Rdbss] "ImagePath"="system32\DRIVERS\rdbss.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPCDD] "ImagePath"="System32\DRIVERS\RDPCDD.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPDD] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rdpdr] "ImagePath"="system32\DRIVERS\rdpdr.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPNP] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPWD] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDSessMgr] "ImagePath"="C:\WINDOWS\system32\sessmgr.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\redbook] "ImagePath"="system32\DRIVERS\redbook.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RemoteAccess] "ServiceDll"="%SystemRoot%\System32\mprdim.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RemoteRegistry] "ServiceDll"="%SystemRoot%\system32\regsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RpcLocator] "ImagePath"="%SystemRoot%\system32\locator.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RpcSs] "ServiceDll"="%SystemRoot%\System32\rpcss.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RSVP] "ImagePath"="%SystemRoot%\system32\rsvp.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SamSs] "ImagePath"="%SystemRoot%\system32\lsass.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SCardSvr] "ImagePath"="%SystemRoot%\System32\SCardSvr.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Schedule] "ServiceDll"="%SystemRoot%\system32\schedsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Secdrv] "ImagePath"="system32\DRIVERS\secdrv.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\seclogon] "ServiceDll"="%SystemRoot%\System32\seclogon.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SENS] "ServiceDll"="%SystemRoot%\system32\sens.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\serenum] "ImagePath"="system32\DRIVERS\serenum.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Serial] "ImagePath"="system32\DRIVERS\serial.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Sfloppy] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess] "ServiceDll"="%SystemRoot%\System32\ipnathlp.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ShellHWDetection] "ServiceDll"="%SystemRoot%\System32\shsvcs.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Simbad] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Sparrow] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\splitter] "ImagePath"="system32\drivers\splitter.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Spooler] "ImagePath"="%SystemRoot%\system32\spoolsv.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SQLBrowser] "ImagePath"="\"c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe\"" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SQLWriter] "ImagePath"="\"c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe\"" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sr] "ImagePath"="system32\DRIVERS\sr.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\srservice] "ServiceDll"="C:\WINDOWS\system32\srsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Srv] "ImagePath"="system32\DRIVERS\srv.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SSDPSRV] "ServiceDll"="%SystemRoot%\System32\ssdpsrv.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ssmdrv] "ImagePath"="system32\DRIVERS\ssmdrv.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\stisvc] "ServiceDll"="%SystemRoot%\system32\wiaservc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\swenum] "ImagePath"="system32\DRIVERS\swenum.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\swmidi] "ImagePath"="system32\drivers\swmidi.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SwPrv] "ImagePath"="C:\WINDOWS\system32\dllhost.exe /Processid:{1B1A5BCF-5439-48ED-AE38-24E2DCBF61C5}" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\symc810] "ImagePath"="\SystemRoot\system32\DRIVERS\symc810.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\symc8xx] "ImagePath"="\SystemRoot\system32\DRIVERS\symc8xx.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Symmpi] "ImagePath"="\SystemRoot\system32\DRIVERS\symmpi.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sym_hi] "ImagePath"="\SystemRoot\system32\DRIVERS\sym_hi.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sym_u3] "ImagePath"="\SystemRoot\system32\DRIVERS\sym_u3.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sysaudio] "ImagePath"="system32\drivers\sysaudio.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SysmonLog] "ImagePath"="%SystemRoot%\system32\smlogsvc.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TapiSrv] "ServiceDll"="%SystemRoot%\System32\tapisrv.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip] "ImagePath"="system32\DRIVERS\tcpip.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDPIPE] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDTCP] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TermDD] "ImagePath"="system32\DRIVERS\termdd.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TermService] "ServiceDll"="%SystemRoot%\System32\termsrv.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Themes] "ServiceDll"="%SystemRoot%\System32\shsvcs.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TlntSvr] "ImagePath"="C:\WINDOWS\system32\tlntsvr.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TosIde] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TrkWks] "ServiceDll"="%SystemRoot%\system32\trkwks.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TSDDD] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Udfs] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ultra] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\upnphost] "ServiceDll"="%SystemRoot%\System32\upnphost.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UPS] "ImagePath"="%SystemRoot%\System32\ups.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbehci] "ImagePath"="system32\DRIVERS\usbehci.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbhub] "ImagePath"="system32\DRIVERS\usbhub.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbscan] "ImagePath"="system32\DRIVERS\usbscan.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\USBSTOR] "ImagePath"="system32\DRIVERS\USBSTOR.SYS" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbuhci] "ImagePath"="system32\DRIVERS\usbuhci.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VgaSave] "ImagePath"="\SystemRoot\System32\drivers\vga.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ViaIde] "ImagePath"="\SystemRoot\system32\DRIVERS\viaide.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VolSnap] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VSS] "ImagePath"="%SystemRoot%\System32\vssvc.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VxD] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\W32Time] "ServiceDll"="%systemroot%\system32\w32time.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\W3SVC] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Wanarp] "ImagePath"="system32\DRIVERS\wanarp.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WDICA] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wdmaud] "ImagePath"="system32\drivers\wdmaud.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WebClient] "ServiceDll"="%SystemRoot%\System32\webclnt.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\winmgmt] "ServiceDll"="%SystemRoot%\system32\wbem\WMIsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Winsock] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinSock2] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinTrust] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmdmPmSN] "ServiceDll"="C:\WINDOWS\system32\mspmsnsv.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Wmi] "ServiceDll"="%SystemRoot%\System32\advapi32.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmiApRpl] [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmiApSrv] "ImagePath"="C:\WINDOWS\system32\wbem\wmiapsrv.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WS2IFSL] "ImagePath"="\SystemRoot\System32\drivers\ws2ifsl.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wscsvc] "ServiceDll"="%SYSTEMROOT%\system32\wscsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wuauserv] "ServiceDll"="C:\WINDOWS\system32\wuauserv.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WZCSVC] "ServiceDll"="%SystemRoot%\System32\wzcsvc.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xmlprov] "ServiceDll"="%SystemRoot%\System32\xmlprov.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{2933FEC1-1F06-45E3-966B-945969C8550F}] . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\PDF Complete\pdfsty.exe C:\WINDOWS\SMINST\Scheduler.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd2.exe C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-09-10 16:02:36 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-09-10 14:02:32 Pre-Run: 17 Verzeichnis(se), 47,937,830,912 Bytes frei Post-Run: 21 Verzeichnis(se), 49,255,006,208 Bytes frei 749 --- E O F --- 2008-08-28 06:08:38 |
Hallo Chris, so nun werde ich nochmal Hijackthis drüber laufen lassen und hoffe dass du mir dann sagen kannst was los ist bzw. wie du mir helfen kannst :) Ich brauch den dringend und es ist grad beinahe unmöglich hierzu arbeiten! VG Mathias |
Anbei die Hijackthis Log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:14: VIRUS ALERT!, on 10.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe C:\Programme\PDF Complete\pdfsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\PDF Complete\pdfsty.exe C:\WINDOWS\SMINST\Scheduler.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: QXK Olive - {F6EE5875-4854-4408-B12D-3290883D966E} - C:\WINDOWS\vmgspntbter.dll O3 - Toolbar: fqbewlna - {9F342F63-3E27-4BB6-8A01-D7C2C6FEB055} - C:\WINDOWS\fqbewlna.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [PDF Complete] "C:\Programme\PDF Complete\pdfsty.exe" O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe O4 - HKLM\..\Run: [StatusClient 2.6] "C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [OLXAddinMonitor] "C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe" O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe" O4 - HKLM\..\Run: [SMrhcjgcj0e529] C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [\YURF.exe] C:\Windows\system32\YURF.exe O4 - HKLM\..\Run: [\YUR10.exe] C:\Windows\system32\YUR10.exe O4 - HKLM\..\Run: [\YUR11.exe] C:\Windows\system32\YUR11.exe O4 - HKLM\..\Run: [\YUR12.exe] C:\Windows\system32\YUR12.exe O4 - HKLM\..\Run: [ANTIVIRUS] C:\Programme\MSA\MSA.exe O4 - HKLM\..\Run: [\YUR13.exe] C:\Windows\system32\YUR13.exe O4 - HKLM\..\Run: [501299a5] rundll32.exe "C:\WINDOWS\system32\dbddlamv.dll",b O4 - HKLM\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe O4 - HKLM\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe O4 - HKLM\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe O4 - HKLM\..\Run: [\YUR5.exe] C:\Windows\system32\YUR5.exe O4 - HKLM\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [\YURF.exe] C:\Windows\system32\YURF.exe O4 - HKCU\..\Run: [\YUR10.exe] C:\Windows\system32\YUR10.exe O4 - HKCU\..\Run: [\YUR11.exe] C:\Windows\system32\YUR11.exe O4 - HKCU\..\Run: [\YUR12.exe] C:\Windows\system32\YUR12.exe O4 - HKCU\..\Run: [\YUR13.exe] C:\Windows\system32\YUR13.exe O4 - HKCU\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe O4 - HKCU\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe O4 - HKCU\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe O4 - HKCU\..\Run: [\YUR5.exe] C:\Windows\system32\YUR5.exe O4 - HKCU\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O20 - AppInit_DLLs: ylxziz.dll O21 - SSODL: mgxfebsq - {D92C4C3D-8DD1-435A-A4E2-A84918ADDCCE} - C:\WINDOWS\mgxfebsq.dll O21 - SSODL: dtseqrxk - {29C8E233-DD5E-4802-9385-0D154ABD307B} - C:\WINDOWS\dtseqrxk.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: OLXConvert Agent - GANGL Dienstleistungen - C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm -- End of file - 8607 bytes |
Hi, Du hast keinen Rechner mehr, Du hast eine Viren/Trojaner-Schleuder! Keine Gewähr, dass der Rechner nach der Orgie noch stabil läuft! So, bitte genau durchlesen, eigentlich musst Du bei dem Grad der Verseuchung Neuaufsetzen! Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste jeweils mit Filename das gesamte Ergebnisbild, wenn etwas nicht erkannt wurde, unten aus dem Script rausnehmen! Weiter alle Tools Combofix, MAM, HJ aus dem Internetladen bzw. updaten und dann unbdingt [b]offline]/b] gehen! Alle Schritte sind Offline durchzuführen, möglichst im abgesicherten Modus (F8 beim booten)! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Registry values to replace with dummy: 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm(nach dem Muster: C:\Windows\system32\YUR6.exe) sind diese sofort zu löschen! Gehe dann kurz online und poste alle Logs, d.h. von AVenger, HJ und ein neues ComboFix-Log. Danach bitte wieder offline gehen und nur kurz zum Antwort abfragen wieder online gehen... Sonst läd sich u. U. wieder was nach... Das kostet bei dem Arbeitsaufwand extra... wahrscheinlich müssen wir auch noch Combofix scripten, die C:\Windows\system32\YUR6.exe-Einträge sind sehr zäh... Chris |
huhu, schonmal vielen Dank. Mache alles was du sagst :) anbei die ersten logs. Grüße C:\WINDOWS\vmgspntbter.dll Antivirus Version letzte aktualisierung Ergebnis AhnLab-V32008.9.6.02008.09.10-AntiVir7.8.1.282008.09.11ADSPY/AdSpy.GenAuthentium5.1.0.42008.09.11-Avast4.8.1195.02008.09.10Win32:Vapsup-EBAVG8.0.0.1612008.09.10-BitDefender7.22008.09.11-CAT-QuickHeal9.502008.09.11-ClamAV0.93.12008.09.11-DrWeb4.44.0.091702008.09.11-eSafe7.0.17.02008.09.10-eTrust-Vet31.6.60832008.09.10-Ewido4.02008.09.10-F-Prot4.4.4.562008.09.10-F-Secure8.0.14332.02008.09.11-Fortinet3.113.0.02008.09.11-GData192008.09.11Win32:Vapsup-EBIkarusT3.1.1.34.02008.09.11Virus.Win32.Vapsup.EBK7AntiVirus7.10.4502008.09.10-Kaspersky7.0.0.1252008.09.11-McAfee53812008.09.10-Microsoft1.39032008.09.11-NOD32v234292008.09.09-Norman5.80.022008.09.10-Panda9.0.0.42008.09.10-PCTools4.4.2.02008.09.10-Prevx1V22008.09.11-Rising20.61.30.002008.09.11Trojan.Win32.Vapsup.eufSophos4.33.02008.09.11Mal/Emogen-ACSunbelt3.1.1624.12008.09.11-Symantec102008.09.11Downloader.Zlob!gen.3TheHacker6.3.0.9.0772008.09.10-TrendMicro8.700.0.10042008.09.10TROJ_BHO.SKVBA323.12.8.52008.09.10suspected of Downloader.Zlob.7 (paranoid heuristics)ViRobot2008.9.10.13712008.09.11-VirusBuster4.5.11.02008.09.10-Webwasher-Gateway6.6.22008.09.11Ad-Spyware.AdSpy.Gen File size: 364544 bytesMD5...: 2f3d43cdb4578d81fc14882472f6070eSHA1..: 4abc8303691ee7d2aacc9d974066339dd527d7eeSHA256: 18777cf6f172017b5ea0b134536a2120e09a170951b69546ebe7b5e22855b9bcSHA512: e32d0cdeacb1b5c39e9d302b75c629847c7b125865ec4559e4bb4678004e721e fc39d8cafd170ece55e0abf5ee036df43c27c30a6386d3e9c69f3538d7719475PEiD..: -TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%)PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1002637a timedatestamp.....: 0x48c770f3 (Wed Sep 10 07:02:11 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x397c8 0x3a000 6.39 c39a36297963989f8dc37daa4f54535c .rdata 0x3b000 0x16fb3 0x17000 4.53 486ebb201cb32018b15b3d95f2c7b0d8 .data 0x52000 0x3a04 0x2000 3.95 5dd0e0e46ae17a35c1fd52487e7d3bfb .rsrc 0x56000 0xaf8 0x1000 3.33 c48661706f50f53a07784e530faa1e10 .reloc 0x57000 0x352a 0x4000 4.78 81021a4940caf0c3034d0b7a1ee86c41 ( 5 imports ) > KERNEL32.dll: GetLastError, FindResourceW, LoadLibraryExW, GetModuleFileNameW, EnterCriticalSection, RaiseException, FreeLibrary, DeleteCriticalSection, lstrcmpiW, LeaveCriticalSection, InitializeCriticalSection, MultiByteToWideChar, LoadResource, GetModuleHandleW, InterlockedDecrement, GetProcAddress, LoadLibraryW, CloseHandle, DebugBreak, CreateFileA, SetEndOfFile, SizeofResource, FormatMessageW, HeapFree, GetProcessHeap, GlobalAlloc, Sleep, CreateThread, HeapAlloc, InterlockedIncrement, lstrlenW, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, FlushFileBuffers, SetStdHandle, CreateFileW, SetEnvironmentVariableW, SetEnvironmentVariableA, CompareStringW, CompareStringA, GetStringTypeW, GetStringTypeA, GetConsoleMode, GetConsoleCP, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapReAlloc, VirtualProtect, VirtualAlloc, GetModuleHandleA, GetSystemInfo, VirtualQuery, GetCurrentThreadId, GetCommandLineA, RtlUnwind, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, GetCPInfo, GetOEMCP, IsValidCodePage, LCMapStringA, WideCharToMultiByte, LCMapStringW, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetFilePointer, ReadFile, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LoadLibraryA, lstrlenA > USER32.dll: UnregisterClassA, ShowWindow, CharNextW, MessageBoxW > ADVAPI32.dll: RegOpenKeyExW, RegSetValueExW, RegQueryInfoKeyW, RegCloseKey, RegDeleteValueW, RegEnumKeyExW, RegDeleteKeyW, RegCreateKeyExW, RegQueryValueExW > ole32.dll: CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc, StringFromGUID2, CreateStreamOnHGlobal, CoTaskMemRealloc > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, - ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer __________________ C:\WINDOWS\dtseqrxk.dll 0 bytes size received / Se ha recibido un archivo vacio __________________ C:\WINDOWS\mgxfebsq.dll 0 bytes size received / Se ha recibido un archivo vacio ___________________ C:\WINDOWS\fqbewlna.dll Antivirus Version letzte aktualisierung Ergebnis AhnLab-V32008.9.6.02008.09.10-AntiVir7.8.1.282008.09.11ADSPY/AdSpy.GenAuthentium5.1.0.42008.09.11W32/Adware-Vapsup!MaximusAvast4.8.1195.02008.09.10-AVG8.0.0.1612008.09.10-BitDefender7.22008.09.11-CAT-QuickHeal9.502008.09.11-ClamAV0.93.12008.09.11-DrWeb4.44.0.091702008.09.11-eSafe7.0.17.02008.09.10-eTrust-Vet31.6.60832008.09.10-Ewido4.02008.09.10-F-Prot4.4.4.562008.09.10W32/Adware-Vapsup!MaximusF-Secure8.0.14332.02008.09.11-Fortinet3.113.0.02008.09.11-GData192008.09.11-IkarusT3.1.1.34.02008.09.11-K7AntiVirus7.10.4502008.09.10-Kaspersky7.0.0.1252008.09.11-McAfee53812008.09.10-Microsoft1.39032008.09.11Trojan:Win32/Zlob.gen!QNOD32v234292008.09.09-Norman5.80.022008.09.10-Panda9.0.0.42008.09.10-PCTools4.4.2.02008.09.10-Prevx1V22008.09.11Malicious SoftwareRising20.61.30.002008.09.11-Sophos4.33.02008.09.11-Sunbelt3.1.1624.12008.09.11-Symantec102008.09.11Downloader.Zlob!gen.3TheHacker6.3.0.9.0772008.09.10-TrendMicro8.700.0.10042008.09.10-VBA323.12.8.52008.09.10suspected of Downloader.Zlob.7 (paranoid heuristics)ViRobot2008.9.10.13712008.09.11-VirusBuster4.5.11.02008.09.10-Webwasher-Gateway6.6.22008.09.11Ad-Spyware.AdSpy.Gen File size: 192512 bytesMD5...: 20b5266528c50cf6069dc4d4d89b6cb3SHA1..: 65088776f79fab376922c865e5a663ad70520afaSHA256: 3d3c572d7257d1c2bf6072957f52b6bde5d08914b0dabadf6b0b33ea4d826b6bSHA512: 444dbb295fbe639e389db312dd53a7ce12f603514a241fa1411f017dde7cdb48 188b183055569026c5b50676cfd99e6a0c723057ed7fc2519dd6676291e735bdPEiD..: -TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%)PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10012d91 timedatestamp.....: 0x48c77260 (Wed Sep 10 07:08:16 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1e8c9 0x1f000 6.45 d6d757e9182d777d3309a881a21e61cf .rdata 0x20000 0x6cb5 0x7000 5.19 29fc874188bdbf68382a9382ccbb1640 .data 0x27000 0x3900 0x2000 3.67 69b83cbce4c32d97cefb516bcc839502 .rsrc 0x2b000 0x2200 0x3000 3.56 c36d1d840c1acef7edf1c5ae4fb1ff2a .reloc 0x2e000 0x2802 0x3000 4.39 8c862765ad3b6c5679ff9537bfad0c8e ( 6 imports ) > COMCTL32.dll: ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Create, ImageList_Destroy > KERNEL32.dll: RaiseException, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, lstrcmpiW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetCurrentThreadId, FlushInstructionCache, GetLastError, SetLastError, FlushFileBuffers, CloseHandle, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, LCMapStringW, LCMapStringA, GetStringTypeW, GetStringTypeA, GetModuleFileNameW, GetModuleHandleW, lstrlenW, InterlockedIncrement, InitializeCriticalSection, InterlockedDecrement, LoadLibraryW, GetProcAddress, GetCurrentProcess, GetConsoleMode, GetConsoleCP, SetFilePointer, IsValidCodePage, GetOEMCP, GetCPInfo, GetSystemTimeAsFileTime, InterlockedCompareExchange, HeapFree, GetProcessHeap, HeapAlloc, LoadLibraryA, IsProcessorFeaturePresent, VirtualFree, VirtualAlloc, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, HeapReAlloc, GetCommandLineA, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, Sleep, HeapSize, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, HeapDestroy, HeapCreate, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId > USER32.dll: SetWindowLongW, ShowWindow, GetClassInfoExW, UnregisterClassA, RegisterClassExW, CreateWindowExW, GetClientRect, CharNextW, CallWindowProcW, GetWindowLongW, LoadCursorW, GetSysColor, SendMessageW, IsWindow, DestroyWindow, DefWindowProcW > ADVAPI32.dll: RegDeleteKeyW, RegDeleteValueW, RegCloseKey, RegCreateKeyExW, RegQueryInfoKeyW, RegEnumKeyExW, RegOpenKeyExW, RegSetValueExW > ole32.dll: CoTaskMemRealloc, StringFromGUID2, CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc > OLEAUT32.dll: -, -, -, -, -, -, -, -, - ______________________ C:\WINDOWS\dtseqrxk.dll 0 bytes size received / Se ha recibido un archivo vacio _____________________ C:\WINDOWS\mgxfebsq.dll 0 bytes size received / Se ha recibido un archivo vacio ______________________ C:\WINDOWS\mqgldfvo.exe Datei mqgldfvo.exe empfangen 2008.09.11 07:08:39 (CET) Status: Beendet Ergebnis: 6/36 (16.67%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.6.0 2008.09.10 - AntiVir 7.8.1.28 2008.09.11 - Authentium 5.1.0.4 2008.09.11 - Avast 4.8.1195.0 2008.09.10 - AVG 8.0.0.161 2008.09.10 Adload_r.BX BitDefender 7.2 2008.09.11 - CAT-QuickHeal 9.50 2008.09.11 - ClamAV 0.93.1 2008.09.11 - DrWeb 4.44.0.09170 2008.09.11 - eSafe 7.0.17.0 2008.09.10 - eTrust-Vet 31.6.6083 2008.09.10 - Ewido 4.0 2008.09.10 - F-Prot 4.4.4.56 2008.09.10 - F-Secure 8.0.14332.0 2008.09.11 - Fortinet 3.113.0.0 2008.09.11 - GData 19 2008.09.11 - Ikarus T3.1.1.34.0 2008.09.11 - K7AntiVirus 7.10.450 2008.09.10 - Kaspersky 7.0.0.125 2008.09.11 - McAfee 5381 2008.09.10 - Microsoft 1.3903 2008.09.11 Trojan:Win32/Small.ZZB NOD32v2 3429 2008.09.09 - Norman 5.80.02 2008.09.10 - Panda 9.0.0.4 2008.09.10 - PCTools 4.4.2.0 2008.09.10 - Prevx1 V2 2008.09.11 Cloaked Malware Rising 20.61.30.00 2008.09.11 Trojan.DL.Win32.QQHelper.bgc Sophos 4.33.0 2008.09.11 - Sunbelt 3.1.1624.1 2008.09.11 - Symantec 10 2008.09.11 Downloader.Zlob!gen.3 TheHacker 6.3.0.9.077 2008.09.10 - TrendMicro 8.700.0.1004 2008.09.10 - VBA32 3.12.8.5 2008.09.10 suspected of Downloader.Zlob.7 (paranoid heuristics) ViRobot 2008.9.10.1371 2008.09.11 - VirusBuster 4.5.11.0 2008.09.10 - Webwasher-Gateway 6.6.2 2008.09.11 - weitere Informationen File size: 135168 bytes MD5...: 3768004be0292929abac5f675dc02c24 SHA1..: 6c500fa7c8d459aeafa2f75c5c11019c52e03af6 SHA256: 9b829b3603898efdbcb07d11797fa9b30b470c2fba575ac48d3e2eee92daeb68 SHA512: 60d1cc1dc98bac7d7f13e89aff0b0a40db5ae94203659d8ab2d2d15f34553558 251a4ee25622197d2e7963eac54a656a8e0cfb3c216138199f3a2210d0c97da4 PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40b018 timedatestamp.....: 0x48c76d18 (Wed Sep 10 06:45:44 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1627c 0x17000 6.33 f23724c8cf623a3bffab9db63f5c871c .rdata 0x18000 0x55a2 0x6000 4.89 def5bae035ed7b9703ee13d556032137 .data 0x1e000 0x2de4 0x2000 1.52 e6cfe21581d4a31f876a3be0b0dbe0b4 .rsrc 0x21000 0xb0 0x1000 3.06 3efe6315b703a6d961a854a122fe7f60 ( 2 imports ) > KERNEL32.dll: FreeLibrary, SetLastError, CloseHandle, LoadLibraryW, TerminateProcess, OpenProcess, GetCurrentProcessId, GetProcAddress, FindFirstFileW, GetLastError, FindClose, RtlUnwind, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RaiseException, EnterCriticalSection, LeaveCriticalSection, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, GetCurrentThreadId, InterlockedDecrement, Sleep, HeapSize, ExitProcess, MultiByteToWideChar, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, DeleteCriticalSection, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringA, WideCharToMultiByte, LCMapStringW, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, WriteFile, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, VirtualAlloc, HeapReAlloc, LoadLibraryA, InitializeCriticalSection, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, CreateFileW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetFilePointer, SetEndOfFile, ReadFile, CreateFileA > ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=40626B3900A0C1E810BE02A38ECF5D0035330C1E Ich bin jetzt offline und schaue ab und an von einem anderen PC was geht! Grüße |
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\2.ico" deleted successfully. File "C:\WINDOWS\system32\MSa.cpl" deleted successfully. File "C:\WINDOWS\system32\YUR10.VIR" deleted successfully. File "C:\WINDOWS\system32\1.ico" deleted successfully. File "C:\WINDOWS\vmgspntbter.dll" deleted successfully. Error: file "C:\WINDOWS\dtseqrxk.dll" not found! Deletion of file "C:\WINDOWS\dtseqrxk.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\mgxfebsq.dll" not found! Deletion of file "C:\WINDOWS\mgxfebsq.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\fqbewlna.dll" deleted successfully. File "C:\WINDOWS\mqgldfvo.exe" deleted successfully. File "C:\WINDOWS\system32\2.tmp" deleted successfully. File "C:\WINDOWS\system32\casino3.ico" deleted successfully. File "C:\WINDOWS\system32\casino2.ico" deleted successfully. File "C:\WINDOWS\system32\casino1.ico" deleted successfully. File "C:\WINDOWS\system32\tdsspopup.dll" deleted successfully. File "C:\WINDOWS\system32\tdsspopup3.url" deleted successfully. File "C:\WINDOWS\system32\tdsspopup2.url" deleted successfully. File "C:\WINDOWS\system32\tdsspopup1.url" deleted successfully. Error: file "C:\WINDOWS\system32\wvUliiHa.dll" not found! Deletion of file "C:\WINDOWS\system32\wvUliiHa.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\pmnmnOHb.dll" not found! Deletion of file "C:\WINDOWS\system32\pmnmnOHb.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\ylxziz.dll" not found! Deletion of file "C:\WINDOWS\system32\ylxziz.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "C:\WINDOWS\privacy_danger\index.htm" Deletion of file "C:\WINDOWS\privacy_danger\index.htm" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: file "C:\Windows\system32\YUR2.exe" not found! Deletion of file "C:\Windows\system32\YUR2.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR1.exe" not found! Deletion of file "C:\Windows\system32\YUR1.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR3.exe" not found! Deletion of file "C:\Windows\system32\YUR3.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR5.exe" not found! Deletion of file "C:\Windows\system32\YUR5.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR6.exe" not found! Deletion of file "C:\Windows\system32\YUR6.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YURF.exe" not found! Deletion of file "C:\Windows\system32\YURF.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR10.exe" not found! Deletion of file "C:\Windows\system32\YUR10.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR11.exe" not found! Deletion of file "C:\Windows\system32\YUR11.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR12.exe" not found! Deletion of file "C:\Windows\system32\YUR12.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR13.exe" not found! Deletion of file "C:\Windows\system32\YUR13.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR2.exe" not found! Deletion of file "C:\Windows\system32\YUR2.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR1.exe" not found! Deletion of file "C:\Windows\system32\YUR1.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR3.exe" not found! Deletion of file "C:\Windows\system32\YUR3.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR5.exe" not found! Deletion of file "C:\Windows\system32\YUR5.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR6.exe" not found! Deletion of file "C:\Windows\system32\YUR6.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Folder "C:\Programme\rhcjgcj0e529" deleted successfully. Error: folder "C:\WINDOWS\privacy_danger" not found! Deletion of folder "C:\WINDOWS\privacy_danger" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate. |
So, ich habe nun Hojackthis so alnge gescannt und gelöscht, bis keine der Zeilen die du mir genannt hast mehr auftaucht. Momentan bearbeitet es grad combofix und dann bring ich dir beide Logs (Hijackthis u. Combofix) Grüße |
Anbei Combofix Log Grüße ________________ ComboFix 08-09-05.14 - sprenker2 2008-09-11 7:40:16.2 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.807 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\sprenker2\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\sprenker2\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\sprenker2\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\sprenker2\Favoriten\Spyware&Malware Protection.url C:\Programme\PCHealthCenter . ((((((((((((((((((((((( Dateien erstellt von 2008-08-11 bis 2008-09-11 )))))))))))))))))))))))))))))) . 2008-09-11 06:55 . 2008-09-11 06:55 197 --a------ C:\WINDOWS\system32\MRT.INI 2008-09-10 14:46 . 2008-09-10 15:14 <DIR> d-------- C:\Programme\MSA 2008-09-10 13:57 . 2008-09-10 13:57 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-10 13:57 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-10 13:57 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-10 11:42 . 2008-09-10 11:42 <DIR> d-------- C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Malwarebytes 2008-09-10 11:41 . 2008-09-10 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-10 09:24 . 2008-09-10 09:24 <DIR> d-------- C:\Programme\AVG 2008-09-10 09:24 . 2008-09-10 12:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8 2008-08-17 08:37 . 2008-05-01 16:30 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll 2008-08-14 15:40 . 2008-08-14 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\FileOpen 2008-08-14 15:40 . 2008-08-14 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FileOpen . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-10 11:55 --------- d-----w C:\Programme\Avira 2008-09-10 10:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-09-10 10:10 --------- d-----w C:\Programme\BOINC 2008-09-10 07:39 --------- d-----w C:\Programme\Opera 2008-09-09 08:47 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\FileZilla 2008-08-20 06:47 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\gtk-2.0 2008-08-19 13:30 --------- d-----w C:\Programme\LBBW_LIMOSV 2008-07-30 08:41 --------- d-----w C:\Programme\VideoLAN 2008-07-28 08:54 85,440 ----a-w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-07-24 11:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems 2008-07-24 11:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-07-24 11:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-07-17 08:38 --------- d-----w C:\Programme\Azureus 2008-07-17 08:37 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Azureus 2008-07-14 12:55 --------- d-----w C:\Programme\Hewlett-Packard 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-07 20:30 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll 2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-24 16:22 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll 2008-06-24 08:14 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-06-23 09:20 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-06-23 09:20 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-06-21 05:23 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll 2008-06-20 17:36 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 17:36 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll 2008-06-20 17:36 147,968 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys 2008-06-20 10:44 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys 2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys . ((((((((((((((((((((((((((((( snapshot@2008-09-10_16.01.59.90 ))))))))))))))))))))))))))))))))))))))))) . - 2008-08-05 18:11:01 15,888,504 ----a-w C:\WINDOWS\system32\MRT.exe + 2008-08-26 20:28:12 16,208,504 ----a-w C:\WINDOWS\system32\MRT.exe + 2008-04-15 17:54:16 1,724,416 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.3352_x-ww_81af8e88\GdiPlus.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-09-25 98304] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-09-25 114688] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-09-25 94208] "PDF Complete"="C:\Programme\PDF Complete\pdfsty.exe" [2007-08-07 331288] "SetRefresh"="C:\Programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824] "Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2006-05-12 1138688] "Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-04-24 888832] "StatusClient 2.6"="C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 61440] "TomcatStartup 2.5"="C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-20 188416] "HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-01-07 49152] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 311296] "OLXAddinMonitor"="C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe" [2007-06-26 258048] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] C:\Dokumente und Einstellungen\sprenker2\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\SMINST\\Scheduler.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office10\\OUTLOOK.EXE"= "C:\\Programme\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= S2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 28933976] S2 OLXConvert Agent;OLXConvert Agent;C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe [2007-06-29 372736] S2 pdfcDispatcher;PDF Document Manager;C:\Programme\PDF Complete\pdfsvc.exe [2007-08-07 540184] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##Linux-server#Ablage] \Shell\AutoRun\command - autorun.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - Toolbar-{9F342F63-3E27-4BB6-8A01-D7C2C6FEB055} - C:\WINDOWS\fqbewlna.dll HKLM-Run-pdfFactory Dispatcher v3 - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe HKLM-Run-eTrustPPAP - C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Mozilla\Firefox\Profiles\62k43a39.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-11 07:42:15 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pdfcDispatcher] "ImagePath"="C:\Programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService" . Zeit der Fertigstellung: 2008-09-11 7:43:45 ComboFix-quarantined-files.txt 2008-09-11 05:43:34 ComboFix2.txt 2008-09-10 14:02:37 Pre-Run: 18 Verzeichnis(se), 50,266,001,408 Bytes frei Post-Run: 22 Verzeichnis(se), 50,262,609,920 Bytes frei 152 --- E O F --- 2008-09-11 04:55:25 |
Anbei die HJ log _____________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:39: VIRUS ALERT!, on 11.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: fqbewlna - {9F342F63-3E27-4BB6-8A01-D7C2C6FEB055} - C:\WINDOWS\fqbewlna.dll (file missing) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [PDF Complete] "C:\Programme\PDF Complete\pdfsty.exe" O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe O4 - HKLM\..\Run: [StatusClient 2.6] "C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [OLXAddinMonitor] "C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe" O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: OLXConvert Agent - GANGL Dienstleistungen - C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe -- End of file - 5358 bytes |
Hallo chris, also soweit habe ich alles gemacht wie du gesagt hast. Als ich meinen PC vorhin einmal hochgefahren habe, war der Hintergrund nicht mehr dieses "WARNING-Picture" und auch der Virenscanner hat nicht dauernd geblinkt. Ich habe ja auch bei HJ die Zeieln die ich löschen sollte nicht mehr gefunden. Allerdings beunruhigt mich, dass ich z.B. wenn ich unten links auf "Start" klicke, versch. Sachen nicht mehr sehe, wie z.b. Systemsteuerung, Hilfe und Support, Ausführen etc.! Aber ich glaube dass ich das wieder einrichten kan, richtig? Ausserdem sagte mir mein Windows gestern, dass der Task Manager deaktiviert wurde! Internet sowie alle programme laufen einwandfrei und wie gesagt, es kommen keine Fehlermeldungen auf, wobei ich ihn ja auch nur ganz kurz an hatte. Wie mache ich nun weiter? Viele Grüße und Lieben Dank Mathias |
Hi, bitte noch folgende Zeilen mit HJ fixen; O3 - Toolbar: fqbewlna - {9F342F63-3E27-4BB6-8A01-D7C2C6FEB055} - C:\WINDOWS\fqbewlna.dll (file missing) Danach neu booten. Registerywerte zurücksetzten: Über "Drittanbieter", die nicht den regedit benutzen, z. B.: http://www.chip.de/downloads/c1_downloads_12991462.html (RegCleaner) Folgende Schlüssel suchen und die nachfolgenden Aktionen durchführen: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit <-löschen Suche den Schlüssel: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel "DisableTaskMgr" löschen) DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen) HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD (Ohne den Schlüssel Policies) Lasse bitte noch mal MAM laufen (vorher updaten) und poste das Log; Systemsteuerung wieder einrichten etc. dann später (bin jetzt leider anderstweitig beschäftigt). Das gröbste ist nun überstanden, allerdings haben sich die Sachen (wie Du siehst) sehr tief in das System eingegraben, so das Neuaufsetzen besser wäre.... chris |
Hallo Chris, danke sehr. Die Zeiel habe ich gefixed. Das Programm Regcleaner habe ich installiert, komme aber nicht klar. Ich habe ihn überall nach den Zeielen suche lassen, aber er fand nichts. Ich mach sicher was falsch. Kannst du mir sagen wo ich suchen muss bzw wo es zu finden ist? anbei ein Screen! http://www.bilder-hochladen.net/files/604k-y-jpg.html Grüße P.s. Lasse gerade mam laufen (Habe geuploadet)! Das Log kommt! |
RegCleaner Hy, kann mir jemand sagen wie der RegCleaner funktioniert? Ich soll versch. Zeilen suchen und löschen: "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\DisableRegedit <-löschen Suche den Schlüssel: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel "DisableTaskMgr" löschen) DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen) HKEY_CURRENT_USER\Software\Microsoft\Windows\Syste m\DisableCMD (Ohne den Schlüssel Policies)" Anbei ein Screen! http://www.bilder-hochladen.net/files/604k-y-jpg.html Wo muss ich das suchen oder hat jmd. ein anderes Programm? Grüße |
Hallo Chris, also wie gesagt MAM läuft grad und hat auch wieder was gefunden, das Log kommt. Als Info: Es fehlt der Button "Alle Programme" sowie "Systemsteuerung" ! Weiterhin kann ich nicht auf den "Task Manager" und "Eigenschaften von Anzeige" (zum hintergrund ändern etc. zugreifen! Das geht sicher über die Registry!? Richtig? Danke und Grüße |
Habe noch mal MAM, Avenger und HJ laufen lassen! Anbei die Logs. Die Sachen mit dem Reg ist immer noch nicht erledigt, weiss nciht wie! Grüße _____ MAM Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1137 Windows 5.1.2600 Service Pack 2 11.09.2008 09:47:48 mbam-log-2008-09-11 (09-47-48).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 95353 Laufzeit: 32 minute(s), 53 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 5 Infizierte Dateiobjekte der Registrierung: 15 Infizierte Verzeichnisse: 0 Infizierte Dateien: 42 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\fqbewlna.bebg (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\fqbewlna.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\backupwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76497-OEM-0011903-00101) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\sprenker2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q2X11FH1\nd82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\sprenker2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q2X11FH1\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\sprenker2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QODQIV2N\cntr[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Programme\PCHealthCenter\0.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Programme\PCHealthCenter\4.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Programme\PCHealthCenter\5.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Programme\PCHealthCenter\7.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\dbddlamv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\fccbCtSI.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\ggumljoc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\pmnmnOHb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\wvUliiHa.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\ylxziz.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YUR11.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YUR12.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YUR13.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YUR2.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YUR3.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YURF.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP89\A0047387.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP89\A0048397.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP89\A0048398.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP89\A0048399.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048412.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048415.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048416.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048417.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048431.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048432.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048433.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048434.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048435.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048436.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048438.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048439.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048440.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048441.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048443.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048442.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\MSA\msa0.dat (Rogue.MSAntivirus) -> Quarantined and deleted successfully. C:\Programme\MSA\msa1.dat (Rogue.MSAntivirus) -> Quarantined and deleted successfully. C:\Programme\MSA\MSA.ooo (Rogue.MSAntivirus) -> Quarantined and deleted successfully. |
Avenger Log: _______________ Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\2.ico" not found! Deletion of file "C:\WINDOWS\system32\2.ico" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\MSa.cpl" not found! Deletion of file "C:\WINDOWS\system32\MSa.cpl" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\YUR10.VIR" not found! Deletion of file "C:\WINDOWS\system32\YUR10.VIR" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\1.ico" not found! Deletion of file "C:\WINDOWS\system32\1.ico" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\vmgspntbter.dll" not found! Deletion of file "C:\WINDOWS\vmgspntbter.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\dtseqrxk.dll" not found! Deletion of file "C:\WINDOWS\dtseqrxk.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\mgxfebsq.dll" not found! Deletion of file "C:\WINDOWS\mgxfebsq.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\fqbewlna.dll" not found! Deletion of file "C:\WINDOWS\fqbewlna.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\mqgldfvo.exe" not found! Deletion of file "C:\WINDOWS\mqgldfvo.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\2.tmp" not found! Deletion of file "C:\WINDOWS\system32\2.tmp" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\casino3.ico" not found! Deletion of file "C:\WINDOWS\system32\casino3.ico" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\casino2.ico" not found! Deletion of file "C:\WINDOWS\system32\casino2.ico" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\casino1.ico" not found! Deletion of file "C:\WINDOWS\system32\casino1.ico" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\tdsspopup.dll" not found! Deletion of file "C:\WINDOWS\system32\tdsspopup.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\tdsspopup3.url" not found! Deletion of file "C:\WINDOWS\system32\tdsspopup3.url" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\tdsspopup2.url" not found! Deletion of file "C:\WINDOWS\system32\tdsspopup2.url" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\tdsspopup1.url" not found! Deletion of file "C:\WINDOWS\system32\tdsspopup1.url" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\wvUliiHa.dll" not found! Deletion of file "C:\WINDOWS\system32\wvUliiHa.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\pmnmnOHb.dll" not found! Deletion of file "C:\WINDOWS\system32\pmnmnOHb.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\ylxziz.dll" not found! Deletion of file "C:\WINDOWS\system32\ylxziz.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "C:\WINDOWS\privacy_danger\index.htm" Deletion of file "C:\WINDOWS\privacy_danger\index.htm" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: file "C:\Windows\system32\YUR2.exe" not found! Deletion of file "C:\Windows\system32\YUR2.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR1.exe" not found! Deletion of file "C:\Windows\system32\YUR1.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR3.exe" not found! Deletion of file "C:\Windows\system32\YUR3.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR5.exe" not found! Deletion of file "C:\Windows\system32\YUR5.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR6.exe" not found! Deletion of file "C:\Windows\system32\YUR6.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YURF.exe" not found! Deletion of file "C:\Windows\system32\YURF.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR10.exe" not found! Deletion of file "C:\Windows\system32\YUR10.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR11.exe" not found! Deletion of file "C:\Windows\system32\YUR11.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR12.exe" not found! Deletion of file "C:\Windows\system32\YUR12.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR13.exe" not found! Deletion of file "C:\Windows\system32\YUR13.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR2.exe" not found! Deletion of file "C:\Windows\system32\YUR2.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR1.exe" not found! Deletion of file "C:\Windows\system32\YUR1.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR3.exe" not found! Deletion of file "C:\Windows\system32\YUR3.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR5.exe" not found! Deletion of file "C:\Windows\system32\YUR5.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR6.exe" not found! Deletion of file "C:\Windows\system32\YUR6.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\Programme\rhcjgcj0e529" not found! Deletion of folder "C:\Programme\rhcjgcj0e529" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\WINDOWS\privacy_danger" not found! Deletion of folder "C:\WINDOWS\privacy_danger" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate. |
HJ Log ... gerade eben gemacht, bin wieder off! Freu mich auf zeitige Nachricht. VG ___________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:52:57, on 11.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe C:\Programme\PDF Complete\pdfsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\PDF Complete\pdfsty.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\SMINST\Scheduler.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [PDF Complete] "C:\Programme\PDF Complete\pdfsty.exe" O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe O4 - HKLM\..\Run: [StatusClient 2.6] "C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [OLXAddinMonitor] "C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: OLXConvert Agent - GANGL Dienstleistungen - C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing) -- End of file - 6231 bytes |
Hallo Chris, seit 2 Tagen habe ich gerade das erste mal wieder gelächelt :) Ich habe wie oben geschrieben nochmal MAM, Avenger, HJ durchgeführt und die Logs gepostet. Des weiteren habe ich einen Registry Cleaner durchlaufen lassen und der hat einiges gelöscht. (Bitte erklär mir nochmal das was du wolltest, damit ich das mache "sicherheitshalber")! Momentan piepst kein Anti Vir, ich habe wieder alle Funktionen und Rechte und ich kann alles machen wie vorher. So sollte es bleiben :) Ich bleibe weiterhin offline bis du dich wieder meldest. Evtl. kannst du dir die Logs die ich grad reinstellte nochmal anschauen und sagen wie das nun so bleibt. Sind die jetzt wirklich weg? Soll ich in Zukunft etwas beachten? Soll ich noch etwas installieren, damit das so jetzt bleibt?! Wenn ich mein internet wieder anschliesse, bleibt das sauber oder kommen sofort wieder 1000 Meldungen von Viren etc.!? Machen wir noch ein paar Tests oder ähnliches? Vielen Lieben Dank und Grüße |
Hi, das HJ-Log sieht soweit ok aus, es existiert(e) aber noch ein Remotezugang (PSEXESVC.EXE) als Dienst, der gelöscht sein soll (suche die Datei ob sie tatsächlich weg ist). MAM hat gute Arbeit geleistet, alle Reg-Keys die wir sonst "von Hand" zurückbiegen hätten müssen, sind wieder korrekt eingestellt. Bitte prüfe ob der Taskmanager wieder läuft. Die Systemwiederherstellung muss noch gesäubert werden: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen So, jetzt bleibt nur noch eine MBR-Untersuchung: MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Java ist veraltet: Deine Javasoftware ist veraltet, Download jre-6u7-windows-i586-p.exe Scrolle runter nach ---->Java Runtime Environment (JRE) 6u7 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze ein Haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe” Du solltest Avira agressiver einstellen, d.h. Du bekommst dann zwar mehr "Fehlalarme", dafür findet es aber auch mehr: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html Aktiviere die Windowsfirewall oder installiere Dir eine frei erhältliche (z. B. Zonealarm -> http://www.pcwelt.de/downloads/virenschutz/firewalls/7153/zonealarm/ Firefox mit den Plugins NoScript und "WOT" aufrüsten... chris |
Hallo Chris, ich werde alles gleich machen wie du geschrieben hast. Der Taskmanager funktioniert wieder. Ich melde mich noch mal hier, wenn ich alles gemacht habe. Doch hier sei shon gesagt, dass ich dir zu tiefst dankbar für deine Hilfe bin. Es ist toll, dass es noch Menschen wie dich gibt!!! Vielen vielen Lieben Dank und ich wünsche dir einen schönen Tag. VG Mathias |
Hallo Chris, wieder mal hat alles funktioniert was du mir geschrieben hast :dankeschoen: 1. Remotezugang entfernen Habe ich gemacht! Er sagt mir folgendes: "O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)" 2. Taskmanager läuft und funktioniert einwandfrei! 3. Restorepunkt gesetzt 4. Mbr Untersuchung: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK 5. Java erneuert 6. Avira agressiv eingestellt 7. Plugins für Firefox gedownloadet Gibt es noch etwas was du mir sagen kannst? Passt alles? LG Mathias |
Hi, so, dass sollte es gewesen sein. Es gibt viele Wege sich was einzufangen "Drive-by-downloads", Messenger, zweifelhafte Pages/Links/Downloads/Programme... Dsa Firefox-Plugin "WO" zeigt über das grüne Symbol (oder eben nicht grün ;o), wie sicher die Seite ist, wenn Du z. B. bei Google suchst... So, jetzt müssen noch die Backups der Bereinigungstools gelöscht werden: Backups von Avenger&Co (falls vorhanden) löschen: Falls der Rechner einwandfrei läuft, können die Backups der Bereinigungstools gelöscht werden (soweit vorhanden): C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren Dann mal vorsichtig surfen, Gruß & out, chris |
Hallo Chris, nochmals vielen Lieben Dank und alles Gute Weiterhin! Grüße und out! Mathias |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board