|
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder Guten Tag erstmal, habe mich heute erst neu angemeldet und hoffe trotzdem das man mir schnell helfen kann. Also zu meinem Problem: Immer wenn ich mein Computer Hochfahre und er am Desktop angekommen ist, öffnet sich eine Datei namens Icq Password Recovery. Und direkt darauf hin kommt eine Virenmeldung, der heißt KIT/Downloader.E , und solang dieses ICQ PASSWORD RECOVERY fenster geöffnet ist, kommt die Virenmeldung immer wieder bis ich da auf das rote [X] gedrückt habe. Dann löscht sich der Ordner aus der Temp Datei. Die Infizierte Datei heißt IcqHack.exe. Die Datei löscht sich dann auch. Aber sobald ich den Computer herunter fahre und ihn dann wieder anmache, fängt dasselbe von vorne an, ICQ PASSWORD RECOVERY startet, und die Virenmeldung kommt, obwohl ich die Infizierte Datei doch gelöscht habe. Ich würde gerne wissen wie ich den Virus oder was das ist ganz runter bekomme. Seitdem bleibt der Computer manchmal hängen, meistens bei Videos. Wenn ich einmal auf das Rote [X] von ICQ.. gedrückt habe, wird davon bis zum neustart nichts mehr sichtbar, als ob da nichts drauf ist. ps: ICQ hab ich komplett von der Festplatte gelöscht und eine Defragmentierung wurde auch schon durchgeführt. Ich habe schon versucht, die beim Icq datei die beim starten an geht, auszumachen aber bei "Ausführen -> msconfig -> Systemstart steht das auch nicht mehr drin und eine Systemwiederherstellung bringt nichts |
Hi, poste bitte ein Hijackthis log. lg myrtille |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:38:46, on 29.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\WINDOWS\ALCMTR.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Adobe\Reader\Reader_sl.exe C:\WINDOWS\PixArt\PAC207\Monitor.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe C:\WINDOWS\system32\wuauclt.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schuelervz.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,D:\Programme\MPK\MPK.exe O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\kb127\Dealio.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\kb127\Dealio.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "D:\^Drucker\OpwareSE4.exe" O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe O4 - HKLM\..\Run: [au] C:\Programme\Dealio\DealioAU.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\system32\winupd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: RAID Manager.lnk = ? O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ? O8 - Extra context menu item: Compare Prices with &Dealio - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dealio\kb127\res\DealioSearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6\ICQ.exe (file missing) O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\kb127\Dealio.dll O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\kb127\Dealio.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211646256531 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1217528465 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe |
Sieht so aus als hättest du dir was hübsches eingefangen. :o ICQRecoveryBla scheint auf jedenfall mehr mitgebracht zu haben als nur nen Passwort wiederfinder. Lade bitte mal die folgende Datei bei virustotal hoch: Zitat:
|
wenn ich die da hoch steht da: Datei winupd empfangen 2008.09.29 14:05:35 (CET) Status: BEENDET Ergebnis: 0/36 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.25.0 2008.09.29 - AntiVir 7.8.1.34 2008.09.29 - Authentium 5.1.0.4 2008.09.29 - Avast 4.8.1195.0 2008.09.29 - AVG 8.0.0.161 2008.09.29 - BitDefender 7.2 2008.09.29 - CAT-QuickHeal 9.50 2008.09.29 - ClamAV 0.93.1 2008.09.29 - DrWeb 4.44.0.09170 2008.09.29 - eSafe 7.0.17.0 2008.09.29 - eTrust-Vet 31.6.6116 2008.09.29 - Ewido 4.0 2008.09.29 - F-Prot 4.4.4.56 2008.09.28 - F-Secure 8.0.14332.0 2008.09.29 - Fortinet 3.113.0.0 2008.09.29 - GData 19 2008.09.29 - Ikarus T3.1.1.34.0 2008.09.29 - K7AntiVirus 7.10.476 2008.09.27 - Kaspersky 7.0.0.125 2008.09.29 - McAfee 5393 2008.09.27 - Microsoft 1.3903 2008.09.29 - NOD32 3479 2008.09.29 - Norman 5.80.02 2008.09.29 - Panda 9.0.0.4 2008.09.28 - PCTools 4.4.2.0 2008.09.26 - Prevx1 V2 2008.09.29 - Rising 20.63.62.00 2008.09.28 - SecureWeb-Gateway 6.7.6 2008.09.29 - Sophos 4.34.0 2008.09.29 - Sunbelt 3.1.1675.1 2008.09.27 - Symantec 10 2008.09.29 - TheHacker 6.3.0.9.096 2008.09.29 - TrendMicro 8.700.0.1004 2008.09.29 - VBA32 3.12.8.6 2008.09.28 - ViRobot 2008.9.29.1396 2008.09.29 - VirusBuster 4.5.11.0 2008.09.28 - weitere Informationen File size: 125271 bytes MD5...: b25021492ecbd7cf0a54dd019c943afb SHA1..: 95a8c96fef324281eb90011a879c52e078bd8534 SHA256: 0f896c4146be19950f6ad846cadb046a5a01f77ed183b4f1fff64b66b3da4ee9 SHA512: f1e450e708ddfd825ab69a6493331284637fda26aa709897a9fd57bd5db9c673 fba970b683338a13a7c01c4d27fa62738ecc968dffb02bd88734714b84ce3cce PEiD..: - TrID..: File type identification MP3 audio (ID3 v1.x tag) (71.4%) MP3 audio (28.5%) PEInfo: - |
Hast du winupd oder winupd.exe hochgeladen? Aus welchem Ordner hsat du die Datei hochgeladen? Das Ergebnis ist mehr als bizarr. :eek: lg myrtille |
SORRY Ich habe Winupd hochgeladen nicht winupd.exe :dummguck: Wenn ich winupd.exe kontrollieren lasse steht da: 0 bytes size received / Se ha recibido un archivo vacio |
Hi, kopiere die Datei auf deinen Desktop, benenne sie in virus.vir um und lade sie erneut hoch. (Wenn das immernoch nicht will, dann machen wirs anders. Ich würd die Datei nur gern zuerst auswerten lassen.) lg myrtille |
Ist leider nicht möglich, wenn ich auf Kopieren gehe (winupd.exe) und dann auf dem Desktop einfügen möchte steht da nicht möglich da die Datei zurzeit Verwendet wird. Schließen sie alle Programm die damit zu tun haben. |
Zitat:
lg myrtille |
Wie komme ich in den Abgesicherten Modus rein? Wenn ich beim hochfahren F8 drücke, kommt da zwar was aber da steht kein Abgesicherter modus oder so.. da stehen paar sachen aber nichts was ich verstehen würde |
Liste der Anhänge anzeigen (Anzahl: 1) hier das kommt bei F8 guck bisschen weiter unten das blaue bild |
Hui, das ist der BIOS. Es kann sein, dass die Malware den abgesicherten Modus blockiert. Dann werden wir die Datei(en) jetzt erstmal löschen und hinterher schauen ob wir rausfinden was das war. Ich kann dir allerdings jetzt schon sagen, dass das sehr wahrscheinlich ein Backdoortrojaner ist. Dass das Programm eventuell deine Passwörter/Daten ausliest und das ein Neuaufsetzen sicherlich die sicherste Variante ist. Wenn du eine Bereinigung versuchen willst, dann arbeite bitte folgendes ab: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. lg myrtille. |
eine gute nachricht hab ich schonmal, icq recovery.. wird am anfang nicht mehr angezeigt und eine virus meldung kommt auch nicht hier das ComboFix: ComboFix 08-09-27.06 - Administrator 2008-09-29 15:45:23.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fdvnun.dat C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fdvnun_nav.dat C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fdvnun_navps.dat C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdfdoc2.dll C:\WINDOWS\install.exe C:\WINDOWS\system32\rtl60.bpl C:\WINDOWS\system32\winupd.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-08-28 bis 2008-09-29 )))))))))))))))))))))))))))))) . 2008-09-29 14:47 . 2008-09-29 14:47 <DIR> d--h----- C:\WINDOWS\PIF 2008-09-29 13:30 . 2008-09-29 13:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-09-29 13:29 . 2008-09-29 13:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-29 13:29 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-29 13:29 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-28 22:13 . 2008-09-28 22:34 250 --a------ C:\WINDOWS\gmer.ini 2008-09-27 18:20 . 2008-09-27 23:32 1,588 --a------ C:\WINDOWS\wininit.ini 2008-09-27 17:51 . 2008-09-28 13:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-27 17:04 . 2008-09-27 17:04 <DIR> d-------- C:\Programme\Panda Security 2008-09-27 17:04 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-09-27 12:55 . 2008-09-29 15:44 132,361 --a------ C:\WINDOWS\system32\winupd 2008-09-26 14:23 . 2008-09-26 14:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-09-25 20:18 . 2008-09-25 20:18 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX 2008-09-25 20:18 . 2008-09-25 20:22 59,904 --a------ C:\WINDOWS\getpasses.exe 2008-09-25 19:59 . 2008-09-25 21:34 <DIR> d-------- C:\Programme\AskBarDis 2008-09-25 19:56 . 2008-09-25 19:56 <DIR> d-------- C:\DVDVideoSoft 2008-09-22 20:31 . 2008-04-21 13:51 9,023 --a------ C:\WINDOWS\KnuddelVermehrer.bat 2008-09-21 20:01 . 2005-12-12 06:20 20,480 --a------ C:\WINDOWS\system32\windllm.exe 2008-09-21 18:11 . 2008-09-29 11:59 69 --a------ C:\WINDOWS\NeroDigital.ini 2008-09-21 14:45 . 2008-09-21 14:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nero 2008-09-21 14:42 . 2008-09-21 14:42 <DIR> d-------- C:\Programme\Nero 2008-09-21 14:42 . 2008-09-21 14:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero 2008-09-21 14:42 . 2008-09-21 14:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero 2008-09-16 16:35 . 2008-09-16 16:35 <DIR> d-------- C:\Programme\Sun 2008-09-16 16:34 . 2008-09-16 16:34 410,976 --a------ C:\WINDOWS\system32\deploytk.dll 2008-09-10 17:31 . 2008-09-10 17:31 <DIR> d-------- C:\WINDOWS\system32\psconv 2008-09-10 17:31 . 2008-09-10 17:31 <DIR> d-------- C:\Programme\psconvert 2008-09-10 17:31 . 2003-04-11 18:28 679,109 --a------ C:\WINDOWS\FONTSDIR.MFD 2008-09-10 17:31 . 2001-10-29 01:42 116,224 --a------ C:\WINDOWS\system32\pdfmonnt.dll 2008-09-10 17:31 . 2008-09-10 17:31 164 --a------ C:\WINDOWS\system32\psconv.ini 2008-09-10 17:19 . 2008-09-10 17:19 <DIR> d-------- C:\Programme\gs 2008-09-10 17:19 . 2008-09-10 17:19 43 --a------ C:\WINDOWS\gswin32.ini 2008-09-10 17:06 . 2008-09-10 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WordToPDF 2008-09-07 11:41 . 2008-09-07 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield 2008-09-07 00:12 . 2008-09-07 00:12 <DIR> d-------- C:\WINDOWS\system32\de 2008-09-07 00:12 . 2008-09-07 00:12 <DIR> d-------- C:\WINDOWS\system32\bits 2008-09-02 20:14 . 2008-09-02 20:14 <DIR> d-------- C:\Programme\SweetIM 2008-09-02 20:14 . 2008-09-02 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM 2008-09-02 16:49 . 2008-09-02 20:16 <DIR> d-------- C:\Programme\TeamViewer3 2008-09-02 16:49 . 2008-09-02 16:49 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer 2008-08-29 13:35 . 2008-09-07 11:17 1,786 --a------ C:\WINDOWS\system32\PerfStringBackup.TMP . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-28 12:01 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-25 17:59 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft 2008-09-21 14:01 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-09-20 15:00 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canon 2008-09-16 14:34 --------- d-----w C:\Programme\Java 2008-09-04 11:36 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype 2008-08-30 19:46 --------- d-----w C:\Programme\Messenger Plus! Live 2008-08-28 08:54 --------- d-----w C:\Programme\Mozilla Firefox(2) 2008-08-26 16:42 --------- d-----w C:\Programme\Google 2008-08-19 13:50 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dealio 2008-08-18 13:02 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Search Settings 2008-08-18 13:00 --------- d-----w C:\Programme\Search Settings 2008-08-18 13:00 --------- d-----w C:\Programme\Dealio 2008-08-16 11:25 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2008-08-16 11:25 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-08-16 11:25 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-08-16 11:19 --------- d--h--r C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM 2008-08-14 15:55 304,160 ----a-w C:\PA207.DAT 2008-08-14 12:20 258,048 ----a-w C:\WINDOWS\system32\TubeFinder.exe 2008-07-31 11:51 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es(4).dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es(3).dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es(2).dll 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2005-05-18 17:56 11,810,860 ----a-w C:\Programme\setup.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] 2008-08-26 10:32 279944 --a------ C:\Programme\AskBarDis\bar\bin\askBar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "C:\Programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "C:\Programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184] "Google Update"="C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-31 266497] "Adobe Reader Speed Launcher"="D:\Adobe\Reader\Reader_sl.exe" [2008-01-11 39792] "Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 319488] "au"="C:\Programme\Dealio\DealioAU.exe" [2008-05-26 595296] "SunJavaUpdateSched"="C:\Programme\Java\jre6\bin\jusched.exe" [2008-09-16 144792] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-06-19 570664] "NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "SoundMan"="SOUNDMAN.EXE" [2004-07-01 C:\WINDOWS\SOUNDMAN.EXE] "AlcWzrd"="ALCWZRD.EXE" [2004-07-05 C:\WINDOWS\ALCWZRD.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "D:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"= "D:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008\\PES2008.exe"= "D:\\Programme\\Valve\\Steam.exe"= "D:\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Dokumente und Einstellungen\\Administrator\\Desktop\\Team Viewer\\TeamViewer.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1200:UDP"= 1200:UDP:CS 1.6 "27000:UDP"= 27000:UDP:Counter-strike 1.6 "27015:UDP"= 27015:UDP:CS 1.6 "27030:TCP"= 27030:TCP:Counter-Strike 1.6 "27039:TCP"= 27039:TCP:Counter-Strike 1.6 "13953:TCP"= 13953:TCP:Skype "13953:UDP"= 13953:UDP:Skype [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundRouterRequest"= 0 (0x0) R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544] R2 atjsgt;atjsgt;C:\WINDOWS\system32\DRIVERS\atjsgt.sys [2008-07-07 165504] R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 66048] R2 JavaQuickStarterService;Java Quick Starter;C:\Programme\Java\jre6\bin\jqs.exe [2008-09-16 147456] R2 linsgt;linsgt;C:\WINDOWS\system32\DRIVERS\linsgt.sys [2008-07-07 16000] S3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys [2001-08-17 171264] S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-08 38528] S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-05-14 508288] S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2005-04-21 112384] *Newly Created Service* - PROCEXP90 [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EC383C4E-F6A8-1A1D-BE64-372B5E654694}] C:\WINDOWS\system32\winupd.exe . Inhalt des "geplante Tasks" Ordners . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-OpwareSE4 - D:\^Drucker\OpwareSE4.exe Notify-WgaLogon - (no file) . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\e74ykxbh.default\ FF -: plugin - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.11\npGoogleOneClick5.dll FF -: plugin - C:\Programme\Java\jre6\bin\new_plugin\npdeploytk.dll FF -: plugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npdeploytk.dll FF -: plugin - D:\Adobe\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-29 15:47:28 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** . Zeit der Fertigstellung: 2008-09-29 15:49:45 ComboFix-quarantined-files.txt 2008-09-29 13:48:43 Vor Suchlauf: 11 Verzeichnis(se), 43.171.913.728 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 43,311,968,256 Bytes frei 191 --- E O F --- 2008-09-10 13:51:10 |
Hi, wir machen Fortschritte, Die Datei kennst du: Zitat:
Scripten mit Combofix
Code: file::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann lg myrtille |
ComboFix 08-09-27.06 - Administrator 2008-09-29 17:37:20.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.618 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! FILE :: C:\WINDOWS\getpasses.exe C:\WINDOWS\system32\windllm.exe C:\WINDOWS\system32\winupd . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\AskBarDis C:\Programme\AskBarDis\bar\bin\askBar.dll C:\Programme\AskBarDis\bar\bin\askPopStp.dll C:\Programme\AskBarDis\bar\bin\psvince.dll C:\Programme\AskBarDis\bar\Cache\0002D102 C:\Programme\AskBarDis\bar\Cache\0002D43E C:\Programme\AskBarDis\bar\Cache\0002D528.bin C:\Programme\AskBarDis\bar\Cache\0002D661.bin C:\Programme\AskBarDis\bar\Cache\0002D72C.bin C:\Programme\AskBarDis\bar\Cache\0002D807.bin C:\Programme\AskBarDis\bar\Cache\0002D8D2.bin C:\Programme\AskBarDis\bar\Cache\files.ini C:\Programme\AskBarDis\bar\History\search C:\Programme\AskBarDis\bar\Settings\config.dat C:\Programme\AskBarDis\bar\Settings\config.dat.bak C:\Programme\AskBarDis\bar\Settings\prevcfg.htm C:\Programme\AskBarDis\PopSwatter\History\notallow C:\Programme\AskBarDis\unins000.dat C:\Programme\AskBarDis\unins000.exe C:\WINDOWS\getpasses.exe C:\WINDOWS\system32\windllm.exe C:\WINDOWS\system32\winupd C:\WINDOWS\system32\winupd.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-08-28 bis 2008-09-29 )))))))))))))))))))))))))))))) . 2008-09-29 14:47 . 2008-09-29 14:47 <DIR> d--h----- C:\WINDOWS\PIF 2008-09-29 13:30 . 2008-09-29 13:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-09-29 13:29 . 2008-09-29 13:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-29 13:29 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-29 13:29 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-28 22:13 . 2008-09-28 22:34 250 --a------ C:\WINDOWS\gmer.ini 2008-09-27 18:20 . 2008-09-27 23:32 1,588 --a------ C:\WINDOWS\wininit.ini 2008-09-27 17:51 . 2008-09-28 13:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-27 17:04 . 2008-09-27 17:04 <DIR> d-------- C:\Programme\Panda Security 2008-09-27 17:04 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-09-26 14:23 . 2008-09-26 14:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-09-25 20:18 . 2008-09-25 20:18 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX 2008-09-25 19:56 . 2008-09-25 19:56 <DIR> d-------- C:\DVDVideoSoft 2008-09-22 20:31 . 2008-04-21 13:51 9,023 --a------ C:\WINDOWS\KnuddelVermehrer.bat 2008-09-21 18:11 . 2008-09-29 11:59 69 --a------ C:\WINDOWS\NeroDigital.ini 2008-09-21 14:45 . 2008-09-21 14:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nero 2008-09-21 14:42 . 2008-09-21 14:42 <DIR> d-------- C:\Programme\Nero 2008-09-21 14:42 . 2008-09-21 14:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero 2008-09-21 14:42 . 2008-09-21 14:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero 2008-09-16 16:35 . 2008-09-16 16:35 <DIR> d-------- C:\Programme\Sun 2008-09-16 16:34 . 2008-09-16 16:34 410,976 --a------ C:\WINDOWS\system32\deploytk.dll 2008-09-10 17:31 . 2008-09-10 17:31 <DIR> d-------- C:\WINDOWS\system32\psconv 2008-09-10 17:31 . 2008-09-10 17:31 <DIR> d-------- C:\Programme\psconvert 2008-09-10 17:31 . 2003-04-11 18:28 679,109 --a------ C:\WINDOWS\FONTSDIR.MFD 2008-09-10 17:31 . 2001-10-29 01:42 116,224 --a------ C:\WINDOWS\system32\pdfmonnt.dll 2008-09-10 17:31 . 2008-09-10 17:31 164 --a------ C:\WINDOWS\system32\psconv.ini 2008-09-10 17:19 . 2008-09-10 17:19 <DIR> d-------- C:\Programme\gs 2008-09-10 17:19 . 2008-09-10 17:19 43 --a------ C:\WINDOWS\gswin32.ini 2008-09-10 17:06 . 2008-09-10 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WordToPDF 2008-09-07 11:41 . 2008-09-07 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield 2008-09-07 00:12 . 2008-09-07 00:12 <DIR> d-------- C:\WINDOWS\system32\de 2008-09-07 00:12 . 2008-09-07 00:12 <DIR> d-------- C:\WINDOWS\system32\bits 2008-09-02 20:14 . 2008-09-02 20:14 <DIR> d-------- C:\Programme\SweetIM 2008-09-02 20:14 . 2008-09-02 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM 2008-09-02 16:49 . 2008-09-02 20:16 <DIR> d-------- C:\Programme\TeamViewer3 2008-09-02 16:49 . 2008-09-02 16:49 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer 2008-08-29 13:35 . 2008-09-07 11:17 1,786 --a------ C:\WINDOWS\system32\PerfStringBackup.TMP . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-28 12:01 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-25 17:59 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft 2008-09-21 14:01 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-09-20 15:00 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canon 2008-09-16 14:34 --------- d-----w C:\Programme\Java 2008-09-04 11:36 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype 2008-08-30 19:46 --------- d-----w C:\Programme\Messenger Plus! Live 2008-08-28 08:54 --------- d-----w C:\Programme\Mozilla Firefox(2) 2008-08-26 16:42 --------- d-----w C:\Programme\Google 2008-08-19 13:50 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dealio 2008-08-18 13:02 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Search Settings 2008-08-18 13:00 --------- d-----w C:\Programme\Search Settings 2008-08-18 13:00 --------- d-----w C:\Programme\Dealio 2008-08-16 11:25 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2008-08-16 11:25 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-08-16 11:25 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-08-16 11:19 --------- d--h--r C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM 2008-08-14 15:55 304,160 ----a-w C:\PA207.DAT 2008-08-14 12:20 258,048 ----a-w C:\WINDOWS\system32\TubeFinder.exe 2008-07-31 11:51 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es(4).dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es(3).dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es(2).dll 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2005-05-18 17:56 11,810,860 ----a-w C:\Programme\setup.exe . ((((((((((((((((((((((((((((( snapshot@2008-09-29_15.48.09.18 ))))))))))))))))))))))))))))))))))))))))) . + 2008-09-29 13:55:57 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_794.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184] "Google Update"="C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-31 266497] "Adobe Reader Speed Launcher"="D:\Adobe\Reader\Reader_sl.exe" [2008-01-11 39792] "Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 319488] "au"="C:\Programme\Dealio\DealioAU.exe" [2008-05-26 595296] "SunJavaUpdateSched"="C:\Programme\Java\jre6\bin\jusched.exe" [2008-09-16 144792] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-06-19 570664] "NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "SoundMan"="SOUNDMAN.EXE" [2004-07-01 C:\WINDOWS\SOUNDMAN.EXE] "AlcWzrd"="ALCWZRD.EXE" [2004-07-05 C:\WINDOWS\ALCWZRD.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "D:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"= "D:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008\\PES2008.exe"= "D:\\Programme\\Valve\\Steam.exe"= "D:\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Dokumente und Einstellungen\\Administrator\\Desktop\\Team Viewer\\TeamViewer.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1200:UDP"= 1200:UDP:CS 1.6 "27000:UDP"= 27000:UDP:Counter-strike 1.6 "27015:UDP"= 27015:UDP:CS 1.6 "27030:TCP"= 27030:TCP:Counter-Strike 1.6 "27039:TCP"= 27039:TCP:Counter-Strike 1.6 "13953:TCP"= 13953:TCP:Skype "13953:UDP"= 13953:UDP:Skype [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundRouterRequest"= 0 (0x0) R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544] R2 atjsgt;atjsgt;C:\WINDOWS\system32\DRIVERS\atjsgt.sys [2008-07-07 165504] R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 66048] R2 JavaQuickStarterService;Java Quick Starter;C:\Programme\Java\jre6\bin\jqs.exe [2008-09-16 147456] R2 linsgt;linsgt;C:\WINDOWS\system32\DRIVERS\linsgt.sys [2008-07-07 16000] S3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys [2001-08-17 171264] S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-08 38528] S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-05-14 508288] S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2005-04-21 112384] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EC383C4E-F6A8-1A1D-BE64-372B5E654694}] C:\WINDOWS\system32\winupd.exe . Inhalt des "geplante Tasks" Ordners . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-29 17:39:19 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\SjyPkt] "ImagePath"="\??\C:\WINDOWS\System32\Drivers\SjyPkt.sys" . Zeit der Fertigstellung: 2008-09-29 17:41:18 ComboFix-quarantined-files.txt 2008-09-29 15:40:16 ComboFix2.txt 2008-09-29 13:49:46 Vor Suchlauf: 11 Verzeichnis(se), 43.283.333.120 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 43,279,540,224 Bytes frei 197 --- E O F --- 2008-09-10 13:51:10 |
Hi, deinstalliere bitte Searchsettings über Start->Systemsteuerung->Software Erstelle danach ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.) lg myrtille |
|
Hi, die Logs sehen erstmal ok aus. :) Was sagt der REchner? Searchsettings ist Spyware, die dein Internetverhalten ausspioniert, weswegen ich sie deinstallieren lassen hab. lg myrtille |
nur zur Info: Zitat:
|
Zitat:
Mein Rechner macht zurzeit überhaupt garkeine Probleme, Icq Password Recovery ist auch komplett weg. Die Virus Datei die sich nach dem Neustart erstellt hat ist auch vollkommen weg. Habe gestern mal Anti-Vir komplett durchlaufen lassen, keine Virenmeldung. Ich hoffe ich habe nicht Irgenteine Spyware noch auf meinem Rechner, die ich nicht erkenn, dann gib ich der Spyware mit Hilfe von euch eine :aufsmaul: :lach: Ich habe noch SearsettingKIT.exe , was soll mit der passieren, oder ist sie frei? Aber ich kann jetzt schonmal richtig doll danke sagen :crazy: :Boogie: |
Hi, wo liegt die Datei denn? Lad sie vielleicht mal bei virustotal hoch. :D (und die Datei sollte nicht so bös versteckt sein wie winupd.exe :D ) lg myrtille |
Zitat:
Alles klar, danke. Beim nächsten mal weiß ich ja bescheid :huepp: |
Zitat:
also schonmal nicht im System32 versteckt. Datei SearchSettingsKit.exe empfangen 2008.09.30 12:13:00 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.25.0 2008.09.30 - AntiVir 7.8.1.34 2008.09.30 - Authentium 5.1.0.4 2008.09.30 - Avast 4.8.1195.0 2008.09.29 - AVG 8.0.0.161 2008.09.29 - BitDefender 7.2 2008.09.30 - CAT-QuickHeal 9.50 2008.09.30 - ClamAV 0.93.1 2008.09.30 - DrWeb 4.44.0.09170 2008.09.30 - eSafe 7.0.17.0 2008.09.29 - eTrust-Vet 31.6.6118 2008.09.30 - Ewido 4.0 2008.09.29 - F-Prot 4.4.4.56 2008.09.29 - F-Secure 8.0.14332.0 2008.09.30 - Fortinet 3.113.0.0 2008.09.30 - GData 19 2008.09.30 - Ikarus T3.1.1.34.0 2008.09.30 - K7AntiVirus 7.10.476 2008.09.27 - Kaspersky 7.0.0.125 2008.09.30 - McAfee 5394 2008.09.30 - Microsoft 1.4005 2008.09.30 - NOD32 3481 2008.09.29 - Norman 5.80.02 2008.09.29 - Panda 9.0.0.4 2008.09.29 - PCTools 4.4.2.0 2008.09.29 - Prevx1 V2 2008.09.30 - Rising 20.63.62.00 2008.09.28 - SecureWeb-Gateway 6.7.6 2008.09.30 - Sophos 4.34.0 2008.09.30 - Sunbelt 3.1.1675.1 2008.09.27 - Symantec 10 2008.09.30 - TheHacker 6.3.0.9.097 2008.09.29 - TrendMicro 8.700.0.1004 2008.09.30 - VBA32 3.12.8.6 2008.09.29 - ViRobot 2008.9.30.1398 2008.09.30 - VirusBuster 4.5.11.0 2008.09.29 - weitere Informationen File size: 2180168 bytes MD5...: 5303dbba326b4be5f9c34d804f225de2 SHA1..: d10c05d742dd2a42540aed49c8c87b5fd718dec2 SHA256: ec85ef8282ac7d03e342e338a9155647240b4e2276329e7c4c9519c174ab7257 SHA512: 1f6e45166e4b67460afd29500dedde16a07ddf07f387490e945ba68e2bdaaa34 ce514f7b2a7ea615679983946fe60f6f024cad524f51912a01c8722082accce8 PEiD..: Armadillo v1.71 TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x42a1ac timedatestamp.....: 0x4731f49c (Wed Nov 07 17:23:40 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x34c42 0x35000 6.56 8376827ee460f4e060da53671bbb98d8 .rdata 0x36000 0x6ec6 0x7000 4.82 17a549490d4b6d7315f9b721c376ff78 .data 0x3d000 0x9dc4 0x6000 3.15 ab3e47122f07f7545211f51439bc903c .rsrc 0x47000 0x15abc 0x16000 7.53 efab47bbaad8f002320cea27f7c3062e ( 10 imports ) > VERSION.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA > SHELL32.dll: SHGetPathFromIDListA, ShellExecuteA, SHBrowseForFolderA, SHGetMalloc > COMCTL32.dll: - > KERNEL32.dll: DuplicateHandle, GetCurrentProcess, ExitProcess, WaitForSingleObject, CreateProcessA, lstrcpyA, GetWindowsDirectoryA, SetErrorMode, GetTempPathA, ExpandEnvironmentStringsA, lstrcmpA, lstrcmpiA, GetTickCount, GetExitCodeThread, CreateThread, CopyFileA, InterlockedIncrement, InterlockedDecrement, QueryPerformanceFrequency, CreateEventA, lstrcatA, GetTempFileNameA, CompareStringA, CompareStringW, GetVersionExA, SetFilePointer, SetFileAttributesA, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime, FreeLibrary, GetProcAddress, LoadLibraryA, LockResource, LoadResource, SizeofResource, FindResourceA, GetSystemDefaultLCID, GlobalHandle, VerLanguageNameA, FormatMessageA, LocalFree, GetLocalTime, MoveFileA, SetCurrentDirectoryA, FindClose, FindNextFileA, CompareFileTime, FindFirstFileA, GetSystemTimeAsFileTime, GetSystemInfo, MulDiv, IsValidCodePage, GetVersion, FlushFileBuffers, SetEndOfFile, GetDiskFreeSpaceA, GetDriveTypeA, CreateDirectoryA, MapViewOfFile, GetCurrentThread, GetLocaleInfoA, GetFileType, GetStdHandle, GetThreadContext, GetEnvironmentStringsW, SetLastError, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, GetOEMCP, GetACP, GetCPInfo, SetUnhandledExceptionFilter, LCMapStringW, LCMapStringA, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, TlsGetValue, TlsAlloc, TlsSetValue, GetCurrentThreadId, HeapSize, HeapReAlloc, GetCommandLineA, GetStartupInfoA, RaiseException, RtlUnwind, DeleteCriticalSection, InterlockedExchange, IsBadReadPtr, SystemTimeToFileTime, QueryPerformanceCounter, ResetEvent, SetEvent, GetShortPathNameA, VirtualProtect, VirtualQuery, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, TerminateProcess, GetModuleHandleA, SearchPathA, SetStdHandle, UnmapViewOfFile, lstrlenA, CreateFileA, GetFileSize, GlobalAlloc, CloseHandle, VirtualProtectEx, WriteProcessMemory, FlushInstructionCache, SetThreadContext, ResumeThread, DeleteFileA, Sleep, RemoveDirectoryA, IsDBCSLeadByte, GetFileAttributesA, GetProcessHeap, HeapAlloc, HeapFree, WriteFile, lstrcpynA, GetModuleFileNameA, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, SetHandleCount, GetLastError, GlobalLock, ReadFile, GlobalUnlock, GlobalFree, GetEnvironmentStrings, CreateFileMappingA, GetStringTypeA, GetStringTypeW, IsBadCodePtr, GetExitCodeProcess > USER32.dll: GetDlgItemTextA, GetWindow, SetCursor, UpdateWindow, GetClassInfoA, CharUpperA, CharLowerBuffA, wvsprintfA, EnableWindow, GetParent, GetWindowTextLengthA, GetWindowTextA, MoveWindow, GetWindowPlacement, DrawIcon, DestroyIcon, GetDlgCtrlID, SetWindowTextA, FillRect, GetSysColor, GetSysColorBrush, SendMessageA, LoadStringA, GetSystemMetrics, SetRect, FindWindowA, IntersectRect, SubtractRect, IsWindow, DestroyWindow, CreateDialogParamA, CharNextA, MessageBoxA, WaitForInputIdle, GetWindowLongA, BeginPaint, EndPaint, SetWindowLongA, GetClientRect, ClientToScreen, SetWindowPos, GetWindowDC, EndDialog, GetDlgItem, ShowWindow, DialogBoxParamA, GetDesktopWindow, wsprintfA, MsgWaitForMultipleObjects, PeekMessageA, DefWindowProcA, PostMessageA, KillTimer, PostQuitMessage, SetTimer, LoadIconA, LoadCursorA, RegisterClassA, CreateWindowExA, GetMessageA, TranslateMessage, DispatchMessageA, GetDC, ReleaseDC, CharPrevA, ExitWindowsEx, SendDlgItemMessageA, GetWindowRect, IsDialogMessageA > GDI32.dll: CreateFontA, GetTextExtentPoint32A, SetBkMode, SetTextColor, GetObjectA, CreateFontIndirectA, CreateSolidBrush, CreateCompatibleDC, SelectObject, BitBlt, DeleteDC, DeleteObject, GetStockObject, GetSystemPaletteEntries, CreatePalette, GetDeviceCaps, SelectPalette, RealizePalette, CreateDIBitmap, TranslateCharsetInfo > ADVAPI32.dll: RegQueryValueA, RegOpenKeyA, FreeSid, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, RegEnumValueA, RegCreateKeyExA, RegSetValueExA, RegDeleteValueA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, AllocateAndInitializeSid, GetTokenInformation, OpenThreadToken, EqualSid > RPCRT4.dll: UuidCreate, RpcStringFreeA, UuidToStringA > ole32.dll: CoUninitialize, CoInitialize > OLEAUT32.dll: -, -, -, -, -, -, - ( 0 exports ) |
Hi, die Datei sieht relativ harmlos aus. :) Wenn du ganz sicher gehen willst, kannst du die Datei in SearchSettingsKit.exe.bak umbenennen und schauen ob dann Probleme auftreten. Dann machen wir ein wenig sauber: Deinstalliere bitte Combofix in dem du unter Start->Ausführen-> "%userprofile%\Desktop\Combofix.exe" /u eingibst. Hijackthis kannst du über start->systemsteuerung->software löschen RSIT kannst du einfach so entfernen. Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt) lg myrtille |
Ist alles auf dem neusten Stand und Deeinstalliert sind die Programme, HiJack, Combofix und RSIT auch. Ließt du eigentlich Bücher oder was machst du das du dich so gut damit alles auskennst? :) |
Hi, das allermeiste habe ich hier und auf anderen Foren gelernt. :) Es gibt auch einige Foren die richtige "Schulungen" zu dem Themengebiet anbieten und bei denen man dann wirklich ausgebildet wird. Ich hab das allerdings mehr im Alleingang hier gelernt. :) Google ist dabei dein wichtigster Freund :) Anfangs muss man wirklich jeden Eintrag nachschlagen um zu sehen, ob die genannte Datei gut oder bösartig ist. Man lernt aber schnell die häufigsten Einträge kennen und braucht dann immer weniger Zeit zum analysieren. ;) lg myrtille |
Uii, gute Arbeit :) würde ich mich auf Foren umschauen wüsste ich garnicht wonach ich Suche um zu lernen welche dateien gut oder welche bösartig sind. :Boogie: |
Zitat:
anfallshaft auf die tastatur geschlagen sollte man da ma genauer hinschauen :D weil eine uidfhuzlsd.exe ist seltsam das ist nur ma so ein beispiel :D |
Ich weiß nicht ob ich was falsch gemacht hab.. gerade tauchte auf dem bildschirm ein blaues fenster auf wo drinne stand, damit der computer nicht beschädigt wird wurde er heruntergefahren. Als ich ihn hochgefahren habe stand da: Windows wird nach einem schwerliegenden Fehler wieder ausgeführt. Fehlt vielleicht eine Datei die gelöscht wurde? |
Zitat:
|
Hi, beim nächsten Mal bitte auch die Fehlermeldung posten. (Also die ganzen Zahlen. ;) ) Sonst wissen wir gar nicht, was da für ein Problem besteht. ;) lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board