Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   html/rce.gen (https://www.trojaner-board.de/71011-html-rce-gen.html)

dethard 15.03.2009 19:43
achso ja. so lautet der computername. sorry hätt ich schreiben sollen.
gut, führe jetzt alles nach anleitung durch, werde die ergebnisse gleich posten.
bedankt!

dethard 15.03.2009 20:28
Code:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1852
Windows 5.1.2600 Service Pack 3

15.03.2009 20:22:29
mbam-log-2009-03-15 (20-22-29).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 101569
Laufzeit: 37 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:20, on 15.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by FNORD
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4480 bytes
wäre dann für den nächsten schritt bereit. wenn ich was falsch gemacht haben sollte, bitte drauf hinweisen.
besten dank und mfG
Dethard

a5cl3p1o5 15.03.2009 20:42
ich hoffe, dass nach dem Aufspielen der Updates die Auswertung der Logfile nicht zu kompliziert wird.

Befolge bitte ganz genau folgende Anleitung.

Wichige Punkte:
- alle Programme schließen
- Wiederherstellungskonsole installieren (wenn Du dies nicht vorher machst, fragt Dich Combofix während der Ausführung - Internetverbindung muss dabei bestehen)
- keine Eingaben machen (weder per Tastatur noch per Maus(-bewegung))
- Logfile posten

Grüße
a5cl3p1o5

dethard 15.03.2009 21:14
schritte ganz genau befolgt, folgender log entstanden:
Code:
ComboFix 09-03-14.02 - admiral 2009-03-15 21:09:41.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.2046.1711 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\admiral\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf

.
(((((((((((((((((((((((  Dateien erstellt von 2009-02-15 bis 2009-03-15  ))))))))))))))))))))))))))))))
.

2009-03-15 19:39 . 2009-03-15 19:39        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2009-03-15 19:39 . 2009-03-15 19:39        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-15 19:39 . 2009-03-15 19:39        <DIR>        d--------        c:\dokumente und einstellungen\admiral\Anwendungsdaten\Malwarebytes
2009-03-15 19:39 . 2009-02-11 10:19        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-15 19:39 . 2009-02-11 10:19        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2009-03-15 19:15 . 2008-04-14 07:26        2,973,696        -----c---        c:\windows\system32\dllcache\wmploc.dll
2009-03-15 19:14 . 2008-04-14 07:53        278,559        ---------        c:\windows\system32\wmv8ds32.ax
2009-03-15 19:14 . 2008-04-14 00:10        10,240        ---------        c:\windows\system32\drivers\sffp_mmc.sys
2009-03-15 19:13 . 2006-12-29 00:31        19,569        --a------        c:\windows\005217_.tmp
2009-03-15 16:37 . 2009-03-15 16:37        <DIR>        d---s----        c:\dokumente und einstellungen\admiral\UserData
2009-03-15 15:39 . 2009-03-15 15:39        <DIR>        d--------        c:\programme\Trend Micro
2009-03-15 13:43 . 2008-12-12 18:01        3,088,896        -----c---        c:\windows\system32\dllcache\mshtml.dll
2009-03-15 13:43 . 2008-08-14 14:19        2,191,488        -----c---        c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-15 13:43 . 2008-08-14 14:19        2,147,840        -----c---        c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-15 13:43 . 2008-08-14 14:19        2,068,352        -----c---        c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-15 13:43 . 2008-08-14 14:19        2,026,496        -----c---        c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-15 13:43 . 2008-10-16 02:00        1,499,136        -----c---        c:\windows\system32\dllcache\shdocvw.dll
2009-03-15 13:43 . 2008-10-16 02:00        671,744        -----c---        c:\windows\system32\dllcache\wininet.dll
2009-03-15 13:43 . 2008-10-16 02:00        620,544        -----c---        c:\windows\system32\dllcache\urlmon.dll
2009-03-15 13:43 . 2008-06-14 18:32        273,024        -----c---        c:\windows\system32\dllcache\bthport.sys
2009-03-15 13:42 . 2008-04-11 20:04        691,712        -----c---        c:\windows\system32\dllcache\inetcomm.dll
2009-03-15 13:42 . 2008-10-24 12:21        455,296        -----c---        c:\windows\system32\dllcache\mrxsmb.sys
2009-03-15 13:42 . 2008-10-15 17:35        337,408        -----c---        c:\windows\system32\dllcache\netapi32.dll
2009-03-15 13:42 . 2008-12-11 11:57        333,952        -----c---        c:\windows\system32\dllcache\srv.sys
2009-03-15 13:42 . 2008-05-01 15:34        331,776        -----c---        c:\windows\system32\dllcache\msadce.dll
2009-03-15 13:42 . 2008-10-03 11:03        247,326        -----c---        c:\windows\system32\dllcache\strmdll.dll
2009-03-15 13:42 . 2008-05-08 15:02        203,136        -----c---        c:\windows\system32\dllcache\rmcast.sys
2009-03-15 13:23 . 2009-02-05 00:52        <DIR>        d--h-----        c:\dokumente und einstellungen\Administrator\Vorlagen
2009-03-15 13:23 . 2009-02-05 00:49        <DIR>        dr-------        c:\dokumente und einstellungen\Administrator\Startmenü
2009-03-15 13:23 . 2009-02-05 00:49        <DIR>        d--h-----        c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-03-15 13:23 . 2009-03-15 21:10        <DIR>        d--h-----        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-03-15 13:23 . 2009-02-05 00:49        <DIR>        d--------        c:\dokumente und einstellungen\Administrator\Favoriten
2009-03-15 13:23 . 2009-02-05 00:49        <DIR>        d--h-----        c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-03-15 13:23 . 2009-02-05 00:49        <DIR>        dr-h-----        c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-03-15 13:23 . 2009-03-15 13:23        <DIR>        d--------        c:\dokumente und einstellungen\Administrator
2009-03-14 15:15 . 2009-03-14 15:15        <DIR>        d--------        c:\programme\CCleaner
2009-03-14 13:50 . 2009-03-14 13:50        <DIR>        d--------        c:\programme\Avira
2009-03-14 13:50 . 2009-03-14 13:50        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-12 17:22 . 2009-03-12 17:22        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ubisoft
2009-03-12 17:22 . 2009-03-12 17:22        <DIR>        d--------        c:\dokumente und einstellungen\admiral\Anwendungsdaten\Ubisoft
2009-03-12 17:08 . 2009-03-12 17:08        <DIR>        d--------        c:\programme\Ubisoft
2009-03-12 16:41 . 2009-03-12 16:41        <DIR>        d--------        c:\programme\Elaborate Bytes
2009-03-12 01:38 . 2009-03-12 12:46        <DIR>        d--------        c:\programme\WorldOfGoo
2009-03-12 01:38 . 2009-03-12 01:38        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\2DBoy
2009-03-03 14:57 . 2009-03-03 14:57        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2009-03-03 14:25 . 2009-03-03 14:25        <DIR>        d--------        c:\dokumente und einstellungen\admiral\Anwendungsdaten\DivX
2009-03-02 22:22 . 2009-03-02 22:22        <DIR>        d--------        c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-02 22:09 . 2009-03-15 19:17        <DIR>        d--------        c:\windows\ServicePackFiles
2009-03-02 22:09 . 2009-03-02 22:09        <DIR>        d--------        c:\windows\provisioning
2009-03-02 22:09 . 2009-03-15 19:17        <DIR>        d--------        c:\windows\peernet
2009-03-02 22:07 . 2009-03-15 19:11        <DIR>        d--------        c:\windows\EHome
2009-02-26 07:35 . 2002-04-15 21:11        67,866        ---------        c:\windows\system32\drivers\netwlan5.img
2009-02-26 07:35 . 2008-04-14 07:53        11,264        ---------        c:\windows\system32\spnpinst.exe
2009-02-26 07:35 . 2004-08-02 14:20        7,208        ---------        c:\windows\system32\secupd.sig
2009-02-26 07:35 . 2004-08-02 14:20        4,569        ---------        c:\windows\system32\secupd.dat
2009-02-26 07:31 . 2008-09-04 18:15        1,106,944        --a------        c:\windows\system32\msxml3.dll
2009-02-26 07:31 . 2008-04-14 07:52        1,094,144        --a------        c:\windows\system32\esent.dll
2009-02-26 07:31 . 2008-04-14 07:50        545,280        --a------        c:\windows\system32\hhctrl.ocx
2009-02-26 07:31 . 2008-04-14 07:52        124,416        --a------        c:\windows\system32\umpnpmgr.dll
2009-02-26 07:31 . 2008-04-14 07:52        102,912        --a------        c:\windows\system32\cscdll.dll
2009-02-26 07:31 . 2008-06-24 17:42        74,240        --a------        c:\windows\system32\mscms.dll
2009-02-26 07:31 . 2008-04-14 07:53        57,856        --a------        c:\windows\system32\spoolsv.exe
2009-02-26 07:31 . 2008-04-14 07:52        40,960        --a------        c:\windows\system32\mf3216.dll
2009-02-26 06:21 . 2009-03-15 19:17        <DIR>        d--------        c:\windows\system32\bits
2009-02-26 06:21 . 2009-03-15 14:03        <DIR>        d--h-----        c:\windows\$hf_mig$
2009-02-26 06:12 . 2008-04-14 07:52        387,584        --a------        c:\windows\system32\ipsmsnap.dll
2009-02-26 06:12 . 2008-04-14 07:52        361,472        --a------        c:\windows\system32\ipsecsnp.dll
2009-02-26 06:12 . 2008-04-14 07:52        271,360        --a------        c:\windows\system32\oakley.dll
2009-02-26 06:12 . 2008-04-14 07:52        185,344        --a------        c:\windows\system32\ipsecsvc.dll
2009-02-26 06:12 . 2008-04-14 07:52        105,984        --a------        c:\windows\system32\polstore.dll
2009-02-26 06:12 . 2008-04-14 07:52        32,256        --a------        c:\windows\system32\winipsec.dll
2009-02-25 14:30 . 2008-04-14 07:52        91,648        --a------        c:\windows\system32\mtxoci.dll
2009-02-25 14:30 . 2008-04-14 07:52        66,560        --a------        c:\windows\system32\mtxclu.dll
2009-02-24 14:00 . 2009-02-24 14:00        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Adobe
2009-02-22 05:35 . 2009-02-22 05:35        <DIR>        d--------        c:\programme\DivX
2009-02-22 05:35 . 2008-11-06 17:37        120,056        ---------        c:\windows\system32\pxcpyi64.exe
2009-02-22 05:35 . 2008-11-06 17:37        118,520        ---------        c:\windows\system32\pxinsi64.exe
2009-02-20 16:45 . 2008-04-14 07:52        354,304        --a------        c:\windows\system32\winhttp.dll
2009-02-20 16:45 . 2008-04-14 07:52        18,944        --a------        c:\windows\system32\qmgrprxy.dll
2009-02-20 16:45 . 2008-04-14 07:52        8,192        ---------        c:\windows\system32\bitsprx2.dll
2009-02-20 16:45 . 2008-04-14 07:52        7,168        ---------        c:\windows\system32\bitsprx3.dll
2009-02-20 16:42 . 2008-10-16 14:12        561,688        --a------        c:\windows\system32\wuapi.dll
2009-02-20 16:42 . 2008-10-16 14:12        323,608        --a------        c:\windows\system32\wucltui.dll
2009-02-20 16:42 . 2008-10-16 14:12        213,528        --a------        c:\windows\system32\wuaucpl.cpl
2009-02-20 16:42 . 2008-10-16 14:13        202,776        --a------        c:\windows\system32\wuweb.dll
2009-02-20 16:42 . 2008-04-14 07:52        183,808        --a------        c:\windows\system32\wuaueng1.dll
2009-02-20 16:42 . 2008-04-14 07:53        168,448        --a------        c:\windows\system32\wuauclt1.exe
2009-02-20 16:42 . 2008-10-16 14:08        34,328        --a------        c:\windows\system32\wups.dll
2009-02-19 21:17 . 2009-02-19 21:17        <DIR>        d--------        c:\dokumente und einstellungen\admiral\Anwendungsdaten\vlc
2009-02-19 21:17 . 2009-02-23 20:15        <DIR>        d--------        c:\dokumente und einstellungen\admiral\Anwendungsdaten\dvdcss
2009-02-19 21:14 . 2009-02-19 21:14        <DIR>        d--------        c:\programme\VideoLAN
2009-02-19 21:09 . 2009-02-19 21:09        <DIR>        d--------        c:\dokumente und einstellungen\admiral\Anwendungsdaten\U3

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-15 11:03        ---------        d-----w        c:\programme\World of Warcraft
2009-03-12 16:08        ---------        d--h--w        c:\programme\InstallShield Installation Information
2009-03-10 11:23        ---------        d-----w        c:\programme\ICQ6.5
2009-03-09 17:12        ---------        d-----w        c:\dokumente und einstellungen\admiral\Anwendungsdaten\teamspeak2
2009-02-12 19:33        ---------        d-----w        c:\programme\Teamspeak2_RC2
2009-02-12 16:02        ---------        d-----w        c:\programme\Macro Express3
2009-02-12 16:02        ---------        d-----w        c:\programme\Gemeinsame Dateien\Insight Software Solutions
2009-02-12 16:02        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Insight Software Solutions
2009-02-12 16:02        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Insight Software
2009-02-09 14:04        1,846,912        ----a-w        c:\windows\system32\win32k.sys
2009-02-07 11:27        ---------        d-----w        c:\programme\Winamp Toolbar
2009-02-07 11:27        ---------        d-----w        c:\programme\Winamp
2009-02-07 11:27        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2009-02-07 11:27        ---------        d-----w        c:\dokumente und einstellungen\admiral\Anwendungsdaten\Winamp
2009-02-07 11:24        ---------        d-----w        c:\dokumente und einstellungen\admiral\Anwendungsdaten\ICQ
2009-02-06 08:50        ---------        d-----w        c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-02-06 08:35        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2009-02-05 17:02        315,392        ----a-w        c:\windows\HideWin.exe
2009-02-05 17:02        ---------        d-----w        c:\programme\Realtek
2009-02-05 17:02        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield
2009-02-05 17:01        ---------        d-----w        c:\dokumente und einstellungen\admiral\Anwendungsdaten\InstallShield
2009-02-05 17:00        16,512        ----a-w        c:\windows\gdrv.sys
2009-02-05 17:00        ---------        d-----w        c:\programme\Yahoo!
2009-02-05 16:25        ---------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-05 00:35        ---------        d-----w        c:\programme\Online-Dienste
2009-02-05 00:35        ---------        d-----w        c:\programme\microsoft frontpage
2009-02-05 00:34        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste
2009-01-07 10:28        453,152        ----a-w        c:\windows\system32\NVUNINST.EXE
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\MSMSGS.EXE" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2009-01-15 13680640]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2009-01-15 86016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2008-06-29 52168]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2009-01-15 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Macro Express 3.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Macro Express 3.lnk
backup=c:\windows\pss\Macro Express 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [2007-11-10 29728]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com
mStart Page = hxxp://de.yahoo.com
uInternet Connection Wizard,ShellNext = hxxp://de.yahoo.com/
IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
FF - ProfilePath - c:\dokumente und einstellungen\admiral\Anwendungsdaten\Mozilla\Firefox\Profiles\24rknp9z.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\dokumente und einstellungen\admiral\Anwendungsdaten\Mozilla\Firefox\Profiles\24rknp9z.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-15 21:10:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-15 21:10:48
ComboFix-quarantined-files.txt  2009-03-15 20:10:46

Vor Suchlauf: 11 Verzeichnis(se), 99.462.090.752 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 99,473,256,448 Bytes frei

199        --- E O F ---        2009-03-15 13:03:05
dankesehr :)

//edit: C: lässt sich wieder per doppelklick öffnen. Sauber?
mal eine frage noch, habe schon gesucht aber irgendwie nicht so das gefunden was ich suche. Gibt es einen Beitrag, wo ich erfahren kann, was ich alles für einen privaten sicheren Umgang im Internet für Programme/Tools benötige? ein link wäre sehr hilfreich, ich denke da nicht nur an meine wenigkeit, sondern auch an andere nutzer, die in diesem beitrag/forum hilfe suchen.
Habt dank!

//edit2: verdammt, habe gerade gesehen, dass ich SuperAntiSPYware vergessen habe durchzulaufen *mit der flachen hand auf die stirn klatsch*

dethard 15.03.2009 21:56
nachtrag superantispyware log:
Code:
SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 03/15/2009 bei 09:54 PM

Version der Applikation : 4.25.1014

Version der Kern-Datenbank : 3796
Version der Spur-Datenbank : 1751

Scan Art      : kompletter Scann
Totale Scann-Zeit : 00:21:45

Gescannte Speicherelemente  : 369
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 3271
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 42003
Erfasste Datei-Elemente  : 0
HJT:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:57:19, on 15.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4522 bytes
AVIR

Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 15. März 2009  21:58

Es wird nach 1297221 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 3)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    FNORD

Versionsinformationen:
BUILD.DAT    : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:23
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5      164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL  : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.2.12    3336192 Bytes  11.02.2009 12:57:35
ANTIVIR2.VDF  : 7.1.2.152    749568 Bytes  11.03.2009 12:57:36
ANTIVIR3.VDF  : 7.1.2.171      61952 Bytes  13.03.2009 12:57:37
Engineversion : 8.2.0.114
AEVDF.DLL    : 8.1.1.0      106868 Bytes  14.03.2009 12:57:42
AESCRIPT.DLL  : 8.1.1.63      364923 Bytes  14.03.2009 12:57:41
AESCN.DLL    : 8.1.1.8      127346 Bytes  14.03.2009 12:57:40
AERDL.DLL    : 8.1.1.3      438645 Bytes  04.11.2008 13:58:38
AEPACK.DLL    : 8.1.3.10      397686 Bytes  14.03.2009 12:57:40
AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  14.03.2009 12:57:39
AEHEUR.DLL    : 8.1.0.104    1634679 Bytes  14.03.2009 12:57:39
AEHELP.DLL    : 8.1.2.2      119158 Bytes  14.03.2009 12:57:38
AEGEN.DLL    : 8.1.1.28      336244 Bytes  14.03.2009 12:57:38
AEEMU.DLL    : 8.1.0.9      393588 Bytes  14.10.2008 10:05:56
AECORE.DLL    : 8.1.6.6      176501 Bytes  14.03.2009 12:57:37
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL    : 8.0.0.2        98344 Bytes  31.07.2008 12:02:15
AVREG.DLL    : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  12.06.2008 12:49:36
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 15. März 2009  21:58

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '33373' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '47' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\admiral\Desktop\ComboFix.exe
    [0] Archivtyp: RAR SFX (self extracting)
      --> 32788R22FWJFW\psexec.cfexe
        [1] Archivtyp: RSRC
        --> Object
          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
    [WARNUNG]  Die Datei wurde ignoriert.
C:\System Volume Information\_restore{312B9FA3-0330-47F4-BD46-F7001C2CAEFD}\RP143\A0007101.exe
    [FUND]      Enthält Erkennungsmuster des SPR/IcqPass.Q-Programmes
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ed6d90.qua' verschoben!


Ende des Suchlaufs: Sonntag, 15. März 2009  22:13
Benötigte Zeit: 14:52 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  2869 Verzeichnisse wurden überprüft
 167851 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 167848 Dateien ohne Befall

a5cl3p1o5 15.03.2009 21:58
ich habe gerade den Quellcode der *.vbs in die Hände bekommen. Werde mich gleich nochmal mit einer Lösung melden.

Grüße
a5cl3p1o5

dethard 15.03.2009 22:17
sehr gut. hier wird einem geholfen! :)
habe in meinen vorangegangenen posts von heute abend noch ein paar edits eingefügt. bitte nicht übersehen
Danke
Dethard

a5cl3p1o5 15.03.2009 22:35
Liste der Anhänge anzeigen (Anzahl: 1)
ich werde für das Skript ein bisschen brauchen. Bin nicht so gut in VBS :(
kannst du bitte folgende Datei bei Dir ausführen. Unter c:\ findest Du dann eine Datei namens test.txt. Den Inhalt bitte posten.
Danke!

dethard 15.03.2009 22:44
Code:
Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 7C47-6660

 Verzeichnis von C:\

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 7C47-6660

 Verzeichnis von C:\WINDOWS\system32

02.04.2003  13:00            3.758 pubprn.vbs
              1 Datei(en)          3.758 Bytes
              0 Verzeichnis(se), 99.392.061.440 Bytes frei

a5cl3p1o5 15.03.2009 22:59
Liste der Anhänge anzeigen (Anzahl: 1)
führe mal die angehängte Datei aus, danach schaue bitte, ob im Internet Explorer das Hacked by weg ist.
Wenn es weg ist, bitte ein doppelklick auf C im Arbeitsplatz und danach wieder im IE nachschauen, wie die Titelleiste lautet.

dethard 15.03.2009 23:04
datei in einem ordner auf dem desktop gespeichert.
doppelklick
Windows fragt, ob ausführen oder nicht
ausführen
"Möchten sie die Information in C:/Dokumente und Einstellungen/admiral/Desktop/Ordner/iefix.reg zu der Registrierung hinzufügen?"
JA - NEIN
bestätigung mit Ja
Fehlermeldung: "C:/Dokumente und Einstellungen/admiral/Desktop/Ordner/iefix.reg kann nicht importiert werden: Fehler beim Zugriff auf die Registrierung"

hm.. sollte ich Antivir deaktivieren oder hab ich sonst was nicht beachtet?
danke für den schnellen rat
Dethard

a5cl3p1o5 15.03.2009 23:11
verschieben wir das auf morgen Abend. Es ist zwar nervig, aber nicht bedrohlich. Es richtet keinen Schaden an und solange Du keine Netzlaufwerke mit anderen Computer teilst oder Sticks etc. an Deinem Computer hat, breitet sich der Skript nicht weiter aus.

Ich überlege mir solange was.

Grüße
a5cl3p1o5

a5cl3p1o5 15.03.2009 23:23
Liste der Anhänge anzeigen (Anzahl: 1)
in mein iefix hat sich was reingemogelt, was ich gar nicht drin haben wollte. Hier eine neue Version

dethard 15.03.2009 23:23
machen wir so chef! danke für die mühe, ich werd morgen da sein.
eine gute nacht und danke für alles :party:
:)
Dethard

//edit: habe die gefixte iefix ausgeführt. keine fehlermeldung.
Doppelklick auf C: hat den Desktop aktualisiert (wie auf F5). zugriff möglich
Iexplore ausgeführt und menüleiste beobachtet. Keine "HACKED by FNORD" Meldung.
Gute Nacht, den Rest machen wir dann wohl morgen. Oder sind wir damit fertig?
Auf jeden Fall besten Dank!
Wenn jemand Probleme mit seinem PC hat, ich werde euch empfehlen.
mfG
Dethard

a5cl3p1o5 15.03.2009 23:34
es kann sein, dass in der Registry noch ein paar Einträge rumliegen, die aber auf bereits gelöschte Skriptdateien verweisen, Combofix hat die infizierte autorun.inf gelöscht und der iefix hat den Eintrag aus der Titelleiste gelöscht.

Grüße und gute Nacht
a5cl3p1o5


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:48 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27