|
hallo john.doe habe jetzt nach der anleitung, combofix scannen lassen. eine sache ist passiert.. am anfang hat hat sich antivir gemeldet. hab antivir vorher deaktiviert aber combofix wollte neustart des rechners und danach hat sich antivir wohl aktiviert ?! jedenfall hat es folgenden "fund" gemeldet : C:\ComboFix\N_\18951 Enthält Code des Eicar-Test-Signature-Virus hier die Log ComboFix 09-10-04.01 - *** 04.10.2009 19:53.2.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1624 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Installer\c55fb8.msi c:\windows\system32\logs c:\windows\system32\lowsec c:\windows\system32\lowsec\local.ds c:\windows\system32\lowsec\user.ds c:\windows\system32\sdra64.exe c:\windows\system32\sX3i19 c:\windows\system32\win32.dll c:\windows\ynh.dx . ((((((((((((((((((((((( Dateien erstellt von 2009-09-04 bis 2009-10-04 )))))))))))))))))))))))))))))) . 2009-10-01 09:26 . 2009-10-01 09:26 -------- d-----w- C:\rsit 2009-10-01 09:14 . 2009-10-01 09:14 -------- d-----w- c:\programme\CCleaner 2009-09-30 11:20 . 2009-10-01 11:33 -------- d-----w- c:\programme\Microsoft Silverlight 2009-09-30 11:19 . 2009-09-30 11:19 -------- d-----w- c:\programme\Microsoft 2009-09-21 17:55 . 2009-09-21 17:55 -------- d-----w- c:\programme\LucasArts 2009-09-16 20:15 . 2009-09-16 20:15 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\OLYMPUS 2009-09-16 17:32 . 2009-09-16 17:32 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\OLYMPUS 2009-09-16 17:28 . 2009-09-16 17:28 -------- d-----w- c:\programme\OLYMPUS 2009-09-14 18:21 . 2009-09-14 18:21 -------- d-----w- c:\programme\Bethesda Softworks 2009-09-14 18:20 . 2009-09-14 18:27 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Oblivion 2009-09-14 17:26 . 2009-09-14 18:19 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Bioshock 2009-09-14 17:25 . 2009-09-14 17:25 -------- d--h--r- c:\dokumente und einstellungen\***\Anwendungsdaten\SecuROM 2009-09-14 17:09 . 2009-09-14 17:09 -------- d-----w- c:\programme\2K Games 2009-09-13 18:05 . 2009-09-13 18:05 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PunkBuster 2009-09-12 12:45 . 2009-09-12 12:45 -------- d-----w- c:\programme\EA GAMES 2009-09-12 12:37 . 2009-09-12 12:37 -------- d-----w- c:\programme\NVIDIA Corporation |
2009-09-12 12:37 . 2009-09-12 12:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation 2009-09-12 12:33 . 2009-09-13 18:20 -------- d-----w- c:\programme\GameSpy Arcade 2009-09-10 07:58 . 2009-06-21 21:45 153088 -c----w- c:\windows\system32\dllcache\triedit.dll 2009-09-09 07:37 . 2009-09-09 07:37 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache 2009-09-06 16:35 . 2009-09-06 16:35 -------- d-----w- c:\dokumente und einstellungen\Arthur\Anwendungsdaten\MSN6 2009-09-06 16:35 . 2009-09-06 16:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MSN6 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-10-04 14:54 . 2008-09-23 15:27 -------- d-----w- c:\programme\Trend Micro 2009-10-01 12:47 . 2008-08-30 21:25 -------- d-----w- c:\programme\FastStone Capture 2009-09-24 10:44 . 2009-07-11 14:17 -------- d-----w- c:\programme\MP3Gain 2009-09-21 17:55 . 2008-06-25 15:54 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-09-21 17:55 . 2008-06-25 15:50 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-09-20 17:29 . 2008-07-27 18:28 189672 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-09-20 15:49 . 2008-07-27 18:28 139072 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-09-13 18:08 . 2008-07-27 18:28 75064 ----a-w- c:\windows\system32\PnkBstrA.exe 2009-09-12 12:42 . 2008-06-26 15:38 -------- d-----w- c:\programme\Steam 2009-09-09 20:03 . 2009-07-19 19:25 -------- d-----w- c:\dokumente und einstellungen\Arek\Anwendungsdaten\vlc 2009-09-07 21:18 . 2008-06-26 16:40 -------- d-----w- c:\programme\PeerGuardian2 2009-08-22 22:01 . 2009-08-18 18:15 -------- d-----w- c:\programme\TuneUp Utilities 2009 2009-08-18 18:14 . 2009-08-18 18:14 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-08-18 18:02 . 2008-06-27 09:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-08-18 18:02 . 2008-06-27 09:25 -------- d-----w- c:\programme\TuneUp Utilities 2008 2009-08-17 01:03 . 2009-08-17 01:03 3674112 ----a-w- c:\windows\system32\nvwssr.dll 2009-08-17 01:02 . 2009-08-17 01:02 229376 ----a-w- c:\windows\system32\nvmccs.dll 2009-08-16 22:57 . 2009-08-16 22:57 2189856 ----a-w- c:\windows\system32\nvcuvid.dll 2009-08-16 22:57 . 2009-08-16 22:57 1706528 ----a-w- c:\windows\system32\nvcuvenc.dll 2009-08-16 22:57 . 2009-08-16 22:57 1597690 ----a-w- c:\windows\system32\nvdata.bin 2009-08-16 22:57 . 2008-06-25 15:51 485920 ----a-w- c:\windows\system32\nvudisp.exe 2009-08-16 22:57 . 2008-01-29 14:52 868352 ----a-w- c:\windows\system32\nvapi.dll 2009-08-16 22:57 . 2008-01-29 14:52 7729568 ----a-w- c:\windows\system32\drivers\nv4_mini.sys 2009-08-16 22:57 . 2008-01-29 14:52 5845760 ----a-w- c:\windows\system32\nv4_disp.dll 2009-08-16 22:57 . 2008-01-29 14:52 2002944 ----a-w- c:\windows\system32\nvcuda.dll 2009-08-16 22:57 . 2008-01-29 14:52 155648 ----a-w- c:\windows\system32\nvcodins.dll 2009-08-16 22:57 . 2008-01-29 14:52 155648 ----a-w- c:\windows\system32\nvcod.dll 2009-08-16 22:57 . 2008-01-29 14:52 10457088 ----a-w- c:\windows\system32\nvoglnt.dll 2009-08-11 10:35 . 2008-06-25 15:50 485920 ----a-w- c:\windows\system32\NVUNINST.EXE 2009-08-09 19:09 . 2008-06-25 15:53 27744 ----a-w- c:\dokumente und einstellungen\Arek\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-08-07 09:05 . 2008-06-25 21:46 27744 ----a-w- c:\dokumente und einstellungen\Arthur\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-08-07 09:05 . 2001-08-18 12:00 458822 ----a-w- c:\windows\system32\perfh007.dat 2009-08-07 09:05 . 2001-08-18 12:00 84326 ----a-w- c:\windows\system32\perfc007.dat 2009-08-06 20:36 . 2009-08-06 20:36 -------- d-----w- c:\programme\MSBuild 2009-08-06 20:36 . 2009-08-06 20:36 -------- d-----w- c:\programme\Reference Assemblies 2009-08-05 10:35 . 2009-06-29 10:11 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-05 08:59 . 2008-06-25 16:08 206336 ----a-w- c:\windows\system32\mswebdvd.dll 2009-07-26 14:44 . 2009-07-26 14:44 48448 ----a-w- c:\windows\system32\sirenacm.dll 2009-07-17 19:01 . 2008-06-25 16:08 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-13 21:43 . 2008-08-17 16:14 286208 ------w- c:\windows\system32\wmpdxm.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 |
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883840] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "OM2_Monitor"="c:\programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-09-04 95536] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696] "nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-08-12 1657376] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-17 13877248] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-17 86016] "OM2_Monitor"="c:\programme\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2007-09-04 54576] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-03-21 16126464] "SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-03-16 1822720] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB] 2008-02-01 11:55 24576 ----a-w- c:\programme\Stardock\MyColors\fastload.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk backup=c:\windows\pss\Bluetooth Manager.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^RollerCoaster Tycoon 3 Registration.lnk] path=c:\dokumente und einstellungen\Arek\Startmenü\Programme\Autostart\RollerCoaster Tycoon 3 Registration.lnk backup=c:\windows\pss\RollerCoaster Tycoon 3 Registration.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\Steam\\SteamApps\\mdgaist984\\counter-strike source\\hl2.exe"= "c:\\Programme\\Steam\\SteamApps\\mdgaist984\\half-life 2 deathmatch\\hl2.exe"= "c:\\Programme\\Steam\\SteamApps\\mdgaist984\\day of defeat source\\hl2.exe"= "c:\\Programme\\Steam\\SteamApps\\mdgaist984\\dark messiah might and magic multi-player\\runme.exe"= "c:\\Programme\\Steam\\SteamApps\\mdgaist984\\dark messiah might and magic dedicated server\\runme.exe"= "c:\\Programme\\Steam\\SteamApps\\mdgaist984\\source sdk base\\hl2.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Steam\\SteamApps\\mdgaist984\\zombie panic! source\\hl2.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"= "c:\\Programme\\GameSpy Arcade\\Aphex.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.06.2009 12:11 108289] R2 regi;regi;c:\windows\system32\drivers\regi.sys [17.04.2007 20:09 11032] S3 hamachi_oem;PlayLinc Adapter;c:\windows\system32\drivers\gan_adapter.sys [28.08.2006 23:54 10664] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . Inhalt des "geplante Tasks" Ordners 2008-09-24 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\bkzwa3w3.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/ FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= |
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-connections-per-server - 8 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.notify.interval - 600000 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.switch.threshold - 600000 . - - - - Entfernte verwaiste Registrierungseinträge - - - - SafeBoot-39f305c328e187b4 AddRemove-Codec pack Base (DivX - c:\windows\system32\uninst Codec pack Base (DivX ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-10-04 20:01 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(644) c:\programme\Stardock\MyColors\fastload.dll . Zeit der Fertigstellung: 2009-10-04 20:03 ComboFix-quarantined-files.txt 2009-10-04 18:03 ComboFix2.txt 2008-09-23 15:48 Vor Suchlauf: 11 Verzeichnis(se), 39.675.441.152 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 39.966.126.080 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn Current=1 Default=1 Failed=0 LastKnownGood=5 Sets=1,2,3,4,5 202 --- E O F --- 2009-10-01 11:32 danke schonmal |
Zitat:
Backdoorwarnung! Du hattest ein Schädling laufen, der vollen Zugriff auf deinen Rechner ermöglichte. Die sicherste Methode ist in dem Fall => http://www.trojaner-board.de/51262-a...sicherung.html Solltest du lieber bereinigen wollen, dann weiter mit: 1.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. ciao, andreas |
oh jetzt bin ich um einige informationen reicher. danke dir. nach combofix scan ist der trojaner jetzt weg oder ? |
Ja. :daumenhoc In solchen Fällen ist es nie falsch, alle Kennworte zu wechseln. ciao, andreas |
super.. vielen dank für deine hilfe. das gibt mir jetzt zu denken.. hab online banking beantragt. das werde ich wohl doch nicht nutzen. eine sache hab ich noch.. nach dem combofix scan wird mein antivir nicht mehr angezeigt in der leiste. bei den prozessen wird der aber angezeigt. wenn ich das prog. aufmache wirds auch nicht angezeigt. was kann ich tun ? |
Deinstallieren, neuinstallieren. ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board