| |
| |||||||
Log-Analyse und Auswertung: Virusmeldung auf DesktophindergrundWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
29.06.2008, 15:46
| #1 |
| |  Virusmeldung auf Desktophindergrund Hallo, Hab mir wohl irgendetwas eingefangen, nunja das Problem fing damit an, dass meine Freundin eine Namenlose Mail aufgemacht hat und seitdem spinnt der Comp nur noch rum.... Anzeichen hierzu sind z.b. 1. heftiges Ruckeln in Games. 2. Mein Desktop zeigt nur einen blauen Hindergrund mit der Meldung in der Mitte "WARNING!, Spyware detectet on your Computer. Install an Antivirus or Spyware remover to clean your Computer." 3. In der Systemsteuerung/Anzeige fehlt die Option Desktophindergrund sowie Bildschirmschoner...also es sind nur noch die Reiter Design,Darstellung und Einstellungen zu sehen! 4. Comp ist deutlich langsamer geworden. ""Hab derzeit die Winxp Firewall an"" ""Antivirus hab ich zum schreiben hier im Forum kurz deaktiviert"" (da es sonst alle 5sec ruckler gibt) So hier alsmals meine HijackThis log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:39, on 2008-06-29 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\OnlineControl\ocontrol.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Dorosha\Desktop\AntiTrojaner Programme\HijackThis22.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll O2 - BHO: (no name) - {31017E5C-82A2-4425-99AC-7D8A3888BFD6} - C:\WINDOWS\system32\fccdeeeb.dll O2 - BHO: (no name) - {4EC30FB3-3E3E-42B4-A538-5D483351AF81} - C:\WINDOWS\system32\ljJASjIa.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {E55E1C86-434D-46F9-A253-2DE4AB3F9734} - C:\WINDOWS\system32\opnmLcdD.dll O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll O3 - Toolbar: gxvpsafm - {B1E0C6DC-BBEA-4DE1-BFCA-70362CD86579} - C:\WINDOWS\gxvpsafm.dll (file missing) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [b0e8be37] rundll32.exe "C:\WINDOWS\system32\fsmhumpg.dll",b O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209896562610 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209896922557 O20 - Winlogon Notify: monln - C:\WINDOWS\SYSTEM32\monln.dll O20 - Winlogon Notify: opnmLcdD - C:\WINDOWS\SYSTEM32\opnmLcdD.dll O21 - SSODL: pntqkflv - {8BCF5045-2E4A-4F45-810D-0A62BC610DFD} - C:\WINDOWS\pntqkflv.dll (file missing) O21 - SSODL: qegbdmwf - {3BAD4D17-F497-41F9-B2C4-8A59F35ED277} - C:\WINDOWS\qegbdmwf.dll (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4150 bytes Und gleich noch hinterher die Filelist.bat Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: B0E8-BE98
Verzeichnis von C:\
2008-06-29 16:40 43 filelist.txt
2008-06-29 15:58 1,660,944,384 pagefile.sys
2008-06-29 13:47 391 boot.ini
2008-06-10 14:21 161 TO_InstallLog.txt
2008-05-18 10:49 146 YServer.txt
2008-05-09 14:42 759 VundoFix.txt
2008-05-09 14:30 4,396 smitfiles.txt
2008-05-02 11:36 320 Boot.bak
2008-03-31 13:39 289 lxccUNST.csv
2008-03-31 13:23 264,556 lxccunst.000
2008-03-31 13:23 5,908 lxcc.log
2008-03-31 13:23 1,781 lxccscan.log
Verzeichnis von C:\WINDOWS
2008-06-29 16:18 1,132,168 WindowsUpdate.log
2008-06-29 15:59 0 0.log
2008-06-29 15:59 159 wiadebug.log
2008-06-29 15:58 236 SchedLgU.Txt
2008-06-29 15:58 2,048 bootstat.dat
2008-06-29 15:57 50 wiaservc.log
2008-06-29 15:55 287 WININIT.INI
2008-06-29 13:47 774 win.ini
2008-06-29 13:47 260 system.ini
2008-06-29 10:49 94,208 efbq.exe
2008-06-29 10:49 81,920 tovafrnm.exe
2008-06-21 11:35 30,720 Sys60.exe
2008-06-21 11:35 30,208 Sys5F.exe
2008-06-21 11:35 32,256 Sys5D.exe
2008-06-21 11:35 31,744 Sys3.exe
2008-06-21 11:35 30,208 Sys2.exe
2008-06-21 11:35 32,256 Sys1.exe
2008-06-21 11:35 30,720 Sys4.exe
2008-06-21 11:35 31,744 Sys5E.exe
2008-06-03 18:24 754 WORDPAD.INI
2008-05-30 17:49 4,096 d3dx.dat
2008-05-21 14:00 0 setuperr.log
2008-05-21 14:00 0 setupact.log
2008-05-09 16:28 0 Sti_Trace.log
2008-05-08 08:58 3,604,480 PSEXESVC.EXE
2008-04-24 11:55 316,640 WMSysPr9.prx
2008-04-12 19:56 2,554 unins000.dat
2008-04-12 19:54 691,545 unins000.exe
Verzeichnis von C:\WINDOWS\system32
2008-06-29 16:40 7,135 beeedccf.ini2
2008-06-29 16:40 7,135 beeedccf.ini
2008-06-29 16:04 1,623,995 gpmuhmsf.ini
2008-06-29 16:04 92,032 fsmhumpg.dll
2008-06-29 16:04 0 bbcb7a49-.txt
2008-06-29 16:03 317,696 fccdeeeb.dll
2008-06-29 16:02 104 NvApps.xml
2008-06-29 15:56 5,747 aIjSAJjl.ini
2008-06-29 15:56 5,747 aIjSAJjl.ini2
2008-06-29 13:47 1,623,995 cakhlrbg.ini
2008-06-29 13:47 92,032 gbrlhkac.dll
2008-06-29 13:46 94,208 pphcj0wj0egep.exe
2008-06-29 13:42 60,928 blphcj0wj0egep.scr
2008-06-29 13:41 94,208 8.tmp
2008-06-29 13:41 90,838 phcj0wj0egep.bmp
2008-06-29 13:37 28,800 xxywXQJC.dll
2008-06-29 13:36 28,800 opnmLcdD.dll
2008-06-29 13:36 28,800 wvUnOHwW.dll
2008-06-29 13:36 109,056 lphcj0wj0egep.exe
2008-06-23 16:51 1,186 ealregsnapshot1.reg
2008-06-21 18:40 107,888 CmdLineExt.dll
2008-06-19 18:20 117,248 vav.cpl
2008-06-14 08:40 100,640 FNTCACHE.DAT
2008-05-25 10:07 2,953 CONFIG.NT
2008-05-19 21:35 267,112 xactengine2_9.dll
2008-05-09 16:18 11,127 LexFiles.ulf
2008-05-08 11:27 1,406 Help.ico
2008-05-08 11:27 30,590 pavas.ico
2008-05-08 11:27 2,550 Uninstall.ico
2008-05-08 08:55 6,641 jupdate-1.6.0_05-b13.log
2008-05-07 16:55 499,712 msvcp71.dll
2008-05-07 16:55 1,060,864 MFC71.dll
2008-05-07 16:55 348,160 msvcr71.dll
2008-05-07 16:55 434,252 MSVCRTD.DLL
2008-05-07 16:55 216,576 monln.dll
2008-05-07 16:55 73,728 CavEmLSP(2).dll
2008-05-07 12:31 73,728 CavEmLSP.dll
2008-05-02 22:46 196,608 nvwrsko.dll
Verzeichnis von C:\WINDOWS\Prefetch
2008-06-29 16:40 11,942 CMD.EXE-087B4001.pf
2008-06-29 16:39 27,828 WMIPRVSE.EXE-28F301A9.pf
2008-06-29 16:39 52,088 HIJACKTHIS22.EXE-291CAFCF.pf
2008-06-29 16:39 19,950 NOTEPAD.EXE-336351A9.pf
2008-06-29 16:34 32,562 RUNDLL32.EXE-17BD4855.pf
2008-06-29 16:17 94,734 IEXPLORE.EXE-2CA9778D.pf
2008-06-29 16:17 2,516 CTFMON.EXE-0E17969B.pf
2008-06-29 16:12 19,606 WUAUCLT.EXE-399A8E72.pf
2008-06-29 16:12 40,572 RUNDLL32.EXE-3910966A.pf
2008-06-29 16:11 22,120 RUNDLL32.EXE-327ED30F.pf
2008-06-29 16:05 78,954 FIREFOX.EXE-1D57670A.pf
2008-06-29 16:04 16,410 RUNDLL32.EXE-3558D1CF.pf
2008-06-29 16:04 21,392 TASKMGR.EXE-20256C55.pf
2008-06-29 16:04 18,158 RUNDLL32.EXE-33A9AF7D.pf
2008-06-29 16:03 14,740 WINHLP32.EXE-2C18E975.pf
2008-06-29 16:03 17,442 REGSVR32.EXE-25EEFE2F.pf
2008-06-29 16:03 53,364 TASKMAN.EXE-02283313.pf
2008-06-29 16:02 27,306 RUNDLL32.EXE-1340EF7F.pf
2008-06-29 16:02 21,548 OCONTROL.EXE-2E31DEE9.pf
2008-06-29 16:02 5,898 NTVDM.EXE-1A10A423.pf
2008-06-29 16:02 24,230 RUNDLL32.EXE-415F88EC.pf
2008-06-29 16:02 69,962 SPYBOTSD.EXE-1D495A65.pf
2008-06-29 16:00 914,298 NTOSBOOT-B00DFAAD.pf
2008-06-29 15:57 17,968 LOGONUI.EXE-0AF22957.pf
2008-06-29 15:57 7,746 RUNDLL32.EXE-336A949B.pf
2008-06-29 15:56 29,004 MSCONFIG.EXE-35E4DAE9.pf
2008-06-29 15:55 26,040 RUNDLL32.EXE-2A94BB85.pf
2008-06-29 15:55 25,390 RUNDLL32.EXE-2E5AF1D7.pf
2008-06-29 15:44 16,848 BLPHCJ0WJ0EGEP.SCR-2D76B0B1.pf
2008-06-29 14:44 12,996 DFRGFAT.EXE-03D95883.pf
2008-06-29 14:44 14,790 DEFRAG.EXE-273F131E.pf
2008-06-29 14:44 584,328 Layout.ini
2008-06-29 14:00 26,114 RUNDLL32.EXE-2576181F.pf
2008-06-29 13:53 56,042 SDUPDATE.EXE-30CF90C0.pf
2008-06-29 13:49 40,128 CLEANUP.EXE-21B56F2B.pf
2008-06-29 13:48 27,198 RHCN0WJ0EGEP.EXE-253C754D.pf
2008-06-29 13:48 17,962 UNINSTALL.EXE-36AA0039.pf
2008-06-29 13:48 18,596 AU_.EXE-2C88BFAA.pf
2008-06-29 13:47 16,410 RUNDLL32.EXE-13B0EE10.pf
2008-06-29 13:46 18,158 RUNDLL32.EXE-2F6AD60B.pf
2008-06-29 13:46 48,950 PPHCJ0WJ0EGEP.EXE-1AA96F46.pf
2008-06-29 13:43 22,058 YUPDATER.EXE-054783A4.pf
2008-06-29 13:42 15,730 ALG.EXE-0F138680.pf
2008-06-29 13:42 20,084 RUNDLL32.EXE-35A483DA.pf
2008-06-29 13:37 6,034 ATMADM2.EXE-2D091C79.pf
2008-06-29 13:37 11,602 BINDSRV2.EXE-065BCCCE.pf
2008-06-29 13:37 56,258 VAV.EXE-2F9B83F5.pf
2008-06-29 13:37 14,468 3.EXE-24C13356.pf
2008-06-29 13:37 9,452 1.EXE-0F8DE3E4.pf
2008-06-29 13:37 7,610 2.EXE-2A3DAA5C.pf
2008-06-29 13:36 5,396 0.EXE-03D62FC7.pf
2008-06-29 13:36 37,192 WSCRIPT.EXE-32960AB9.pf
2008-06-29 13:36 7,782 LOWPOWER.EXE-1EF312C9.pf
2008-06-29 13:36 70,940 EXPLORER.EXE-082F38A9.pf
2008-06-29 13:36 56,636 .TT57.TMP-070AA58F.pf
2008-06-29 13:36 10,022 EFBQ.EXE-05026350.pf
2008-06-29 13:36 21,110 MEDIA.PHP-0499ED39.pf
2008-06-29 13:36 9,898 TOVAFRNM.EXE-21D65BF1.pf
2008-06-29 13:36 4,272 VISTA_SP1.EXE-1DB54555.pf
2008-06-29 13:36 23,464 MEDIATUBECODEC_VER1.690.0.EXE-1F0DD19E.pf
2008-06-29 13:36 22,666 LPRN32.EXE-0444C0BE.pf
2008-06-29 11:34 54,956 STARCRAFT.EXE-04E3EEB7.pf
2008-06-29 11:34 18,496 DAEMON.EXE-28AD7272.pf
2008-06-29 11:34 19,930 CHKUPD.EXE-0686DE4E.pf
2008-06-28 21:21 44,450 DRWTSN32.EXE-2B4B52AC.pf
2008-06-28 21:20 49,762 DWWIN.EXE-30875ADC.pf
2008-06-28 19:51 49,776 MIRANDA32.EXE-248B043D.pf
2008-06-28 19:51 10,236 DBTOOL.EXE-14D2CB57.pf
2008-06-28 16:07 69,706 ICQLITE.EXE-2AEFACA7.pf
2008-06-28 15:54 71,332 QIP.EXE-071FCCCB.pf
2008-06-28 15:44 21,112 QIP8060.EXE-2D60E809.pf
2008-06-28 13:24 106,806 MSIEXEC.EXE-2F8A8CAE.pf
2008-06-28 13:22 40,042 ADOBEUPDATER.EXE-370FC314.pf
2008-06-28 13:22 60,906 ACRORD32.EXE-153330F0.pf
2008-06-28 10:20 16,756 RUNDLL32.EXE-12E27DD0.pf
2008-06-27 23:08 76,286 NKSP.EXE-20C902E4.pf
2008-06-27 23:08 50,824 LC.EXE-1BDDC6C2.pf
2008-06-26 21:09 27,246 VENTRILO.EXE-3B628C21.pf
2008-06-26 11:27 96,458 LCINSTALLGER_080530.EXE-03396763.pf
2008-06-26 11:10 47,122 SPORECREATURECREATOR.EXE-03378F28.pf
2008-06-26 10:08 53,216 WMPLAYER.EXE-09969332.pf
2008-06-26 09:39 74,760 LCINSTALLGER_070823.EXE-261CF7DA.pf
2008-06-26 08:26 12,464 UNINSTALL.EXE-04ED2A44.pf
2008-06-26 00:08 11,538 RUNDLL32.EXE-451FC2C0.pf
2008-06-25 15:25 20,094 RUNDLL32.EXE-188DF14E.pf
2008-06-25 15:25 15,078 RUNDLL32.EXE-238CADF7.pf
2008-06-25 15:22 70,472 ACDSEEQV.EXE-05193191.pf
2008-06-25 12:15 15,268 RUNDLL32.EXE-1857459C.pf
2008-06-25 12:15 9,798 BLASC.EXE-01F52F7E.pf
2008-06-25 12:15 6,938 WDFMGR.EXE-2CF4013B.pf
2008-06-25 12:15 14,878 NVSVC32.EXE-1F9EED18.pf
2008-06-25 12:15 13,372 USERINIT.EXE-30B18140.pf
2008-06-25 12:15 44,818 SVCHOST.EXE-3530F672.pf
2008-06-25 12:15 19,426 LSASS.EXE-20DB6D1B.pf
2008-06-25 12:15 20,356 SERVICES.EXE-2F433351.pf
2008-06-25 12:15 44,142 WINLOGON.EXE-32C57D49.pf
2008-06-25 12:15 24,048 CSRSS.EXE-12B63473.pf
2008-06-25 12:15 74,226 YAHOOMESSENGER.EXE-0CCD5478.pf
2008-06-25 00:57 36,440 CHARPLAN.EXE-220E0DA7.pf
2008-06-24 23:12 70,100 GAME.DLL-019EF83B.pf
2008-06-24 23:12 23,328 LOGIN.DLL-303BC6B5.pf
2008-06-24 23:12 15,766 BINKPLAY.EXE-29DEFB6F.pf
2008-06-24 23:11 24,214 PATCH.BIN-37C07040.pf
2008-06-24 23:11 19,002 CAMELOT.EXE-035CF730.pf
2008-06-24 18:14 66,618 MSPAINT.EXE-11CBB631.pf
2008-06-24 18:10 81,018 ACDSEE9.EXE-1662BEDB.pf
2008-06-23 16:53 10,336 SPORE(TM) CREATURE CREATOR_CO-2F97F1D9.pf
2008-06-23 16:53 74,200 SETUP.EXE-367AB43A.pf
2008-06-23 16:51 24,162 REGEDIT.EXE-1B606482.pf
2008-06-23 16:51 11,334 IDRIVERT.EXE-2DE35293.pf
2008-06-23 16:51 64,444 IDRIVER.EXE-19FA1B77.pf
2008-06-23 16:50 21,566 EADM-INSTALLER.EXE-1ACFAE67.pf
2008-06-23 16:35 39,500 CORE.EXE-322F54F1.pf
2008-06-23 16:35 48,152 RUNDLL32.EXE-13404D23.pf
2008-06-23 16:32 6,982 SPORE(TM) CREATURE CREATOR_UN-25075EDA.pf
2008-06-23 16:29 49,362 SETUP.EXE-1F55D7CC.pf
2008-06-23 16:29 18,416 SETUP.EXE-3673F5CC.pf
2008-06-23 16:29 9,650 SPORE(TM) CREATURE CREATOR_CO-37955722.pf
2008-06-23 16:12 48,332 SETUP.EXE-29112E2D.pf
2008-06-23 16:12 18,536 SETUP.EXE-1BC59BC6.pf
2008-06-23 16:12 18,554 PROXYINSTALLER.EXE-16D9DFCE.pf
2008-06-23 16:12 11,230 REG.EXE-0D2A95F7.pf
2008-06-23 15:09 18,552 BFGPROCESS.EXE-26BFADE6.pf
2008-06-23 15:03 24,532 BFGGAMESERVICES.EXE-2D2953CD.pf
2008-06-23 15:03 16,188 CGJSMHG.EXE-173A53B0.pf
2008-06-23 15:03 77,542 BFGCLIENT.EXE-06B794E5.pf
2008-06-22 14:19 11,772 CVTRES.EXE-2329DCD5.pf
2008-06-22 14:19 27,544 CSC.EXE-01730C27.pf
2008-06-20 10:26 20,110 WOW.EXE-1DC320E6.pf
2008-06-20 10:26 14,474 LAUNCHER.EXE-37FEA5BF.pf
Verzeichnis von C:\WINDOWS\tasks
2008-06-29 15:58 6 SA.DAT
2008-06-20 11:10 276 AppleSoftwareUpdate.job
Verzeichnis von C:\DOKUME~1\Dorosha\LOKALE~1\Temp
2008-06-29 16:17 143,360 secuniasi12999.dll
2008-06-29 16:17 416 java_install_reg.log
2008-06-29 16:02 16,384 ~DFA643.tmp
2008-06-29 15:57 16,384 ~DF14.tmp
So Hoffe ihr könnt mir hiermit einwenig weiterhelfen.....Das was aufjedenfall weg müsste währen die Ruckler (zertt halt kräftig an den Nerfen  )Grüße |
|
29.06.2008, 15:54
| #2 |
| Administrator > Competence Manager  | Virusmeldung auf Desktophindergrund Hallo Dorosha und
__________________ ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) Malwarebytes' Anti-Malware
__________________ |
|
29.06.2008, 17:04
| #3 |
| | Virusmeldung auf Desktophindergrund So hab den CCleaner wie beschrieben ausgeführt, nach den ganzen scanns nochmals.
__________________Hier die Logs: die von Combofix: Code:
ATTFilter ComboFix 08-06-20.4 - Dorosha 2008-06-29 17:12:11.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.528 [GMT 2:00]
ausgeführt von:: D:\DOwnloads DEmos\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Datenschutzrichtlinien.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Deinstallieren.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Geschäftsbedingungen.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\WebMediaPlayer.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Website.url
C:\Dokumente und Einstellungen\Dorosha\Lokale Einstellungen\Anwendungsdaten\cdkzp.dat
C:\Dokumente und Einstellungen\Dorosha\Lokale Einstellungen\Anwendungsdaten\cdkzp.exe
C:\Dokumente und Einstellungen\Dorosha\Lokale Einstellungen\Anwendungsdaten\cdkzp_nav.dat
C:\Dokumente und Einstellungen\Dorosha\Lokale Einstellungen\Anwendungsdaten\cdkzp_navps.dat
C:\Programme\webmediaplayer
C:\Programme\webmediaplayer\resources\languages_v2.xml
C:\Programme\webmediaplayer\resources\webmedias
C:\Programme\webmediaplayer\skins\classic.skn
C:\Programme\webmediaplayer\sqlite3.dll
C:\Programme\webmediaplayer\uninst.exe
C:\Programme\webmediaplayer\WebMediaPlayer.exe
C:\WINDOWS\efbq.exe
C:\WINDOWS\sys1.exe
C:\WINDOWS\system32\8.tmp
C:\WINDOWS\system32\aIjSAJjl.ini
C:\WINDOWS\system32\aIjSAJjl.ini2
C:\WINDOWS\system32\beeedccf.ini
C:\WINDOWS\system32\beeedccf.ini2
C:\WINDOWS\system32\cakhlrbg.ini
C:\WINDOWS\system32\fccdeeeb.dll
C:\WINDOWS\system32\gpmuhmsf.ini
C:\WINDOWS\system32\MSINET.oca
.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-29 ))))))))))))))))))))))))))))))
.
2008-06-29 17:20 . 2008-06-29 17:20 294 ---hs---- C:\WINDOWS\system32\gpmuhmsf.ini
2008-06-29 16:04 . 2008-06-29 16:04 92,032 --a------ C:\WINDOWS\system32\fsmhumpg.dll
2008-06-29 13:47 . 2008-06-29 13:47 92,032 --a------ C:\WINDOWS\system32\gbrlhkac.dll
2008-06-29 13:41 . 2008-06-21 11:35 31,744 --a------ C:\WINDOWS\Sys3.exe
2008-06-29 13:41 . 2008-06-21 11:35 30,720 --a------ C:\WINDOWS\Sys4.exe
2008-06-29 13:41 . 2008-06-21 11:35 30,208 --a------ C:\WINDOWS\Sys2.exe
2008-06-29 13:37 . 2008-06-19 18:20 117,248 --a------ C:\WINDOWS\system32\vav.cpl
2008-06-29 13:37 . 2008-06-29 13:37 28,800 --a------ C:\WINDOWS\system32\xxywXQJC.dll
2008-06-29 13:36 . 2008-06-29 13:36 <DIR> d-------- C:\Programme\PCHealthCenter
2008-06-29 13:36 . 2008-06-29 13:36 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\rhcn0wj0egep
2008-06-29 13:36 . 2008-06-29 13:46 94,208 --a------ C:\WINDOWS\system32\pphcj0wj0egep.exe
2008-06-29 13:36 . 2008-06-29 13:41 90,838 --a------ C:\WINDOWS\system32\phcj0wj0egep.bmp
2008-06-29 13:36 . 2008-06-29 10:49 81,920 --a------ C:\WINDOWS\tovafrnm.exe
2008-06-29 13:36 . 2008-06-29 13:42 60,928 --a------ C:\WINDOWS\system32\blphcj0wj0egep.scr
2008-06-29 13:36 . 2008-06-21 11:35 32,256 --a------ C:\WINDOWS\Sys5D.exe
2008-06-29 13:36 . 2008-06-21 11:35 31,744 --a------ C:\WINDOWS\Sys5E.exe
2008-06-29 13:36 . 2008-06-21 11:35 30,720 --a------ C:\WINDOWS\Sys60.exe
2008-06-29 13:36 . 2008-06-21 11:35 30,208 --a------ C:\WINDOWS\Sys5F.exe
2008-06-29 13:36 . 2008-06-29 13:36 28,800 --a------ C:\WINDOWS\system32\wvUnOHwW.dll
2008-06-29 13:36 . 2008-06-29 13:36 28,800 --a------ C:\WINDOWS\system32\opnmLcdD.dll
2008-06-29 13:35 . 2008-06-29 13:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd
2008-06-29 13:35 . 2008-06-29 13:36 109,056 --a------ C:\WINDOWS\system32\lphcj0wj0egep.exe
2008-06-28 15:44 . 2008-06-28 15:44 <DIR> d-------- C:\Programme\QIP
2008-06-26 11:28 . 2008-06-26 11:28 <DIR> d-------- C:\GAMIGO
2008-06-25 12:13 . 2008-06-25 12:13 <DIR> d--hs---- C:\FOUND.002
2008-06-23 17:04 . 2008-06-23 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\SPORE Creature Creator
2008-06-23 16:53 . 2008-06-23 16:53 <DIR> d-------- C:\Programme\Electronic Arts
2008-06-23 15:11 . 2008-06-23 15:11 <DIR> d-------- C:\ProgramData
2008-06-22 16:29 . 2008-06-22 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Sahmon Games
2008-06-22 15:53 . 2008-06-22 15:53 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Jane s Hotel
2008-06-22 14:50 . 2008-06-22 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HipSoft
2008-06-21 16:44 . 2008-06-23 16:51 1,186 --a------ C:\WINDOWS\system32\ealregsnapshot1.reg
2008-06-20 20:43 . 2008-06-20 20:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EscapeTheMuseum
2008-06-19 20:31 . 2008-06-19 20:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JollyBear
2008-06-19 20:24 . 2008-05-19 21:35 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll
2008-06-19 01:19 . 2008-06-19 01:19 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\PlayFirst
2008-06-19 01:19 . 2008-06-19 01:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-06-19 00:37 . 2008-06-19 00:37 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\cerasus.media
2008-06-17 11:11 . 2008-06-17 11:11 <DIR> d-------- C:\Programme\GSC Game World
2008-06-17 10:55 . 2008-06-17 10:55 <DIR> d--hs---- C:\FOUND.001
2008-06-16 15:07 . 2008-06-16 15:07 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Big Fish Games
2008-06-15 20:33 . 2008-06-15 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Meridian93
2008-06-15 19:32 . 2008-06-15 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Astar Games
2008-06-14 23:25 . 1996-08-26 02:12 345,600 -ra------ C:\WINDOWS\system32\QTIM32.DLL
2008-06-14 22:50 . 2008-06-14 22:50 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-06-14 16:40 . 2008-06-14 16:40 <DIR> d-------- C:\Programme\bfgclient
2008-06-14 16:39 . 2008-06-14 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BigFishGamesCache
2008-06-13 15:07 . 2008-06-13 15:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-06-13 15:06 . 2008-06-13 15:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-06-12 18:13 . 2008-06-12 18:13 <DIR> d-------- C:\Programme\Apple Software Update
2008-06-12 18:13 . 2008-06-12 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-06-10 01:33 . 2008-06-10 01:33 <DIR> d-------- C:\Programme\Steam
2008-06-09 17:29 . 2008-06-09 17:29 <DIR> d--hs---- C:\FOUND.000
2008-06-04 21:14 . 2008-06-04 21:14 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\DaocTB
2008-06-01 20:09 . 2008-06-01 20:09 <DIR> d-------- C:\wow backup
2008-05-31 14:38 . 2008-05-31 14:38 <DIR> d-------- C:\WINDOWS\.jagex_cache_32
2008-05-30 17:49 . 2008-05-30 17:49 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-05-29 18:50 . 2008-05-29 18:50 <DIR> d-------- C:\Programme\Ventrilo
2008-05-29 18:49 . 2008-05-29 18:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-21 16:40 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-14 14:40 0 ----a-w C:\Programme\temp01
2008-05-21 14:09 --------- d-----w C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Yahoo!
2008-05-21 14:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-05-18 08:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-05-18 08:48 --------- d-----w C:\Programme\Yahoo!
2008-05-10 05:45 --------- d-----w C:\Programme\Sophos
2008-05-10 03:09 142,096 ----a-w C:\WINDOWS\system32\drivers\tmcomm.sys
2008-05-09 23:27 --------- d-----w C:\Programme\housecall
2008-05-09 08:05 --------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-05-08 21:09 --------- d-----w C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\SecondLife
2008-05-08 10:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-08 09:49 --------- d-----w C:\Programme\Windows Live Safety Center
2008-05-08 06:53 --------- d-----w C:\Programme\Java
2008-05-08 06:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-07 16:26 --------- d-----w C:\Programme\Alwil Software
2008-05-07 14:55 73,728 ----a-w C:\WINDOWS\system32\CavEmLSP(2).dll
2008-05-07 14:55 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-05-07 14:55 434,252 ----a-w C:\WINDOWS\system32\MSVCRTD.DLL
2008-05-07 14:55 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-05-07 14:55 216,576 ----a-w C:\WINDOWS\system32\monln.dll
2008-05-07 14:55 1,060,864 ----a-w C:\WINDOWS\system32\MFC71.dll
2008-05-07 13:13 --------- d-----w C:\Programme\CCleaner
2008-05-07 10:37 --------- d-----w C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Comodo
2008-05-07 10:31 73,728 ----a-w C:\WINDOWS\system32\CavEmLSP.dll
2008-05-07 10:31 --------- d-----w C:\Programme\Comodo
2008-05-07 10:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
2008-04-30 15:44 --------- d-----w C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Verimount
2008-04-30 15:43 --------- d-----w C:\Programme\Verimount
2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2008-04-30 14:39 --------- d-----w C:\Programme\Game Cam V2
2008-04-30 08:12 --------- d-----w C:\Programme\SOLLAB
2008-04-12 17:54 691,545 ----a-w C:\WINDOWS\unins000.exe
2004-08-04 11:00 73,728 --sha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
------- Sigcheck -------
2007-06-11 10:46 23552 e307d85c607bc02392156b936141f5fa C:\WINDOWS\system32\ctfmon.exe
2007-06-11 10:46 23552 e307d85c607bc02392156b936141f5fa C:\WINDOWS\system32\dllcache\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E55E1C86-434D-46F9-A253-2DE4AB3F9734}]
2008-06-29 13:36 28800 --a------ C:\WINDOWS\system32\opnmLcdD.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-02 22:46 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-02 22:46 86016]
"b0e8be37"="C:\WINDOWS\system32\fsmhumpg.dll" [2008-06-29 16:04 92032]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E55E1C86-434D-46F9-A253-2DE4AB3F9734}"= C:\WINDOWS\system32\opnmLcdD.dll [2008-06-29 13:36 28800]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\monln]
monln.dll 2008-05-07 16:55 216576 C:\WINDOWS\system32\monln.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnmLcdD]
opnmLcdD.dll 2008-06-29 13:36 28800 C:\WINDOWS\system32\opnmLcdD.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^OnlineControl.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OnlineControl.lnk
backup=C:\WINDOWS\pss\OnlineControl.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALUAlert]
C:\Programme\Symantec\LiveUpdate\ALuNotify.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Antivirus]
C:\Programme\VAV\vav.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]
C:\Programme\Softwin\BitDefender8\bdmcon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDNewsAgent]
C:\Programme\Softwin\BitDefender8\bdnagent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BLASC]
--a------ 2008-05-31 12:37 2243072 C:\Programme\buffed\BLASC.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cavUPSDBMaker]
C:\Programme\Comodo\Comodo AntiVirus\\UPSDBMaker.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cnfgCav]
C:\Programme\Comodo\Comodo AntiVirus\CMain.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\COMODO Firewall Pro]
C:\Programme\Comodo\Firewall\cfp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-04 00:29 165784 C:\Programme\DAEMON Tools\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DelayLoad]
C:\DOKUME~1\Dorosha\LOKALE~1\Temp\atmadm2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
C:\Programme\Lexmark Fax Solutions\fm3032.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoCockpit]
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstallProgram]
C:\DOKUME~1\Dorosha\LOKALE~1\Temp\lprn32.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IS CfgWiz]
C:\Programme\Norton Personal Firewall\cfgwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lphcj0wj0egep]
--a------ 2008-06-29 13:36 109056 C:\WINDOWS\system32\lphcj0wj0egep.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxccmon.exe]
C:\Programme\Lexmark 3300 Series\lxccmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2008-05-02 22:46 86016 C:\WINDOWS\system32\NvMcTray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\osCheck]
C:\Programme\Norton Internet Security\osCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-10-31 19:42 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBCSTray]
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMrhcn0wj0egep]
C:\Programme\rhcn0wj0egep\rhcn0wj0egep.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 11:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSC_UserPrompt]
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sys4.exe]
--a------ 2008-06-21 11:35 30720 C:\Windows\Sys4.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6\WLAN-Access Finder]
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToADiMon.exe]
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2007-08-30 17:43 4670704 C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"helpsvc"=2 (0x2)
"CLTNetCnService"=2 (0x2)
"Symantec Core LC"=3 (0x3)
"ISPwdSvc"=3 (0x3)
"SymAppCore"=2 (0x2)
"ccSetMgr"=2 (0x2)
"ccEvtMgr"=2 (0x2)
"LiveUpdate"=3 (0x3)
"SPBBCSvc"=3 (0x3)
"ccProxy"=2 (0x2)
"DJSNETCN"=2 (0x2)
"ccISPwdSvc"=3 (0x3)
"NSCService"=3 (0x3)
"SNDSrvc"=3 (0x3)
"lxcc_device"=3 (0x3)
"XCOMM"=2 (0x2)
"bdss"=2 (0x2)
"MZCCntrl"=2 (0x2)
"SBCSSvc"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"Automatisches LiveUpdate - Scheduler"=2 (0x2)
"Spooler"=2 (0x2)
"IDriverT"=3 (0x3)
"AntiVirService"=2 (0x2)
"AVP"=2 (0x2)
"avast! Mail Scanner"=3 (0x3)
"avast! Web Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
"cdkzp"=c:\dokumente und einstellungen\dorosha\lokale einstellungen\anwendungsdaten\cdkzp.exe cdkzp
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"nwiz"=nwiz.exe /install
"PowerStrip"=c:\programme\powerstrip\pstrip.exe
"MSConfig"=C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
"b0e8be37"=rundll32.exe "C:\WINDOWS\system32\gbrlhkac.dll",b
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:Starcraft
"6112:UDP"= 6112:UDP:Starcraft UDP
"6882:TCP"= 6882:TCP:uTorrent
"6882:UDP"= 6882:UDP:uTorrent UDP
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\9B.tmp []
S3 PciCon;PciCon;E:\PciCon.sys []
S3 XDva143;XDva143;C:\WINDOWS\system32\XDva143.sys []
S4 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []
.
Inhalt des "geplante Tasks" Ordners
"2008-06-20 09:10:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-29 17:20:13
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet005\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\9B.tmp"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\opnmLcdD.dll
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\ua_lsp.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\fsmhumpg.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\WDFMGR.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\PROGRAMME\ONLINECONTROL\OCONTROL.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-29 17:23:08 - machine was rebooted [Dorosha]
ComboFix-quarantined-files.txt 2008-06-29 15:22:58
ComboFix2.txt 2008-05-07 14:39:06
22 Verzeichnis(se), 4,310,597,632 Bytes frei
27 Verzeichnis(se), 4,289,249,280 Bytes frei
336 --- E O F --- 2008-05-09 08:15:24
|
|
29.06.2008, 17:05
| #4 |
| | Virusmeldung auf Desktophindergrund Mbam Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.19
Datenbank Version: 902
Windows 5.1.2600 Service Pack 2
17:55:50 29.06.2008
mbam-log-6-29-2008 (17-55-43).txt
Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 141619
Scan Dauer: 28 minute(s), 25 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 4
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 43
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
C:\WINDOWS\system32\opnmLcdD.dll (Trojan.Vundo) -> No action taken.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{cf9146db-16f1-4b79-8da1-ee14c55d5b06} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{217486c6-012a-4671-adc1-b1d64a2fd2ff} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{fa58f18b-00c8-4041-a9a1-834950032800} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntivirus2008) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e55e1c86-434d-46f9-a253-2de4ab3f9734} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e55e1c86-434d-46f9-a253-2de4ab3f9734} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnmlcdd (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\Software\Adsl Software Ltd (Trojan.FakeAlert) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\b0e8be37 (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e55e1c86-434d-46f9-a253-2de4ab3f9734} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\pntqkflv (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\qegbdmwf (Trojan.FakeAlert) -> No action taken.
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
C:\Programme\PCHealthCenter (Trojan.Fakealert) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect (Rogue.Multiple) -> No action taken.
Infizierte Dateien:
C:\WINDOWS\system32\fsmhumpg.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gpmuhmsf.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\Sys5D.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Sys5E.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Sys5F.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Sys60.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Sys2.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Sys3.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Sys4.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\pphcj0wj0egep.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe (Rogue.Installer) -> No action taken.
C:\Programme\PCHealthCenter\1.exe (Trojan.FakeAlert) -> No action taken.
C:\Programme\PCHealthCenter\2.exe (Trojan.Agent) -> No action taken.
C:\Programme\PCHealthCenter\3.exe (Trojan.FakeAlert) -> No action taken.
C:\Programme\PCHealthCenter\4.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{6245B198-6AD2-4362-BE07-B3859B507CFE}\RP78\A0016734.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{6245B198-6AD2-4362-BE07-B3859B507CFE}\RP79\A0016745.dll (Rogue.AntivirusXP2008) -> No action taken.
C:\System Volume Information\_restore{6245B198-6AD2-4362-BE07-B3859B507CFE}\RP79\A0016762.dll (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{6245B198-6AD2-4362-BE07-B3859B507CFE}\RP81\A0016816.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{6245B198-6AD2-4362-BE07-B3859B507CFE}\RP81\A0016822.exe (Trojan.FakeAlert) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\Sys1.exe.vir (Trojan.FakeAlert) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\efbq.exe.vir (Trojan.FakeAlert) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\8.tmp.vir (Trojan.FakeAlert) -> No action taken.
C:\Programme\PCHealthCenter\0.exe (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\5.exe (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sex1.ico (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sex2.ico (Trojan.Fakealert) -> No action taken.
C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> No action taken.
C:\WINDOWS\system32\vav.cpl (Rogue.VistaAntivirus2008) -> No action taken.
C:\WINDOWS\system32\xxywXQJC.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hmwrvuse.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\opnmLcdD.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wvUnOHwW.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fccyyYpm.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\tovafrnm.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\phcj0wj0egep.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\lphcj0wj0egep.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\blphcj0wj0egep.scr (Trojan.FakeAlert) -> No action taken.
|
|
29.06.2008, 17:19
| #5 | ||
| Administrator > Competence Manager | Virusmeldung auf DesktophindergrundDateien Online überprüfen lassen:
Zitat:
Wir müssen einige Dateien näher betrachten, daher musst du uns diese schicken. Zitat:
Wie das gemacht wird erfährst du hier -> http://www.trojaner-board.de/54791-a...tml#post349565 danach bitte folgendes: Scripten mit Combofix
Code:
ATTFilter
http://www.trojaner-board.de/54987-virusmeldung-auf-desktophindergrund.html#post350295
Collect::
C:\WINDOWS\system32\gpmuhmsf.ini
C:\WINDOWS\system32\fsmhumpg.dll
C:\WINDOWS\system32\gbrlhkac.dll
C:\WINDOWS\Sys3.exe
C:\WINDOWS\Sys4.exe
C:\WINDOWS\Sys2.exe
C:\WINDOWS\system32\vav.cpl
C:\WINDOWS\system32\xxywXQJC.dll
C:\WINDOWS\system32\pphcj0wj0egep.exe
C:\WINDOWS\system32\phcj0wj0egep.bmp
C:\WINDOWS\tovafrnm.exe
C:\WINDOWS\system32\blphcj0wj0egep.scr
C:\WINDOWS\Sys5D.exe
C:\WINDOWS\Sys5E.exe
C:\WINDOWS\Sys60.exe
C:\WINDOWS\Sys5F.exe
C:\WINDOWS\system32\wvUnOHwW.dll
C:\WINDOWS\system32\opnmLcdD.dll
C:\WINDOWS\system32\lphcj0wj0egep.exe
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E55E1C86-434D-46F9-A253-2DE4AB3F9734}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"b0e8be37"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMrhcn0wj0egep]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sys4.exe]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"cdkzp"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"b0e8be37"=-
Folder::
C:\Programme\PCHealthCenter
C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\rhcn0wj0egep
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd
 Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup  Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
29.06.2008, 17:44
| #6 |
| | Virusmeldung auf Desktophindergrund So, die erste Datei gibts es nichtmehr im system32 Ordner....von der 2. hier die Log: Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.29 -
AntiVir 7.8.0.59 2008.06.28 -
Authentium 5.1.0.4 2008.06.29 -
Avast 4.8.1195.0 2008.06.28 -
AVG 7.5.0.516 2008.06.29 -
BitDefender 7.2 2008.06.29 -
CAT-QuickHeal 9.50 2008.06.28 -
ClamAV 0.93.1 2008.06.28 -
DrWeb 4.44.0.09170 2008.06.29 -
eSafe 7.0.17.0 2008.06.29 -
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.29 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.29 -
GData 2.0.7306.1023 2008.06.29 -
Ikarus T3.1.1.26.0 2008.06.29 -
Kaspersky 7.0.0.125 2008.06.29 -
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.29 -
NOD32v2 3225 2008.06.29 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.29 Suspicious file
Prevx1 V2 2008.06.29 -
Rising 20.50.62.00 2008.06.29 -
Sophos 4.30.0 2008.06.29 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.29 -
TheHacker 6.2.96.364 2008.06.28 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.29 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.29 -
File size: 32768 bytes
MD5...: 29743a1d8cae1c4bb07d86640446b4ba
SHA1..: f21649f0d7a932c36d5ff95d9da9f8edf07f8920
SHA256: e465e6810ebafe08238b1375f2b7befe29cd909fc894728f955f37f3f4f5e7b2
SHA512: 22a921fefc1cb7de272f6d146c9ddf00e25ee15a3555cbe04100e8258c881515
22a85a54aa63496643ca1442aa9d83faf18997e002f2fca9eec83bdb79851fe8
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10001700
timedatestamp.....: 0x402ad35e (Thu Feb 12 01:14:06 2004)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5dba 0x5e00 6.25 684705bd39e36f75a1f5b54e33ce2fe5
.rdata 0x7000 0xfe0 0x1000 5.35 5f0e734cee994bc5f00ec1bef167af42
.data 0x8000 0x340 0x200 1.45 2b8b83923f0e57f015fa523a6bb918a7
.CRT 0x9000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.reloc 0xa000 0x8fc 0xa00 6.38 a56e01cc2c314c5a8113781daaf69204
( 5 imports )
> WS2_32.dll: -, -, WSCEnumProtocols
> KERNEL32.dll: CloseHandle, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, TlsAlloc, TlsFree, FreeLibrary, ExpandEnvironmentStringsA, GetProcAddress, GetLastError, PostQueuedCompletionStatus, ReleaseSemaphore, GetVersionExA, CreateIoCompletionPort, CreateSemaphoreA, GetSystemInfo, GetQueuedCompletionStatus, WaitForSingleObjectEx, TlsSetValue, ResetEvent, SetLastError, FreeLibraryAndExitThread, Sleep, GetModuleHandleA, GetCurrentProcessId, CreateMutexA, CreateFileMappingA, MapViewOfFile, InterlockedCompareExchange, ReleaseMutex, UnmapViewOfFile, GetTickCount, InterlockedIncrement, DeleteFileA, GetTempPathA, GetModuleFileNameA, GetTempFileNameA, GetCommandLineA, WriteFile, GetCurrentThread, GetCurrentProcess, VirtualQuery, CreateFileA, SetUnhandledExceptionFilter, ExitProcess, RaiseException, WaitForSingleObject, CreateThread, LoadLibraryA, TlsGetValue
> USER32.dll: PostThreadMessageA, SetWindowLongA, CreateWindowExA, RegisterClassA, LoadCursorA, LoadIconA, DestroyWindow, DefWindowProcA, GetWindowLongA, DispatchMessageA, TranslateMessage, GetMessageA, MessageBoxA, wvsprintfA
> GDI32.dll: GetStockObject
> ADVAPI32.dll: RegCloseKey, RegCreateKeyA, RegQueryValueExA, RegSetValueExA, GetUserNameA
( 3 exports )
UA_LSP_GetBuildNumber, UA_LSP_Squeal, WSPStartup
So alle Genannten Daten wurden zu euch hochgeladen. Hier noch die Log von Combofix: Code:
ATTFilter ComboFix 08-06-20.4 - Dorosha 2008-06-29 18:35:20.3 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.499 [GMT 2:00]
ausgeführt von:: D:\DOwnloads DEmos\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Dorosha\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\rhcn0wj0egep
C:\WINDOWS\system32\esuvrwmh.ini
C:\WINDOWS\system32\gbrlhkac.dll
C:\WINDOWS\system32\mpYyyccf.ini
C:\WINDOWS\system32\mpYyyccf.ini2
.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-29 ))))))))))))))))))))))))))))))
.
2008-06-29 17:24 . 2008-06-29 17:24 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-29 17:24 . 2008-06-29 17:24 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Malwarebytes
2008-06-29 17:24 . 2008-06-29 17:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-29 17:24 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-29 17:24 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-28 15:44 . 2008-06-28 15:44 <DIR> d-------- C:\Programme\QIP
2008-06-26 11:28 . 2008-06-26 11:28 <DIR> d-------- C:\GAMIGO
2008-06-25 12:13 . 2008-06-25 12:13 <DIR> d--hs---- C:\FOUND.002
2008-06-23 17:04 . 2008-06-23 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\SPORE Creature Creator
2008-06-23 16:53 . 2008-06-23 16:53 <DIR> d-------- C:\Programme\Electronic Arts
2008-06-23 15:11 . 2008-06-23 15:11 <DIR> d-------- C:\ProgramData
2008-06-22 16:29 . 2008-06-22 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Sahmon Games
2008-06-22 15:53 . 2008-06-22 15:53 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Jane s Hotel
2008-06-22 14:50 . 2008-06-22 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HipSoft
2008-06-21 16:44 . 2008-06-23 16:51 1,186 --a------ C:\WINDOWS\system32\ealregsnapshot1.reg
2008-06-20 20:43 . 2008-06-20 20:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EscapeTheMuseum
2008-06-19 20:31 . 2008-06-19 20:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JollyBear
2008-06-19 20:24 . 2008-05-19 21:35 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll
2008-06-19 01:19 . 2008-06-19 01:19 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\PlayFirst
2008-06-19 01:19 . 2008-06-19 01:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-06-19 00:37 . 2008-06-19 00:37 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\cerasus.media
2008-06-17 11:11 . 2008-06-17 11:11 <DIR> d-------- C:\Programme\GSC Game World
2008-06-17 10:55 . 2008-06-17 10:55 <DIR> d--hs---- C:\FOUND.001
2008-06-16 15:07 . 2008-06-16 15:07 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Big Fish Games
2008-06-15 20:33 . 2008-06-15 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Meridian93
2008-06-15 19:32 . 2008-06-15 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Astar Games
2008-06-14 23:25 . 1996-08-26 02:12 345,600 -ra------ C:\WINDOWS\system32\QTIM32.DLL
2008-06-14 22:50 . 2008-06-14 22:50 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-06-14 16:40 . 2008-06-14 16:40 <DIR> d-------- C:\Programme\bfgclient
2008-06-14 16:39 . 2008-06-14 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BigFishGamesCache
2008-06-13 15:07 . 2008-06-13 15:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-06-13 15:06 . 2008-06-13 15:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-06-12 18:13 . 2008-06-12 18:13 <DIR> d-------- C:\Programme\Apple Software Update
2008-06-12 18:13 . 2008-06-12 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-06-10 01:33 . 2008-06-10 01:33 <DIR> d-------- C:\Programme\Steam
2008-06-09 17:29 . 2008-06-09 17:29 <DIR> d--hs---- C:\FOUND.000
2008-06-04 21:14 . 2008-06-04 21:14 <DIR> d-------- C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\DaocTB
2008-06-01 20:09 . 2008-06-01 20:09 <DIR> d-------- C:\wow backup
2008-05-31 14:38 . 2008-05-31 14:38 <DIR> d-------- C:\WINDOWS\.jagex_cache_32
2008-05-30 17:49 . 2008-05-30 17:49 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-05-29 18:50 . 2008-05-29 18:50 <DIR> d-------- C:\Programme\Ventrilo
2008-05-29 18:49 . 2008-05-29 18:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-21 16:40 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-14 14:40 0 ----a-w C:\Programme\temp01
2008-05-21 14:09 --------- d-----w C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Yahoo!
2008-05-21 14:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-05-18 08:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-05-18 08:48 --------- d-----w C:\Programme\Yahoo!
2008-05-10 05:45 --------- d-----w C:\Programme\Sophos
2008-05-10 03:09 142,096 ----a-w C:\WINDOWS\system32\drivers\tmcomm.sys
2008-05-09 23:27 --------- d-----w C:\Programme\housecall
2008-05-09 08:05 --------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-05-08 21:09 --------- d-----w C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\SecondLife
2008-05-08 10:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-08 09:49 --------- d-----w C:\Programme\Windows Live Safety Center
2008-05-08 06:53 --------- d-----w C:\Programme\Java
2008-05-08 06:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-07 16:26 --------- d-----w C:\Programme\Alwil Software
2008-05-07 14:55 73,728 ----a-w C:\WINDOWS\system32\CavEmLSP(2).dll
2008-05-07 14:55 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-05-07 14:55 434,252 ----a-w C:\WINDOWS\system32\MSVCRTD.DLL
2008-05-07 14:55 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-05-07 14:55 216,576 ----a-w C:\WINDOWS\system32\monln.dll
2008-05-07 14:55 1,060,864 ----a-w C:\WINDOWS\system32\MFC71.dll
2008-05-07 13:13 --------- d-----w C:\Programme\CCleaner
2008-05-07 10:37 --------- d-----w C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Comodo
2008-05-07 10:31 73,728 ----a-w C:\WINDOWS\system32\CavEmLSP.dll
2008-05-07 10:31 --------- d-----w C:\Programme\Comodo
2008-05-07 10:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
2008-04-30 15:44 --------- d-----w C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\Verimount
2008-04-30 15:43 --------- d-----w C:\Programme\Verimount
2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2008-04-30 14:39 --------- d-----w C:\Programme\Game Cam V2
2008-04-30 08:12 --------- d-----w C:\Programme\SOLLAB
2008-04-12 17:54 691,545 ----a-w C:\WINDOWS\unins000.exe
2004-08-04 11:00 73,728 --sha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
------- Sigcheck -------
2007-06-11 10:46 23552 e307d85c607bc02392156b936141f5fa C:\WINDOWS\system32\ctfmon.exe
2007-06-11 10:46 23552 e307d85c607bc02392156b936141f5fa C:\WINDOWS\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-29_17.22.01.18 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-29 15:19:16 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-29 16:39:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-02 22:46 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-02 22:46 86016]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\monln]
monln.dll 2008-05-07 16:55 216576 C:\WINDOWS\system32\monln.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^OnlineControl.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OnlineControl.lnk
backup=C:\WINDOWS\pss\OnlineControl.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALUAlert]
C:\Programme\Symantec\LiveUpdate\ALuNotify.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Antivirus]
C:\Programme\VAV\vav.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]
C:\Programme\Softwin\BitDefender8\bdmcon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDNewsAgent]
C:\Programme\Softwin\BitDefender8\bdnagent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BLASC]
--a------ 2008-05-31 12:37 2243072 C:\Programme\buffed\BLASC.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cavUPSDBMaker]
C:\Programme\Comodo\Comodo AntiVirus\\UPSDBMaker.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cnfgCav]
C:\Programme\Comodo\Comodo AntiVirus\CMain.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\COMODO Firewall Pro]
C:\Programme\Comodo\Firewall\cfp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-04 00:29 165784 C:\Programme\DAEMON Tools\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DelayLoad]
C:\DOKUME~1\Dorosha\LOKALE~1\Temp\atmadm2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
C:\Programme\Lexmark Fax Solutions\fm3032.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoCockpit]
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstallProgram]
C:\DOKUME~1\Dorosha\LOKALE~1\Temp\lprn32.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IS CfgWiz]
C:\Programme\Norton Personal Firewall\cfgwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lphcj0wj0egep]
C:\WINDOWS\system32\lphcj0wj0egep.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxccmon.exe]
C:\Programme\Lexmark 3300 Series\lxccmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2008-05-02 22:46 86016 C:\WINDOWS\system32\NvMcTray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\osCheck]
C:\Programme\Norton Internet Security\osCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-10-31 19:42 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBCSTray]
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 11:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSC_UserPrompt]
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6\WLAN-Access Finder]
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToADiMon.exe]
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2007-08-30 17:43 4670704 C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"helpsvc"=2 (0x2)
"CLTNetCnService"=2 (0x2)
"Symantec Core LC"=3 (0x3)
"ISPwdSvc"=3 (0x3)
"SymAppCore"=2 (0x2)
"ccSetMgr"=2 (0x2)
"ccEvtMgr"=2 (0x2)
"LiveUpdate"=3 (0x3)
"SPBBCSvc"=3 (0x3)
"ccProxy"=2 (0x2)
"DJSNETCN"=2 (0x2)
"ccISPwdSvc"=3 (0x3)
"NSCService"=3 (0x3)
"SNDSrvc"=3 (0x3)
"lxcc_device"=3 (0x3)
"XCOMM"=2 (0x2)
"bdss"=2 (0x2)
"MZCCntrl"=2 (0x2)
"SBCSSvc"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"Automatisches LiveUpdate - Scheduler"=2 (0x2)
"Spooler"=2 (0x2)
"IDriverT"=3 (0x3)
"AntiVirService"=2 (0x2)
"AVP"=2 (0x2)
"avast! Mail Scanner"=3 (0x3)
"avast! Web Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"nwiz"=nwiz.exe /install
"PowerStrip"=c:\programme\powerstrip\pstrip.exe
"MSConfig"=C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:Starcraft
"6112:UDP"= 6112:UDP:Starcraft UDP
"6882:TCP"= 6882:TCP:uTorrent
"6882:UDP"= 6882:UDP:uTorrent UDP
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\9B.tmp []
S3 PciCon;PciCon;E:\PciCon.sys []
S3 XDva143;XDva143;C:\WINDOWS\system32\XDva143.sys []
S4 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []
.
Inhalt des "geplante Tasks" Ordners
"2008-06-20 09:10:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-29 18:40:02
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet005\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\9B.tmp"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\ua_lsp.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\WDFMGR.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\PROGRAMME\ONLINECONTROL\OCONTROL.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-29 18:42:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-29 16:42:00
ComboFix3.txt 2008-05-07 14:39:06
ComboFix2.txt 2008-06-29 15:23:12
22 Verzeichnis(se), 4,325,785,600 Bytes frei
27 Verzeichnis(se), 4,315,955,200 Bytes frei
285 --- E O F --- 2008-05-09 08:15:24
|
|
29.06.2008, 17:50
| #7 |
| Administrator > Competence Manager | Virusmeldung auf DesktophindergrundSDFix * Lade das SDFix herunter und speichere es auf deinem Desktop. * Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken. * Starte deinen Rechner neu auf, in den abgesicherten Modus * Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann. * Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet. * Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden. * Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
29.06.2008, 18:16
| #8 |
| | Virusmeldung auf Desktophindergrund So der Scann wurde durchgeführt hier die Log: Code:
ATTFilter SDFix: Version 1.198
Run by Dorosha on 29.06.2008 at 19:05
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\Dorosha\Desktop\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-29 19:14:06
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Programme\\uTorrent\\utorrent.exe"="C:\\Programme\\uTorrent\\utorrent.exe:*:Disabled:æTorrent"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Disabled:ICQ Lite"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files :
Files with Hidden Attributes :
Fri 29 Feb 2008 625,664 A.SH. --- "C:\Programme\Internet Explorer\iexplore.exe"
Wed 4 Aug 2004 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Thu 15 Mar 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 4 Aug 2004 73,728 A.SH. --- "C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe"
Fri 9 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ccba472a05828aa2a3ee32c96c6466ca\BIT1.tmp"
Thu 26 Jun 2008 2,421 ...HR --- "C:\Dokumente und Einstellungen\Dorosha\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Wed 30 Apr 2008 20 A..H. --- "C:\Dokumente und Einstellungen\Dorosha\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Thu 15 Mar 2007 4,348 ...H. --- "C:\Dokumente und Einstellungen\Dorosha\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Wed 30 Apr 2008 9,855 A.SH. --- "C:\Dokumente und Einstellungen\Dorosha\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Finished!
Hier die neue Hjthislog: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:16:19, on 29.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\OnlineControl\ocontrol.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Dorosha\Desktop\AntiTrojaner Programme\HijackThis22.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll O3 - Toolbar: (no name) - {B1E0C6DC-BBEA-4DE1-BFCA-70362CD86579} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209896562610 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209896922557 O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll O20 - Winlogon Notify: monln - C:\WINDOWS\SYSTEM32\monln.dll O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 3124 bytes |
|
29.06.2008, 18:18
| #9 |
| Administrator > Competence Manager | Virusmeldung auf Desktophindergrund Gibt es denn noch Probleme mit dem System, oder kann ich mich langsam auf Fußball vorbereiten?!? 
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
29.06.2008, 18:20
| #10 |
| | Virusmeldung auf Desktophindergrund hmm also derzeit läufts wieder gut....so wünsch dir dann au viel Spass beim Fußballspiel und dir besten Dank für die schnelle Hilfe...ging wirklich fix! Nur zu empfehlen :-)) Grüße kann closed werden.....wenn noch was iss meld ich mich  |
|
| Themen zu Virusmeldung auf Desktophindergrund |
| antivirus, bho, desktop, dll, einstellungen, ellung, explorer, firefox, firewall, helper, hijack, hijackthis, hijackthis log, internet, internet explorer, laufwerk c, log, logfile, mozilla, mozilla firefox, nvidia, problem, programme, rundll, software, spyware, urlsearchhook, vista, windows, windows xp |
