Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: bitte um hilfe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.10.2008, 01:10   #1
kayjoa
 
bitte um hilfe - Standard

bitte um hilfe



hallo erstmal
ich hoffe ihr könnt mir weiter helfen

hab mir ein game gedownloadet und exe vor install getestet
doch bei start schrie kaspersky 5.0 virus dann ging alles sehr schnell
konnte noch so halb löschen drücken
dann war kaspersky aus
task manager deaktiviet
regestry deaktiviert
versucht kaspersky neu zu instalieren weil es sagte daten banken defekt
ging auch konnte aber net scannen
wollte spybot starten ging auch net mehr

gelesen gelesen dann adaware instaliert und laufen lassen
fand einen virusweis net wie ich anders nenen soll
war ne dll im system 32
hab ich gelöscht alles was adaware als kritisch sah

immer noch das gleiche problem
kann auch keinen online scannen laufen lassen die seiten werden alle nicht geöfnet


ich hoffe es klappt ohne neu installation hänge hier seit heut mitt um 15 uhr dran
kann net mehr
bitte bittehelft mir

Alt 17.10.2008, 01:47   #2
myrtille
/// TB-Ausbilder
 
bitte um hilfe - Standard

bitte um hilfe



Hi,

welche Malware wurde gemeldet, wie hieß die Datei in System32, welches Betriebssystem hast du?

Poste bitte ein HijackThis log.

Gleichzeitig möchte ich dich aber fragen: Wirst du zu einem Rechner, von dem du weißt, das jemand zwischendurch die komplette Kontrolle hatte, wirklich je wieder total vertrauen können?
Wir sind gut darin alles zu entfernen, was wir finden können. Was wir nicht sehen, können wir auch nicht entfernen. Ein Trojaner, der deine gesamten Antivirenprogramme ausgeschaltet hat, verhindert, dass du Antivirenscanner benutzt und dich von deinem eigenen Rechner praktisch aussperrt, kennt evtl auch noch weitere Tricks, die wir nicht überwinden können.
Überleg dir vorher ob du lieber bereinigen möchtest (was sich evtl über mehrere Tage zieht) oder lieber Neuaufsetzen möchtest.

Was du auf jedenfall so schnell wie möglich tun musst ist:
  • All die von dem Rechner genutzten Passwörter von einem anderen, sauberen Rechner aus ändern.
  • dein Online-Banking, solltest du welches betreiben, überprüfen und notfalls sperren lassen
  • solltest du Webseiten betreiben, die Seiten überprüfen ob diese ebenfalls Malware verbreiten.

lg myrtille
__________________

__________________

Alt 17.10.2008, 02:12   #3
kayjoa
 
bitte um hilfe - Standard

bitte um hilfe



Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:55:00, on 17.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\winygfdr.exe
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\winlewksb.exe
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\winkltox.exe
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\tafjv.exe
C:\Dokumente und Einstellungen\xxxx\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://www.spaceinvasion.de/indexExternal.es?&sid=657fa74763546cb54f4ed2a1e60afd0e
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [WindowsRegKey%$ update] msi332.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [WindowsRegKey%$ update] msi332.exe (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {9A5504AC-4DE4-47F6-9944-F3B0741107A1} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {9A5504AC-4DE4-47F6-9944-F3B0741107A1} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h..p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - h..p://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - h..p://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1221596291
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h..p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197742158569
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h..p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h..p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197741530616
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - h..p://atv.disney.go.com/global/download/otoy/OTOYAX29b.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h..p://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1209224919
O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} (Java Plug-in 1.4.2) - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h..p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - h..p://plugin.driveragent.com/files/driveragent.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: arprmdg0 - arprmdg0.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: DeX Anticheat Monitor Service (dexwsrv) - Lambda - C:\Programme\DeX Anticheat\dexwsrv.exe
O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Unknown owner - C:\Programme\DynDNS Updater\DynDNS.exe (file missing)
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\xxxxxx\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

--
End of file - 7347 bytes
         

ich habe windows xp service pack 2


retten wär schon besser ist so viel auf dem pc was wichtig ist


banking und sowas mach ich zu glück net

1000 dank schon mal

wie das ding hies weis ich net mehr und sehn kann ich es nirgend wo mehr aber adaare laüft gerade noch mal und hat 1 sache gefunden ich hoffe (oder auch net das es das gleiche ist ))

ich hoffe hab alles richtig gemacht
__________________

Alt 17.10.2008, 02:19   #4
myrtille
/// TB-Ausbilder
 
bitte um hilfe - Standard

bitte um hilfe



Hi,

wenn du fertig gescannt hast, mache folgendes:

Lade dir Malwarebytes herunter, lasse es durchlaufen und alle Funde löschen. Starte den Rechner bei Bedarf neu und poste anschließend das Log hier,

Danach bitte einmal mit Combofix drüber gehen:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 17.10.2008, 11:52   #5
kayjoa
 
bitte um hilfe - Standard

bitte um hilfe



so habe nach besten wissen alles abgearbeitet
Code:
ATTFilter
ComboFix 08-10-16.08 - xxxxxx 2008-10-17 12:20:25.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxxx\Desktop\ComboFix.exe
.
 ADS - svchost.exe: deleted 196 bytes in 1 streams. 
 ADS - ntoskrnl.exe: deleted 196 bytes in 1 streams. 
 ADS - explorer.exe: deleted 228 bytes in 1 streams. 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\Install.dat
C:\WINDOWS\system32\ksl48.bin
C:\WINDOWS\system32\MabryObj.dll
C:\WINDOWS\system32\mdm.exe

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ARPRMDG5
-------\Service_arprmdg5


(((((((((((((((((((((((   Dateien erstellt von 2008-09-17 bis 2008-10-17  ))))))))))))))))))))))))))))))
.

2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\Malwarebytes
2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-17 03:35 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-17 03:35 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-17 00:47 . 2008-10-17 00:47	<DIR>	d--------	C:\Programme\Lavasoft
2008-10-17 00:47 . 2008-10-17 00:47	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-17 00:31 . 2008-10-17 00:31	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal
2008-10-17 00:18 . 2008-10-17 00:18	<DIR>	d--------	C:\Programme\Alwil Software
2008-10-16 23:37 . 2008-10-16 23:37	<DIR>	d--------	C:\Dokumente und Einstellungen\the sims 2\Anwendungsdaten\Talkback
2008-10-16 23:03 . 2008-10-16 23:03	<DIR>	d--------	C:\Programme\CCleaner
2008-10-16 21:42 . 2004-08-21 16:25	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Vorlagen
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	dr-------	C:\Dokumente und Einstellungen\Gast\Startmenü
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Gast\Favoriten
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	dr-------	C:\Dokumente und Einstellungen\Gast\Eigene Dateien
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Druckumgebung
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Gast\Anwendungsdaten
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Gast
2008-10-16 17:21 . 2008-10-16 17:21	31	--a------	C:\WINDOWS\Slash Gunz Launcher.INI
2008-10-16 17:14 . 2008-10-16 17:20	17,876	--ah-----	C:\WINDOWS\system32\wcdrtc32.dl_
2008-10-15 08:12 . 2008-10-15 08:12	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-10-15 08:12 . 2008-10-15 08:12	1,409	--a------	C:\WINDOWS\QTFont.for
2008-10-15 07:42 . 2008-10-15 07:42	<DIR>	d--------	C:\Programme\EvilGamerZ
2008-10-12 21:58 . 2008-10-12 21:58	31	--a------	C:\WINDOWS\RG Launcher1.INI
2008-10-11 02:47 . 2008-10-16 03:23	<DIR>	d--------	C:\Programme\Fakegaming Gunz
2008-10-10 02:46 . 2008-10-15 17:14	<DIR>	d--------	C:\Programme\eurogunzv8
2008-10-06 22:24 . 2008-10-09 03:07	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\Hamachi
2008-10-06 22:23 . 2008-10-06 22:24	<DIR>	d--------	C:\Programme\Hamachi
2008-10-06 22:23 . 2008-10-06 22:23	25,280	--a------	C:\WINDOWS\system32\drivers\hamachi.sys
2008-10-06 18:53 . 2008-10-06 18:53	<DIR>	d--------	C:\Programme\ImTOO
2008-10-04 23:18 . 2008-10-04 23:18	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\Kana Solution
2008-10-04 01:33 . 2008-10-04 01:36	<DIR>	d--------	C:\wamp
2008-10-03 23:52 . 2008-10-07 00:44	<DIR>	d--------	C:\Programme\NVIDIA Corporation
2008-10-02 13:47 . 2008-10-02 13:47	<DIR>	d--------	C:\GunzServer
2008-09-30 23:49 . 2008-09-30 23:49	<DIR>	d--------	C:\Programme\BreakPoint Software
2008-09-30 23:41 . 2008-09-30 23:41	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\PE Explorer
2008-09-30 23:40 . 2008-10-01 00:14	<DIR>	d--------	C:\Programme\PE Explorer
2008-09-30 22:54 . 2008-10-07 03:23	<DIR>	d--------	C:\Programme\Microsoft SQL Server
2008-09-30 22:54 . 2008-09-30 22:56	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-19 21:47 . 2008-09-19 22:00	<DIR>	d--------	C:\Programme\DeX Anticheat
2008-09-19 00:06 . 2008-04-23 14:02	157,152	--a------	C:\WINDOWS\system32\PubPlugin.dll
2008-09-18 01:35 . 2008-09-18 01:36	<DIR>	d--------	C:\virtual basic sachen
2008-09-17 17:47 . 2008-09-17 17:48	96	--ah-----	C:\WINDOWS\system32\HsInfo.dat
2008-09-17 17:43 . 2008-09-17 17:43	<DIR>	d--------	C:\Programme\alaplaya

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-16 22:46	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-16 22:21	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-16 21:43	---------	d-----w	C:\Programme\Yahoo!
2008-10-16 18:47	---------	d-----w	C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\Skype
2008-10-16 16:48	15,872	----a-w	C:\WINDOWS\TASKMAN.EXE
2008-10-15 23:34	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-15 20:01	---------	d-----w	C:\Programme\Trillian
2008-10-15 16:53	---------	d-----w	C:\Programme\RestyleGunZ
2008-10-14 14:49	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-10-14 14:49	---------	d-----w	C:\Programme\Electronic Arts
2008-10-12 13:32	---------	d-----w	C:\Programme\Daemons Ring Gunz
2008-10-06 16:05	---------	d-----w	C:\Programme\PokerStars
2008-10-03 21:50	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-10-01 20:49	24	----a-w	C:\Dokumente und Einstellungen\xxxxxx\jagex_runescape_preferences.dat
2008-09-30 21:03	---------	d-----w	C:\Programme\Microsoft.NET
2008-09-29 22:12	---------	d-----w	C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\gtk-2.0
2008-09-29 07:41	---------	d-----w	C:\Programme\MAIET
2008-09-24 08:11	---------	d-----w	C:\Programme\ICQ6
2008-09-20 20:02	---------	d--h--w	C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\ijjigame
2008-09-19 21:21	7,680	--sha-w	C:\WINDOWS\system32\drivers\Thumbs.db
2008-09-15 18:14	---------	d-----w	C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\teamspeak2
2008-09-13 12:31	---------	d-----w	C:\Programme\xp-Iso-Builder
2008-09-10 19:54	---------	d-----w	C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\Sony
2008-09-10 19:54	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2008-09-10 19:47	---------	d-----w	C:\Programme\Sony Ericsson
2008-09-10 19:47	---------	d-----w	C:\Programme\Sony
2008-09-10 19:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Sony Shared
2008-09-10 19:24	---------	d-----w	C:\Programme\Sony Setup
2008-09-08 21:05	---------	d-----w	C:\Programme\GtkRadiant 1.5.0
2008-09-04 18:13	---------	d-----w	C:\Programme\MultiRes
2008-09-04 10:59	0	---ha-w	C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-09-02 23:07	---------	d-----w	C:\Programme\TuneUp Utilities 2008
2008-09-02 11:50	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logitech
2008-09-02 11:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logishrd
2008-08-21 16:24	---------	d-----w	C:\Programme\slashgunz
2008-02-12 21:05	10,352	----a-w	C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\wklnhst.dat
2007-03-25 13:10	178	----a-w	C:\Dokumente und Einstellungen\the sims 2\Anwendungsdaten\wklnhst.dat
2005-12-23 04:12	55,760	----a-w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-05-20 15:50	56	--sh--r	C:\WINDOWS\system32\78B0C9EF07.sys
2005-05-20 15:50	5,852	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 237568]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 491520]
"KAVPersonal50"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2006-03-20 94311]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 C:\WINDOWS\SOUNDMAN.EXE]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2008-05-26 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"MSVideo"= o100vc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"SoundMan"=SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\MAIET\\Gunz\\GunzLauncher.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\ijji\\ENGLISH\\u_skid.exe"=
"C:\\Programme\\Daemons Ring GunZ\\DRGunZ.exe"=
"C:\\ijji\\ENGLISH\\u_gunz.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\EvilGamerZ\\EvilGunz Client V\\theduel.exe"=
"C:\\Dokumente und Einstellungen\\xxxxxx\\temp\\TeamViewer3\\TeamViewer.exe"=
"C:\\Programme\\slashgunz\\Slash Gunz\\Slash Gunz.exe"=
"C:\\Programme\\GtkRadiant 1.5.0\\GtkRadiant.exe"=
"C:\\Programme\\MAIET\\Gunz\\Gunz.exe"=
"C:\\ijji\\ENGLISH\\u_goonzu.exe"=
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"C:\\Dokumente und Einstellungen\\xxxxxx\\Desktop\\ultimate\\TheDuel.exe"=
"C:\\Programme\\RestyleGunZ\\theduel.exe"=
"C:\\Programme\\alaplaya\\S4League\\S4Client.exe"=
"C:\\Programme\\MAIET\\Gunz3\\GunzLauncher.exe"=
"C:\\Programme\\MAIET\\Gunz3\\Gunz.exe"=
"C:\\Dokumente und Einstellungen\\xxxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\MatchAgent\\MatchAgent.exe"=
"C:\\wamp\\bin\\apache\\apache2.2.8\\bin\\httpd.exe"=
"C:\\Dokumente und Einstellungen\\xxxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\MatchServer\\MatchServer.exe"=
"C:\\Dokumente und Einstellungen\\xxxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\Locator\\Locator.exe"=
"C:\\Dokumente und Einstellungen\\xxxxxx\\Desktop\\Server Files\\rarpakete\\Gunz Client\\theduel.exe"=
"C:\\GunzServer\\MatchServer\\MatchServer.exe"=
"C:\\GunzServer\\Locator\\Locator.exe"=
"C:\\GunzServer\\MatchAgent\\MatchAgent.exe"=
"C:\\Programme\\slashgunz\\Slash Gunz\\theduel.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\rarpakete\\Gunz Client\\ToffiGunz\\theduel.exe"=
"C:\\Programme\\eurogunzv8\\Euro8gz.exe"=
"C:\\Programme\\Fakegaming Gunz\\theduel.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\ctfmon.exe"=
"C:\\WINDOWS\\system32\\NeroCheck.exe"=
"C:\\Programme\\Yahoo!\\Common\\unyt.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Logitech\\SetPoint\\SetPoint.exe"=
"C:\\Programme\\Logitech\\SetPoint\\LU\\LULnchr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe"=
"C:\\Programme\\QuickTime\\qttask.exe"=
"C:\\WINDOWS\\SOUNDMAN.EXE"=
"C:\\ComboFix\\NirCmd.cfexe"=
"C:\\WINDOWS\\system32\\CF19780.exe"=
"C:\\ComboFix\\nircmd.com"=
"C:\\DOKUME~1\\xxxxxx\\LOKALE~1\\Temp\\winqjtkw.exe"=
"C:\\DOKUME~1\\xxxxxx\\LOKALE~1\\Temp\\winnhax.exe"=
"C:\\DOKUME~1\\xxxxxx\\LOKALE~1\\Temp\\ryxhvv.exe"=

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 22016]
R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2006-03-20 10899]
R2 dexwsrv;DeX Anticheat Monitor Service;C:\Programme\DeX Anticheat\dexwsrv.exe [2008-09-18 196096]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 abp470n5;abp470n5;C:\WINDOWS\system32\drivers\oklqgl.sys [ ]
R3 dexkdrv;DeX Anticheat Kernel Service;C:\Programme\DeX Anticheat\dexkdrv.sys [2008-09-15 54148]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2008-02-26 43520]
S0 slbgmcb;slbgmcb;C:\WINDOWS\system32\drivers\iwadgw.sys [ ]
S2 AVWUpSrv;AntiVir Update;C:\Programme\AVPersonal\AVWUPSRV.EXE [ ]
S2 DynDNS_Updater_Service;DynDNS Updater Service;C:\Programme\DynDNS Updater\DynDNS.exe [ ]
S2 HCW848NT;Hauppauge Win/TV;C:\WINDOWS\system32\DRIVERS\hcw848nt.sys [1999-03-09 62140]
S2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [ ]
S2 TmpUpSrv;AntiVir Update Temp;C:\DOKUME~1\xxxxxx\LOKALE~1\TEMP\_VWUPSRV.EXE [ ]
S3 cm1123264;C-Media CM112 UDAX Sound Interface;C:\WINDOWS\system32\drivers\cm112.sys [ ]
S3 cmudau32;C-Media USB UDA Sound Interface;C:\WINDOWS\system32\drivers\cmudaxu.sys [2006-08-09 1419840]
S3 Dua1;Dua1;C:\DOKUME~1\xxxxx\LOKALE~1\Temp\Rar$EX07.134\Dualengine\DualEngi.sys [ ]
S3 Game;Game;C:\Programme\GAMENAO\GNGunZ\GameProtect.gnp [ ]
S3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\drivers\lccfltr.sys [2002-07-09 13724]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-09-03 361216]
S3 wampapache;wampapache;c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe [2008-01-18 24635]
S3 wampmysqld;wampmysqld;c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe wampmysqld [ ]
S3 XDva009;XDva009;C:\WINDOWS\system32\XDva009.sys [ ]
S3 XDva120;XDva120;C:\WINDOWS\system32\XDva120.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-01 17:22]

2008-10-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-WindowsRegKey%$ update - msi332.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\jn91bwp6.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.bigpoint.com
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h..p://www.gmer.net
Rootkit scan 2008-10-17 12:25:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Game]
"ImagePath"="\??\C:\Programme\GAMENAO\GNGunZ\GameProtect.gnp"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
C:\WINDOWS\system32\notepad.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winqjtkw.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winnhax.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\ryxhvv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-17 12:37:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-17 10:37:17

Vor Suchlauf: 9.481.830.400 Bytes frei
Nach Suchlauf: 9,401,761,792 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

294
         
ich hoffe hab es richtig gemacht bisdahin 10000000 dank schon mal für die mühe


Alt 17.10.2008, 12:19   #6
myrtille
/// TB-Ausbilder
 
bitte um hilfe - Standard

bitte um hilfe



Also ich kann nur nochmal sagen: Neuaufsetzen wäre defintiiv sicherer und schneller.

Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
xxxxx bitte durch deinen Benutzernamen ersetzen!!!
Code:
ATTFilter
file::
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winqjtkw.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winnhax.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\ryxhvv.exe
C:\WINDOWS\system32\wcdrtc32.dl_
C:\WINDOWS\TASKMAN.EXE
C:\WINDOWS\system32\drivers\oklqgl.
C:\WINDOWS\system32\drivers\iwadgw.sys
C:\WINDOWS\system32\XDva009.sys
C:\WINDOWS\system32\XDva120.sys

registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\DOKUME~1\\xxxxxx\\LOKALE~1\\Temp\\winqjtkw.exe"=-
"C:\\DOKUME~1\\xxxxxx\\LOKALE~1\\Temp\\winnhax.exe"=-
"C:\\DOKUME~1\\xxxxxx\\LOKALE~1\\Temp\\ryxhvv.exe"=-

driver::
abp470n5
slbgmcb
TmpUpSrv
XDva009
XDva120
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


lg myrtille
__________________
--> bitte um hilfe

Alt 17.10.2008, 12:41   #7
kayjoa
 
bitte um hilfe - Standard

bitte um hilfe



habe ich gemacht combofix schreibt
combofix .exe hat einen fehler verursacht und muste beendet werden
Zitat:
problem signatur
appname:combofix.exe appver:0.0.0.0 modname:combofix.exe
modver:0.0.0.0 offset00025042

Alt 17.10.2008, 12:49   #8
myrtille
/// TB-Ausbilder
 
bitte um hilfe - Standard

bitte um hilfe



Hi,
dann lade bitte eine neue Version von Combofix herunter und fahre wie vorhin beschrieben fort.

Du hast einen FileInfector an Bord, ein Programm das ausführbare Dateien modifiziert.

Und auch wenn du es wahrscheinlich nicht nochmal hören willst: Neuaufsetzen sit einfacher und schneller.
lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 17.10.2008, 13:21   #9
kayjoa
 
bitte um hilfe - Standard

bitte um hilfe



Code:
ATTFilter
ComboFix 08-10-16.08 - xxxxx 2008-10-17 13:52:44.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.612 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\xxxxx\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\DOKUME~1\xxxxx\LOKALE~1\temp\ryxhvv.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winnhax.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winqjtkw.exe
C:\WINDOWS\system32\drivers\iwadgw.sys
C:\WINDOWS\system32\drivers\oklqgl.
C:\WINDOWS\system32\wcdrtc32.dl_
C:\WINDOWS\system32\XDva009.sys
C:\WINDOWS\system32\XDva120.sys
C:\WINDOWS\TASKMAN.EXE
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\wcdrtc32.dl_
C:\WINDOWS\TASKMAN.EXE

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ABP470N5
-------\Legacy_TMPUPSRV
-------\Legacy_XDVA009
-------\Legacy_XDVA120
-------\Service_abp470n5
-------\Service_slbgmcb
-------\Service_TmpUpSrv
-------\Service_XDva009
-------\Service_XDva120


(((((((((((((((((((((((   Dateien erstellt von 2008-09-17 bis 2008-10-17  ))))))))))))))))))))))))))))))
.

2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Malwarebytes
2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-17 03:35 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-17 03:35 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-17 00:47 . 2008-10-17 00:47	<DIR>	d--------	C:\Programme\Lavasoft
2008-10-17 00:47 . 2008-10-17 00:47	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-17 00:31 . 2008-10-17 00:31	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal
2008-10-17 00:18 . 2008-10-17 00:18	<DIR>	d--------	C:\Programme\Alwil Software
2008-10-16 23:37 . 2008-10-16 23:37	<DIR>	d--------	C:\Dokumente und Einstellungen\the sims 2\Anwendungsdaten\Talkback
2008-10-16 23:03 . 2008-10-16 23:03	<DIR>	d--------	C:\Programme\CCleaner
2008-10-16 21:42 . 2004-08-21 16:25	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Vorlagen
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	dr-------	C:\Dokumente und Einstellungen\Gast\Startmenü
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung
2008-10-16 21:42 . 2008-10-17 12:37	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Gast\Favoriten
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	dr-------	C:\Dokumente und Einstellungen\Gast\Eigene Dateien
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Druckumgebung
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Gast\Anwendungsdaten
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Gast
2008-10-16 17:21 . 2008-10-16 17:21	31	--a------	C:\WINDOWS\Slash Gunz Launcher.INI
2008-10-15 08:12 . 2008-10-15 08:12	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-10-15 08:12 . 2008-10-15 08:12	1,409	--a------	C:\WINDOWS\QTFont.for
2008-10-15 07:42 . 2008-10-15 07:42	<DIR>	d--------	C:\Programme\EvilGamerZ
2008-10-12 21:58 . 2008-10-12 21:58	31	--a------	C:\WINDOWS\RG Launcher1.INI
2008-10-11 02:47 . 2008-10-16 03:23	<DIR>	d--------	C:\Programme\Fakegaming Gunz
2008-10-10 02:46 . 2008-10-15 17:14	<DIR>	d--------	C:\Programme\eurogunzv8
2008-10-06 22:24 . 2008-10-09 03:07	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Hamachi
2008-10-06 22:23 . 2008-10-06 22:24	<DIR>	d--------	C:\Programme\Hamachi
2008-10-06 22:23 . 2008-10-06 22:23	25,280	--a------	C:\WINDOWS\system32\drivers\hamachi.sys
2008-10-06 18:53 . 2008-10-06 18:53	<DIR>	d--------	C:\Programme\ImTOO
2008-10-04 23:18 . 2008-10-04 23:18	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Kana Solution
2008-10-04 01:33 . 2008-10-04 01:36	<DIR>	d--------	C:\wamp
2008-10-03 23:52 . 2008-10-07 00:44	<DIR>	d--------	C:\Programme\NVIDIA Corporation
2008-10-02 13:47 . 2008-10-02 13:47	<DIR>	d--------	C:\GunzServer
2008-09-30 23:49 . 2008-09-30 23:49	<DIR>	d--------	C:\Programme\BreakPoint Software
2008-09-30 23:41 . 2008-09-30 23:41	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\PE Explorer
2008-09-30 23:40 . 2008-10-01 00:14	<DIR>	d--------	C:\Programme\PE Explorer
2008-09-30 22:54 . 2008-10-07 03:23	<DIR>	d--------	C:\Programme\Microsoft SQL Server
2008-09-30 22:54 . 2008-09-30 22:56	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-19 21:47 . 2008-09-19 22:00	<DIR>	d--------	C:\Programme\DeX Anticheat
2008-09-19 00:06 . 2008-04-23 14:02	157,152	--a------	C:\WINDOWS\system32\PubPlugin.dll
2008-09-18 01:35 . 2008-09-18 01:36	<DIR>	d--------	C:\virtual basic sachen
2008-09-17 17:47 . 2008-09-17 17:48	96	--ah-----	C:\WINDOWS\system32\HsInfo.dat
2008-09-17 17:43 . 2008-09-17 17:43	<DIR>	d--------	C:\Programme\alaplaya

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-16 22:46	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-16 22:21	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-16 21:43	---------	d-----w	C:\Programme\Yahoo!
2008-10-16 18:47	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Skype
2008-10-16 16:48	15,872	----a-w	C:\WINDOWS\taskman.exe
2008-10-15 23:34	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-15 20:01	---------	d-----w	C:\Programme\Trillian
2008-10-15 16:53	---------	d-----w	C:\Programme\RestyleGunZ
2008-10-14 14:49	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-10-14 14:49	---------	d-----w	C:\Programme\Electronic Arts
2008-10-12 13:32	---------	d-----w	C:\Programme\Daemons Ring Gunz
2008-10-06 16:05	---------	d-----w	C:\Programme\PokerStars
2008-10-03 21:50	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-10-01 20:49	24	----a-w	C:\Dokumente und Einstellungen\xxxxx\jagex_runescape_preferences.dat
2008-09-30 21:03	---------	d-----w	C:\Programme\Microsoft.NET
2008-09-29 22:12	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\gtk-2.0
2008-09-29 07:41	---------	d-----w	C:\Programme\MAIET
2008-09-24 08:11	---------	d-----w	C:\Programme\ICQ6
2008-09-20 20:02	---------	d--h--w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\ijjigame
2008-09-19 21:21	7,680	--sha-w	C:\WINDOWS\system32\drivers\Thumbs.db
2008-09-15 18:14	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\teamspeak2
2008-09-13 12:31	---------	d-----w	C:\Programme\xp-Iso-Builder
2008-09-10 19:54	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Sony
2008-09-10 19:54	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2008-09-10 19:47	---------	d-----w	C:\Programme\Sony Ericsson
2008-09-10 19:47	---------	d-----w	C:\Programme\Sony
2008-09-10 19:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Sony Shared
2008-09-10 19:24	---------	d-----w	C:\Programme\Sony Setup
2008-09-08 21:05	---------	d-----w	C:\Programme\GtkRadiant 1.5.0
2008-09-04 18:13	---------	d-----w	C:\Programme\MultiRes
2008-09-04 10:59	0	---ha-w	C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-09-02 23:07	---------	d-----w	C:\Programme\TuneUp Utilities 2008
2008-09-02 11:50	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logitech
2008-09-02 11:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logishrd
2008-08-21 16:24	---------	d-----w	C:\Programme\slashgunz
2008-02-12 21:05	10,352	----a-w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\wklnhst.dat
2007-03-25 13:10	178	----a-w	C:\Dokumente und Einstellungen\the sims 2\Anwendungsdaten\wklnhst.dat
2005-12-23 04:12	55,760	----a-w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-05-20 15:50	56	--sh--r	C:\WINDOWS\system32\78B0C9EF07.sys
2005-05-20 15:50	5,852	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 237568]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 491520]
"KAVPersonal50"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2006-03-20 94311]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 C:\WINDOWS\SOUNDMAN.EXE]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2008-05-26 879120]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"MSVideo"= o100vc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"SoundMan"=SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\MAIET\\Gunz\\GunzLauncher.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\ijji\\ENGLISH\\u_skid.exe"=
"C:\\Programme\\Daemons Ring GunZ\\DRGunZ.exe"=
"C:\\ijji\\ENGLISH\\u_gunz.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\EvilGamerZ\\EvilGunz Client V\\theduel.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\temp\\TeamViewer3\\TeamViewer.exe"=
"C:\\Programme\\slashgunz\\Slash Gunz\\Slash Gunz.exe"=
"C:\\Programme\\GtkRadiant 1.5.0\\GtkRadiant.exe"=
"C:\\Programme\\MAIET\\Gunz\\Gunz.exe"=
"C:\\ijji\\ENGLISH\\u_goonzu.exe"=
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\ultimate\\TheDuel.exe"=
"C:\\Programme\\RestyleGunZ\\theduel.exe"=
"C:\\Programme\\alaplaya\\S4League\\S4Client.exe"=
"C:\\Programme\\MAIET\\Gunz3\\GunzLauncher.exe"=
"C:\\Programme\\MAIET\\Gunz3\\Gunz.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\MatchAgent\\MatchAgent.exe"=
"C:\\wamp\\bin\\apache\\apache2.2.8\\bin\\httpd.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\MatchServer\\MatchServer.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\Locator\\Locator.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\rarpakete\\Gunz Client\\theduel.exe"=
"C:\\GunzServer\\MatchServer\\MatchServer.exe"=
"C:\\GunzServer\\Locator\\Locator.exe"=
"C:\\GunzServer\\MatchAgent\\MatchAgent.exe"=
"C:\\Programme\\slashgunz\\Slash Gunz\\theduel.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\rarpakete\\Gunz Client\\ToffiGunz\\theduel.exe"=
"C:\\Programme\\eurogunzv8\\Euro8gz.exe"=
"C:\\Programme\\Fakegaming Gunz\\theduel.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\ctfmon.exe"=
"C:\\WINDOWS\\system32\\NeroCheck.exe"=
"C:\\Programme\\Yahoo!\\Common\\unyt.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Logitech\\SetPoint\\SetPoint.exe"=
"C:\\Programme\\Logitech\\SetPoint\\LU\\LULnchr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe"=
"C:\\Programme\\QuickTime\\qttask.exe"=
"C:\\WINDOWS\\SOUNDMAN.EXE"=
"C:\\ComboFix\\NirCmd.cfexe"=
"C:\\ComboFix\\nircmd.com"=
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\winlkuq.exe"=
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\winncjkcy.exe"=

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 22016]
R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2006-03-20 10899]
R2 dexwsrv;DeX Anticheat Monitor Service;C:\Programme\DeX Anticheat\dexwsrv.exe [2008-09-18 196096]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 dexkdrv;DeX Anticheat Kernel Service;C:\Programme\DeX Anticheat\dexkdrv.sys [2008-09-15 54148]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2008-02-26 43520]
S2 AVWUpSrv;AntiVir Update;C:\Programme\AVPersonal\AVWUPSRV.EXE [ ]
S2 DynDNS_Updater_Service;DynDNS Updater Service;C:\Programme\DynDNS Updater\DynDNS.exe [ ]
S2 HCW848NT;Hauppauge Win/TV;C:\WINDOWS\system32\DRIVERS\hcw848nt.sys [1999-03-09 62140]
S2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [ ]
S3 cm1123264;C-Media CM112 UDAX Sound Interface;C:\WINDOWS\system32\drivers\cm112.sys [ ]
S3 cmudau32;C-Media USB UDA Sound Interface;C:\WINDOWS\system32\drivers\cmudaxu.sys [2006-08-09 1419840]
S3 Dua1;Dua1;C:\DOKUME~1\xxxxx\LOKALE~1\Temp\Rar$EX07.134\Dualengine\DualEngi.sys [ ]
S3 Game;Game;C:\Programme\GAMENAO\GNGunZ\GameProtect.gnp [ ]
S3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\drivers\lccfltr.sys [2002-07-09 13724]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-09-03 361216]
S3 wampapache;wampapache;c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe [2008-01-18 24635]
S3 wampmysqld;wampmysqld;c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe wampmysqld [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

*Newly Created Service* - ABP470N5
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-01 17:22]

2008-10-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h..p://www.gmer.net
Rootkit scan 2008-10-17 14:00:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\drivers\oklqgl.sys 5669 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\abp470n5]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\oklqgl.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Game]
"ImagePath"="\??\C:\Programme\GAMENAO\GNGunZ\GameProtect.gnp"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winlkuq.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winncjkcy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-17 14:13:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-17 12:13:18
ComboFix2.txt  2008-10-17 10:37:24

Vor Suchlauf: 9.669.468.160 Bytes frei
Nach Suchlauf: 9,648,246,784 Bytes frei

289
         

ps


ich weis werd ich in nächster zeit dann auch machen muss neue festplatte besorgen und schaun wenn alles stabil läuft das ich es sicher.wenn ich richtig gelesen hab muss ich festplatte wieder in neuzustand bringen (dann ist alles wichtige weg ) ich hoffe es macht dir nicht zu viel arbeit aber das dauert noch 1 monat wenigstens

mfg kay
10000 dank
kann ich garnicht oft genug machen für die mühe !!!!!!!!!!!!!!!!

Alt 17.10.2008, 13:23   #10
myrtille
/// TB-Ausbilder
 
bitte um hilfe - Standard

bitte um hilfe



Hi,
mach bitte folgendes:

Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
xxxxx bitte durch deinen Benutzernamen ersetzen!!!
Code:
ATTFilter
file::
C:\WINDOWS\system32\drivers\oklqgl.sys
C:\WINDOWS\taskman.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winlkuq.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winncjkcy.exe
registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\winlkuq.exe"=-
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\winncjkcy.exe"=-
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (17.10.2008 um 13:30 Uhr)

Alt 17.10.2008, 13:54   #11
kayjoa
 
bitte um hilfe - Standard

bitte um hilfe



Code:
ATTFilter
ComboFix 08-10-16.08 - xxxxx 2008-10-17 14:36:16.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.568 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\xxxxx\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winlkuq.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winncjkcy.exe
C:\WINDOWS\system32\drivers\oklqgl.sys
C:\WINDOWS\taskman.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\taskman.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-17 bis 2008-10-17  ))))))))))))))))))))))))))))))
.

2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Malwarebytes
2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-17 03:35 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-17 03:35 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-17 00:47 . 2008-10-17 00:47	<DIR>	d--------	C:\Programme\Lavasoft
2008-10-17 00:47 . 2008-10-17 00:47	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-17 00:31 . 2008-10-17 00:31	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal
2008-10-17 00:18 . 2008-10-17 00:18	<DIR>	d--------	C:\Programme\Alwil Software
2008-10-16 23:37 . 2008-10-16 23:37	<DIR>	d--------	C:\Dokumente und Einstellungen\the sims 2\Anwendungsdaten\Talkback
2008-10-16 23:03 . 2008-10-16 23:03	<DIR>	d--------	C:\Programme\CCleaner
2008-10-16 21:42 . 2004-08-21 16:25	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Vorlagen
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	dr-------	C:\Dokumente und Einstellungen\Gast\Startmenü
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung
2008-10-16 21:42 . 2008-10-17 14:37	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Gast\Favoriten
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	dr-------	C:\Dokumente und Einstellungen\Gast\Eigene Dateien
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Druckumgebung
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Gast\Anwendungsdaten
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Gast
2008-10-16 17:21 . 2008-10-16 17:21	31	--a------	C:\WINDOWS\Slash Gunz Launcher.INI
2008-10-15 08:12 . 2008-10-15 08:12	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-10-15 08:12 . 2008-10-15 08:12	1,409	--a------	C:\WINDOWS\QTFont.for
2008-10-15 07:42 . 2008-10-15 07:42	<DIR>	d--------	C:\Programme\EvilGamerZ
2008-10-12 21:58 . 2008-10-12 21:58	31	--a------	C:\WINDOWS\RG Launcher1.INI
2008-10-11 02:47 . 2008-10-16 03:23	<DIR>	d--------	C:\Programme\Fakegaming Gunz
2008-10-10 02:46 . 2008-10-15 17:14	<DIR>	d--------	C:\Programme\eurogunzv8
2008-10-06 22:24 . 2008-10-09 03:07	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Hamachi
2008-10-06 22:23 . 2008-10-06 22:24	<DIR>	d--------	C:\Programme\Hamachi
2008-10-06 22:23 . 2008-10-06 22:23	25,280	--a------	C:\WINDOWS\system32\drivers\hamachi.sys
2008-10-06 18:53 . 2008-10-06 18:53	<DIR>	d--------	C:\Programme\ImTOO
2008-10-04 23:18 . 2008-10-04 23:18	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Kana Solution
2008-10-04 01:33 . 2008-10-04 01:36	<DIR>	d--------	C:\wamp
2008-10-03 23:52 . 2008-10-07 00:44	<DIR>	d--------	C:\Programme\NVIDIA Corporation
2008-10-02 13:47 . 2008-10-02 13:47	<DIR>	d--------	C:\GunzServer
2008-09-30 23:49 . 2008-09-30 23:49	<DIR>	d--------	C:\Programme\BreakPoint Software
2008-09-30 23:41 . 2008-09-30 23:41	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\PE Explorer
2008-09-30 23:40 . 2008-10-01 00:14	<DIR>	d--------	C:\Programme\PE Explorer
2008-09-30 22:54 . 2008-10-07 03:23	<DIR>	d--------	C:\Programme\Microsoft SQL Server
2008-09-30 22:54 . 2008-09-30 22:56	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-19 21:47 . 2008-09-19 22:00	<DIR>	d--------	C:\Programme\DeX Anticheat
2008-09-19 00:06 . 2008-04-23 14:02	157,152	--a------	C:\WINDOWS\system32\PubPlugin.dll
2008-09-18 01:35 . 2008-09-18 01:36	<DIR>	d--------	C:\virtual basic sachen
2008-09-17 17:47 . 2008-09-17 17:48	96	--ah-----	C:\WINDOWS\system32\HsInfo.dat
2008-09-17 17:43 . 2008-09-17 17:43	<DIR>	d--------	C:\Programme\alaplaya

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-16 22:46	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-16 22:21	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-16 21:43	---------	d-----w	C:\Programme\Yahoo!
2008-10-16 18:47	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Skype
2008-10-16 16:48	15,872	----a-w	C:\WINDOWS\taskman.exe
2008-10-15 23:34	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-15 20:01	---------	d-----w	C:\Programme\Trillian
2008-10-15 16:53	---------	d-----w	C:\Programme\RestyleGunZ
2008-10-14 14:49	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-10-14 14:49	---------	d-----w	C:\Programme\Electronic Arts
2008-10-12 13:32	---------	d-----w	C:\Programme\Daemons Ring Gunz
2008-10-06 16:05	---------	d-----w	C:\Programme\PokerStars
2008-10-03 21:50	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-10-01 20:49	24	----a-w	C:\Dokumente und Einstellungen\xxxxx\jagex_runescape_preferences.dat
2008-09-30 21:03	---------	d-----w	C:\Programme\Microsoft.NET
2008-09-29 22:12	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\gtk-2.0
2008-09-29 07:41	---------	d-----w	C:\Programme\MAIET
2008-09-24 08:11	---------	d-----w	C:\Programme\ICQ6
2008-09-20 20:02	---------	d--h--w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\ijjigame
2008-09-19 21:21	7,680	--sha-w	C:\WINDOWS\system32\drivers\Thumbs.db
2008-09-15 18:14	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\teamspeak2
2008-09-13 12:31	---------	d-----w	C:\Programme\xp-Iso-Builder
2008-09-10 19:54	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Sony
2008-09-10 19:54	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2008-09-10 19:47	---------	d-----w	C:\Programme\Sony Ericsson
2008-09-10 19:47	---------	d-----w	C:\Programme\Sony
2008-09-10 19:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Sony Shared
2008-09-10 19:24	---------	d-----w	C:\Programme\Sony Setup
2008-09-08 21:05	---------	d-----w	C:\Programme\GtkRadiant 1.5.0
2008-09-04 18:13	---------	d-----w	C:\Programme\MultiRes
2008-09-04 10:59	0	---ha-w	C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-09-02 23:07	---------	d-----w	C:\Programme\TuneUp Utilities 2008
2008-09-02 23:06	361,216	----a-w	C:\WINDOWS\system32\TuneUpDefragService.exe
2008-09-02 11:50	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logitech
2008-09-02 11:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logishrd
2008-08-21 16:24	---------	d-----w	C:\Programme\slashgunz
2008-07-23 16:48	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-02-12 21:05	10,352	----a-w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\wklnhst.dat
2007-03-25 13:10	178	----a-w	C:\Dokumente und Einstellungen\the sims 2\Anwendungsdaten\wklnhst.dat
2005-12-23 04:12	55,760	----a-w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-05-20 15:50	56	--sh--r	C:\WINDOWS\system32\78B0C9EF07.sys
2005-05-20 15:50	5,852	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 237568]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 491520]
"KAVPersonal50"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2006-03-20 94311]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 C:\WINDOWS\SOUNDMAN.EXE]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2008-05-26 879120]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"MSVideo"= o100vc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"SoundMan"=SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\MAIET\\Gunz\\GunzLauncher.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\ijji\\ENGLISH\\u_skid.exe"=
"C:\\Programme\\Daemons Ring GunZ\\DRGunZ.exe"=
"C:\\ijji\\ENGLISH\\u_gunz.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\EvilGamerZ\\EvilGunz Client V\\theduel.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\temp\\TeamViewer3\\TeamViewer.exe"=
"C:\\Programme\\slashgunz\\Slash Gunz\\Slash Gunz.exe"=
"C:\\Programme\\GtkRadiant 1.5.0\\GtkRadiant.exe"=
"C:\\Programme\\MAIET\\Gunz\\Gunz.exe"=
"C:\\ijji\\ENGLISH\\u_goonzu.exe"=
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\ultimate\\TheDuel.exe"=
"C:\\Programme\\RestyleGunZ\\theduel.exe"=
"C:\\Programme\\alaplaya\\S4League\\S4Client.exe"=
"C:\\Programme\\MAIET\\Gunz3\\GunzLauncher.exe"=
"C:\\Programme\\MAIET\\Gunz3\\Gunz.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\MatchAgent\\MatchAgent.exe"=
"C:\\wamp\\bin\\apache\\apache2.2.8\\bin\\httpd.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\MatchServer\\MatchServer.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\Locator\\Locator.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\rarpakete\\Gunz Client\\theduel.exe"=
"C:\\GunzServer\\MatchServer\\MatchServer.exe"=
"C:\\GunzServer\\Locator\\Locator.exe"=
"C:\\GunzServer\\MatchAgent\\MatchAgent.exe"=
"C:\\Programme\\slashgunz\\Slash Gunz\\theduel.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\rarpakete\\Gunz Client\\ToffiGunz\\theduel.exe"=
"C:\\Programme\\eurogunzv8\\Euro8gz.exe"=
"C:\\Programme\\Fakegaming Gunz\\theduel.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\ctfmon.exe"=
"C:\\WINDOWS\\system32\\NeroCheck.exe"=
"C:\\Programme\\Yahoo!\\Common\\unyt.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Logitech\\SetPoint\\SetPoint.exe"=
"C:\\Programme\\Logitech\\SetPoint\\LU\\LULnchr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe"=
"C:\\Programme\\QuickTime\\qttask.exe"=
"C:\\WINDOWS\\SOUNDMAN.EXE"=
"C:\\ComboFix\\NirCmd.cfexe"=
"C:\\ComboFix\\nircmd.com"=
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\winmqymsy.exe"=
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\ulid.exe"=
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\wintwcr.exe"=
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\ofyeca.exe"=

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 22016]
R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2006-03-20 10899]
R2 dexwsrv;DeX Anticheat Monitor Service;C:\Programme\DeX Anticheat\dexwsrv.exe [2008-09-18 196096]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 dexkdrv;DeX Anticheat Kernel Service;C:\Programme\DeX Anticheat\dexkdrv.sys [2008-09-15 54148]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2008-02-26 43520]
S2 AVWUpSrv;AntiVir Update;C:\Programme\AVPersonal\AVWUPSRV.EXE [ ]
S2 DynDNS_Updater_Service;DynDNS Updater Service;C:\Programme\DynDNS Updater\DynDNS.exe [ ]
S2 HCW848NT;Hauppauge Win/TV;C:\WINDOWS\system32\DRIVERS\hcw848nt.sys [1999-03-09 62140]
S2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [ ]
S3 cm1123264;C-Media CM112 UDAX Sound Interface;C:\WINDOWS\system32\drivers\cm112.sys [ ]
S3 cmudau32;C-Media USB UDA Sound Interface;C:\WINDOWS\system32\drivers\cmudaxu.sys [2006-08-09 1419840]
S3 Dua1;Dua1;C:\DOKUME~1\xxxxx\LOKALE~1\Temp\Rar$EX07.134\Dualengine\DualEngi.sys [ ]
S3 Game;Game;C:\Programme\GAMENAO\GNGunZ\GameProtect.gnp [ ]
S3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\drivers\lccfltr.sys [2002-07-09 13724]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-09-03 361216]
S3 wampapache;wampapache;c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe [2008-01-18 24635]
S3 wampmysqld;wampmysqld;c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe wampmysqld [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

*Newly Created Service* - ABP470N5
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-01 17:22]

2008-10-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h..p://www.gmer.net
Rootkit scan 2008-10-17 14:37:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


C:\DOKUME~1\xxxxx\LOKALE~1\Temp\RGIC.tmp
C:\WINDOWS\taskman.exe 15872 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Game]
"ImagePath"="\??\C:\Programme\GAMENAO\GNGunZ\GameProtect.gnp"
.
Zeit der Fertigstellung: 2008-10-17 14:45:19
ComboFix-quarantined-files.txt  2008-10-17 12:45:12
ComboFix2.txt  2008-10-17 12:13:27
ComboFix3.txt  2008-10-17 10:37:24

Vor Suchlauf: 9.618.542.592 Bytes frei
Nach Suchlauf: 9,599,696,896 Bytes frei

262
         

Alt 17.10.2008, 14:13   #12
myrtille
/// TB-Ausbilder
 
bitte um hilfe - Standard

bitte um hilfe



Hi,

das bringt irgendwie nicht viel.
Kannst du einen Onlinescan versuchen? Arbeite den Scan mit DrWeb aus dem Anleitungen-Forum ab.
Ohne Onlinescan werden wir wahrscheinlich nicht die infizierten Dateien identifizieren können.

Trenne den Rechner danach bitte vorerst vom Internet.
Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
file::
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\RGIC.tmp
C:\WINDOWS\taskman.exe
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\winmqymsy.exe
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\ulid.exe
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\wintwcr.exe
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\ofyeca.exe

registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=-
"DisableRegistryTools"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\winmqymsy.exe"=-
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\ulid.exe"=-
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\wintwcr.exe"=-
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\ofyeca.exe"=-
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 17.10.2008, 15:38   #13
kayjoa
 
bitte um hilfe - Standard

bitte um hilfe



Code:
ATTFilter
ComboFix 08-10-16.08 - xxxxx 2008-10-17 16:09:37.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.632 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\xxxxx\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\ofyeca.exe
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\RGIC.tmp
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\ulid.exe
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\winmqymsy.exe
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\wintwcr.exe
C:\WINDOWS\taskman.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\taskman.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-17 bis 2008-10-17  ))))))))))))))))))))))))))))))
.

2008-10-17 15:49 . 2008-06-19 17:24	28,544	--a------	C:\WINDOWS\system32\drivers\pavboot.sys
2008-10-17 15:48 . 2008-10-17 15:48	<DIR>	d--------	C:\Programme\Panda Security
2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Malwarebytes
2008-10-17 03:35 . 2008-10-17 03:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-17 03:35 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-17 03:35 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-17 00:47 . 2008-10-17 00:47	<DIR>	d--------	C:\Programme\Lavasoft
2008-10-17 00:47 . 2008-10-17 00:47	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-17 00:31 . 2008-10-17 00:31	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal
2008-10-17 00:18 . 2008-10-17 00:18	<DIR>	d--------	C:\Programme\Alwil Software
2008-10-16 23:37 . 2008-10-16 23:37	<DIR>	d--------	C:\Dokumente und Einstellungen\the sims 2\Anwendungsdaten\Talkback
2008-10-16 23:03 . 2008-10-16 23:03	<DIR>	d--------	C:\Programme\CCleaner
2008-10-16 21:42 . 2004-08-21 16:25	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Vorlagen
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	dr-------	C:\Dokumente und Einstellungen\Gast\Startmenü
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung
2008-10-16 21:42 . 2008-10-17 14:45	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Gast\Favoriten
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	dr-------	C:\Dokumente und Einstellungen\Gast\Eigene Dateien
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gast\Druckumgebung
2008-10-16 21:42 . 2004-08-21 17:16	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Gast\Anwendungsdaten
2008-10-16 21:42 . 2008-10-16 21:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Gast
2008-10-16 17:21 . 2008-10-16 17:21	31	--a------	C:\WINDOWS\Slash Gunz Launcher.INI
2008-10-15 08:12 . 2008-10-15 08:12	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-10-15 08:12 . 2008-10-15 08:12	1,409	--a------	C:\WINDOWS\QTFont.for
2008-10-15 07:42 . 2008-10-15 07:42	<DIR>	d--------	C:\Programme\EvilGamerZ
2008-10-12 21:58 . 2008-10-12 21:58	31	--a------	C:\WINDOWS\RG Launcher1.INI
2008-10-11 02:47 . 2008-10-16 03:23	<DIR>	d--------	C:\Programme\Fakegaming Gunz
2008-10-10 02:46 . 2008-10-15 17:14	<DIR>	d--------	C:\Programme\eurogunzv8
2008-10-06 22:24 . 2008-10-09 03:07	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Hamachi
2008-10-06 22:23 . 2008-10-06 22:24	<DIR>	d--------	C:\Programme\Hamachi
2008-10-06 22:23 . 2008-10-06 22:23	25,280	--a------	C:\WINDOWS\system32\drivers\hamachi.sys
2008-10-06 18:53 . 2008-10-06 18:53	<DIR>	d--------	C:\Programme\ImTOO
2008-10-04 23:18 . 2008-10-04 23:18	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Kana Solution
2008-10-04 01:33 . 2008-10-04 01:36	<DIR>	d--------	C:\wamp
2008-10-03 23:52 . 2008-10-07 00:44	<DIR>	d--------	C:\Programme\NVIDIA Corporation
2008-10-02 13:47 . 2008-10-02 13:47	<DIR>	d--------	C:\GunzServer
2008-09-30 23:49 . 2008-09-30 23:49	<DIR>	d--------	C:\Programme\BreakPoint Software
2008-09-30 23:41 . 2008-09-30 23:41	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\PE Explorer
2008-09-30 23:40 . 2008-10-01 00:14	<DIR>	d--------	C:\Programme\PE Explorer
2008-09-30 22:54 . 2008-10-07 03:23	<DIR>	d--------	C:\Programme\Microsoft SQL Server
2008-09-30 22:54 . 2008-09-30 22:56	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-19 21:47 . 2008-09-19 22:00	<DIR>	d--------	C:\Programme\DeX Anticheat
2008-09-19 00:06 . 2008-04-23 14:02	157,152	--a------	C:\WINDOWS\system32\PubPlugin.dll
2008-09-18 01:35 . 2008-09-18 01:36	<DIR>	d--------	C:\virtual basic sachen
2008-09-17 17:47 . 2008-09-17 17:48	96	--ah-----	C:\WINDOWS\system32\HsInfo.dat
2008-09-17 17:43 . 2008-09-17 17:43	<DIR>	d--------	C:\Programme\alaplaya

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-16 22:46	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-16 22:21	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-16 21:43	---------	d-----w	C:\Programme\Yahoo!
2008-10-16 18:47	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Skype
2008-10-15 23:34	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-15 20:01	---------	d-----w	C:\Programme\Trillian
2008-10-15 16:53	---------	d-----w	C:\Programme\RestyleGunZ
2008-10-14 14:49	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-10-14 14:49	---------	d-----w	C:\Programme\Electronic Arts
2008-10-12 13:32	---------	d-----w	C:\Programme\Daemons Ring Gunz
2008-10-06 16:05	---------	d-----w	C:\Programme\PokerStars
2008-10-03 21:50	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-10-01 20:49	24	----a-w	C:\Dokumente und Einstellungen\xxxxx\jagex_runescape_preferences.dat
2008-09-30 21:03	---------	d-----w	C:\Programme\Microsoft.NET
2008-09-29 22:12	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\gtk-2.0
2008-09-29 07:41	---------	d-----w	C:\Programme\MAIET
2008-09-24 08:11	---------	d-----w	C:\Programme\ICQ6
2008-09-20 20:02	---------	d--h--w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\ijjigame
2008-09-19 21:21	7,680	--sha-w	C:\WINDOWS\system32\drivers\Thumbs.db
2008-09-15 18:14	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\teamspeak2
2008-09-13 12:31	---------	d-----w	C:\Programme\xp-Iso-Builder
2008-09-10 19:54	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Sony
2008-09-10 19:54	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2008-09-10 19:47	---------	d-----w	C:\Programme\Sony Ericsson
2008-09-10 19:47	---------	d-----w	C:\Programme\Sony
2008-09-10 19:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Sony Shared
2008-09-10 19:24	---------	d-----w	C:\Programme\Sony Setup
2008-09-08 21:05	---------	d-----w	C:\Programme\GtkRadiant 1.5.0
2008-09-04 18:13	---------	d-----w	C:\Programme\MultiRes
2008-09-04 10:59	0	---ha-w	C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-09-02 23:07	---------	d-----w	C:\Programme\TuneUp Utilities 2008
2008-09-02 11:50	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logitech
2008-09-02 11:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logishrd
2008-08-21 16:24	---------	d-----w	C:\Programme\slashgunz
2008-02-12 21:05	10,352	----a-w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\wklnhst.dat
2007-03-25 13:10	178	----a-w	C:\Dokumente und Einstellungen\the sims 2\Anwendungsdaten\wklnhst.dat
2005-12-23 04:12	55,760	----a-w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-05-20 15:50	56	--sh--r	C:\WINDOWS\system32\78B0C9EF07.sys
2005-05-20 15:50	5,852	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((   snapshot@2008-10-17_12.36.27.77   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-06-30 08:39:58	128,256	----a-w	C:\WINDOWS\Downloaded Program Files\as2stubie.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 237568]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 491520]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 C:\WINDOWS\SOUNDMAN.EXE]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2008-05-26 879120]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"MSVideo"= o100vc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"SoundMan"=SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\MAIET\\Gunz\\GunzLauncher.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\ijji\\ENGLISH\\u_skid.exe"=
"C:\\Programme\\Daemons Ring GunZ\\DRGunZ.exe"=
"C:\\ijji\\ENGLISH\\u_gunz.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\EvilGamerZ\\EvilGunz Client V\\theduel.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\temp\\TeamViewer3\\TeamViewer.exe"=
"C:\\Programme\\slashgunz\\Slash Gunz\\Slash Gunz.exe"=
"C:\\Programme\\GtkRadiant 1.5.0\\GtkRadiant.exe"=
"C:\\Programme\\MAIET\\Gunz\\Gunz.exe"=
"C:\\ijji\\ENGLISH\\u_goonzu.exe"=
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\ultimate\\TheDuel.exe"=
"C:\\Programme\\RestyleGunZ\\theduel.exe"=
"C:\\Programme\\alaplaya\\S4League\\S4Client.exe"=
"C:\\Programme\\MAIET\\Gunz3\\GunzLauncher.exe"=
"C:\\Programme\\MAIET\\Gunz3\\Gunz.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\MatchAgent\\MatchAgent.exe"=
"C:\\wamp\\bin\\apache\\apache2.2.8\\bin\\httpd.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\MatchServer\\MatchServer.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\Gunz ServerFiles Rev 5\\Locator\\Locator.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\rarpakete\\Gunz Client\\theduel.exe"=
"C:\\GunzServer\\MatchServer\\MatchServer.exe"=
"C:\\GunzServer\\Locator\\Locator.exe"=
"C:\\GunzServer\\MatchAgent\\MatchAgent.exe"=
"C:\\Programme\\slashgunz\\Slash Gunz\\theduel.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Desktop\\Server Files\\rarpakete\\Gunz Client\\ToffiGunz\\theduel.exe"=
"C:\\Programme\\eurogunzv8\\Euro8gz.exe"=
"C:\\Programme\\Fakegaming Gunz\\theduel.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\ctfmon.exe"=
"C:\\WINDOWS\\system32\\NeroCheck.exe"=
"C:\\Programme\\Yahoo!\\Common\\unyt.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Logitech\\SetPoint\\SetPoint.exe"=
"C:\\Programme\\Logitech\\SetPoint\\LU\\LULnchr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe"=
"C:\\Programme\\QuickTime\\qttask.exe"=
"C:\\WINDOWS\\SOUNDMAN.EXE"=
"C:\\ComboFix\\NirCmd.cfexe"=
"C:\\ComboFix\\nircmd.com"=
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\scvkh.exe"=
"C:\\DOKUME~1\\xxxxx\\LOKALE~1\\Temp\\winnuau.exe"=

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 22016]
R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2006-03-20 10899]
R2 dexwsrv;DeX Anticheat Monitor Service;C:\Programme\DeX Anticheat\dexwsrv.exe [2008-09-18 196096]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 abp470n5;abp470n5;C:\WINDOWS\system32\drivers\oklqgl.sys [ ]
R3 dexkdrv;DeX Anticheat Kernel Service;C:\Programme\DeX Anticheat\dexkdrv.sys [2008-09-15 54148]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2008-02-26 43520]
S2 AVWUpSrv;AntiVir Update;C:\Programme\AVPersonal\AVWUPSRV.EXE [ ]
S2 DynDNS_Updater_Service;DynDNS Updater Service;C:\Programme\DynDNS Updater\DynDNS.exe [ ]
S2 HCW848NT;Hauppauge Win/TV;C:\WINDOWS\system32\DRIVERS\hcw848nt.sys [1999-03-09 62140]
S2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [ ]
S3 cm1123264;C-Media CM112 UDAX Sound Interface;C:\WINDOWS\system32\drivers\cm112.sys [ ]
S3 cmudau32;C-Media USB UDA Sound Interface;C:\WINDOWS\system32\drivers\cmudaxu.sys [2006-08-09 1419840]
S3 Dua1;Dua1;C:\DOKUME~1\xxxxx\LOKALE~1\Temp\Rar$EX07.134\Dualengine\DualEngi.sys [ ]
S3 Game;Game;C:\Programme\GAMENAO\GNGunZ\GameProtect.gnp [ ]
S3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\drivers\lccfltr.sys [2002-07-09 13724]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-09-03 361216]
S3 wampapache;wampapache;c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe [2008-01-18 24635]
S3 wampmysqld;wampmysqld;c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe wampmysqld [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-01 17:22]

2008-10-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-KAVPersonal50 - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h..p://www.gmer.net
Rootkit scan 2008-10-17 16:18:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Game]
"ImagePath"="\??\C:\Programme\GAMENAO\GNGunZ\GameProtect.gnp"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\scvkh.exe
C:\DOKUME~1\xxxxx\LOKALE~1\temp\winnuau.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-17 16:30:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-17 14:30:16
ComboFix2.txt  2008-10-17 12:45:23
ComboFix3.txt  2008-10-17 12:13:27
ComboFix4.txt  2008-10-17 10:37:24

Vor Suchlauf: 9.556.848.640 Bytes frei
Nach Suchlauf: 9,536,573,440 Bytes frei

280
         
online scan geht nicht

versuche es gerade mit lunch
viren scan ohne install von stick aus

frage :ist das ne möglich keit platte ausbaun zum freund gehn da als 2 platte anschliessen und test
oder ist er dann auch verseucht ???sonst werd ich mir erst mal ne kleine platte leihen vom nachbarn und da neu windows instalieren und viren prog und versuch dann zu scannen



10000 dank erst mal

Alt 17.10.2008, 15:47   #14
myrtille
/// TB-Ausbilder
 
bitte um hilfe - Standard

bitte um hilfe



Hi,

ich würd ja einfach ganz plattmachen.

Es dürfte theoretisch nichts passieren, solange du keine der Dateien auf deinem Festplatte ausführst, während du diese an dem anderen Rechner angeschlossen hast. Praktisch würd ich doch davon abraten.

Es gibt 2-3 Sachen die ich vorher noch testen möchte:

Zum einen das Removaltool von AVG: LInk
Poste bitte das Ergebnis hier.

Außerdem gibt es die Möglichkeit deinen Rechner mit einer Linux-LiveCD zu booten und damit einen Scan zu machen.
Dazu mehr, wenn AVG nicht funktioniert.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (17.10.2008 um 15:59 Uhr)

Alt 17.10.2008, 16:58   #15
kayjoa
 
bitte um hilfe - Standard

bitte um hilfe



Zitat:
Zitat von myrtille Beitrag anzeigen
Hi,

ich würd ja einfach ganz plattmachen.

Es dürfte theoretisch nichts passieren, solange du keine der Dateien auf deinem Festplatte ausführst, während du diese an dem anderen Rechner angeschlossen hast. Praktisch würd ich doch davon abraten.

Es gibt 2-3 Sachen die ich vorher noch testen möchte:

Zum einen das Removaltool von AVG: LInk
Poste bitte das Ergebnis hier.

Außerdem gibt es die Möglichkeit deinen Rechner mit einer Linux-LiveCD zu booten und damit einen Scan zu machen.
Dazu mehr, wenn AVG nicht funktioniert.

lg myrtille
log file ist zu lang wie kann ich ihn am besten posten ??????????

Geändert von kayjoa (17.10.2008 um 17:15 Uhr)

Antwort

Themen zu bitte um hilfe
adaware, banke, banken, bitte um hilfe, daten, defekt, dll, exe, gelöscht, helfen, install, installation, kaspersky, laufen, löschen, manager, neu, online, problem, scan, scannen, seite, seiten, spybot, start, starten, system, virus




Ähnliche Themen: bitte um hilfe


  1. Virus Dirty Decrypt Verschlüsselung Trojaner, alle Foto kann ich nicht aufmachen, bitte bitte Hilfe!!!
    Log-Analyse und Auswertung - 24.07.2013 (6)
  2. Hilfe Mein forum wurde übernomen keine möglichkeiten rein zu kommen bitte um ideen und hilfe
    Diskussionsforum - 29.06.2012 (6)
  3. (3x) Bitte Bitte um Hilfe habe mir AKM Trojaner eingefangen brauche aber dringend meinen PC
    Mülltonne - 08.05.2012 (1)
  4. Hilfe bei Ukash Trojaner! Bitte dringend um Hilfe!
    Log-Analyse und Auswertung - 22.01.2012 (1)
  5. Hilfe Virus! Antivir, internet usw außer gefächt!!! Bitte um Hilfe
    Mülltonne - 15.07.2008 (0)
  6. Viren??Würmer..HILFE! Bitte um Hilfe bei der Auswertung meines hijackthis-log
    Mülltonne - 14.11.2007 (0)
  7. Oh man brauch so dringend Hilfe!!!! Virus?Spyware? Hilfe für einen Laien!Bitte!
    Log-Analyse und Auswertung - 13.06.2007 (6)
  8. SCVHOST.EXE Log file bitte checken! Bitte um hilfe
    Log-Analyse und Auswertung - 06.06.2007 (8)
  9. Ich bin verzweifelt bitte um Dringende Hilfe Bitte bitte
    Plagegeister aller Art und deren Bekämpfung - 08.01.2007 (11)
  10. Bitte, bitte Hilfe wegen Winfixer/ Errorsafe
    Plagegeister aller Art und deren Bekämpfung - 19.12.2006 (3)
  11. Hilfe! EXP/Agent.B Brauche dringent Hilfe, bitte!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2006 (8)
  12. Hilfe 1 Adware Eingefangen Schnelle Hilfe Bitte!!
    Mülltonne - 08.10.2006 (1)
  13. Bitte BITTE bitte HILFE log-file
    Log-Analyse und Auswertung - 18.01.2006 (1)
  14. HILFE, ich habe einige Trojaner - bitte um Eure Hilfe
    Log-Analyse und Auswertung - 01.12.2005 (2)
  15. Schnauze voll von Aurora.brauche dringend hilfe bitte bitte
    Log-Analyse und Auswertung - 08.08.2005 (2)
  16. Bitte Bitte Bitte Hilfe!!! Trojaner
    Log-Analyse und Auswertung - 10.11.2004 (1)
  17. Hilfe,Hilfe,habe Probleme mit Norton Antivirus bitte helfen!!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2004 (1)

Zum Thema bitte um hilfe - hallo erstmal ich hoffe ihr könnt mir weiter helfen hab mir ein game gedownloadet und exe vor install getestet doch bei start schrie kaspersky 5.0 virus dann ging alles sehr - bitte um hilfe...
Archiv
Du betrachtest: bitte um hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.