| |
| |||||||
Log-Analyse und Auswertung: Bitte um Unterstützung / CoolWWWSearchWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
07.01.2008, 17:32
| #1 | |
| > MalwareDB   |  Bitte um Unterstützung / CoolWWWSearch 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein. Zitat:
3. Speichere im Notepad als CFScript.txt auf dem Dektop. 4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  5. Nach dem Neustart (es wird gefrat ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Ein neues HijackThis log. |
|
07.01.2008, 17:58
| #2 |
 | Bitte um Unterstützung / CoolWWWSearch Es wurde nichtnach einem Neustart gefragt, habe trotzdem Windows neu gestartet und dann das Hijackthislog erstellt.
__________________Combofix: Code:
ATTFilter ComboFix 08-01-07.5 - Mario 2008-01-07 17:45:12.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.136 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mario\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Mario\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
FILE
C:\WINDOWS\addbp.exe
C:\WINDOWS\addos.exe
C:\WINDOWS\apiie32.exe
C:\WINDOWS\apimq32.exe
C:\WINDOWS\apiuz32.exe
C:\WINDOWS\appha.exe
C:\WINDOWS\appqo
C:\WINDOWS\appqo.exe
C:\WINDOWS\atlxn32.exe
C:\WINDOWS\crnh32.exe
C:\WINDOWS\crpy.exe
C:\WINDOWS\d3wn.exe
C:\WINDOWS\ipnp32.exe
C:\WINDOWS\javaab32.exe
C:\WINDOWS\javalc.exe
C:\WINDOWS\javamy.exe
C:\WINDOWS\javaqb.exe
C:\WINDOWS\javaya32.exe
C:\WINDOWS\mfcsb32.exe
C:\WINDOWS\msao.dll
C:\WINDOWS\msjm.exe
C:\WINDOWS\nethq32.exe
C:\WINDOWS\ntib32.ex
C:\WINDOWS\ntib32.exe
C:\WINDOWS\sdkyq.exe
C:\WINDOWS\syscg32.exe
C:\WINDOWS\system32\addju.exe
C:\WINDOWS\system32\apikr32.exe
C:\WINDOWS\system32\apitj.exe
C:\WINDOWS\system32\apixk32.exe
C:\WINDOWS\system32\atlsv32.exe
C:\WINDOWS\system32\cric32.exe
C:\WINDOWS\system32\crypt32o.dll
C:\WINDOWS\system32\d3uk32.exe
C:\WINDOWS\system32\iekr.exe
C:\WINDOWS\system32\iplx32.exe
C:\WINDOWS\system32\javagm.exe
C:\WINDOWS\system32\javakx.exe
C:\WINDOWS\system32\javaod.exe
C:\WINDOWS\system32\javatn.exe
C:\WINDOWS\system32\javavc.exe
C:\WINDOWS\system32\javayu.exe
C:\WINDOWS\system32\mfcbe32.exe
C:\WINDOWS\system32\mfcgo32.exe
C:\WINDOWS\system32\msim.exe
C:\WINDOWS\system32\netio.exe
C:\WINDOWS\system32\ntdw32.exe
C:\WINDOWS\system32\sdkfr.exe
C:\WINDOWS\system32\sdkqb32.exe
C:\WINDOWS\system32\sdkqr.exe
C:\WINDOWS\system32\syszj32.exe
C:\WINDOWS\system32\winbn32.exe
C:\WINDOWS\system32\winoz32.exe
C:\WINDOWS\system32\winqk32.exe
C:\WINDOWS\winbj32.exe
C:\WINDOWS\winbr32.exe
C:\WINDOWS\windk.exe
C:\WINDOWS\winyb32.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\addbp.exe
C:\WINDOWS\addos.exe
C:\WINDOWS\apiie32.exe
C:\WINDOWS\apimq32.exe
C:\WINDOWS\apiuz32.exe
C:\WINDOWS\appha.exe
C:\WINDOWS\appqo.exe
C:\WINDOWS\atlxn32.exe
C:\WINDOWS\crnh32.exe
C:\WINDOWS\crpy.exe
C:\WINDOWS\d3wn.exe
C:\WINDOWS\ipnp32.exe
C:\WINDOWS\javaab32.exe
C:\WINDOWS\javalc.exe
C:\WINDOWS\javamy.exe
C:\WINDOWS\javaqb.exe
C:\WINDOWS\javaya32.exe
C:\WINDOWS\mfcsb32.exe
C:\WINDOWS\msjm.exe
C:\WINDOWS\nethq32.exe
C:\WINDOWS\ntib32.exe
C:\WINDOWS\sdkyq.exe
C:\WINDOWS\syscg32.exe
C:\WINDOWS\system32\addju.exe
C:\WINDOWS\system32\apikr32.exe
C:\WINDOWS\system32\apitj.exe
C:\WINDOWS\system32\apixk32.exe
C:\WINDOWS\system32\atlsv32.exe
C:\WINDOWS\system32\cric32.exe
C:\WINDOWS\system32\d3uk32.exe
C:\WINDOWS\system32\iekr.exe
C:\WINDOWS\system32\iplx32.exe
C:\WINDOWS\system32\javagm.exe
C:\WINDOWS\system32\javakx.exe
C:\WINDOWS\system32\javaod.exe
C:\WINDOWS\system32\javatn.exe
C:\WINDOWS\system32\javavc.exe
C:\WINDOWS\system32\javayu.exe
C:\WINDOWS\system32\mfcbe32.exe
C:\WINDOWS\system32\mfcgo32.exe
C:\WINDOWS\system32\msim.exe
C:\WINDOWS\system32\netio.exe
C:\WINDOWS\system32\ntdw32.exe
C:\WINDOWS\system32\sdkfr.exe
C:\WINDOWS\system32\sdkqb32.exe
C:\WINDOWS\system32\sdkqr.exe
C:\WINDOWS\system32\syszj32.exe
C:\WINDOWS\system32\winbn32.exe
C:\WINDOWS\system32\winoz32.exe
C:\WINDOWS\system32\winqk32.exe
C:\WINDOWS\winbj32.exe
C:\WINDOWS\winbr32.exe
C:\WINDOWS\windk.exe
C:\WINDOWS\winyb32.exe
.
((((((((((((((((((((((( Dateien erstellt von 2007-12-07 bis 2008-01-07 ))))))))))))))))))))))))))))))
.
2008-01-07 16:50 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-07 16:15 . 2008-01-07 16:15 87 --a------ C:\23990098.$$$
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-07 13:08 . 2008-01-07 13:17 <DIR> d-------- C:\mwav
2008-01-02 12:29 . 2008-01-02 12:30 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-01-02 12:23 . 2007-10-11 00:46 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-02 12:23 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-02 12:23 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-02 12:23 . 2007-10-11 00:46 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-02 12:23 . 2007-10-11 00:46 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-02 12:23 . 2007-10-11 00:46 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-02 12:23 . 2007-10-11 00:46 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-02 12:23 . 2007-10-11 00:46 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-02 12:23 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-02 11:30 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2007-12-29 16:47 . 2007-12-30 15:08 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-29 16:47 . 2007-12-29 16:47 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-27 19:58 . 2007-12-27 19:58 <DIR> d-------- C:\Programme\Multimedia V3.52
2007-12-27 19:58 . 2003-08-19 14:11 241,664 --a------ C:\WINDOWS\system32\Keyhook.exe
2007-12-27 19:58 . 2003-08-18 05:21 28,416 --------- C:\WINDOWS\system32\sisesc.sys
2007-12-27 19:58 . 2003-01-07 02:56 1,671 --------- C:\WINDOWS\system32\SiSService.ini
2007-12-27 19:56 . 2007-12-27 19:58 <DIR> d-------- C:\WINDOWS\system32\trayres
2007-12-27 19:25 . 2002-08-20 14:58 139,264 --a------ C:\WINDOWS\system32\IDEproperty.dll
2007-12-27 19:25 . 2002-10-17 15:14 49,024 --a------ C:\WINDOWS\system32\drivers\sisidex.sys
2007-12-27 19:25 . 2002-08-20 17:19 9,472 --a------ C:\WINDOWS\system32\drivers\sisperf.sys
2007-12-27 19:24 . 2003-03-25 17:50 4,096 --a------ C:\WINDOWS\system32\drivers\siside.sys
2007-12-27 18:14 . 2008-01-02 11:30 <DIR> d-------- C:\WINDOWS\system32\AppCert
2007-12-27 18:10 . 2007-12-27 19:49 <DIR> d-------- C:\Programme\sisagp
2007-12-27 17:38 . 2004-08-03 23:10 51,328 --a------ C:\WINDOWS\system32\drivers\msdv.sys
2007-12-27 17:38 . 2004-08-03 23:10 51,328 --a--c--- C:\WINDOWS\system32\dllcache\msdv.sys
2007-12-27 17:38 . 2004-08-03 23:10 48,128 --a------ C:\WINDOWS\system32\drivers\61883.sys
2007-12-27 17:38 . 2004-08-03 23:10 48,128 --a--c--- C:\WINDOWS\system32\dllcache\61883.sys
2007-12-27 17:38 . 2004-08-03 23:10 38,912 --a------ C:\WINDOWS\system32\drivers\avc.sys
2007-12-27 17:38 . 2004-08-03 23:10 38,912 --a--c--- C:\WINDOWS\system32\dllcache\avc.sys
2007-12-27 17:37 . 2007-12-27 17:37 <DIR> d-------- C:\Dokumente und Einstellungen\Werner\Anwendungsdaten\Pinnacle Systems
2007-12-27 17:37 . 2002-07-26 18:02 153,088 --a------ C:\Programme\UNWISE.EXE
2007-12-27 17:30 . 2007-12-27 17:30 49 --a------ C:\WINDOWS\system32\blue.SITENAME
2007-12-27 17:30 . 2007-12-28 20:33 17 --a------ C:\WINDOWS\MovingPicture.ini
2007-12-27 17:29 . 2002-12-17 17:23 33,340 --a------ C:\WINDOWS\system32\dbmsqlgc.dll
2007-12-27 17:29 . 2002-10-20 15:05 24,576 --a------ C:\WINDOWS\system32\dbmsgnet.dll
2007-12-27 17:29 . 2007-12-27 17:44 455 --a------ C:\WINDOWS\VFO.VST
2007-12-27 17:23 . 2007-12-27 17:23 <DIR> d-------- C:\Programme\proDAD
2007-12-27 17:14 . 2007-12-27 17:14 <DIR> d-------- C:\Programme\AdorageI-SAL
2007-12-27 17:14 . 2007-12-27 17:17 <DIR> d-------- C:\Programme\AdorageI-GfxDatas
2007-12-27 16:59 . 2002-09-24 11:12 2,653,888 --a------ C:\WINDOWS\system32\LTRDG13n.OCX
2007-12-27 16:59 . 2002-09-24 11:12 534,192 --a------ C:\WINDOWS\system32\LTRVW13N.OCX
2007-12-27 16:59 . 2002-09-24 11:12 466,624 --a------ C:\WINDOWS\system32\LTRPR13n.DLL
2007-12-27 16:59 . 2005-07-12 14:25 401,408 --a------ C:\WINDOWS\system32\pvmjpg30.dll
2007-12-27 16:59 . 2002-09-24 11:12 194,248 --a------ C:\WINDOWS\system32\LTRFD13n.DLL
2007-12-27 16:59 . 2002-09-24 11:12 185,856 --a------ C:\WINDOWS\system32\lfpng13s.dll
2007-12-27 16:59 . 2002-09-24 11:12 79,360 --a------ C:\WINDOWS\system32\lfeps13s.dll
2007-12-27 16:59 . 2002-09-24 11:12 74,752 --a------ C:\WINDOWS\system32\lfgif13s.dll
2007-12-27 16:59 . 2003-04-21 16:11 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.JP
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.IT
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.FR
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.ES
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.DE
2007-12-27 16:01 . 2003-11-10 17:06 16,896 --------- C:\WINDOWS\system32\PSDrvCheck.NL
2007-12-27 16:01 . 2003-10-21 10:02 16,896 --------- C:\WINDOWS\system32\PSDrvCheck.KO
2007-12-27 15:15 . 2007-12-27 15:15 <DIR> d-------- C:\Programme\Microsoft SQL Server
2007-12-27 15:14 . 2007-12-27 17:26 <DIR> d-------- C:\WINDOWS\Cache
2007-12-27 15:14 . 2003-03-19 04:04 765,952 --------- C:\WINDOWS\system32\msvcp71d.dll
2007-12-27 15:14 . 2003-03-19 04:03 544,768 --------- C:\WINDOWS\system32\msvcr71d.dll
2007-12-27 15:11 . 2007-12-27 15:11 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-12-27 15:05 . 2007-12-27 15:05 <DIR> d-------- C:\Programme\SmartSound Software
2007-12-27 15:05 . 2007-12-28 23:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2007-12-27 15:04 . 2003-11-25 06:02 196,096 --a------ C:\WINDOWS\system32\macd32.dll
2007-12-27 15:04 . 2005-07-13 16:55 171,008 --a------ C:\WINDOWS\system32\drivers\MarvinBus.sys
2007-12-27 15:04 . 2003-11-25 06:02 138,752 --a------ C:\WINDOWS\system32\mase32.dll
2007-12-27 15:04 . 2003-11-25 06:02 136,192 --a------ C:\WINDOWS\system32\mamc32.dll
2007-12-27 15:04 . 2003-11-25 06:02 57,856 --a------ C:\WINDOWS\system32\masd32.dll
2007-12-27 15:04 . 2003-11-25 06:02 27,648 --a------ C:\WINDOWS\system32\ma32.dll
2007-12-27 15:04 . 2008-01-06 14:48 359 --a------ C:\WINDOWS\VFO.INI
2007-12-27 15:02 . 2003-11-21 17:48 61,440 --a------ C:\WINDOWS\system32\MFC71ITA.DLL
2007-12-27 15:02 . 2003-11-21 17:48 61,440 --a------ C:\WINDOWS\system32\MFC71FRA.DLL
2007-12-27 15:02 . 2003-11-21 17:48 61,440 --a------ C:\WINDOWS\system32\MFC71ESP.DLL
2007-12-27 15:02 . 2003-11-21 17:48 57,344 --a------ C:\WINDOWS\system32\MFC71ENU.DLL
2007-12-27 15:02 . 2006-04-21 10:00 49,152 --a------ C:\WINDOWS\system32\PCLEGetGuid.dll
2007-12-27 15:02 . 2003-11-21 17:48 49,152 --a------ C:\WINDOWS\system32\MFC71KOR.DLL
2007-12-27 15:02 . 2003-11-21 17:48 49,152 --a------ C:\WINDOWS\system32\MFC71JPN.DLL
2007-12-27 15:02 . 2003-11-21 17:48 45,056 --a------ C:\WINDOWS\system32\MFC71CHT.DLL
2007-12-27 15:02 . 2003-11-21 17:48 40,960 --a------ C:\WINDOWS\system32\MFC71CHS.DLL
2007-12-27 15:01 . 2007-12-27 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle Studio
2007-12-27 14:54 . 2007-12-27 17:37 <DIR> d-------- C:\Programme\Pinnacle
2007-12-27 14:54 . 2007-12-27 17:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2007-12-27 14:54 . 2005-02-09 12:59 14,165 --a------ C:\WINDOWS\system32\drivers\Pclepci.sys
2007-12-18 20:41 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-12-18 20:41 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2007-12-18 20:41 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-12-18 20:41 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2007-12-11 13:43 . 2007-12-11 13:43 <DIR> d-------- C:\WINDOWS\SIS
2007-12-11 13:43 . 2007-12-27 19:36 <DIR> d-------- C:\Programme\SiS VGA Utilities V3.83
2007-12-11 13:43 . 2003-08-19 14:12 667,648 --a------ C:\WINDOWS\system32\sistray.exe
2007-12-11 13:43 . 2003-08-19 06:09 176,128 --------- C:\WINDOWS\system32\SiSApCom.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-07 15:58 --------- d-----w C:\Programme\WLAN Monitor
2008-01-02 11:12 --------- d-----w C:\Programme\QuickTime
2008-01-02 11:02 --------- d-----w C:\Programme\Gemeinsame Dateien\AccSys
2007-12-31 12:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-27 17:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-04-18 15:30 81,440 ----a-w C:\Dokumente und Einstellungen\Werner\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-04-11 16:29 81,440 ----a-w C:\Dokumente und Einstellungen\Ilse\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-06-20 15:32 68,792 ----a-w C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 07:34 57344 C:\WINDOWS\SOUNDMAN.EXE]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe" [2004-11-25 12:59 143360]
"DataLayer"="C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-12-09 12:14 1068032]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-13 00:02 98304]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2004-06-28 03:33 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-23 17:31 249896]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2006-03-06 12:45 1347584]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 01:26 406016]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2004-09-21 03:22 73728]
"USBToolTip"="C:\Programme\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe" [2006-06-01 03:37 196608]
"SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-08-19 14:12 667648]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-08-19 14:11 241664]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-31 14:28:11]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]
R0 a19346b;a19346b;C:\WINDOWS\system32\DRIVERS\a19346b.sys [2004-04-30 09:37]
R0 a19346c;a19346c;C:\WINDOWS\system32\Drivers\a19346c.sys [2004-04-30 09:33]
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-12 20:36]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-12 20:36]
R1 SiSEsc;SISLIB_ESC;C:\WINDOWS\system32\sisesc.sys [2003-08-18 05:21]
R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 09:06]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 12:14]
.
Inhalt des "geplante Tasks" Ordners
"2008-01-05 18:05:47 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 17:49:39
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-07 17:50:36
ComboFix-quarantined-files.txt 2008-01-07 16:50:09
ComboFix2.txt 2008-01-07 16:03:24
.
2008-01-03 20:45:56 --- E O F ---
Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 17:56:00, on 07.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\WLAN Monitor\wlconfig.exe C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe C:\WINDOWS\system32\sistray.EXE C:\WINDOWS\system32\keyhook.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Mario\Eigene Dateien\Allerlei\Viren\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe" O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140778813593 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing) O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing) O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe |
|
07.01.2008, 18:16
| #3 |
| > MalwareDB | Bitte um Unterstützung / CoolWWWSearch Das Log sieht für gut aus.
__________________Clone Cd solltest Du besser vom Rechner entfernen, könnte z.B. ein mögliches Einfallstor gewesen sein. Stelle Antir ein, wie hier beschrieben, Update die Siganturen und führe einen Systemscan aus. Vorher aber noch den Ordner C:\Combofix löschen. Falls dort noch etwas gefunden wird, das Log hier posten! |
|
07.01.2008, 18:27
| #4 |
| | Bitte um Unterstützung / CoolWWWSearch Super, ich hatte schon Angst, ich müsste das System neu aufsetzen. Vielen Dank für die Unterstützung! Ich habe CloneCD und CloneDVD deinstalliert (die habe ich sowieso nie wirklich gebraucht). Aber wo genau ist denn beschrieben, wie ich Antivir einstellen soll? Gruß Mario |
|
07.01.2008, 19:34
| #6 |
| | Bitte um Unterstützung / CoolWWWSearch Antivir hat etwas gefunden: Code:
ATTFilter
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 7. Januar 2008 18:37
Es wird nach 1004655 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: EX-VIRENKISTE
Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 12.09.2007 19:36:41
AVSCAN.DLL : 7.0.6.0 57384 Bytes 12.09.2007 19:36:41
LUKE.DLL : 7.0.5.3 147496 Bytes 12.09.2007 19:36:42
LUKERES.DLL : 7.0.6.0 10792 Bytes 12.09.2007 19:36:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 16:46:04
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 07:37:38
ANTIVIR2.VDF : 7.0.1.170 311296 Bytes 28.12.2007 19:55:07
ANTIVIR3.VDF : 7.0.1.200 141312 Bytes 07.01.2008 17:36:40
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 22.12.2007 07:37:38
AVWINLL.DLL : 1.0.0.7 14376 Bytes 22.04.2007 11:11:18
AVPREF.DLL : 7.0.2.2 25640 Bytes 12.09.2007 19:36:41
AVREP.DLL : 7.0.0.1 155688 Bytes 22.04.2007 11:11:21
AVPACK32.DLL : 7.6.0.2 360488 Bytes 22.12.2007 07:37:39
AVREG.DLL : 7.0.1.6 30760 Bytes 12.09.2007 19:36:41
AVARKT.DLL : 1.0.0.20 278568 Bytes 12.09.2007 19:36:40
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 12.09.2007 19:36:40
NETNT.DLL : 7.0.0.0 7720 Bytes 22.04.2007 11:11:20
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 12.09.2007 19:36:27
RCTEXT.DLL : 7.0.62.0 90152 Bytes 12.09.2007 19:36:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 12.09.2007 19:36:42
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Montag, 7. Januar 2008 18:37
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVIC~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DATALA~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBTip.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLConfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Launch Application 2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMSHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '28' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\BlazeVideo\BlazeDVD 7 Professional\BlazeDVDCtrl.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e36999.qua' verschoben!
C:\System Volume Information\_restore{E5B31A70-D00A-4340-8860-1C029CB37891}\RP322\A0015240.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47b26d67.qua' verschoben!
C:\WINDOWS\system32\AppCert\prx97w.dll
[FUND] Enthält Erkennungsmuster des SPR/SpamTool.Age.EH-Programmes
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Ende des Suchlaufs: Montag, 7. Januar 2008 19:31
Benötigte Zeit: 53:43 min
Der Suchlauf wurde vollständig durchgeführt.
6585 Verzeichnisse wurden überprüft
337166 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
337163 Dateien ohne Befall
11984 Archive wurden durchsucht
3 Warnungen
34 Hinweise
|
|
08.01.2008, 16:12
| #7 |
| > MalwareDB | Bitte um Unterstützung / CoolWWWSearch Das Log ist fast Ok. Wenn Du BlazeDVD 7 Professional kennst und die Herkunft kennst und Ok ist, kannst Du die Dateien wiederherstellen. Für das andere: 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein. [QUOTE] File:: C:\WINDOWS\system32\AppCert\prx97w.dll 3. Speichere im Notepad als CFScript.txt auf dem Dektop. 4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 5. Nach dem Neustart (es wird gefrat ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt |
|
| Themen zu Bitte um Unterstützung / CoolWWWSearch |
| abgesicherten modus, adobe, antivir, application, avira, bho, drivers, einstellungen, excel, explorer, google, helfen, highjackthis, hijack, hijackthis, internet, internet explorer, launch, mehrere, monitor, mssql, pdfcreator, programm, rundll, software, super, symantec, system, trojaner, usb, viren, windows, windows xp, wlan |
Hybrid-Darstellung
