Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte HJT log anschauen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.05.2008, 17:56   #1
hinte67
 
Bitte HJT log anschauen - Standard

Bitte HJT log anschauen



Hallo Leute!!
Ich habe seit einiger Zeit ein Problem mit dem system 32. Ich habe das XP als Betriebssystem und den Antivir Virenschutz. Dieser schreibt seit einiger Zeit folgende Warnungen:
C:\WINDOWS\system32\tuvwnmji.dll (TR\Monder.DG.81) oder
C:\WINDOWS\system32\ddcypmll.dll (TR\Monder.44544.7

mein HJT Logfile ist:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:47, on 18.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SPOOL\DRIVERS\W32X86\3\LXBLPSWX.EXE
C:\WINDOWS\system32\SPOOL\DRIVERS\W32X86\3\LXBLJSWX.EXE
C:\DOKUME~1\GERHAR~1\LOKALE~1\Temp\Rar$EX01.535\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: {f0ab9fcb-22b5-f5d9-aae4-6e249075a840} - {048a5709-42e6-4eaa-9d5f-5b22bcf9ba0f} - C:\WINDOWS\system32\uavynphi.dll (file missing)
O2 - BHO: (no name) - {4F96CCB9-01EC-419E-AAEA-C2C913F2A236} - C:\WINDOWS\system32\ddcYpmlL.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {C9C709BF-5ADA-48BA-AC32-84C0E8AFE5EF} - C:\WINDOWS\system32\tuvWnmjI.dll
O4 - HKLM\..\Run: [WA6PU_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1206541467944
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - http://almcam2.lofer.at:1003//activex/AMC.cab
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp07.photoprintit.de/microsite/defaults/activex/IPSUploader.cab
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Zango/ie/bridge-c3.cab?99caef4ce4c6ec7d60418cc17b90c81dc99081acd1420b22d028c3ee356ed0e3b678dba4373f1b910571e544a3d1edaf687320154dd62aaf57667664:934ebd288e6e3647237ba9 3fc8456967
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ddcYpmlL - C:\WINDOWS\SYSTEM32\ddcYpmlL.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 9843 bytes

Bitte um Hilfe.
mfg
hinte67

Alt 18.05.2008, 18:14   #2
Sunny
Administrator
> Competence Manager
 

Bitte HJT log anschauen - Standard

Bitte HJT log anschauen



Hallo hinte67 und





ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter (z.B. Tea-Timer von Spybot), sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.
__________________

__________________

Alt 18.05.2008, 18:43   #3
hinte67
 
Bitte HJT log anschauen - Standard

Bitte HJT log anschauen



Hallo Sunny ich habe ComboFix drüber laufen lassen und folgendes ist dabei raus gekommen:

ComboFix 08-05-15.3 - **** 2008-05-18 18:25:51.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.246 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\****\Anwendungsdaten\DriveCleaner Free
C:\Dokumente und Einstellungen\****\Anwendungsdaten\DriveCleaner Free\Logs\update.log
C:\Dokumente und Einstellungen\****\err.log
C:\Dokumente und Einstellungen\****\ResErrors.log
C:\Programme\Gemeinsame Dateien\drivecleaner free
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\ddcYpmlL.dll
C:\WINDOWS\system32\IjmnWvut.ini
C:\WINDOWS\system32\IjmnWvut.ini2
C:\WINDOWS\system32\kdjxm.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\qlnaspjn.ini
C:\WINDOWS\system32\tuvWnmjI.dll
C:\WINDOWS\xpupdate.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-18 bis 2008-05-18 ))))))))))))))))))))))))))))))
.

2008-05-16 23:14 . 2008-03-01 14:53 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-05-16 23:14 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-05-16 23:14 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-05-16 23:14 . 2008-03-01 14:53 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-05-16 23:14 . 2008-03-01 14:53 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-05-16 23:14 . 2008-03-01 14:53 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-05-16 23:14 . 2008-03-01 14:53 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-05-16 23:14 . 2008-03-01 14:53 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-05-16 23:14 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-05-16 20:35 . 2008-05-16 20:35 <DIR> d-------- C:\WINDOWS\system32\de
2008-05-16 20:35 . 2008-05-16 20:35 <DIR> d-------- C:\WINDOWS\system32\bits
2008-05-16 20:35 . 2008-05-16 20:35 <DIR> d-------- C:\WINDOWS\l2schemas
2008-05-16 20:05 . 2008-04-14 04:22 712,704 --------- C:\WINDOWS\system32\windowscodecs.dll
2008-05-16 20:05 . 2008-04-14 04:22 346,112 --------- C:\WINDOWS\system32\windowscodecsext.dll
2008-05-16 20:05 . 2008-04-14 04:22 276,992 --------- C:\WINDOWS\system32\wmphoto.dll
2008-05-16 20:05 . 2008-04-14 04:22 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-05-16 20:05 . 2008-04-14 04:22 53,248 --------- C:\WINDOWS\system32\tsgqec.dll
2008-05-16 20:05 . 2008-04-14 04:22 50,688 --------- C:\WINDOWS\system32\tspkg.dll
2008-05-16 20:03 . 2008-04-14 04:22 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-05-16 20:02 . 2008-04-14 04:22 233,472 --------- C:\WINDOWS\system32\azroles.dll
2008-05-16 20:02 . 2008-04-14 04:22 136,192 --------- C:\WINDOWS\system32\aaclient.dll
2008-05-16 20:02 . 2008-04-14 04:22 12,800 --------- C:\WINDOWS\system32\credssp.dll
2008-05-16 20:02 . 2008-04-14 04:22 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2008-05-16 18:49 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002416_.tmp
2008-05-16 18:18 . 2008-05-16 16:52 288 --a------ C:\WINDOWS\system32\$winnt$.inf
2008-05-16 17:23 . 2008-05-18 17:19 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-05-16 17:09 . 2008-05-16 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-05-16 17:03 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-05-16 17:03 . 2007-07-30 19:19 216,408 --a--c--- C:\WINDOWS\system32\dllcache\wuaucpl.cpl
2008-05-16 16:49 . 2008-04-14 04:21 482,304 --a--c--- C:\WINDOWS\system32\dllcache\pintlgnt.ime
2008-05-16 16:48 . 2003-04-02 14:00 10,096,640 --a--c--- C:\WINDOWS\system32\dllcache\hwxcht.dll
2008-05-16 16:47 . 2001-08-18 04:54 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll
2008-05-16 16:47 . 2001-08-18 04:53 316,928 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_aqueue.dll
2008-05-16 16:47 . 2001-08-18 04:54 175,616 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpadm.dll
2008-05-16 16:47 . 2001-08-18 04:53 46,592 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_aqadmin.dll
2008-05-16 16:47 . 2001-08-18 04:52 5,632 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_adsiisex.dll
2008-05-16 16:43 . 2008-05-16 16:43 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-05-16 16:43 . 2008-05-16 16:43 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-05-16 16:43 . 2008-05-16 16:43 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-05-16 16:43 . 2008-05-16 16:43 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-05-16 16:43 . 2008-05-16 16:43 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-05-16 16:41 . 2008-04-14 04:22 691,712 --a------ C:\WINDOWS\system32\inetcomm.dll
2008-05-16 16:41 . 2008-04-14 04:22 280,064 --a------ C:\WINDOWS\system32\mstask.dll
2008-05-16 16:41 . 2008-04-14 04:22 252,928 --a------ C:\WINDOWS\system32\msoeacct.dll
2008-05-16 16:41 . 2008-04-14 04:22 193,536 --a------ C:\WINDOWS\system32\schedsvc.dll
2008-05-16 16:41 . 2008-04-14 04:22 105,984 --a------ C:\WINDOWS\system32\msoert2.dll
2008-05-16 16:41 . 2008-04-14 04:22 12,288 --a------ C:\WINDOWS\system32\mstinit.exe
2008-05-16 16:38 . 2008-04-14 04:23 380,928 --a------ C:\WINDOWS\system32\irprops.cpl
2008-05-16 16:38 . 2008-04-14 04:22 153,088 --a------ C:\WINDOWS\system32\irftp.exe
2008-05-16 16:38 . 2008-04-13 20:54 88,192 --a------ C:\WINDOWS\system32\drivers\irda.sys
2008-05-16 16:38 . 2008-04-14 04:22 28,160 --a------ C:\WINDOWS\system32\irmon.dll
2008-05-16 16:38 . 2008-04-14 04:22 8,192 --a------ C:\WINDOWS\system32\wshirda.dll
2008-05-16 16:35 . 2008-04-14 03:52 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-05-16 16:35 . 2008-04-13 20:45 52,864 --a------ C:\WINDOWS\system32\drivers\dmusic.sys
2008-05-16 16:35 . 2008-04-13 20:47 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-16 16:35 . 2008-04-13 20:45 6,272 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-05-16 16:34 . 2008-04-13 20:54 28,672 --a------ C:\WINDOWS\system32\drivers\nscirda.sys
2008-05-16 16:27 . 2008-04-14 04:23 129,536 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-05-16 16:27 . 2008-04-14 04:23 40,840 --a------ C:\WINDOWS\system32\drivers\termdd.sys
2008-05-16 16:27 . 2008-04-14 04:22 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-05-16 16:26 . 2001-08-17 13:51 19,584 --a------ C:\WINDOWS\system32\drivers\rasirda.sys
2008-05-16 12:50 . 2008-05-16 12:50 <DIR> d-------- C:\Programme\DLL Killer
2008-05-16 12:50 . 2002-02-01 15:00 1,497,088 --a------ C:\WINDOWS\system32\cc3260mt.dll
2008-05-16 12:50 . 2002-02-01 15:00 1,410,560 --a------ C:\WINDOWS\system32\cc3260.dll
2008-05-16 12:50 . 2002-02-01 15:00 1,326,080 --a------ C:\WINDOWS\system32\vcl60.bpl
2008-05-16 12:50 . 2008-05-16 12:50 729,088 --a------ C:\WINDOWS\GPInstall.exe
2008-05-16 12:50 . 2002-02-01 15:00 676,352 --a------ C:\WINDOWS\system32\rtl60.bpl
2008-05-16 12:50 . 2002-02-01 15:00 213,504 --a------ C:\WINDOWS\system32\vclx60.bpl
2008-05-16 12:50 . 2002-02-01 15:00 127,488 --a------ C:\WINDOWS\system32\bcbsmp60.bpl
2008-05-16 12:50 . 2000-01-31 06:00 25,600 --a------ C:\WINDOWS\system32\BORLNDMM.DLL
2008-05-14 14:18 . 2008-05-14 14:18 65,536 --a------ C:\WINDOWS\IFinst27.exe
2008-05-14 09:02 . 2008-05-14 09:19 250 --a------ C:\WINDOWS\gmer.ini
2008-05-14 08:52 . 2008-05-14 08:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
5 Datei(en) . 4,740,084 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-14 12:24 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Skype
2008-05-07 15:55 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\LimeWire
2008-05-03 08:41 44,908 ----a-w C:\Dokumente und Einstellungen\****\Anwendungsdaten\wklnhst.dat
2008-04-14 02:23 32,866 ----a-w C:\WINDOWS\slrundll.exe
2008-04-14 02:23 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 02:23 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 02:23 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 02:23 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 02:02 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 02:02 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 02:02 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 02:02 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 02:02 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 01:58 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 01:58 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 01:58 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 01:58 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 01:57 40,448 ------w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 01:56 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 01:55 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 01:54 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 01:54 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 01:52 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 01:52 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 01:52 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 01:52 16,384 ----a-w C:\WINDOWS\system32\drivers\battc.sys
2008-04-14 01:51 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 01:50 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 01:50 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 01:49 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 01:49 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 01:49 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
2008-04-13 18:56 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys
2008-04-13 18:56 12,288 ----a-w C:\WINDOWS\system32\drivers\tunmp.sys
2008-04-13 18:55 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-13 18:55 14,592 ----a-w C:\WINDOWS\system32\drivers\ndisuio.sys
2008-04-13 18:54 22,016 ----a-w C:\WINDOWS\system32\drivers\msircomm.sys
2008-04-13 18:54 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys
2008-04-13 18:53 71,552 ----a-w C:\WINDOWS\system32\drivers\bridge.sys
2008-04-13 18:53 40,320 ----a-w C:\WINDOWS\system32\drivers\nmnt.sys
2008-04-13 18:53 36,608 ------w C:\WINDOWS\system32\drivers\ip6fw.sys
2008-04-13 18:53 264,832 ------w C:\WINDOWS\system32\drivers\http.sys
2008-04-13 18:51 61,824 ----a-w C:\WINDOWS\system32\drivers\nic1394.sys
2008-04-13 18:51 60,800 ----a-w C:\WINDOWS\system32\drivers\arp1394.sys
2008-04-13 18:51 59,904 ----a-w C:\WINDOWS\system32\drivers\atmarpc.sys
2008-04-13 18:51 55,808 ----a-w C:\WINDOWS\system32\drivers\atmlane.sys
2008-04-13 18:51 101,120 ------w C:\WINDOWS\system32\drivers\bthpan.sys
2008-04-13 18:46 61,696 ----a-w C:\WINDOWS\system32\drivers\ohci1394.sys
2008-04-13 18:46 59,136 ------w C:\WINDOWS\system32\drivers\rfcomm.sys
2008-04-13 18:46 53,376 ----a-w C:\WINDOWS\system32\drivers\1394bus.sys
2008-04-13 18:46 37,888 ------w C:\WINDOWS\system32\drivers\bthmodem.sys
2008-04-13 18:46 36,480 ------w C:\WINDOWS\system32\drivers\bthprint.sys
2008-04-13 18:46 25,344 ----a-w C:\WINDOWS\system32\drivers\sonydcam.sys
2008-04-13 18:46 18,944 ------w C:\WINDOWS\system32\drivers\bthusb.sys
2008-04-13 18:46 17,024 ------w C:\WINDOWS\system32\drivers\bthenum.sys
2008-04-13 18:46 121,984 ------w C:\WINDOWS\system32\drivers\usbvideo.sys
2008-04-13 18:44 81,664 ----a-w C:\WINDOWS\system32\drivers\videoprt.sys
2008-04-13 18:44 20,992 ----a-w C:\WINDOWS\system32\drivers\vga.sys
2008-04-13 18:43 14,208 ----a-w C:\WINDOWS\system32\drivers\wacompen.sys
2008-04-13 18:43 12,672 ----a-w C:\WINDOWS\system32\drivers\mutohpen.sys
2008-04-13 18:39 7,552 ----a-w C:\WINDOWS\system32\drivers\mskssrv.sys
2008-04-13 18:39 5,376 ----a-w C:\WINDOWS\system32\drivers\mspclock.sys
2008-04-13 18:39 42,368 ----a-w C:\WINDOWS\system32\drivers\mountmgr.sys
2008-04-13 18:39 4,992 ----a-w C:\WINDOWS\system32\drivers\mspqm.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{048a5709-42e6-4eaa-9d5f-5b22bcf9ba0f}]
C:\WINDOWS\system32\uavynphi.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 04:22 1695232]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2005-07-25 19:14 188459]
"Creative Detector"="C:\Programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 18:23 102400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 20:00 1005386]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"SoundMan"="SOUNDMAN.EXE" [2003-06-03 03:45 54784 C:\WINDOWS\SOUNDMAN.EXE]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [ ]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [ ]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 13:20 227328]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 17:14 50688]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 22:32 208952]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"CHotkey"="mHotkey.exe" [2001-12-26 14:12 472576 C:\WINDOWS\mHotkey.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-22 21:02 262401]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-03-30 21:00 327680]
"ATIModeChange"="Ati2mdxx.exe" [2003-06-03 03:46 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-06-03 03:46 147456]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 20:00 118784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 15:58 1744896]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^****^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\b4c57cee]
C:\WINDOWS\system32\njpsanlq.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\LimeW\\LimeWire.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-22 21:02]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-22 21:02]
S3 xlink;XLINK Driver (xlink.sys);C:\WINDOWS\system32\Drivers\xlink.sys [2003-01-31 19:41]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d07158c2-de8b-11da-ab17-0090f525966b}]
\Shell\AutoRun\command - F:\loader.exe /no hidden

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-18 18:33:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Apoint2K\ApntEx.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-18 18:37:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-18 16:37:34

7 Verzeichnis(se), 40,723,693,568 Bytes frei
11 Verzeichnis(se), 40,651,702,272 Bytes frei

297 --- E O F --- 2008-05-16 21:25:21

Außerdem danke für die prompte Antwort.
mfg
hinte67
__________________

Alt 18.05.2008, 19:01   #4
Sunny
Administrator
> Competence Manager
 

Bitte HJT log anschauen - Standard

Bitte HJT log anschauen



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{048a5709-42e6-4eaa-9d5f-5b22bcf9ba0f}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\b4c57cee]

FILE::
C:\WINDOWS\system32\uavynphi.dll
C:\WINDOWS\system32\njpsanlq.dll
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann




Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 18.05.2008, 20:14   #5
hinte67
 
Bitte HJT log anschauen - Standard

Bitte HJT log anschauen



Hallo Sunny erstmal das ComboFix log. Das Ergebnis von Malewarebytes ist im Anschluss.

ComboFix 08-05-15.3 - **** 2008-05-18 19:09:57.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.264 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\****\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\njpsanlq.dll
C:\WINDOWS\system32\uavynphi.dll
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-18 bis 2008-05-18 ))))))))))))))))))))))))))))))
.

2008-05-16 23:14 . 2008-03-01 14:53 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-05-16 23:14 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-05-16 23:14 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-05-16 23:14 . 2008-03-01 14:53 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-05-16 23:14 . 2008-03-01 14:53 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-05-16 23:14 . 2008-03-01 14:53 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-05-16 23:14 . 2008-03-01 14:53 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-05-16 23:14 . 2008-03-01 14:53 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-05-16 23:14 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-05-16 20:35 . 2008-05-16 20:35 <DIR> d-------- C:\WINDOWS\system32\de
2008-05-16 20:35 . 2008-05-16 20:35 <DIR> d-------- C:\WINDOWS\system32\bits
2008-05-16 20:35 . 2008-05-16 20:35 <DIR> d-------- C:\WINDOWS\l2schemas
2008-05-16 20:05 . 2008-04-14 04:22 712,704 --------- C:\WINDOWS\system32\windowscodecs.dll
2008-05-16 20:05 . 2008-04-14 04:22 346,112 --------- C:\WINDOWS\system32\windowscodecsext.dll
2008-05-16 20:05 . 2008-04-14 04:22 276,992 --------- C:\WINDOWS\system32\wmphoto.dll
2008-05-16 20:05 . 2008-04-14 04:22 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-05-16 20:05 . 2008-04-14 04:22 53,248 --------- C:\WINDOWS\system32\tsgqec.dll
2008-05-16 20:05 . 2008-04-14 04:22 50,688 --------- C:\WINDOWS\system32\tspkg.dll
2008-05-16 20:03 . 2008-04-14 04:22 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-05-16 20:02 . 2008-04-14 04:22 233,472 --------- C:\WINDOWS\system32\azroles.dll
2008-05-16 20:02 . 2008-04-14 04:22 136,192 --------- C:\WINDOWS\system32\aaclient.dll
2008-05-16 20:02 . 2008-04-14 04:22 12,800 --------- C:\WINDOWS\system32\credssp.dll
2008-05-16 20:02 . 2008-04-14 04:22 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2008-05-16 18:49 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002416_.tmp
2008-05-16 18:18 . 2008-05-16 16:52 288 --a------ C:\WINDOWS\system32\$winnt$.inf
2008-05-16 17:23 . 2008-05-18 18:37 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-05-16 17:09 . 2008-05-16 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-05-16 17:03 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-05-16 17:03 . 2007-07-30 19:19 216,408 --a--c--- C:\WINDOWS\system32\dllcache\wuaucpl.cpl
2008-05-16 16:49 . 2008-04-14 04:21 482,304 --a--c--- C:\WINDOWS\system32\dllcache\pintlgnt.ime
2008-05-16 16:48 . 2003-04-02 14:00 10,096,640 --a--c--- C:\WINDOWS\system32\dllcache\hwxcht.dll
2008-05-16 16:47 . 2001-08-18 04:54 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll
2008-05-16 16:47 . 2001-08-18 04:53 316,928 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_aqueue.dll
2008-05-16 16:47 . 2001-08-18 04:54 175,616 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpadm.dll
2008-05-16 16:47 . 2001-08-18 04:53 46,592 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_aqadmin.dll
2008-05-16 16:47 . 2001-08-18 04:52 5,632 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_adsiisex.dll
2008-05-16 16:43 . 2008-05-16 16:43 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-05-16 16:43 . 2008-05-16 16:43 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-05-16 16:43 . 2008-05-16 16:43 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-05-16 16:43 . 2008-05-16 16:43 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-05-16 16:43 . 2008-05-16 16:43 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-05-16 16:41 . 2008-04-14 04:22 691,712 --a------ C:\WINDOWS\system32\inetcomm.dll
2008-05-16 16:41 . 2008-04-14 04:22 280,064 --a------ C:\WINDOWS\system32\mstask.dll
2008-05-16 16:41 . 2008-04-14 04:22 252,928 --a------ C:\WINDOWS\system32\msoeacct.dll
2008-05-16 16:41 . 2008-04-14 04:22 193,536 --a------ C:\WINDOWS\system32\schedsvc.dll
2008-05-16 16:41 . 2008-04-14 04:22 105,984 --a------ C:\WINDOWS\system32\msoert2.dll
2008-05-16 16:41 . 2008-04-14 04:22 12,288 --a------ C:\WINDOWS\system32\mstinit.exe
2008-05-16 16:38 . 2008-04-14 04:23 380,928 --a------ C:\WINDOWS\system32\irprops.cpl
2008-05-16 16:38 . 2008-04-14 04:22 153,088 --a------ C:\WINDOWS\system32\irftp.exe
2008-05-16 16:38 . 2008-04-13 20:54 88,192 --a------ C:\WINDOWS\system32\drivers\irda.sys
2008-05-16 16:38 . 2008-04-14 04:22 28,160 --a------ C:\WINDOWS\system32\irmon.dll
2008-05-16 16:38 . 2008-04-14 04:22 8,192 --a------ C:\WINDOWS\system32\wshirda.dll
2008-05-16 16:35 . 2008-04-14 03:52 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-05-16 16:35 . 2008-04-13 20:45 52,864 --a------ C:\WINDOWS\system32\drivers\dmusic.sys
2008-05-16 16:35 . 2008-04-13 20:47 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-16 16:35 . 2008-04-13 20:45 6,272 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-05-16 16:34 . 2008-04-13 20:54 28,672 --a------ C:\WINDOWS\system32\drivers\nscirda.sys
2008-05-16 16:27 . 2008-04-14 04:23 129,536 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-05-16 16:27 . 2008-04-14 04:23 40,840 --a------ C:\WINDOWS\system32\drivers\termdd.sys
2008-05-16 16:27 . 2008-04-14 04:22 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-05-16 16:26 . 2001-08-17 13:51 19,584 --a------ C:\WINDOWS\system32\drivers\rasirda.sys
2008-05-16 12:50 . 2008-05-16 12:50 <DIR> d-------- C:\Programme\DLL Killer
2008-05-16 12:50 . 2002-02-01 15:00 1,497,088 --a------ C:\WINDOWS\system32\cc3260mt.dll
2008-05-16 12:50 . 2002-02-01 15:00 1,410,560 --a------ C:\WINDOWS\system32\cc3260.dll
2008-05-16 12:50 . 2002-02-01 15:00 1,326,080 --a------ C:\WINDOWS\system32\vcl60.bpl
2008-05-16 12:50 . 2008-05-16 12:50 729,088 --a------ C:\WINDOWS\GPInstall.exe
2008-05-16 12:50 . 2002-02-01 15:00 676,352 --a------ C:\WINDOWS\system32\rtl60.bpl
2008-05-16 12:50 . 2002-02-01 15:00 213,504 --a------ C:\WINDOWS\system32\vclx60.bpl
2008-05-16 12:50 . 2002-02-01 15:00 127,488 --a------ C:\WINDOWS\system32\bcbsmp60.bpl
2008-05-16 12:50 . 2000-01-31 06:00 25,600 --a------ C:\WINDOWS\system32\BORLNDMM.DLL
2008-05-14 14:18 . 2008-05-14 14:18 65,536 --a------ C:\WINDOWS\IFinst27.exe
2008-05-14 09:02 . 2008-05-14 09:19 250 --a------ C:\WINDOWS\gmer.ini
2008-05-14 08:52 . 2008-05-14 08:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
5 Datei(en) . 4,724,724 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-14 12:24 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Skype
2008-05-07 15:55 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\LimeWire
2008-05-03 08:41 44,908 ----a-w C:\Dokumente und Einstellungen\****\Anwendungsdaten\wklnhst.dat
2008-04-14 02:23 32,866 ----a-w C:\WINDOWS\slrundll.exe
2008-04-14 02:23 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 02:23 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 02:23 151,040 ----a-w C:\WINDOWS\PCHealth\UploadLB\Binaries\uploadm.exe
2008-04-14 02:23 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 02:23 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 02:02 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 02:02 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 02:02 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 02:02 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 02:02 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 01:58 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 01:58 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 01:58 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 01:58 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 01:57 40,448 ------w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 01:56 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 01:55 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 01:54 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 01:54 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 01:52 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 01:52 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 01:52 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 01:52 16,384 ----a-w C:\WINDOWS\system32\drivers\battc.sys
2008-04-14 01:51 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 01:50 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 01:50 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 01:49 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 01:49 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 01:49 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
2008-04-13 18:56 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys
2008-04-13 18:56 12,288 ----a-w C:\WINDOWS\system32\drivers\tunmp.sys
2008-04-13 18:55 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-13 18:55 14,592 ----a-w C:\WINDOWS\system32\drivers\ndisuio.sys
2008-04-13 18:54 22,016 ----a-w C:\WINDOWS\system32\drivers\msircomm.sys
2008-04-13 18:54 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys
2008-04-13 18:53 71,552 ----a-w C:\WINDOWS\system32\drivers\bridge.sys
2008-04-13 18:53 40,320 ----a-w C:\WINDOWS\system32\drivers\nmnt.sys
2008-04-13 18:53 36,608 ------w C:\WINDOWS\system32\drivers\ip6fw.sys
2008-04-13 18:53 264,832 ------w C:\WINDOWS\system32\drivers\http.sys
2008-04-13 18:51 61,824 ----a-w C:\WINDOWS\system32\drivers\nic1394.sys
2008-04-13 18:51 60,800 ----a-w C:\WINDOWS\system32\drivers\arp1394.sys
2008-04-13 18:51 59,904 ----a-w C:\WINDOWS\system32\drivers\atmarpc.sys
2008-04-13 18:51 55,808 ----a-w C:\WINDOWS\system32\drivers\atmlane.sys
2008-04-13 18:51 101,120 ------w C:\WINDOWS\system32\drivers\bthpan.sys
2008-04-13 18:46 61,696 ----a-w C:\WINDOWS\system32\drivers\ohci1394.sys
2008-04-13 18:46 59,136 ------w C:\WINDOWS\system32\drivers\rfcomm.sys
2008-04-13 18:46 53,376 ----a-w C:\WINDOWS\system32\drivers\1394bus.sys
2008-04-13 18:46 37,888 ------w C:\WINDOWS\system32\drivers\bthmodem.sys
2008-04-13 18:46 36,480 ------w C:\WINDOWS\system32\drivers\bthprint.sys
2008-04-13 18:46 25,344 ----a-w C:\WINDOWS\system32\drivers\sonydcam.sys
2008-04-13 18:46 18,944 ------w C:\WINDOWS\system32\drivers\bthusb.sys
2008-04-13 18:46 17,024 ------w C:\WINDOWS\system32\drivers\bthenum.sys
2008-04-13 18:46 121,984 ------w C:\WINDOWS\system32\drivers\usbvideo.sys
2008-04-13 18:44 81,664 ----a-w C:\WINDOWS\system32\drivers\videoprt.sys
2008-04-13 18:44 20,992 ----a-w C:\WINDOWS\system32\drivers\vga.sys
2008-04-13 18:43 14,208 ----a-w C:\WINDOWS\system32\drivers\wacompen.sys
2008-04-13 18:43 12,672 ----a-w C:\WINDOWS\system32\drivers\mutohpen.sys
2008-04-13 18:39 7,552 ----a-w C:\WINDOWS\system32\drivers\mskssrv.sys
2008-04-13 18:39 5,376 ----a-w C:\WINDOWS\system32\drivers\mspclock.sys
2008-04-13 18:39 42,368 ----a-w C:\WINDOWS\system32\drivers\mountmgr.sys
.

((((((((((((((((((((((((((((( snapshot@2008-05-18_18.37.21.62 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-18 16:32:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-18 17:13:07 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 04:22 1695232]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2005-07-25 19:14 188459]
"Creative Detector"="C:\Programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 18:23 102400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 20:00 1005386]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"SoundMan"="SOUNDMAN.EXE" [2003-06-03 03:45 54784 C:\WINDOWS\SOUNDMAN.EXE]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [ ]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [ ]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 13:20 227328]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 17:14 50688]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 22:32 208952]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"CHotkey"="mHotkey.exe" [2001-12-26 14:12 472576 C:\WINDOWS\mHotkey.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-22 21:02 262401]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-03-30 21:00 327680]
"ATIModeChange"="Ati2mdxx.exe" [2003-06-03 03:46 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-06-03 03:46 147456]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 20:00 118784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 15:58 1744896]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^****^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\LimeW\\LimeWire.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-22 21:02]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-22 21:02]
S3 xlink;XLINK Driver (xlink.sys);C:\WINDOWS\system32\Drivers\xlink.sys [2003-01-31 19:41]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d07158c2-de8b-11da-ab17-0090f525966b}]
\Shell\AutoRun\command - F:\loader.exe /no hidden

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-18 19:13:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Apoint2K\ApntEx.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-18 19:17:42 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-18 17:17:37
ComboFix2.txt 2008-05-18 16:37:39

7 Verzeichnis(se), 40,632,881,152 Bytes frei
10 Verzeichnis(se), 40,624,115,712 Bytes frei

284 --- E O F --- 2008-05-16 21:25:21



Malwarebytes' Anti-Malware 1.12
Datenbank Version: 762

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 100542
Scan Dauer: 50 minute(s), 26 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{dd469a88-316c-441d-b712-783d9b9a6707} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{981bda1d-c8ad-46ff-be2c-fddd859ac6f5} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{d28cd14c-50be-4cfa-951e-b37f25da3472} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\saix.installercaller (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\saix.installercaller.1 (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{deceaaa2-370a-49bb-9362-68c3a58ddc62} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{deceaaa2-370a-49bb-9362-68c3a58ddc62} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Mirar (AdWare.Mirar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ADP (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ddcYpmlL.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{83C92553-7CFB-49E2-B063-D9394E29CF7E}\RP1\A0000234.exe (Adware.SaveNow) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{83C92553-7CFB-49E2-B063-D9394E29CF7E}\RP1\A0000235.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{83C92553-7CFB-49E2-B063-D9394E29CF7E}\RP5\A0009786.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{83C92553-7CFB-49E2-B063-D9394E29CF7E}\RP5\A0009787.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{83C92553-7CFB-49E2-B063-D9394E29CF7E}\RP5\A0009788.dll (Rogue.Multiple) -> Quarantined and deleted successfully.


Alt 19.05.2008, 20:13   #6
Sunny
Administrator
> Competence Manager
 

Bitte HJT log anschauen - Standard

Bitte HJT log anschauen



Das sieht eigentlich alles wieder ganz gut aus, wenn du auf Nummer Sicher gehen willst dann mach einen Scan hiermit:



Kaspersky - Onlinescanner


Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen


Ansonsten wenn deinerseits keine Probleme mehr sind, bist du "entlassen" ..
__________________
--> Bitte HJT log anschauen

Alt 20.05.2008, 00:50   #7
hinte67
 
Bitte HJT log anschauen - Standard

Bitte HJT log anschauen



Habe Kaspersky drüber laufen lassen. AntiVir hat sich dabei auch einige Male gemeldet. Was sagst du bzw ihr dazu.

mfg

hinte67
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 20. Mai 2008 00:45:05
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 19/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 701277
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 68358
Viren gefunden: 2
Infizierte Objekte gefunden: 3
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:41:54

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\****\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051920080520\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\****\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\****\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\QooBox\Quarantine\catchme2008-05-18_183049,67.zip/tuvWnmjI.dll Infizierte Objekte: Trojan.Win32.Monder.dg übersprungen
C:\QooBox\Quarantine\catchme2008-05-18_183049,67.zip ZIP: infiziert - 1 übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{83C92553-7CFB-49E2-B063-D9394E29CF7E}\RP7\A0009868.dll Infizierte Objekte: Trojan.Win32.Monder.gen übersprungen
C:\System Volume Information\_restore{83C92553-7CFB-49E2-B063-D9394E29CF7E}\RP8\A0009977.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{83C92553-7CFB-49E2-B063-D9394E29CF7E}\RP9\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Alt 20.05.2008, 17:25   #8
Sunny
Administrator
> Competence Manager
 

Bitte HJT log anschauen - Standard

Bitte HJT log anschauen




Combofix Deinstallieren


Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.



Wenn es danach keine Probleme mehr gibt sollten wir mit deinem System fertig sein.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu Bitte HJT log anschauen
adobe, antivir, avira, bho, dateien, defender, drivers, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, logfile, messenger, microsoft, problem, programme, senden, server, software, solution, system, temp, toolbars, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Bitte HJT log anschauen


  1. Bitte mal anschauen
    Mülltonne - 16.11.2008 (0)
  2. Kann da bitte jemand mein log file anschauen bitte
    Log-Analyse und Auswertung - 18.09.2006 (14)
  3. Kann da bitte jemand mein log file anschauen bitte
    Log-Analyse und Auswertung - 12.08.2006 (3)
  4. bitte anschauen
    Log-Analyse und Auswertung - 11.06.2006 (1)
  5. Bitte anschauen!
    Log-Analyse und Auswertung - 05.06.2006 (1)
  6. Bitte anschauen!!
    Mülltonne - 23.05.2006 (3)
  7. Bitte mal anschauen
    Log-Analyse und Auswertung - 18.12.2005 (9)
  8. Bitte anschauen ;)
    Log-Analyse und Auswertung - 05.09.2005 (16)
  9. Wie kommen bloß die ganzen Trojaner auf meinem Rechner-Logfile bitte ,bitte anschauen
    Log-Analyse und Auswertung - 15.07.2005 (3)
  10. Bitte mal anschauen!
    Log-Analyse und Auswertung - 25.03.2005 (1)
  11. Bitte mal anschauen...
    Log-Analyse und Auswertung - 22.03.2005 (3)
  12. Bitte die Log anschauen !
    Log-Analyse und Auswertung - 11.03.2005 (2)
  13. log bitte mal anschauen :)
    Log-Analyse und Auswertung - 02.03.2005 (3)
  14. bitte mal anschauen
    Log-Analyse und Auswertung - 02.03.2005 (1)
  15. Bitte mal anschauen
    Log-Analyse und Auswertung - 24.02.2005 (5)
  16. Bitte anschauen
    Log-Analyse und Auswertung - 26.01.2005 (15)
  17. Bitte mal anschauen
    Log-Analyse und Auswertung - 12.01.2005 (5)

Zum Thema Bitte HJT log anschauen - Hallo Leute!! Ich habe seit einiger Zeit ein Problem mit dem system 32. Ich habe das XP als Betriebssystem und den Antivir Virenschutz. Dieser schreibt seit einiger Zeit folgende Warnungen: - Bitte HJT log anschauen...
Archiv
Du betrachtest: Bitte HJT log anschauen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.