Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: hijack ist an bei... kaspersky erkännt die viren nicht

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.04.2009, 08:20   #1
maese
 
hijack ist an bei... kaspersky erkännt die viren nicht - Standard

hijack ist an bei... kaspersky erkännt die viren nicht



Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\Explorer.EXE
C:\WINXP\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UYX8MEYN\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A013DC48-D54A-4443-982C-D63B796C6AC5}: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe


kaspersky lässt sich eider nicht mehr updaten... das hoch fahren von meinem PC dauert...
zwischen durch kommt trotz popupblocker eine meldung von adserving.
i-net ist leider auch sehr langsam trotz quadcor und 20000 leitung ic verstehe die welt nicht mehr..

Alt 22.04.2009, 13:34   #2
Chris4You
 
hijack ist an bei... kaspersky erkännt die viren nicht - Standard

hijack ist an bei... kaspersky erkännt die viren nicht



Hi,

das ist ganz einfach....
Deine komplette Internetverbindung wird über die Ukraine geroutet...
Daher absolut nichts mehr mit Passwörtern/eBanking/eBay etc. Von einem sauberen Rechner sofort alle Passwörter ändern bzw. Konten etc. sperren lassen.

Ausserdem wäre es schön, wenn Du:
- ein komplettes HJ-Log postest,
- die Links wie angegebenen behandelts (http://www.trojaner-board.de/22771-a...tml#post171958)
- und Du alles für einen Erstbeitrag lieferst (http://www.trojaner-board.de/69886-a...-beachten.html)..

Also arbeite alles für den Erstbeitrag ab, plus:

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O17 - HKLM\System\CCS\Services\Tcpip\..\{A013DC48-D54A-4443-982C-D63B796C6AC5}: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
         
DNS-Einträge entfernen:
Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)


Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe
__________________

__________________

Alt 22.04.2009, 21:37   #3
maese
 
hijack ist an bei... kaspersky erkännt die viren nicht - Standard

hijack ist an bei... kaspersky erkännt die viren nicht



Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3326.2976 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Daniel\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\dokume~1\Daniel\LOKALE~1\Temp\tmp2.tmp
c:\dokume~1\Daniel\LOKALE~1\Temp\tmp3.tmp
c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Temp\tmp3.tmp
c:\recycler\S-6-7-75-100010101-100006175-100032205-1416.com
c:\winxp\system32\404Fix.exe
c:\winxp\system32\Agent.OMZ.Fix.exe
c:\winxp\system32\drivers\gxvxcserv.sys
c:\winxp\system32\dumphive.exe
c:\winxp\system32\IEDFix.C.exe
c:\winxp\system32\IEDFix.exe
c:\winxp\system32\o4Patch.exe
c:\winxp\system32\Process.exe
c:\winxp\system32\SrchSTS.exe
c:\winxp\system32\tmp.reg
c:\winxp\system32\VACFix.exe
c:\winxp\system32\VCCLSID.exe
c:\winxp\system32\WS2Fix.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-22 bis 2009-04-22 ))))))))))))))))))))))))))))))
.

2009-04-19 22:35 . 2009-04-19 22:35 -------- d-----r c:\dokumente und einstellungen\LocalService\Favoriten
2009-04-19 22:35 . 2009-04-19 22:35 24576 ----a-w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\cp_setup_assist.exe
2009-04-19 04:14 . 2008-10-16 12:06 268648 ----a-w c:\winxp\system32\mucltui.dll
2009-04-19 04:14 . 2008-10-16 12:06 208744 ----a-w c:\winxp\system32\muweb.dll
2009-04-19 04:14 . 2008-10-16 12:06 27496 ----a-w c:\winxp\system32\mucltui.dll.mui
2009-04-18 07:28 . 2009-04-18 07:28 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Template
2009-04-18 07:28 . 2009-04-18 09:13 284 ----a-w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\wklnhst.dat
2009-04-17 21:11 . 2009-04-17 21:16 -------- d-----w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Rockstar Games
2009-04-17 21:07 . 2009-04-17 21:07 107888 ----a-w c:\winxp\system32\CmdLineExt.dll
2009-04-17 21:06 . 2009-04-17 21:06 -------- d-----w c:\winxp\system32\xlive
2009-04-17 20:50 . 2009-04-17 22:20 466848 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-04-17 20:48 . 2009-04-17 20:51 -------- d-----w c:\winxp\system32\XPSViewer
2009-04-17 20:47 . 2006-06-29 11:07 14048 ------w c:\winxp\system32\spmsg2.dll
2009-04-16 07:30 . 2009-02-09 11:14 2026496 -c----w c:\winxp\system32\dllcache\ntkrpamp.exe
2009-04-16 07:30 . 2009-02-09 11:14 2068480 -c----w c:\winxp\system32\dllcache\ntkrnlpa.exe
2009-04-16 07:30 . 2009-02-09 11:14 2147840 -c----w c:\winxp\system32\dllcache\ntkrnlmp.exe
2009-04-14 20:07 . 2009-04-14 20:07 -------- d--h--w c:\winxp\system32\GroupPolicy
2009-04-14 14:56 . 2009-04-14 14:56 -------- d-----w c:\winxp\system32\NtmsData
2009-04-14 14:24 . 2009-04-14 14:24 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Ashampoo
2009-04-14 14:16 . 2009-04-14 14:16 -------- d-----w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\ashampoo
2009-04-14 14:16 . 2009-04-14 14:16 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ashampoo
2009-04-14 14:05 . 2009-04-14 14:05 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\vlc
2009-04-14 12:54 . 2009-04-14 18:54 44786 ----a-w c:\winxp\Logic 5.prf
2009-04-14 12:45 . 2009-04-14 12:46 471 ----a-w c:\winxp\system32\Datei4
2009-04-14 12:45 . 2009-04-14 12:46 471 ----a-w c:\winxp\system32\Datei2
2009-04-14 12:45 . 2009-04-14 12:46 470 ----a-w c:\winxp\system32\Datei3
2009-04-14 12:45 . 2009-04-14 12:46 470 ----a-w c:\winxp\system32\Datei1
2009-04-14 12:45 . 2009-04-14 12:46 469 ----a-w c:\winxp\system32\Datei7
2009-04-14 12:45 . 2009-04-14 12:46 469 ----a-w c:\winxp\system32\Datei5
2009-04-14 12:45 . 2009-04-14 12:46 468 ----a-w c:\winxp\system32\Datei0
2009-04-14 12:45 . 2009-04-14 12:46 467 ----a-w c:\winxp\system32\Datei9
2009-04-14 12:45 . 2009-04-14 12:46 467 ----a-w c:\winxp\system32\Datei8
2009-04-14 12:45 . 2009-04-14 12:46 467 ----a-w c:\winxp\system32\Datei10
2009-04-14 12:45 . 2009-04-14 12:46 465 ----a-w c:\winxp\system32\Datei6
2009-04-14 12:45 . 2009-04-19 22:37 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Steinberg
2009-04-14 12:42 . 2005-05-09 15:38 33792 ----a-w c:\winxp\system32\drivers\cledx.sys
2009-04-14 12:40 . 1997-08-26 07:36 315904 ----a-w c:\winxp\IsUninst.exe
2009-04-14 12:40 . 2009-04-14 12:40 -------- d-----w c:\dokumente und einstellungen\Daniel\WINDOWS
2009-04-14 12:33 . 2005-11-03 07:47 16896 ----a-w c:\winxp\system32\drivers\synasUSB.sys
2009-04-14 10:02 . 2002-09-19 13:03 114688 ----a-w c:\winxp\system32\EASIMME.dll
2009-04-14 10:02 . 2002-08-13 07:04 53248 ----a-w c:\winxp\system32\VSM Manager.dll
2009-04-14 10:02 . 2002-08-13 07:04 36864 ----a-w c:\winxp\system32\Log_ds2.ax
2009-04-14 10:02 . 2002-08-13 07:04 258048 ----a-w c:\winxp\system32\REX Shared Library.dll
2009-04-14 10:02 . 2002-08-13 07:04 126976 ----a-w c:\winxp\system32\EASIDS.dll
2009-04-14 09:06 . 2009-04-20 06:31 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\uTorrent

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-22 19:33 . 2009-04-14 08:37 5528352 --sha-w c:\winxp\system32\drivers\fidbox.dat
2009-04-22 19:33 . 2009-04-14 08:37 297760 --sha-w c:\winxp\system32\drivers\fidbox2.dat
2009-04-22 19:31 . 2009-04-14 08:37 77108 --sha-w c:\winxp\system32\drivers\fidbox.idx
2009-04-22 19:31 . 2009-04-14 08:37 31004 --sha-w c:\winxp\system32\drivers\fidbox2.idx
2009-04-22 19:17 . 2009-04-14 08:37 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-04-22 04:30 . 2009-04-17 08:29 -------- d-----w c:\programme\Steam
2009-04-21 05:46 . 2009-04-21 05:44 3070 ----a-w C:\rapport.txt
2009-04-19 22:35 . 2009-04-19 22:35 -------- d-----w c:\programme\UNICCodec
2009-04-18 07:27 . 2009-04-18 07:26 -------- d-----w c:\programme\Microsoft Works
2009-04-17 21:14 . 2009-04-17 21:06 -------- d-----w c:\programme\Microsoft Games for Windows - LIVE
2009-04-17 20:52 . 2009-04-17 20:45 -------- d-----w c:\programme\Rockstar Games
2009-04-17 20:52 . 2009-04-14 08:30 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-17 20:50 . 2008-04-14 10:00 78558 ----a-w c:\winxp\system32\perfc007.dat
2009-04-17 20:50 . 2008-04-14 10:00 443100 ----a-w c:\winxp\system32\perfh007.dat
2009-04-17 20:50 . 2009-04-17 20:50 -------- d-----w c:\programme\MSBuild
2009-04-17 20:47 . 2009-04-17 20:47 -------- d-----w c:\programme\Reference Assemblies
2009-04-17 12:45 . 2009-04-17 12:45 -------- d-----w c:\programme\Elaborate Bytes
2009-04-14 18:48 . 2009-04-14 08:28 12112 ----a-w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-14 15:02 . 2009-04-14 15:02 -------- d-----w c:\programme\PowerQuest
2009-04-14 15:01 . 2009-04-14 08:32 -------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-04-14 14:16 . 2009-04-14 14:16 -------- d-----w c:\programme\Ashampoo
2009-04-14 14:05 . 2009-04-14 14:05 -------- d-----w c:\programme\VideoLAN
2009-04-14 10:03 . 2009-04-14 08:23 86315 ----a-w c:\winxp\pchealth\helpctr\OfflineCache\index.dat
2009-04-14 09:45 . 2009-04-14 09:06 -------- d-----w c:\programme\uTorrent
2009-04-14 09:26 . 2009-04-14 09:25 -------- d-----w c:\programme\eMule
2009-04-14 08:49 . 2009-04-14 08:49 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-04-14 08:42 . 2009-04-14 08:37 89601 ----a-w c:\winxp\system32\drivers\klick.dat
2009-04-14 08:42 . 2009-04-14 08:37 101287 ----a-w c:\winxp\system32\drivers\klin.dat
2009-04-14 08:37 . 2009-04-14 08:37 -------- d-----w c:\programme\Kaspersky Lab
2009-04-14 08:32 . 2009-04-14 08:30 -------- d-----w c:\programme\Realtek
2009-04-14 08:32 . 2009-04-14 08:32 315392 ----a-w c:\winxp\HideWin.exe
2009-04-14 08:30 . 2009-04-14 08:30 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\InstallShield
2009-04-14 08:30 . 2009-04-14 08:30 16608 ----a-w c:\winxp\gdrv.sys
2009-04-14 08:29 . 2009-04-14 08:20 -------- d-----w c:\programme\Windows Media Connect 2
2009-04-14 08:24 . 2009-04-14 08:24 -------- d-----w c:\programme\microsoft frontpage
2009-04-14 08:22 . 2009-04-14 08:22 -------- d-----w c:\programme\Online-Dienste
2009-04-14 08:22 . 2009-04-14 08:22 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-04-14 08:20 . 2009-04-14 08:20 21740 ----a-w c:\winxp\system32\emptyregdb.dat
2009-03-12 15:30 . 2009-03-12 15:30 142504 ----a-w c:\winxp\system32\ElbyVCD.dll
2009-03-06 13:50 . 2008-04-14 10:00 286720 ----a-w c:\winxp\system32\pdh.dll
2009-03-03 00:03 . 2008-10-16 19:04 826368 ----a-w c:\winxp\system32\wininet.dll
2009-03-02 11:41 . 2009-03-02 11:41 29184 ----a-w c:\winxp\system32\drivers\VClone.sys
2009-02-20 16:49 . 2008-12-10 14:31 78336 ----a-w c:\winxp\system32\ieencode.dll
2009-02-17 13:33 . 2009-02-17 13:33 89256 ----a-w c:\winxp\system32\ElbyCDIO.dll
2009-02-10 17:24 . 2008-04-14 10:00 678400 ----a-w c:\winxp\system32\advapi32.dll
2009-02-09 13:57 . 2008-12-10 15:30 1847680 ----a-w c:\winxp\system32\win32k.sys
2009-02-09 11:14 . 2008-08-14 13:52 2026496 ----a-w c:\winxp\system32\ntkrnlpa.exe
2009-02-09 11:14 . 2008-12-10 15:31 2147840 ----a-w c:\winxp\system32\ntoskrnl.exe
2009-02-09 11:14 . 2008-04-14 10:00 111104 ----a-w c:\winxp\system32\services.exe
2009-02-09 10:54 . 2008-04-14 10:00 736768 ----a-w c:\winxp\system32\lsasrv.dll
2009-02-09 10:54 . 2008-04-14 10:00 401408 ----a-w c:\winxp\system32\rpcss.dll
2009-02-09 10:54 . 2008-04-14 10:00 740864 ----a-w c:\winxp\system32\ntdll.dll
2009-02-06 10:36 . 2008-04-14 10:00 35328 ----a-w c:\winxp\system32\sc.exe
2009-02-03 19:57 . 2008-04-14 10:00 56832 ----a-w c:\winxp\system32\secur32.dll
.

------- Sigcheck -------

[-] 2008-12-10 14:31 1571840 451D0981F4CCA5697307AF90D799BDC3 c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2008-05-16 86016]
"SoundMan"="SOUNDMAN.EXE" - c:\winxp\SoundMan.exe [2008-06-18 77824]
"AlcWzrd"="ALCWZRD.EXE" - c:\winxp\alcwzrd.exe [2008-06-19 2808832]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Steam\\steamapps\\ellypirelly1986\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-22 21:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\dokume~1\Daniel\LOKALE~1\Temp\RGI1.tmp 7114 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(948)
c:\winxp\system32\klogon.dll

- - - - - - - > 'explorer.exe'(2624)
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scrchpg.dll
c:\winxp\system32\WPDShServiceObj.dll
c:\winxp\system32\PortableDeviceTypes.dll
c:\winxp\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
c:\winxp\system32\nvsvc32.exe
c:\winxp\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-22 21:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-22 19:35

Vor Suchlauf: 8 Verzeichnis(se), 215.984.922.624 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 215.997.538.304 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

212 --- E O F --- 2009-04-19 10:24
__________________

Alt 22.04.2009, 22:22   #4
Chris4You
 
hijack ist an bei... kaspersky erkännt die viren nicht - Standard

hijack ist an bei... kaspersky erkännt die viren nicht



Äh,

ja es stellt sich mir die Frage, hast Du alle Aktionen die bei dem Link für den ersten Beitrag durchgeführt? (CCleaner, MAM etc.)...

Ich denke nicht, es sind noch temporäre Daten da, daher unbedingt nachholen wenn doch dann Log posten...

Du hattest/hast einen Rootkit auf dem System:
c:\winxp\system32\drivers\gxvxcserv.sys

Normalweise zieht der eine Menge an Trojanern etc. nach sich, daher dürfte es das Beste sein, dass System Neuaufzusetzen...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

Hohle unbedingt die Scann mit MAM nach, vorher die Bereinigung mit CCleaner... ev. brauchen wir zum kompletten entfernen noch ein paar andere Tools, wobei der Rechner eigentlich nicht mehr sicher ist...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu hijack ist an bei... kaspersky erkännt die viren nicht
button, content.ie5, dll, einstellungen, hijack, hijackthis, hkus\s-1-5-18, ide, internet, internet explorer, kaspersky, langsam, messenger, microsoft, nicht mehr, nvidia, object, programme, rundll, sehr langsam, software, start, system, system32, update, viren, windows, winxp



Ähnliche Themen: hijack ist an bei... kaspersky erkännt die viren nicht


  1. Hijack & pum viren !
    Plagegeister aller Art und deren Bekämpfung - 03.02.2013 (11)
  2. macht kaspersky probleme oder habe ich viren??
    Antiviren-, Firewall- und andere Schutzprogramme - 27.06.2011 (16)
  3. Viren Hijack.Regedit und Hijack.TaskManager: Wie beheben?
    Log-Analyse und Auswertung - 14.11.2010 (5)
  4. Google und IExplorer öffnen Werbeseiten, AVir meldet Viren, HiJack funktioniert nicht
    Antiviren-, Firewall- und andere Schutzprogramme - 28.04.2010 (26)
  5. Hijack Logfile - Viren?
    Log-Analyse und Auswertung - 10.03.2010 (4)
  6. IE und Antivir funktioniert nicht - Security.Hijack und Hijack.ControlPanelStyle
    Log-Analyse und Auswertung - 25.07.2009 (37)
  7. Hijack this, viren frei?
    Log-Analyse und Auswertung - 25.05.2009 (0)
  8. Explorer öffnet Web-Viren & Kaspersky meldet schwerwiegende Virusinfektion
    Log-Analyse und Auswertung - 20.12.2008 (0)
  9. 7 Viren gefunden. Hijack kann nicht heruntergeladen werden.
    Plagegeister aller Art und deren Bekämpfung - 05.09.2008 (6)
  10. Kaspersky Online findet Viren/Trojaner - Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 03.09.2008 (1)
  11. Kaspersky: Jeder Scan = 50 Neue Viren
    Plagegeister aller Art und deren Bekämpfung - 22.02.2008 (19)
  12. Viren/Trojaner - Hijack log
    Log-Analyse und Auswertung - 05.12.2007 (9)
  13. Viren gefunden durch Kaspersky hilfe!
    Plagegeister aller Art und deren Bekämpfung - 14.11.2007 (2)
  14. Kaspersky findet Viren, ich kann sie aber nicht per cmd -> DEL löschen
    Plagegeister aller Art und deren Bekämpfung - 04.03.2006 (1)
  15. kaspersky findet angeblich viren ind java dateien - sind es wirklich viren ?
    Plagegeister aller Art und deren Bekämpfung - 22.08.2005 (6)
  16. Kaspersky + Passwortgeschützte viren?
    Plagegeister aller Art und deren Bekämpfung - 09.04.2005 (1)
  17. BITTE hijack auf Viren anschauen!
    Log-Analyse und Auswertung - 02.03.2005 (1)

Zum Thema hijack ist an bei... kaspersky erkännt die viren nicht - Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINXP\system32\nvsvc32.exe C:\WINXP\Explorer.EXE C:\WINXP\SOUNDMAN.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINXP\system32\RUNDLL32.EXE C:\WINXP\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UYX8MEYN\HiJackThis[1].exe - hijack ist an bei... kaspersky erkännt die viren nicht...
Archiv
Du betrachtest: hijack ist an bei... kaspersky erkännt die viren nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.