|
Ms Antispyware 2009 Popups
(https://www.trojaner-board.de/71923-ms-antispyware-2009-popups.html)
Ms Antispyware 2009 Popups Hallo Ähhm ich habe da ein kleines Problem. und zwar habe ich mir irgendwo den Trojaner/malware: Ms antispyware 2009 eingefangen. ich habe ihn auch soweit entfernt bekommen ,aber mein Problem ist jez das die pop ups die dadurch geöfnet werden leider immer wieder kommen :( kann mir villeicht jemand sagen wie ich diese lästigen popups loswerde wenn hijack post erforderlich einfach bescheidsagen ^^ mfg. Kev |
Lade Dir Spybot herunter (Klick hier Spybot installieren, dann starten: -> Updates suchen -> Immunisieren -> Search and Destroy (Überprüfen). Dann ein Screenshot machen und hier reinstellen. Danach mach bitte einen Hijackthis log. |
das programm spybot habe ich bereits gestern ausgeführt deswegen aknn ich leider keinen screenshot mehr machen. -.- hier sind die Logfiles: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\WINDOWS\SYSTEM32\userinit.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\Mixer.exe D:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\ICQ6.5\ICQ.exe D:\Neuer Ordner\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe D:\Programme\Winamp\winamp.exe C:\Programme\Opera\opera.exe D:\Programme\HiJackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.yodl.de/?&affid=1&uid=71B09C68-7321-47FB-95DB-9C693AF0AE2B R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Programme\Realplayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - D:\NEUERO~1\SPYBOT~1\SDHelper.dll (file missing) O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Neuer Ordner\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [InetChk] C:\WINDOWS\TEMP\ms1239179580.exe work (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - D:\NEUERO~1\SPYBOT~1\SDHelper.dll (file missing) O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - D:\NEUERO~1\SPYBOT~1\SDHelper.dll (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O11 - Options group: [international] International* O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\ O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Google Update Service (gupdate1c99f6ee9560a1e) (gupdate1c99f6ee9560a1e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (tuneup.defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (tuneup.programstatisticssvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\ -- End of file - 8314 bytes |
Entferne diese Einträge (fix sie): Code: Falls nicht auch, wir wollen schließlich wissen, ob es half. |
Hallo kevkev_kevin und :hallo: Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. Danach wird es deinem Rechner besser gehen, versprochen. :) ciao, andreas |
Also auch wenns ein bischen blöd klingt ... aba ich bin im fach pc noch ein neuling deswegen :wie fixe ich die sachen:confused::schmoll: |
Das machen wir ganz zum Schluss, arbeite einfach die Liste ab. Deinstalliere bitte Spybot. ciao, andreas |
habe ich gemacht |
Wo ist das Log von MalwareBytes, wo die Uninstallliste von HJT? Du musst alle Logs posten. ciao, andreas |
habe jez eben schnell einen quickscan gemacht das kam bei raus : Scan-Methode: Quick-Scan Durchsuchte Objekte: 60173 Laufzeit: 4 minute(s), 9 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) und was hatt es mit dem htj auf sich ? |
In der Anleitung zu Malwarebytes steht drin:
ciao, andreas |
und hier is die uninstall liste : Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin AppCore Archlord Episode 3 ccCommon CCleaner (remove only) Component Framework Free WMA to MP3 Converter 1.16 Free YouTube to Mp3 Converter version 3.1 Google Chrome Google Update Helper HijackThis 2.0.2 Hotfix für Windows XP (KB952287) ICQ Away Reader 1.4 ICQ Toolbar ICQ6.5 ijji - Gunz ijji Auto Installer Intel(R) PRO Ethernet Adapter and Software Java(TM) 6 Update 13 Java(TM) 6 Update 7 LiveUpdate (Symantec Corporation) LiveUpdate (Symantec Corporation) Malwarebytes' Anti-Malware McLoad Preinstaller Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Mozilla Firefox (3.0.1) MSXML 4.0 SP2 (KB954430) Nero 9 Trial neroxml Norton AntiVirus Norton AntiVirus Help Norton AntiVirus Online (Symantec Corporation) Norton Protection Center OpenOffice.org 3.0 Opera 9.63 PCI Audio Driver Postal 2 Share The Pain Postal 2 STP - Free Multiplayer Edition Project64 1.6 RealPlayer Remove Vista Customization Pack v3 Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958215) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960714) Sicherheitsupdate für Windows XP (KB960715) Silkroad Skype™ 3.8 SPBBC 32bit Symantec Real Time Storage Protection Component TeamSpeak 2 RC2 TequilaCursor 5.00 TuneUp Utilities 2009 TVgenial 3.30 Uninstall 1.0.0.1 Update für Windows XP (KB898461) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Update für Windows XP (KB967715) VLC media player 0.9.8a Winamp Winamp Remote Winamp Toolbar Windows Internet Explorer 7 Windows Media Format Runtime Windows XP Service Pack 3 WinRAR Yahoo! Toolbar |
Solange Malwarebytes am Scannen ist, kannst du schon mal deinstallieren. 1.) Deinstalliere:
2.) Installiere (Toolbars immer abwählen, Haken weg): Du spielst Gunz? Ich hab einen Lvl56-Char. :) ciao, andreas |
so ich habe jez alles deinstaliert was du mir aufgelistet hatest und malewarebytes ist auch fertig... ja ich habe einen 24 char auf welchem server spielst du ? |
Zitat:
Zitat:
ciao, andreas |
Das log: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1949 Windows 5.1.2600 Service Pack 3 11.04.2009 17:25:37 mbam-log-2009-04-11 (17-25-37).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 105184 Laufzeit: 28 minute(s), 5 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Dann gleich den nächsten, Punkt 1-3 der Anleitung abarbeiten: http://www.trojaner-board.de/51871-a...tispyware.html ciao, andreas |
abarbeiten ? |
Ist arbeiten heute schon ein Fremdwort? :D Ausführen, machen, lesen und das tun, was da steht. ciao, andreas |
ja ne das net :D ich meinte eig. ne bestimmte liste xD? |
|
asoo die liste XD ich dachte jez du meinst ne liste von progs die ich nacheinander ausführen soll XD an der liste bin ich gerade drann SUPERantispy hatt schon bei der hälfte 8 meldungen O.o |
SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 04/12/2009 at 08:08 PM Application Version : 4.26.1000 Core Rules Database Version : 3839 Trace Rules Database Version: 1795 Scan type : Complete Scan Total Scan Time : 01:39:25 Memory items scanned : 524 Memory threats detected : 1 Registry items scanned : 4473 Registry threats detected : 4 File items scanned : 47787 File threats detected : 4 Trojan.Dropper/UserInit-Fake C:\WINDOWS\SYSTEM32\USERINIT.EXE C:\WINDOWS\SYSTEM32\USERINIT.EXE C:\WINDOWS\PROMO.EXE Rootkit.Cloaked/Service-GEN HKLM\system\controlset001\services\267fab10 C:\WINDOWS\SYSTEM32\DRIVERS\267FAB10.SYS HKLM\system\controlset003\services\267fab10 Rootkit.Agent/Gen-Rustock HKLM\system\controlset001\services\ovfsthbsdpalqinvpyfwbwemoyxppawrrilokx C:\WINDOWS\SYSTEM32\DRIVERS\OVFSTHXNFMOLMSIKWFXOWCERQFXMBPXILXDWQH.SYS HKLM\system\controlset003\services\ovfsthbsdpalqinvpyfwbwemoyxppawrrilokx das kam bei raus ... |
Zitat:
GMER - Rootkit Detection
ciao, andreas |
GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-04-12 21:40:44 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- Code 865DB010 ZwEnumerateKey Code 865F2110 ZwFlushInstructionCache Code 865B903E IofCallDriver Code 865AE1AE IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 865B9043 .text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 865AE1B3 PAGE ntoskrnl.exe!ZwEnumerateKey 80570D64 5 Bytes JMP 865DB014 PAGE ntoskrnl.exe!ZwFlushInstructionCache 80577693 5 Bytes JMP 865F2114 ? C:\WINDOWS\System32\drivers\267fab10.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text D:\Programme\Winamp\winamp.exe[3936] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 087CA68D D:\Programme\Winamp\Plugins\gen_jumpex.dll .text D:\Programme\Winamp\winamp.exe[3936] USER32.dll!GetScrollInfo 7E37DFE2 7 Bytes JMP 087CA615 D:\Programme\Winamp\Plugins\gen_jumpex.dll .text D:\Programme\Winamp\winamp.exe[3936] USER32.dll!ShowScrollBar 7E37F2F2 5 Bytes JMP 087CA711 D:\Programme\Winamp\Plugins\gen_jumpex.dll .text D:\Programme\Winamp\winamp.exe[3936] USER32.dll!GetScrollPos 7E37F704 5 Bytes JMP 087CA63D D:\Programme\Winamp\Plugins\gen_jumpex.dll .text D:\Programme\Winamp\winamp.exe[3936] USER32.dll!SetScrollPos 7E37F750 5 Bytes JMP 087CA6B8 D:\Programme\Winamp\Plugins\gen_jumpex.dll .text D:\Programme\Winamp\winamp.exe[3936] USER32.dll!GetScrollRange 7E37F787 5 Bytes JMP 087CA662 D:\Programme\Winamp\Plugins\gen_jumpex.dll .text D:\Programme\Winamp\winamp.exe[3936] USER32.dll!SetScrollRange 7E37F99B 5 Bytes JMP 087CA6E3 D:\Programme\Winamp\Plugins\gen_jumpex.dll .text D:\Programme\Winamp\winamp.exe[3936] USER32.dll!EnableScrollBar 7E3B8005 7 Bytes JMP 087CA5ED D:\Programme\Winamp\Plugins\gen_jumpex.dll ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 267fab10.sys Device Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Ip 267fab10.sys AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp 267fab10.sys Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Udp 267fab10.sys AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp 267fab10.sys Device \Driver\SYMTDI \Device\SymTDI 267fab10.sys Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation) AttachedDevice fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- das hater alles gefunden |
Offensichtlich hat SASW alles erwischt. Wie geht es dem Rechner? ciao, andreas |
also is bis bis jez noch nich aufegtaucht wieda |
Sollte der nichts finden, dann sind wir durch. :daumenhoc Kaspersky Online Scan Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.
ciao, andreas |
ich habe ein neues prob ! ich habe SUPERAntispyware durchlaufen lassen ! dann habe ich die viren getötet also die rootkits und jezt lässt sich mein xp nicht mehr ochfahren ... bin jezt in der probierversion von windows 7:headbang: |
Zitat:
Zitat:
ciao, andreas |
wenn ich hochfahre kann ich zwischen 7 und xp wählen und nein der abgesicherte modus geht leider nich :-! wenn das windows symbol mit dem ladebalken kommt kommt auf einmal ein bluescreen und er startet nochmal neu. |
Gab es zwischen dem Lauf von SuperAntiSpyware und Gmer einen Neustart? Was funktionieren könnte ist eine Reparaturinstallation von Windows. Nur wenn du das hier liest, Viruslist.com - Rustock – Ein Malware-Mythos? Microsoft vs. Rustock-Rootkit: Microsoft entfernt Rootkits von 100.000 Rechnern - PC-WELT Backdoor.Rustock Technical Details | Symantec stellt sich die Frage, ob das überhaupt sinnvoll ist. Deine Daten kannst du ja mit Windows 7 in Ruhe erstmal sichern. Falls du eine Reparaturinstallation versuchen möchtest, hier steht wie es geht: Reparaturinstallation Windows XP - grafische Anleitung ciao, andreas |
äääähm nein ich habe alle sbefolgt wie in der anleitung. ich habe das log von superantispyware gepostet ,von dir auswerten lassen und dann habe ich einen restart vorgenommen. ich glaube es ist das beste wenn ich windows noch einmal neu aufsezte.:dummguck: |
Zitat:
Zitat:
ciao, andreas |
ich habe wie gesagt neugestartet wobei es keine probleme gab. nur eben als er windows xp hocfahren wollte kam das dabei herauf . |
Sorry, dass ich so oft nachhake, aber ich lese da folgendes: Gestern, 20:47 Dein Log von SuperAntiSpyware Gestern, 21:41 Dein Log von Gmer Gestern, 21:58 Deine Meldung, alles i.O. Gestern, 22:53 Meine Anweisung, Kaspersky Online Scanner einzusetzen Heute, 02:38 Deine Meldung, das du SASW eingesetzt hast und es Probleme gab? :confused: Irgendwas stimmt da doch nicht. ciao, andreas |
ich hatte kaskersky online scanner noch nicht benuzt. ich habe erst nochmal die carantäne geleert und dabei musste ich neustarten |
Aha, du hast also nicht auf die Anweisungen befolgt, sondern eigenständig gehandelt. Nun bin ich beruhigt. Auch wenn ich mir noch immer nicht erklären kann, was da eigentlich genau abgelaufen ist. ciao, andreas |
also ich habe es so gehandelt . 1.die schritte die du mir erklärt hattest. 2.die anleitung von superantispyware abgearbeitet. dann akm glaube ich der teil wos komplikationen gab also in der anleitung stand ich solle erst scannen das log posten und dann löschen. aber du meintest ich solle sofort löschen oder ? weil das habe ich nicht getan und habe dann mit Mg ding da gescannt. danach habe ich neugestartet wo ich superantispyware benutz hatte. |
Gut. Spielt nicht wirklich eine Rolle, es ist jetzt nicht mehr zu ändern. Sichere deine Daten uns installiere anschliessend neu. Halte dich an diese http://www.trojaner-board.de/51262-a...sicherung.html und beachte vor allem den dritten Schritt, damit du in Zukunft schädlingsfrei bleibst. ciao, andreas |
okay aber trozdem vielen dank das es es zumindest mit mir versucht hast xD |
Ich bin es noch einmal es ist etwas total komisches mit meinem xp passiert: Heute morgen wo ich wachgeworden bin habe ich mir aus Spaß gedacht, das mein xp wieder Funktioniert und habe es versucht spaßeshalber hochzufahren.Doch komischerweiße kam keine Fehlermeldung,und ich konnte wieder in mein system rein. Zur info ich habe die tage nichts an meinem system geändert weder neu aufgesezt oder so. Wie is das möglich ?:uglyhammer: |
Zitat:
Wie auch immer, schön das er wieder läuft und danke für die Rückmeldung. http://www.cosgan.de/images/more/schilder/019.gif ciao, andreas p.s.: Mache noch den Onlinescan mit Kaspersky und poste ein letzte HJT-Log. |
Hier ist das log von Kaspersky : -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7.0 REPORT Friday, April 17, 2009 Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600) Kaspersky Online Scanner version: 7.0.26.13 Program database last update: Friday, April 17, 2009 10:10:12 Records in database: 2053377 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: A:\ C:\ D:\ E:\ H:\ O:\ U:\ Scan statistics: Files scanned: 118492 Threat name: 3 Infected objects: 8 Suspicious objects: 0 Duration of the scan: 03:29:33 File name / Threat name / Threats count C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\ICQ Status Checker.exe Infected: HackTool.Win32.ICQPass.av 1 C:\WINDOWS\system32\ftp_non_crp.exe Infected: Packed.Win32.PolyCrypt.d 1 D:\Treiber\ICQ Status Checker.exe Infected: HackTool.Win32.ICQPass.av 1 D:\Treiber\xp\sysinternalssuite.zip Infected: not-a-virus:RiskTool.Win32.PsKill.ba 1 E:\Users\Kev\AppData\Local\Opera\Opera\profile\cache4\opr00D5Y Infected: HackTool.Win32.ICQPass.av 1 E:\Users\Kev\Downloads\ICQ Status Checker.exe Infected: HackTool.Win32.ICQPass.av 1 H:\Treiber\ICQ Status Checker.exe Infected: HackTool.Win32.ICQPass.av 1 H:\Treiber\xp\sysinternalssuite.zip Infected: not-a-virus:RiskTool.Win32.PsKill.ba 1 The selected area was scanned.:sleepy: |
Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
und du bist dir sicher das das eine gute idee ist ?:balla: |
Äh, was soll ich jetzt dazu schreiben? Benutze die Boardsuche und suche nach ComboFix. :) ciao, andreas p.s.: Wer mehrere Sicherheitskopien von Schädlingen macht, darf sich nicht wundern, dass mit seinem Rechner etwas nicht stimmt. ;) p.p.s.: Lade die Datei D:\Treiber\ICQ Status Checker.exe bitte für weitere Analysen bei uns hoch. Halte dich an diese Anleitung (ab Punkt 2). |
opps :schmoll: aber ine kleine frage wie weit kann es schäden an meinem pc anrichten ? |
Ich würde mir eher Sorgen um die vielen Schädlinge machen als um ComboFix. ;) ciao, andreas |
Datei: ICQ Status Checker.exe empfangen Fehler: Die Dateien konnten nicht empfangen werden. Bitte melden Sie sich im Forum. das wird mir angeziegt wenn ich es hochladen will |
Versuche es mit der: H:\Treiber\ICQ Status Checker.exe Von wo hast du die Datei geladen? ciao, andreas p.s.: Das hab ich gerade von Chip geladen: Code: Datei ICQ_Status_Checker.exe empfangen 2009.04.17 17:58:13 (CET)Code: Datei ICQ_Status_Checker.exe empfangen 2009.04.17 18:04:06 (CET) |
ich poste ieinfach den ladelink: http://www.icq-tools.de/database/Too...%20Checker.exe und das soll mir jez was sagen ? |
ThreatExpert Report: HackTool.Win32.ICQPass.av, Win-Trojan/Icqpass.389120 Noch Fragen? Starte ComboFix und poste das Log. ciao, andreas |
Nein ! keine fragen mehr, Sir ich werde es sofort ausführen |
wenn ich ComboFix ausführe dann kommt ein comandofenster und darin passeirt nichts ich habe ihn jez 10 min so stehen lassen one das etwas passiert ist |
Zitat:
Poste bitte ein aktuelles HJT-Log. ciao, andreas |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:20:50, on 17.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TVgenial\TVgenial.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Opera\opera.exe D:\Programme\HiJackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.yodl.de/?&affid=1&uid=71B09C68-7321-47FB-95DB-9C693AF0AE2B R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Programme\Realplayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERantispyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O11 - Options group: [international] International* O11 - Options group: [java_sun] Java (Sun) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !saswinlogon - D:\Programme\SUPERantispyware\SASWINLO.dll O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\ O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: TuneUp Drive Defrag-Dienst (tuneup.defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (tuneup.programstatisticssvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\ -- End of file - 6076 bytes |
1.) Deinstalliere:
Code: R3 - URLSearchHook: (no name) - - (no file)3.) Systemdetails mit RSIT prüfen
4.) ZHPDiag von Nicolas Coolman http://pic.leech.it/i/5e532/9b50601zhpdiag.jpg
5.) Lade dir Avira und lasse es so laufen: http://www.trojaner-board.de/54192-a...tellungen.html. Poste das Log. ciao, andreas |
info.txt logfile of random's system information tool 1.06 2009-04-18 00:29:10 ======Uninstall list====== -->"C:\Programme\Symantec\LiveUpdate\LSETUP.EXE" /U -->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe AppCore-->MsiExec.exe /I{EFB5B3B5-A280-4E25-BE1C-634EEFE32C1B} Archlord Episode 3-->"D:\Spiele\ArchLord\Archlord\unins000.exe" ccCommon-->MsiExec.exe /I{B24E05CC-46FF-4787-BBB8-5CD516AFB118} CCleaner (remove only)-->"D:\Programme\CCleaner\uninst.exe" Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E} Component Framework-->MsiExec.exe /I{31478BE1-CDE5-4753-A8B2-F6D4BC1FBE09} Free WMA to MP3 Converter 1.16-->"D:\Programme\Wmatomp3converter\Free WMA to MP3 Converter\unins000.exe" Free YouTube to Mp3 Converter version 3.1-->"D:\Programme\FreeyoutubetoMP3converter\Free YouTube to Mp3 Converter\unins000.exe" HijackThis 2.0.2-->"D:\Programme\HiJackthis\HijackThis.exe" /uninstall Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly ijji - Gunz-->D:\Spiele\ijji Gunz\Gunz\Uninstall.exe ijji Auto Installer-->"C:\Programme\InstallShield Installation Information\{1DCC7418-2089-4BDD-B321-3771956160FC}\setup.exe" -runfromtemp -l0x0009 -removeonly Intel(R) PRO Ethernet Adapter and Software-->Prounstl.exe Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF} Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3} LiveUpdate (Symantec Corporation)-->MsiExec.exe /x {E80F62FF-5D3C-4A19-8409-9721F2928206} /l*v "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LuUninstall.LiveUpdate" LiveUpdate (Symantec Corporation)-->MsiExec.exe /X{E80F62FF-5D3C-4A19-8409-9721F2928206} Malwarebytes' Anti-Malware-->"D:\Programme\Anti-maleware\Malwarebytes' Anti-Malware\unins000.exe" Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.0.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} Nero 9 Trial-->C:\Programme\Gemeinsame Dateien\Nero\Nero ProductInstaller 4\SetupX.exe REMOVESERIALNUMBER="8M01-20CX-4294-TL10-U4U0-UKE2-MMT7-AHWX" neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B} Norton AntiVirus Help-->MsiExec.exe /I{34EEB1F5-E939-40A1-A6BA-957282A4B2C8} Norton AntiVirus Online (Symantec Corporation)-->"C:\Programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{77FFBA7E-0973-4F39-BBDB-AC2F537578D2}_15_0_0_58\Setup.exe" /X Norton AntiVirus-->MsiExec.exe /X{77FFBA7E-0973-4F39-BBDB-AC2F537578D2} Norton Protection Center-->MsiExec.exe /I{62120008-8E1E-4807-860D-A8B48F8552DB} OpenOffice.org 3.0-->MsiExec.exe /I{7EC19307-7C22-47A8-922B-3FA965291260} Opera 9.63-->MsiExec.exe /X{1BC4026B-1957-4514-9058-2B542557F143} PCI Audio Driver-->cmuninst.exe Postal 2 Share The Pain-->C:\WINDOWS\unvise32.exe d:\spiele\postal 2 stp\uninstal.log Postal 2 STP - Free Multiplayer Edition-->C:\WINDOWS\unvise32.exe d:\spiele\postal2multiplayer\uninstal.log Project64 1.6-->MsiExec.exe /X{9559F7CA-5E34-4237-A2D9-D856464AD727} RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 Remove Vista Customization Pack v3-->c:\windows\vcp_save\runme.bat Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7} Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Silkroad-->D:\Spiele\Silkroad\Silkroad\Remove.Exe Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82} SPBBC 32bit-->MsiExec.exe /I{77772678-817F-4401-9301-ED1D01A8DA56} TeamSpeak 2 RC2-->D:\Programme\Teamspeak2_RC2\unins000.exe TmNationsForever-->"D:\Spiele\Trackmania\TmNationsForever\unins000.exe" TVgenial 3.30-->C:\Programme\TVgenial\unins000.exe Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" VLC media player 0.9.8a-->D:\Programme\VLC Player\VLC\uninstall.exe Winamp Remote-->"C:\Programme\Winamp Remote\uninstall.exe" Winamp-->"D:\Programme\Winamp\UninstWA.exe" Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe" Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4} Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6} Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52} Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19} Windows Live Mail-->MsiExec.exe /I{5A166C0B-9557-4364-A057-F946D674E6AC} Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4} Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238} Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR-->C:\Programme\WinRAR\uninstall.exe =====HijackThis Backups===== O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\WINDOWS\system32\shdocvw.dll [2009-04-18] O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" [2009-04-18] O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe [2009-04-18] O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present [2009-04-18] O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present [2009-04-18] O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [2009-04-18] O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) [2009-04-18] O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') [2009-04-18] O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent [2009-04-18] O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\WINDOWS\system32\shdocvw.dll [2009-04-18] O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup [2009-04-18] O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') [2009-04-18] O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') [2009-04-18] O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') [2009-04-18] R3 - URLSearchHook: (no name) - - (no file) [2009-04-18] O11 - Options group: [international] International* [2009-04-18] O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) [2009-04-18] O11 - Options group: [java_sun] Java (Sun) [2009-04-18] ======Hosts File====== 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com ======Security center information====== AV: Norton AntiVirus Online (disabled) FW: Norton AntiVirus Online (disabled) ======System event log====== Computer Name: XP1 Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet. Record Number: 1211 Source Name: Service Control Manager Time Written: 20090314103812.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: XP1 Event Code: 7036 Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt". Record Number: 1210 Source Name: Service Control Manager Time Written: 20090314103812.000000+060 Event Type: Informationen User: Computer Name: XP1 Event Code: 2505 Message: Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{4EF4D185-4558-4B5D-B2BC-574580A528FE} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden. Record Number: 1209 Source Name: Server Time Written: 20090314103741.000000+060 Event Type: Fehler User: Computer Name: XP1 Event Code: 4321 Message: Der Name "XP1 :20" konnte nicht auf der Schnittstelle mit IP-Adresse 192.168.2.32 registriert werden. Der Computer mit IP-Adresse 192.168.2.33 hat nicht zugelassen, dass dieser Computer diesen Namen verwendet. Record Number: 1208 Source Name: NetBT Time Written: 20090314103741.000000+060 Event Type: Fehler User: Computer Name: XP1 Event Code: 26 Message: Anwendungspopup: Windows - Systemfehler: Ein gleicher Name ist bereits im Netzwerk vorhanden. Record Number: 1207 Source Name: Application Popup Time Written: 20090314103727.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: SACKHARRLASKLAN Event Code: 37 Message: Der Dienst 'ccAppPlgMgr_1432' wurde gestoppt. Record Number: 1432 Source Name: ccSvcHst Time Written: 20090401154414.000000+120 Event Type: Informationen User: DRECKSACK88\Administrator Computer Name: SACKHARRLASKLAN Event Code: 36 Message: Der Dienst 'ccAppPlgMgr_1432' stoppt. Record Number: 1431 Source Name: ccSvcHst Time Written: 20090401154411.000000+120 Event Type: Informationen User: DRECKSACK88\Administrator Computer Name: SACKHARRLASKLAN Event Code: 101 Message: Informationsebene: success Die nächste Ausführung ist geplant am 7:15 um PM. Record Number: 1430 Source Name: Automatic LiveUpdate Scheduler Time Written: 20090401145332.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: SACKHARRLASKLAN Event Code: 101 Message: Informationsebene: success Automatisches LiveUpdate wurde beendet. Record Number: 1429 Source Name: Automatic LiveUpdate Scheduler Time Written: 20090401145332.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: SACKHARRLASKLAN Event Code: 101 Message: Informationsebene: success Scheduler hat das Automatische LiveUpdate gestartet. Record Number: 1428 Source Name: Automatic LiveUpdate Scheduler Time Written: 20090401145256.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 4, GenuineIntel "PROCESSOR_REVISION"=0204 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- |
Logfile of random's system information tool 1.06 (written by random/random) Run by Administrator at 2009-04-18 00:28:58 Microsoft Windows XP Professional Service Pack 3 System drive C: has 12 GB (59%) free of 20 GB Total RAM: 1024 MB (62% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:29:08, on 18.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\Explorer.EXE C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Opera\opera.exe C:\Programme\ICQ6.5\ICQ.exe C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe D:\Programme\HiJackthis\Administrator.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.yodl.de/?&affid=1&uid=71B09C68-7321-47FB-95DB-9C693AF0AE2B O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Programme\Realplayer\rpbrowserrecordplugin.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [InetChk] C:\WINDOWS\TEMP\ms1239179580.exe work (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [InetChk] C:\WINDOWS\TEMP\ms1239179580.exe work (User 'Default user') O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\ O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\ -- End of file - 5512 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Norton AntiVirus Online - Systemprüfung ausführen - Administrator.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}] RealPlayer Download and Record Plugin for Internet Explorer - D:\Programme\Realplayer\rpbrowserrecordplugin.dll [2009-03-07 312928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}] Symantec Intrusion Prevention - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll [2009-04-18 116088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497bb-d6f0-462c-b6eb-d4daf1d92d43}] SSVHelper Class - C:\Programme\Java\jre6\bin\ssv.dll [2009-03-25 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030d464-4c02-4abf-8ecc-5164760863c6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-25 35840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-25 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent [] "ccApp"=C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe [2008-10-17 51048] "osCheck"=C:\Programme\Norton AntiVirus\osCheck.exe [2007-08-25 714608] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 "NoDesktopCleanupWizard"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\Winamp Remote\bin\Orb.exe"="C:\Programme\Winamp Remote\bin\Orb.exe:*:Enabled:Orb" "C:\Programme\Winamp Remote\bin\OrbTray.exe"="C:\Programme\Winamp Remote\bin\OrbTray.exe:*:Enabled:OrbTray" "C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe"="C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe:*:Enabled:Orb Stream Client" "C:\ijji\ENGLISH\u_gunz.exe"="C:\ijji\ENGLISH\u_gunz.exe:*:Enabled:<ijji Downloader>" "C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary" "C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "D:\Programme\OTV\onlineTV 4\onlineTV.exe"="D:\Programme\OTV\onlineTV 4\onlineTV.exe:*:Enabled:onlineTV" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" ======List of files/folders created in the last 1 months====== 2009-04-18 00:28:58 ----D---- C:\rsit 2009-04-17 23:53:41 ----D---- C:\Programme\Norton AntiVirus 2009-04-17 23:52:52 ----A---- C:\WINDOWS\system32\S32EVNT1.DLL 2009-04-17 23:52:42 ----D---- C:\Programme\Symantec 2009-04-17 19:05:12 ----D---- C:\ComboFix 2009-04-17 19:05:11 ----A---- C:\WINDOWS\system32\CF5959.exe 2009-04-17 18:58:17 ----A---- C:\WINDOWS\system32\CF4604.exe 2009-04-17 18:49:44 ----A---- C:\WINDOWS\system32\CF2929.exe 2009-04-17 18:41:30 ----A---- C:\WINDOWS\system32\CF1319.exe 2009-04-17 18:38:00 ----D---- C:\cf 2009-04-17 18:38:00 ----A---- C:\WINDOWS\system32\CF630.exe 2009-04-17 18:36:31 ----A---- C:\WINDOWS\system32\CF336.exe 2009-04-17 17:03:34 ----D---- C:\WINDOWS\ERDNT 2009-04-17 17:03:33 ----A---- C:\WINDOWS\system32\CF14889.exe 2009-04-17 17:03:30 ----D---- C:\Qoobox 2009-04-17 16:21:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania 2009-04-17 16:10:56 ----A---- C:\WINDOWS\system32\xinput1_1.dll 2009-04-17 16:10:56 ----A---- C:\WINDOWS\system32\xactengine2_2.dll 2009-04-17 16:10:55 ----A---- C:\WINDOWS\system32\xactengine2_1.dll 2009-04-17 16:10:52 ----A---- C:\WINDOWS\system32\xactengine2_0.dll 2009-04-17 16:10:52 ----A---- C:\WINDOWS\system32\x3daudio1_0.dll 2009-04-17 16:10:51 ----A---- C:\WINDOWS\system32\d3dx9_29.dll 2009-04-17 16:10:50 ----A---- C:\WINDOWS\system32\xinput9_1_0.dll 2009-04-17 16:10:50 ----A---- C:\WINDOWS\system32\d3dx9_28.dll 2009-04-17 16:10:48 ----A---- C:\WINDOWS\system32\d3dx9_27.dll 2009-04-17 16:10:48 ----A---- C:\WINDOWS\system32\d3dx9_26.dll 2009-04-17 16:10:47 ----A---- C:\WINDOWS\system32\d3dx9_25.dll 2009-04-17 16:10:45 ----A---- C:\WINDOWS\system32\d3dx9_24.dll 2009-04-16 15:22:51 ----D---- C:\Programme\mresreg 2009-04-12 20:03:00 ----D---- C:\Programme\Microsoft 2009-04-12 20:02:20 ----D---- C:\Programme\Windows Live SkyDrive 2009-04-12 20:01:15 ----D---- C:\Programme\Windows Live 2009-04-12 19:54:17 ----D---- C:\Programme\Gemeinsame Dateien\Windows Live 2009-04-12 17:43:12 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-04-12 17:42:42 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com 2009-04-12 13:38:59 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google 2009-04-11 16:13:10 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yahoo! 2009-04-11 16:13:04 ----D---- C:\Programme\Yahoo! 2009-04-11 14:26:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IJJIGame 2009-04-10 23:12:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-04-10 22:50:13 ----A---- C:\WINDOWS\system32\uxt4.tmp 2009-04-10 22:35:23 ----D---- C:\WINDOWS\WBEM 2009-04-10 22:35:13 ----D---- C:\WINDOWS\system32\en-US 2009-04-10 22:32:10 ----HDC---- C:\WINDOWS\ie7 2009-04-10 22:30:23 ----HDC---- C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$ 2009-04-10 22:29:52 ----HDC---- C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$ 2009-04-08 22:46:03 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PureBasic 2009-04-08 11:03:08 ----A---- C:\WINDOWS\system32\SelfDel.bat 2009-04-08 11:03:04 ----A---- C:\WINDOWS\system32\ftp_non_crp.exe 2009-04-07 23:17:12 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-04-07 23:17:04 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-04-07 16:19:47 ----A---- C:\WINDOWS\system32\ovfsthxibeawsynxpvtyqxlpbpnnpwnmtyajqs.dll 2009-04-07 16:19:47 ----A---- C:\WINDOWS\system32\ovfsthvptheesgfcnlupyyxtaacnxnkrhvbiqi.dll 2009-04-07 16:19:46 ----A---- C:\WINDOWS\system32\ovfsthlxvdktehmejwsrktjcfuifhxreesbwqr.dll 2009-04-07 15:55:51 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2009-04-07 13:34:45 ----D---- C:\Programme\Enigma Software Group 2009-04-03 14:53:41 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GetRightToGo 2009-04-02 21:08:05 ----A---- C:\WINDOWS\kgt2k.INI 2009-03-30 00:23:44 ----D---- C:\Programme\MSXML 4.0 2009-03-29 09:58:16 ----A---- C:\WINDOWS\ReplacerUndo.txt 2009-03-29 02:16:41 ----A---- C:\WINDOWS\system32\icon.exe 2009-03-29 02:16:32 ----D---- C:\Programme\Wallpapers 2009-03-29 02:16:27 ----D---- C:\WINDOWS\VCP_SAVE 2009-03-29 02:16:25 ----D---- C:\Programme\Fonts 2009-03-29 02:16:13 ----D---- C:\WINDOWS\VCP_TEMP 2009-03-28 18:01:54 ----A---- C:\WINDOWS\NeroDigital.ini 2009-03-28 17:58:25 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nero 2009-03-28 17:16:17 ----A---- C:\WINDOWS\Irremote.ini 2009-03-28 16:27:27 ----D---- C:\Programme\Nero 2009-03-28 16:25:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero 2009-03-28 16:25:49 ----D---- C:\Programme\Gemeinsame Dateien\Nero 2009-03-28 16:25:12 ----A---- C:\WINDOWS\system32\d3dx9_30.dll 2009-03-28 01:53:13 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org 2009-03-28 01:48:40 ----D---- C:\Programme\JRE 2009-03-28 01:48:33 ----D---- C:\Programme\OpenOffice.org 3 2009-03-28 01:47:35 ----A---- C:\WINDOWS\system32\javaws.exe 2009-03-28 01:47:35 ----A---- C:\WINDOWS\system32\javaw.exe 2009-03-28 01:47:35 ----A---- C:\WINDOWS\system32\java.exe 2009-03-26 20:44:33 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3 2009-03-25 23:12:50 ----A---- C:\WINDOWS\system32\deploytk.dll 2009-03-25 23:12:09 ----D---- C:\Programme\Java 2009-03-25 23:11:14 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun ======List of files/folders modified in the last 1 months====== 2009-04-18 00:21:07 ----D---- C:\Programme\Mozilla Firefox 2009-04-18 00:18:58 ----SHD---- C:\WINDOWS\Installer 2009-04-18 00:18:58 ----D---- C:\Programme\Gemeinsame Dateien 2009-04-18 00:17:50 ----D---- C:\Programme\TuneUp Utilities 2009 2009-04-18 00:17:21 ----SD---- C:\WINDOWS\Tasks 2009-04-18 00:17:21 ----D---- C:\WINDOWS\system32 2009-04-18 00:12:16 ----D---- C:\WINDOWS 2009-04-18 00:12:01 ----D---- C:\WINDOWS\Temp 2009-04-18 00:11:50 ----D---- C:\Programme\Gemeinsame Dateien\Symantec Shared 2009-04-18 00:10:08 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-04-18 00:10:07 ----D---- C:\WINDOWS\system32\CatRoot2 2009-04-18 00:05:50 ----D---- C:\WINDOWS\system32\drivers 2009-04-18 00:03:04 ----HD---- C:\WINDOWS\inf 2009-04-18 00:00:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2009-04-17 23:53:41 ----D---- C:\Programme 2009-04-17 19:01:52 ----D---- C:\WINDOWS\system32\CatRoot 2009-04-17 16:10:57 ----D---- C:\WINDOWS\system32\DirectX 2009-04-17 13:55:12 ----D---- C:\WINDOWS\Prefetch 2009-04-15 11:31:03 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-04-15 11:22:49 ----A---- C:\WINDOWS\GunzLauncher.INI 2009-04-12 20:06:34 ----SD---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft 2009-04-12 20:02:31 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft 2009-04-12 20:02:31 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2009-04-12 20:00:01 ----D---- C:\WINDOWS\WinSxS 2009-04-12 18:33:16 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype 2009-04-12 18:12:15 ----A---- C:\WINDOWS\CMMIXER.INI 2009-04-12 17:47:33 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2 2009-04-12 16:44:54 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM 2009-04-12 16:19:32 ----D---- C:\Programme\Winamp Toolbar 2009-04-12 13:43:04 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft 2009-04-12 13:42:30 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\McLoad 2009-04-12 13:39:35 ----D---- C:\WINDOWS\system32\appmgmt 2009-04-12 13:38:59 ----D---- C:\Programme\Google 2009-04-11 16:52:44 ----RSD---- C:\WINDOWS\Fonts 2009-04-11 16:16:06 ----D---- C:\WINDOWS\Debug 2009-04-11 14:18:26 ----A---- C:\WINDOWS\win.ini 2009-04-10 22:38:15 ----D---- C:\WINDOWS\Help 2009-04-10 22:38:15 ----D---- C:\Programme\Internet Explorer 2009-04-10 22:34:39 ----D---- C:\WINDOWS\Media 2009-04-10 22:29:25 ----HD---- C:\WINDOWS\$hf_mig$ 2009-04-10 22:02:54 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-04-10 22:02:50 ----D---- C:\WINDOWS\system32\inetsrv 2009-04-08 12:09:38 ----SHD---- C:\System Volume Information 2009-04-08 12:09:38 ----D---- C:\WINDOWS\system32\Restore 2009-04-01 18:36:30 ----A---- C:\WINDOWS\WINCMD.INI 2009-03-25 20:25:16 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 eeCtrl;Symantec Eraser Control driver; \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys [] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 SPBBCDrv;SPBBCDrv; \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys [] R1 SRTSPX;SRTSPX; C:\WINDOWS\System32\Drivers\SRTSPX.SYS [2007-11-30 43696] R1 SYMTDI;SYMTDI; C:\WINDOWS\System32\Drivers\SYMTDI.SYS [2009-02-19 184496] R3 cmpci;C-Media PCI Audio Driver (WDM); C:\WINDOWS\system32\drivers\cmaudio.sys [2001-10-30 280782] R3 E100B;Intel(R) PRO Adapter Driver; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-11-06 119808] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408] R3 SYMDNS;SYMDNS; C:\WINDOWS\System32\Drivers\SYMDNS.SYS [2009-02-19 13616] R3 SymEvent;SymEvent; \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS [] R3 SYMFW;SYMFW; C:\WINDOWS\System32\Drivers\SYMFW.SYS [2009-02-19 96560] R3 SYMIDS;SYMIDS; C:\WINDOWS\System32\Drivers\SYMIDS.SYS [2009-02-19 38576] R3 SYMIDSCO;SYMIDSCO; \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\ipsdefs\20070823.001\SymIDSCo.sys [] R3 SymIMMP;SymIMMP; C:\WINDOWS\system32\DRIVERS\SymIM.sys [2009-02-19 31280] R3 SYMNDIS;SYMNDIS; C:\WINDOWS\System32\Drivers\SYMNDIS.SYS [2009-02-19 37424] R3 SYMREDRV;SYMREDRV; C:\WINDOWS\System32\Drivers\SYMREDRV.SYS [2009-02-19 22320] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608] S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-14 17024] S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-14 101120] S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024] S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2008-04-14 18944] S3 NAVENG;NAVENG; \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20090417.007\NAVENG.SYS [] S3 NAVEX15;NAVEX15; \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20090417.007\NAVEX15.SYS [] S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-14 59136] S3 s0016bus;Sony Ericsson Device 0016 driver (WDM); C:\WINDOWS\system32\DRIVERS\s0016bus.sys [2008-05-16 89256] S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016] S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744] S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216] S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS); C:\WINDOWS\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512] S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\s0016obex.sys [2008-05-16 110632] S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM); C:\WINDOWS\system32\DRIVERS\s0016unic.sys [2008-05-16 115752] S3 SRTSP;SRTSP; C:\WINDOWS\System32\Drivers\SRTSP.SYS [2007-11-30 279088] S3 SRTSPL;SRTSPL; C:\WINDOWS\System32\Drivers\SRTSPL.SYS [2007-11-30 317616] S3 SymIM;Symantec Network Security Intermediate Filter Service; C:\WINDOWS\system32\DRIVERS\SymIM.sys [2009-02-19 31280] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Automatic LiveUpdate Scheduler;Automatisches LiveUpdate - Scheduler; C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe [2007-08-23 243064] R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R2 ccEvtMgr;Symantec Event Manager; C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-10-17 149352] R2 ccSetMgr;Symantec Settings Manager; C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-10-17 149352] R2 CLTNetCnService;Symantec Lic NetConnect service; C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-10-17 149352] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-25 152984] R2 LiveUpdate Notice;LiveUpdate Notice; C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-10-17 149352] R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe [2008-12-05 935208] R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912] S3 LiveUpdate;LiveUpdate; C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE [2007-08-23 3192184] S3 npggsvc;nProtect GameGuard Service; C:\WINDOWS\system32\GameMon.des [2009-02-17 2741114] S3 Symantec Core LC;Symantec Core LC; C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe [2009-04-18 1251720] -----------------EOF----------------- |
das Log ist zu groß -.-" wie aknn cih es jezt hier posten ? |
Lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und poste den Link. ciao, andreas |
http://www.materialordner.de/CfOXPjJvMGShuX4yiKdp2gxPggvWHr69.html hier ist das log |
1.) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: Files to delete:
2.) Lade dir ComboFix noch einmal herunter und versuche es zu starten. ciao, andreas |
////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 3) Sat Apr 18 12:59:43 2009 12:59:43: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ///////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not open file "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Micros oft\Internet Explorer\Quick Launch\ICQ Status Checker.exe" Deletion of file "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Micros oft\Internet Explorer\Quick Launch\ICQ Status Checker.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: file "D:\Treiber\ICQ Status Checker.exe" not found! Deletion of file "D:\Treiber\ICQ Status Checker.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "E:\Users\Kev\AppData\Local\Opera\Opera\profile\cache4\opr00D5Y" deleted successfully. Error: file "E:\Users\Kev\Downloads\ICQ Status Checker.exe" not found! Deletion of file "E:\Users\Kev\Downloads\ICQ Status Checker.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "H:\Treiber\ICQ Status Checker.exe" Deletion of file "H:\Treiber\ICQ Status Checker.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist File "C:\WINDOWS\System32\ftp_non_crp.exe" deleted successfully. File "C:\WINDOWS\System32\ovfsthbjovjxwqewamrrqqklrxgyupumpshcke.dat" deleted successfully. File "C:\WINDOWS\System32\ovfsthbsettppeirsdbontdnujagxrasghydbv.dat" deleted successfully. File "C:\WINDOWS\System32\ovfsthhnuutuqnornxruhbinkuorblpviqvkyf.dat" deleted successfully. File "C:\WINDOWS\System32\ovfsthljlpskcnuhsvnohorkjmmdipuuuolypy.dat" deleted successfully. File "C:\WINDOWS\System32\ovfsthlxvdktehmejwsrktjcfuifhxreesbwqr.dll" deleted successfully. File "C:\WINDOWS\System32\ovfsthvptheesgfcnlupyyxtaacnxnkrhvbiqi.dll" deleted successfully. File "C:\WINDOWS\System32\ovfsthxibeawsynxpvtyqxlpbpnnpwnmtyajqs.dll" deleted successfully. File "C:\WINDOWS\System32\perfh009.dat" deleted successfully. File "C:\WINDOWS\System32\perfh007.dat" deleted successfully. File "C:\WINDOWS\System32\perfc009.dat" deleted successfully. File "C:\WINDOWS\System32\perfc007.dat" deleted successfully. Completed script processing. ******************* Finished! Terminate. combofix funktioniert immernoch nicht,aber mein pc wird komischerweiße immer schneller ._. |
Zitat:
Versuche es hiermit: http://home.hetnet.nl/~stefsmeenk/FixPolicies.exe Anschliessend nochmal versuchen, sollte es wieder nicht funktionieren, dann teste das hier: http://virus-protect.org/zip/comboscan.zip Lasse auch Gmer noch einmal laufen. Irgendwie habe ich das Gefühl, dass du beim ersten Lauf einige Haken herausgenommen hast. ciao, andreas |
soll ich das log von combofix posten ? da es eigentlich nur eine hijackthis datei ist |
Zitat:
Zitat:
Erstelle ein Filelisting.
ciao, andreas |
das ist jez das log von listenin9.bat : http://www.materialordner.de/t8x4mVroJFMx4qmyZAdBzmOQFsXMUDMc.html und das hier ist von combofix : http://www.materialordner.de/eR8zA6Jz1XmAEaIsSzb2MxGHf1efpdJt.html |
1.) Deinstalliere alles von Norton/Symantec. 2.) Download und Ausführung des Norton-Entfernungsprogramms 3.) Versuche nochmal ComboFix zu starten, der muss laufen, sonst kommen wir nicht weiter. ciao, andreas |
voller erfolg ! hier ist das log von combofix : ComboFix 09-04-18.05 - Administrator 18.04.2009 14:42.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1024.722 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\mauiu.dat c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\mauiu_nav.dat c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\mauiu_navps.dat c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\ijjistarter_verinfo.dat c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\ijjistarter2FxB.exe c:\windows\system32\sysdm.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-03-18 bis 2009-04-18 )))))))))))))))))))))))))))))) . 2009-04-18 12:38 . 2009-04-18 12:38 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller 2009-04-18 11:47 . 2009-04-18 12:04 -------- d-----w C:\ComboScan 2009-04-17 22:28 . 2009-04-17 22:29 -------- d-----w C:\rsit 2009-04-17 16:38 . 2009-04-17 16:38 -------- d-----w C:\cf 2009-04-17 14:21 . 2009-04-17 23:27 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania 2009-04-17 14:10 . 2005-05-26 13:34 2297552 ----a-w c:\windows\system32\d3dx9_26.dll 2009-04-15 09:30 . 2008-04-13 22:15 32128 -c--a-w c:\windows\system32\dllcache\usbccgp.sys 2009-04-15 09:30 . 2008-04-13 22:15 32128 ----a-w c:\windows\system32\drivers\usbccgp.sys 2009-04-12 18:06 . 2009-04-15 09:02 -------- d-----w c:\dokumente und einstellungen\Administrator\Tracing 2009-04-12 15:43 . 2009-04-12 15:43 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-04-12 15:42 . 2009-04-12 15:42 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com 2009-04-11 14:13 . 2009-04-11 14:13 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Yahoo! 2009-04-11 12:26 . 2009-04-11 12:26 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\IJJIGame 2009-04-10 21:12 . 2009-04-11 14:16 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-04-08 20:46 . 2009-04-08 20:46 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PureBasic 2009-04-08 09:03 . 2009-04-08 11:36 155 ----a-w c:\windows\system32\SelfDel.bat 2009-04-08 08:46 . 2009-04-08 08:46 -------- d-s---w c:\dokumente und einstellungen\Administrator\UserData 2009-04-07 21:17 . 2009-04-07 21:17 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-04-07 21:17 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-04-07 21:17 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-07 21:17 . 2009-04-07 21:17 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-04-07 13:55 . 2009-04-07 21:31 -------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-04-07 10:00 . 2009-04-07 10:00 -------- d-----r c:\dokumente und einstellungen\NetworkService\Favoriten 2009-04-07 09:17 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys 2009-04-04 13:56 . 2009-04-04 13:56 -------- d-----w c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Axialis 2009-04-03 12:53 . 2009-04-07 13:55 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GetRightToGo 2009-04-02 19:08 . 2009-04-02 19:08 56 ----a-w c:\windows\kgt2k.INI 2009-04-02 19:06 . 2009-04-02 19:07 28192 ----a-w c:\windows\‚Q‚cŠi“¬ƒcƒN[ƒ‹‚Q‚Ž‚„.mid 2009-03-29 00:16 . 2005-09-28 01:31 49152 ----a-w c:\windows\system32\icon.exe 2009-03-29 00:16 . 2009-03-29 00:16 -------- d-----w c:\windows\VCP_SAVE 2009-03-29 00:16 . 2009-03-29 08:05 -------- d-----w c:\windows\VCP_TEMP 2009-03-28 16:01 . 2009-03-28 16:01 69 ----a-w c:\windows\NeroDigital.ini 2009-03-28 15:58 . 2009-03-28 15:59 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nero 2009-03-28 15:16 . 2009-03-28 15:16 4767 ----a-w c:\windows\Irremote.ini 2009-03-28 14:25 . 2009-03-28 14:50 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero 2009-03-27 23:53 . 2009-03-27 23:53 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org 2009-03-26 18:44 . 2009-04-02 20:50 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\U3 2009-03-25 21:12 . 2009-03-25 21:12 73728 ----a-w c:\windows\system32\javacpl.cpl 2009-03-25 21:12 . 2009-03-25 21:12 410984 ----a-w c:\windows\system32\deploytk.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-18 12:36 . 2009-02-25 12:23 -------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared 2009-04-18 11:02 . 2009-04-18 10:59 5930 ----a-w C:\avenger.txt 2009-04-18 01:01 . 2009-02-26 18:30 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype 2009-04-17 23:23 . 2009-02-26 18:31 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM 2009-04-17 22:17 . 2009-03-01 17:29 -------- d-----w c:\programme\TuneUp Utilities 2009 2009-04-16 13:22 . 2009-04-16 13:22 -------- d-----w c:\programme\mresreg 2009-04-12 18:04 . 2009-04-12 18:01 -------- d-----w c:\programme\Windows Live 2009-04-12 18:03 . 2009-04-12 18:03 -------- d-----w c:\programme\Microsoft 2009-04-12 18:02 . 2009-04-12 18:02 -------- d-----w c:\programme\Windows Live SkyDrive 2009-04-12 17:54 . 2009-04-12 17:54 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live 2009-04-12 17:54 . 2009-02-25 12:20 20736 ----a-w c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-12 15:47 . 2009-03-05 18:56 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\teamspeak2 2009-04-12 14:20 . 2009-04-11 14:13 -------- d-----w c:\programme\Yahoo! 2009-04-12 14:19 . 2009-02-26 17:58 -------- d-----w c:\programme\Winamp Toolbar 2009-04-12 11:43 . 2009-03-04 20:51 -------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-04-12 11:42 . 2009-02-26 19:13 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\McLoad 2009-04-12 11:39 . 2009-03-25 21:12 -------- d-----w c:\programme\Java 2009-04-12 11:38 . 2009-03-07 21:51 -------- d-----w c:\programme\Google 2009-04-07 14:24 . 2009-04-07 11:34 -------- d-----w c:\programme\Enigma Software Group 2009-03-29 22:23 . 2009-03-29 22:23 -------- d-----w c:\programme\MSXML 4.0 2009-03-29 00:16 . 2009-03-29 00:16 -------- d-----w c:\programme\Wallpapers 2009-03-29 00:16 . 2009-03-29 00:16 -------- d-----w c:\programme\Fonts 2009-03-28 15:56 . 2009-03-28 14:25 -------- d-----w c:\programme\Gemeinsame Dateien\Nero 2009-03-28 15:13 . 2009-03-28 14:27 -------- d-----w c:\programme\Nero 2009-03-27 23:48 . 2009-03-27 23:48 -------- d-----w c:\programme\JRE 2009-03-27 23:48 . 2009-03-27 23:48 -------- d-----w c:\programme\OpenOffice.org 3 2009-03-25 18:25 . 2009-02-25 11:59 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ 2009-03-18 20:46 . 2009-03-18 20:11 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\concept design 2009-03-18 17:36 . 2009-02-25 12:01 -------- d--h--w c:\programme\InstallShield Installation Information 2009-03-13 20:51 . 2009-03-01 20:15 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss 2009-03-11 19:32 . 2009-03-08 18:23 -------- d--h--w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ijjigame 2009-03-10 17:37 . 2009-03-04 16:00 -------- d-----w c:\programme\ICQ6.5 2009-03-08 18:23 . 2009-03-08 18:23 -------- d-----w c:\programme\NHN USA 2009-03-08 15:19 . 2009-03-08 15:07 -------- d-----w c:\programme\Postal2 2009-03-07 21:56 . 2009-03-07 21:56 -------- d-----w c:\programme\Gemeinsame Dateien\xing shared 2009-03-07 21:56 . 2009-03-07 21:55 -------- d-----w c:\programme\Gemeinsame Dateien\Real 2009-03-07 21:55 . 2009-03-07 21:55 499712 ----a-w c:\windows\system32\msvcp71.dll 2009-03-07 21:55 . 2009-03-07 21:55 348160 ----a-w c:\windows\system32\msvcr71.dll 2009-03-07 16:03 . 2009-03-07 16:03 -------- d-----w c:\programme\Skype 2009-03-07 16:03 . 2009-02-26 18:30 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-03-07 16:03 . 2009-03-07 16:03 -------- d-----w c:\programme\Gemeinsame Dateien\Skype 2009-03-05 13:29 . 2009-02-25 12:01 -------- d-----w c:\programme\ICQ6Toolbar 2009-03-04 16:02 . 2009-02-25 12:01 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ 2009-03-01 22:47 . 2009-02-26 21:54 -------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment 2009-03-01 20:36 . 2009-03-01 20:15 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc 2009-03-01 17:30 . 2009-03-01 17:30 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2009-03-01 17:29 . 2009-03-01 17:29 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2009-03-01 17:29 . 2009-03-01 17:29 -------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-02-27 22:40 . 2009-02-27 15:35 -------- d-----w c:\programme\ICQLite 2009-02-26 23:44 . 2009-02-26 23:44 -------- d-----w c:\programme\Disney 2009-02-26 21:56 . 2009-02-26 21:56 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard 2009-02-26 18:31 . 2009-02-26 17:55 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp 2009-02-26 18:02 . 2009-02-26 17:58 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\OrbNetworks 2009-02-26 17:58 . 2009-02-26 17:57 -------- d-----w c:\programme\Winamp Remote 2009-02-26 17:47 . 2009-02-25 12:10 -------- d-----w c:\programme\TVgenial 2009-02-26 17:33 . 2009-02-26 17:33 -------- d-----w c:\programme\Opera 2009-02-24 16:41 . 2009-02-24 16:41 8192 --sha-r C:\BOOTSECT.BAK 2009-02-24 15:38 . 2009-02-24 15:05 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat 2009-02-24 15:31 . 2004-08-03 20:59 251712 --sha-r C:\ntldr 2009-02-24 15:07 . 2009-02-24 15:07 -------- d-----w c:\programme\microsoft frontpage 2009-02-24 15:04 . 2009-02-24 15:04 -------- d-----w c:\programme\Online-Dienste 2009-02-24 15:04 . 2009-02-24 15:04 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste 2009-02-24 15:03 . 2009-02-24 15:03 21740 ----a-w c:\windows\system32\emptyregdb.dat 2009-02-09 14:04 . 2004-08-03 22:46 1846912 ----a-w c:\windows\system32\win32k.sys 2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\system32\sirenacm.dll . ------- Sigcheck ------- [-] 2008-04-14 06:52 4922880 5C68BAA6D3A3A4E8892ABB1A878EACF9 c:\windows\explorer.exe [7] 2004-08-03 22:57 1035264 22FE1BE02EADDE1632E478E4125639E0 c:\windows\$NtServicePackUninstall$\explorer.exe [-] 2008-04-14 06:52 4922880 5C68BAA6D3A3A4E8892ABB1A878EACF9 c:\windows\ServicePackFiles\i386\explorer.exe [7] 2008-04-14 06:52 1036800 418045A93CD87A352098AB7DABE1B53E c:\windows\VCP_SAVE\explorer.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Orb"="c:\programme\Winamp Remote\bin\OrbTray.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Winamp Remote\\bin\\Orb.exe"= "c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"= "c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"= "c:\\ijji\\ENGLISH\\u_gunz.exe"= "c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"= "c:\\WINDOWS\\system32\\java.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-02-17 2741114] R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [2008-05-16 89256] R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016] R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744] R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216] R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512] R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [2008-05-16 110632] R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [2008-05-16 115752] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKU-Default-Run-InetChk - c:\windows\TEMP\ms1239179580.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de uInternet Connection Wizard,ShellNext = hxxp://www.yodl.de/?&affid=1&uid=71B09C68-7321-47FB-95DB-9C693AF0AE2B FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\psnxfana.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q= FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://www.google.de FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q= FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\psnxfana.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll FF - component: d:\programme\Realplayer\browserrecord\components\nprpbrowserrecordplugin.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npijjiCHPlugin.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npijjiFFPlugin1.dll FF - plugin: d:\programme\Realplayer\Netscape6\nppl3260.dll FF - plugin: d:\programme\Realplayer\Netscape6\nprjplug.dll FF - plugin: d:\programme\Realplayer\Netscape6\nprpjplug.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-18 14:44 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" . Zeit der Fertigstellung: 2009-04-18 14:46 ComboFix-quarantined-files.txt 2009-04-18 12:46 Vor Suchlauf: 17 Verzeichnis(se), 12.827.262.976 Bytes frei Nach Suchlauf: 16 Verzeichnis(se), 12.899.131.392 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe ; ;Warning: Boot.ini is used on Windows XP and earlier operating systems. ;Warning: Use BCDEDIT.exe to modify Windows Vista boot options. ; [boot loader] timeout=2 default=signature(c49fc56)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons signature(c49fc56)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT 223 --- E O F --- 2009-03-29 22:23 |
Teste mal bitte folgendes: Start => Ausführen => cmd => OK sc stop npggsvc [Enter] exit [Enter] Teste, ob Gunz danach noch funktioniert. ciao, andreas |
gunz funktioniert noch ja:) |
Ich bastele dir ein Script, dafür brauche ich allerdings einige Zeit. Da hat sich ziemlich viel Müll angesammelt. :( Bis später, Andreas |
okay bis später |
Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
so hier is das log : http://www.materialordner.de/mUqLgPvvK7vI2Jp24vVdxxZaixo14ghf.html |
Das sieht doch schon viel besser aus. :) 1.) Im Ordner C:\Windows befindet sich eine Midi-Datei mit komischem Dateinamen. Versuche sie zu löschen. Falls sie sich nicht löschen lässt, dann benenne sie um in abcd.schrott und lösche sie dann. 2.) Start => Ausführen => combofix /u => OK 3.) Lade dir Avira und scanne mit folgenden Einstellungen: http://www.trojaner-board.de/54192-a...tellungen.html. Poste das Log, auch wenn nichts gefunden wurde. ciao, andreas |
es wurden 40 viren gefunden und vernichtet und ein log dazu wurde mir nicht angezeigt |
Öffne Avira per Doppelklick. Gehe Links auf "Berichte: Gehe auf den Bericht, indem die Funde sind. Rechtsklick -> Reportdatei anzeigen. Log hier rein. |
mal wieda zu groß sry ^^ http://www.materialordner.de/4cwwWX5vXWHfr5OOoswSYz6FD6jj2d.html |
1.) Räume dein System mit http://www.trojaner-board.de/51464-a...-ccleaner.html auf. 2.) Lade dir den MajorGeeks.Com - Contacting Download Site und säubere den Cache von Opera. 3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 4.) Scanne noch einmal mit Malwarebytes. Aktualisiere die Datenbank vor dem Scan und poste das Log. ciao, andreas |
Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2014 Windows 5.1.2600 Service Pack 3 20.04.2009 13:42:54 mbam-log-2009-04-20 (13-42-54).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 103490 Laufzeit: 29 minute(s), 37 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Die Logs sind alle sauber. Wie geht es dem Rechner? ciao, andreas |
läuft schneller ,bis jezt keine probleme mehr mit windows gehabt, alles sauber bis hierhin . |
Dann bist du entlassen. :daumenhoc ciao, andreas |
okay :D vielen dank das du mir geholfen hattst die viren und antispyware zu beseitigen :) ciou ,kev |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board