|
trojan.win32.obfuscated/svchost.exe:ext.exe moin alle zusammen erstmal daumen hoch für eure arbeit hier :daumenhoc bin neu im forum und was computerkentnisse und viren,trojaner und co angeht eher beschränkt kompetent :balla: drum bitte nachsichtigt sein, wenn ich nix raff. mein problem: avk hat angeschlagen und den virus Trojan.Win32.Obfuscated.hd gemeldet hab option löschen gewählt und dachte wär alles im lack um sicher zu sein hab ich spybot und ad-aware laufen lassen, beide ohne einen fund. eine prüfung mit dem avk war nichtmehr möglich, prüfung brach ohne meldung beim scannen von windows/system32 ab. hab systemwiederherstellung ausgemacht, savemode an, temp dateien mit ccleaner gelöscht, prüfung brach trotzdem ab. selbiges hab ich dann mit avira nochmal gemacht, der hat 2 viren gefunden die auf die datei svchost.exe zugriffen. löschen ,desinfizieren ging nicht also in die quarantäne. den quarantäneinhalt hab ich gelöscht, die svchost.exe war damit leider auch futsch. hab von cd gebootet und windows installation reparieren lassen, avira lief dann ohne virenfund durch. nach neuinstallation des avk meldete der direkt den selben virus wie vorher. virenprüfung brach auch noch immer ab. ich hab dann avast, stinger und spyware doctor laufen lassen. nur spyware doctor hat was gefunden ( infizierte datei svchost.exe:ext.exe ), was ich dann auch entfernt habe. leider hängte sich mein rechner dann auf, weil der spyware doctor active guard nicht zusammen mit dem avk läuft. den active guard hab ich deshalb deaktiviert. erfreulicherweise lief die virenprüfung des avk ab da auch durch, fand nach einem neustart aber leider wieder den trojan.win32.obfuscated.hd. nach einem vollscann mit dem spyware doc heute gabs dann noch einen fund im systemvolumeinformation-verzeichnis und bei den temp-dateien im verzeichnis mit meinem benutzernamen. hab ich gelöscht und avk, spybot,ad-aware und spyware doc haben bei ihren scans nix mehr gefunden. im hijack-log seh ich die böswilligkeit den prozess mit der datei svchost.exe:ext.exe wiederherzustellen, der eintrag ist da auch nach fix und reboot noch drin. so tschuldigung fürs geschwafel helft mir ich bin doof und traurig :heulen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:05:01, on 25.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AntiVirenKit 2004\AVKService.exe C:\Programme\AntiVirenKit 2004\AVKWCtl.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe G:\pepeback\installs\refreshlock\RefreshLock.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.4.29.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [RefreshLock] G:\pepeback\installs\refreshlock\RefreshLock.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183036885093 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe O23 - Service: MS Internet Countermeasures Framework2b (FCI) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 7456 bytes |
Deaktiviere vorübergehend den Teatimer von Spybot und mache einen Scan mit Blacklight (Signatur) und poste das Log. Benenne die Hijackthis.exe anschliessend in xyz.com um und poste das so enstandene Log! |
Dank Dir für die schnelle antwort 08/25/07 19:48:24 [Info]: BlackLight Engine 1.0.64 initialized 08/25/07 19:48:24 [Info]: OS: 5.1 build 2600 (Service Pack 2) 08/25/07 19:48:24 [Note]: 7019 4 08/25/07 19:48:24 [Note]: 7005 0 08/25/07 19:48:27 [Note]: 7006 0 08/25/07 19:48:27 [Note]: 7011 884 08/25/07 19:48:27 [Note]: 7026 0 08/25/07 19:48:27 [Note]: 7026 0 08/25/07 19:48:29 [Note]: FSRAW library version 1.7.1022 08/25/07 19:57:19 [Note]: 7007 0 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:59:47, on 25.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AntiVirenKit 2004\AVKService.exe C:\Programme\AntiVirenKit 2004\AVKWCtl.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe G:\pepeback\installs\refreshlock\RefreshLock.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Trend Micro\HijackThis\xyz.com C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.4.29.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [RefreshLock] G:\pepeback\installs\refreshlock\RefreshLock.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183036885093 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe O23 - Service: MS Internet Countermeasures Framework2b (FCI) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 7396 bytes |
seh grad das im hj-log teatimer noch unter laufende prozesse aufgeführt steht. ich hab vor dem scan einfach den sb resident beendet und das scheint nicht das gewesen zu sein was du meintest. ich poste das nochmal. |
so teatimer aus exe umbenannt pepel hat einfache aufgabe fast gelöst :balla: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:22:57, on 25.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AntiVirenKit 2004\AVKService.exe C:\Programme\AntiVirenKit 2004\AVKWCtl.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\Explorer.EXE C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe G:\pepeback\installs\refreshlock\RefreshLock.exe C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Trend Micro\HijackThis\xyz.com C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.4.29.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [RefreshLock] G:\pepeback\installs\refreshlock\RefreshLock.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183036885093 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe O23 - Service: MS Internet Countermeasures Framework2b (FCI) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 7395 bytes |
Ok das sieht gar nicht mal so schelcht aus, die Datei ist weg! Leere noch den Quarantäne-Ordner von Spyware Doctor und AVK und fixe mit Hijackthis den folgenden Eintrag: Zitat:
Mfg |
Ich würde zur Sicherheit nach Alternate Data Streams Suchen tut Blacklight eigentlich dieses? In meinem letzten Test hat es die von mir angelegten soweit ich mich erinnern kann nicht gefunden. Lade dir mal hier ein Programm zum aufspüren von ADS und führe einen Scan durch poste mal danach das Ergebnis. (Nur um sicher zu gehen) |
Danke für Eure schnelle Hilfe. Die Ordner habe ich geleert und einen Scan der C-Platte mit dem Tool von Spybot nach ads durchgeführt. Der Scan ergab drei Funde. Leider weiss ich nicht, wie man ein Log des Scans erstellt bzw. habe kein automatisch erstelltes Log gefunden. Aufgeführt wurden 3 Thumbs.db-Dateien aus den All-Users/ Beispielbilder, All-Users Windows/ Beispielbilder und im Verzeichnis benutzername.COMPUTERNAME/Anwendungsdaten/Microsoft. Falls nötig hier bitte nochmal erklären wie das Log zu erstellen wäre. Der Eintrag aus dem Hijack-log lies sich nicht mit HijackThis fixen. Auch nach einem Neustart war der Eintrag nach fix noch im Log vorhanden. Ich habe den bezeichneten Service jetzt über den Dienste-Manager deaktiviert und der Eintrag wird im Hijack-scan nicht mehr gefunden. Danke für Eure Hilfe MFG |
Kannst du bitte die Funde des Tools hier Posten (einfach so wie sie dir angezeigt werden). |
So sieht das aus nach dem Scan Thumbs.db :encryptable:$D... 0B 18.08.2007 21:29 C:\Dokumente und Einstellungen\AllUsers\Dokumente\Eigene Bilder\Beispielbilder\ Thumbs.db :encryptable:$D... 0B 25.08.2007 16:51 C:\Dokumente und Einstellungen\AllUsers.Windows\Dokumente\Eigene Bilder\Beispielbilder Thumbs.db :encryptable:$D... 0B 21.08.2007 11:47 C:\Dokumente und Einstellungen\bini.KRUX\Lokale Einstellungen\Anwendungsdaten\Microsoft\ Danke fürs drüber gucken |
Diese sind ungefährlich. Es handelt sich um Vorschaubilder. Deinstalliere den Spyware Doctor über Start / Systemsteuererung / Software. Nun deaktivere den Tea Timer wie hier beschrieben. Dann lade Dir gmer. Starte es mit einem Doppelklick. Kopiere dann was es anzeigt hier in diesen Thread indem dem auf "copy" klickst. Bata |
Abend, das mit gmer erstellte Log umfasst 188528 Zeichen und kann hier nicht eingefügt werden. Ich hab's als Anhang hochgeladen 188528 ist eine grosse Zahl...eine sehr grosse Zahl. Bei den hier möglichen 25000 postbaren Zeichen überkommt mich das Gefühl, dass die grosse Zahl grosse Probleme beschreibt. |
In der angehängten Datei finde ich aber nur rund 9000 Zeichen. Was ich dort sehe ist normal. Viele Meldungen in Gmer werden vom System verursacht und bedeuten keine Bedrohung. Daher die Flinte noch nicht ins Korn werfen und mir eine vollständige Datei posten. Bata |
Der Text, den Sie eingegeben haben, besteht aus 190888 Zeichen und ist damit zu lang. Kopie von qlog.txt: Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 19,5 KB Bytes. Ihre Datei ist 186,4 KB Bytes groß. Naja irgendwie will er nicht, dass ich das Log poste. Was mache ich falsch? Soll ich das Log in 9 Teile splitten oder Optionen aus dem Scan raus nehmen? |
Hallo büdde schön:rolleyes: Zitat:
Edit Zitat:
|
:balla: isch desch mei Log ?! :Boogie: Dankööö :Boogie: |
pepel, nochdigger Was habt Ihr denn gemacht.:confused: Das "kleine" Log braucht doch keiner :) Hab im HJT Forum allerdings das "richtige" gefunden, pepel solche cross postings solltest Du lassen, mag niemand.:kloppen: C:\WINDOWS\System32\Drivers\aq98zei4.SYS C:\WINDOWS\System32\Drivers\a5ztl0ui.SYS bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen, Ergebnis hier posten. SDFIX ausführen Download SDFix und speichere es auf dem Desktop. Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken (X = Dein Windowslaufwerk)
Dann reparieren wir noch die Registry Öffne das Notepad ( Start/Ausführen/Notepad[Enter]) Copy and Paste alles in der Quote box ins Notepad: Zitat:
Vergewissere Dich das nach der letzten Zeile eine leere Zeile ist. Datei > Speichern unter Speichere die Datei als Fix.reg Ändere den Dateityp auf "Alle Dateien" und speicher die Datei auf Deinem Desktop. Schließe Notepad und mach einen Doppleklick auf die Fix.reg, bestätige die aufpoppende Frage mit Ja. Bata |
Tschuldigung für's crossposten, aber ich wusste Mir da nicht zu helfen. Pepel wollte Niemand nerven :mad: :balla: :mad: Deine Anweisungen hab Ich befolgt; das wäre damit erledigt. Die beiden SYS-Dateien kann ich nicht finden, weder im System32 noch mit Suchfunktion auf der Partition C:\. Alle Datein anzeigen hab ich an, falls es daran liegen könnte. Die Probleme, die Ihr Mir jetzt hier behoben habt, kamen die den eigentlich von dem im Titel stehenden Trojaner oder der Datei? Ich bin definitiv kein vorsichtiger Internetnutzer und nicht überrascht wenn Ich Mir was einfange, aber Ich aboniere brav meinen AVK, hab spybot,ad-aware und jetzt auch noch spywaredoc... Ich bin leicht iritiert, dass der AVK zwar anschlägt, aber erst der Spywaredoc die Schädlinge gefunden und behoben hat. Naja jedenfalls Danke für Eure liebe und schnelle Hilfe Grosses Lob und weiter so :daumenhoc |
Zitat:
Da es nun grad wieder da ist, lass mal Combofix laufen, auch dort ist eine Rootkit Detection drin. Bata |
ComboFix 07-08-30.3 - "pepe" 2007-08-30 16:41:44.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.597 [GMT 2:00] ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk ((((((((((((((((((((((((( Files Created from 2007-07-28 to 2007-08-30 ))))))))))))))))))))))))))))))) 2007-08-30 16:41 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-29 22:45 <DIR> d-------- C:\WINDOWS\ERUNT 2007-08-29 20:24 83,024 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2007-08-29 20:24 57,424 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2007-08-29 20:24 53,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2007-08-29 20:24 39,376 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys 2007-08-29 20:24 29,264 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2007-08-29 20:24 <DIR> d-------- C:\Programme\Spyware Doctor 2007-08-29 20:24 <DIR> d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\PC Tools 2007-08-29 19:49 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\WinZip 2007-08-26 18:16 <DIR> d-------- C:\!KillBox 2007-08-26 14:11 <DIR> d-------- C:\Programme\MSXML 6.0 2007-08-26 14:05 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2007-08-26 13:31 66,048 --a------ C:\WINDOWS\ieResetIcons.exe 2007-08-25 13:44 <DIR> d-------- C:\Programme\Trend Micro 2007-08-24 21:01 9,728 -ra------ C:\WINDOWS\system32\bdco1.dll 2007-08-24 21:01 33,536 -ra------ C:\WINDOWS\system32\drivers\NVENETFD.sys 2007-08-24 21:01 32,256 -ra------ C:\WINDOWS\system32\nvconrm.dll 2007-08-24 21:01 261,888 -ra------ C:\WINDOWS\system32\drivers\nvnrm.sys 2007-08-24 21:01 208,256 -ra------ C:\WINDOWS\system32\drivers\nvsnpu.sys 2007-08-24 21:01 201,728 -ra------ C:\WINDOWS\system32\fdco1.dll 2007-08-24 21:01 176,128 --a------ C:\WINDOWS\system32\nvunrm.exe 2007-08-24 21:01 12,928 -ra------ C:\WINDOWS\system32\drivers\nvnetbus.sys 2007-08-24 13:05 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe 2007-08-24 13:05 <DIR> d-------- C:\WINDOWS\nview 2007-08-24 13:04 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE 2007-08-24 13:00 <DIR> d-------- C:\NVIDIA 2007-08-24 12:58 6,807,328 --a--c--- C:\WINDOWS\system32\dllcache\nv4_mini.sys 2007-08-24 12:58 6,807,328 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys 2007-08-23 11:21 <DIR> d-------- C:\Programme\Realtek AC97 2007-08-22 17:53 <DIR> d-------- C:\Programme\DAEMON Tools 2007-08-22 16:21 <DIR> d-------- C:\Programme\RegCleaner 2007-08-22 16:13 23 --ahs---- C:\WINDOWS\system32\cdae7_r.dll 2007-08-21 20:39 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-08-21 19:07 33,280 --a------ C:\WINDOWS\system32\NVCOI.DLL 2007-08-21 19:00 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll 2007-08-21 19:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll 2007-08-21 19:00 13,824 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll 2007-08-21 19:00 13,824 --a------ C:\WINDOWS\system32\irclass.dll 2007-08-21 14:43 63 --a------ C:\WINDOWS\system\SysSD.dll 2007-08-21 12:20 <DIR> d-------- C:\Programme\Google 2007-08-21 12:20 <DIR> d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\Talkback 2007-08-21 12:20 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Google 2007-08-21 12:07 12,738 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys 2007-08-21 12:02 <DIR> d-------- C:\Programme\CDRecordKit 2007-08-20 18:31 <DIR> d-------- C:\Programme\VideoLAN 2007-08-20 11:47 102,352 --a------ C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\firstlsp.reg.dat 2007-08-18 21:19 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten 2007-08-18 21:19 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen 2007-08-18 21:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen 2007-08-18 21:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung 2007-08-18 21:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen 2007-08-18 21:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung 2007-08-18 21:19 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten 2007-08-13 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX 2007-08-12 17:21 3,082 --a------ C:\WINDOWS\system32\affv208325p1now.sys 2007-08-12 17:21 <DIR> d-------- C:\Programme\WinAVIVideoConverter 2007-07-27 01:06 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll 2007-07-27 01:06 144,704 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2007-07-27 01:06 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll 2007-07-24 15:00 <DIR> d-------- C:\WINDOWS\system32\AGEIA 2007-07-24 15:00 <DIR> d-------- C:\Programme\AGEIA Technologies 2007-07-24 14:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-07-14 13:28 <DIR> d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\Ahead 2007-07-12 22:27 <DIR> d--hs---- C:\WINDOWS\ftpcache 2007-07-12 10:49 49,536 --a------ C:\WINDOWS\system32\drivers\a8137k5s.sys (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-28 16:25 --------- d---s---- C:\Programme\Xfire 2007-08-28 16:25 --------- d-------- C:\Programme\Mozilla Thunderbird 2007-08-28 16:25 --------- d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\FrostWire 2007-08-26 13:32 --------- d-------- C:\Programme\AntiVirenKit 2004 2007-08-25 23:04 --------- d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\Xfire 2007-08-25 17:03 --------- d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\Vso 2007-08-25 16:07 --------- d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\Skype 2007-08-25 13:01 --------- d-------- C:\Programme\Ad-Aware SE Personal 2007-08-23 11:37 --------- d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Spybot - Search & Destroy 2007-08-23 11:21 --------- d-------- C:\Programme\AvRack 2007-08-22 19:53 --------- d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\DivX 2007-08-22 17:49 685816 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2007-08-22 17:44 --------- d-------- C:\Programme\Ruff-Rose 2007-08-22 16:38 14336 --a------ C:\WINDOWS\system32\svchost.exe 2007-08-21 12:07 50458 --a------ C:\WINDOWS\system32\interceptor.sys 2007-08-21 12:05 --------- d-------- C:\Programme\Gemeinsame Dateien\G DATA 2007-08-21 12:01 --------- d--h----- C:\Programme\InstallShield Installation Information 2007-08-13 14:30 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2007-08-12 17:30 --------- d-------- C:\Programme\DivX 2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll 2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll 2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll 2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll 2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll 2007-07-27 01:06 524288 --a------ C:\WINDOWS\system32\DivXsm.exe 2007-07-27 01:06 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2007-07-27 01:06 129784 --a------ C:\WINDOWS\system32\pxafs.dll 2007-07-27 01:06 120056 --a------ C:\WINDOWS\system32\pxcpyi64.exe 2007-07-27 01:06 118520 --a------ C:\WINDOWS\system32\pxinsi64.exe 2007-07-27 01:03 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll 2007-07-27 01:03 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll 2007-07-27 01:03 81920 --a------ C:\WINDOWS\system32\dpl100.dll 2007-07-27 01:03 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll 2007-07-27 01:03 740442 --a------ C:\WINDOWS\system32\DivX.dll 2007-07-27 01:03 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll 2007-07-27 01:03 57344 --a------ C:\WINDOWS\system32\dpv11.dll 2007-07-27 01:03 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll 2007-07-27 01:03 344064 --a------ C:\WINDOWS\system32\dpus11.dll 2007-07-27 01:03 294912 --a------ C:\WINDOWS\system32\dpu11.dll 2007-07-27 01:03 294912 --a------ C:\WINDOWS\system32\dpu10.dll 2007-07-27 01:03 196608 --a------ C:\WINDOWS\system32\dtu100.dll 2007-07-27 01:03 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll 2007-07-13 15:05 94080 --a------ C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\ezplay.sys 2007-07-13 15:05 81920 --a------ C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\ezpinst.exe 2007-07-13 15:05 --------- d-------- C:\Programme\VSO 2007-07-07 17:37 --------- d-------- C:\Programme\FrostWire 2007-06-30 22:15 --------- d-------- C:\Programme\Ahead 2007-06-29 00:43 8466432 --a------ C:\WINDOWS\system32\nvcpl.dll 2007-06-29 00:43 81920 --a------ C:\WINDOWS\system32\nvwddi.dll 2007-06-29 00:43 81920 --a------ C:\WINDOWS\system32\nvmctray.dll 2007-06-29 00:43 753664 --a------ C:\WINDOWS\system32\nvcplui.exe 2007-06-29 00:43 6729728 --a------ C:\WINDOWS\system32\nvoglnt.dll 2007-06-29 00:43 6234112 --a------ C:\WINDOWS\system32\nvdisps.dll 2007-06-29 00:43 5690624 --a------ C:\WINDOWS\system32\nv4_disp.dll 2007-06-29 00:43 5455872 --a------ C:\WINDOWS\system32\nvdispsr.dll 2007-06-29 00:43 466944 --a------ C:\WINDOWS\system32\nvshell.dll 2007-06-29 00:43 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll 2007-06-29 00:43 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll 2007-06-29 00:43 442368 --a------ C:\WINDOWS\system32\nvappbar.exe 2007-06-29 00:43 425984 --a------ C:\WINDOWS\system32\keystone.exe 2007-06-29 00:43 37376 --a------ C:\WINDOWS\system32\nvcodins.dll 2007-06-29 00:43 37376 --a------ C:\WINDOWS\system32\nvcod.dll 2007-06-29 00:43 360448 --a------ C:\WINDOWS\system32\nvapi.dll 2007-06-29 00:43 3600384 --a------ C:\WINDOWS\system32\nvvitvsr.dll 2007-06-29 00:43 3518464 --a------ C:\WINDOWS\system32\nvvitvs.dll 2007-06-29 00:43 335872 --a------ C:\WINDOWS\system32\nvwrses.dll 2007-06-29 00:43 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll 2007-06-29 00:43 3321856 --a------ C:\WINDOWS\system32\nvgames.dll 2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll 2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll 2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvrshe.dll 2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvrsar.dll 2007-06-29 00:43 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll 2007-06-29 00:43 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll 2007-06-29 00:43 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll 2007-06-29 00:43 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll 2007-06-29 00:43 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll 2007-06-29 00:43 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll 2007-06-29 00:43 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll 2007-06-29 00:43 3072000 --a------ C:\WINDOWS\system32\nvgamesr.dll 2007-06-29 00:43 307200 --a------ C:\WINDOWS\system32\nvexpbar.dll 2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll 2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll 2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll 2007-06-29 00:43 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll 2007-06-29 00:43 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll 2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll 2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll 2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll 2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll 2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll 2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll 2007-06-29 00:43 2854912 --a------ C:\WINDOWS\system32\nvmoblsr.dll 2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll 2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrsfr.dll 2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrses.dll 2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrsel.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2006-02-28 14:00] "MULTIMEDIA KEYBOARD"="C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe" [2002-06-19 10:50] "RefreshLock"="G:\pepeback\installs\refreshlock\RefreshLock.exe" [2003-10-15 21:53] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50] "PRISMSVR.EXE"="C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.exe" [2004-04-26 14:26] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe] "AVK Mail Checker"="C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" [2004-10-07 15:04] "SoundMan"="SOUNDMAN.EXE" [2005-10-24 08:45 C:\WINDOWS\soundman.exe] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43] "nwiz"="nwiz.exe" [2007-06-29 00:43 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45] "NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 18:25] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^pepe.PEPEMAT^Startmenü^Programme^Autostart^Xfire.lnk] path=C:\Dokumente und Einstellungen\pepe.PEPEMAT\Startmenü\Programme\Autostart\Xfire.lnk backup=C:\WINDOWS\pss\Xfire.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerStrip] c:\programme\powerstrip\pstrip.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys R2 ACEDRV08;ACEDRV08;\??\C:\WINDOWS\system32\drivers\ACEDRV08.sys R2 AVKService;AVK Service;C:\Programme\AntiVirenKit 2004\AVKService.exe R2 AVKWCtl;AVK Wächter;C:\Programme\AntiVirenKit 2004\AVKWCtl.exe R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys R2 nhksrv;Netropa NHK Server;C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe R3 DT154_A02;Sinus 154 data II Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys R3 GDInterceptor;GDInterceptor;\??\C:\WINDOWS\system32\interceptor.sys R3 HookCentre;HookCentre;\??\C:\WINDOWS\system32\drivers\HookCentre.sys R3 LUsbFilt;Logitech SetPoint KMDF USB Filter;C:\WINDOWS\system32\Drivers\LUsbFilt.Sys S3 hSONYPVh;hSONYPVh;\??\C:\DOKUME~1\PEPE~1.PEP\LOKALE~1\Temp\hSONYPVh.sys *Newly Created Service* - CATCHME ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-30 16:42:41 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-30 16:43:06 C:\ComboFix-quarantined-files.txt ... 2007-08-30 16:43 --- E O F --- Neuinstallation, ja das sollte Ich am WE wohl mal in angriff nehmen. |
Die Datei C:\WINDOWS\system32\cdae7_r.dll bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen, Ergebnis hier posten. Dann machen wir noch einen ADS Test LADS für Alternate Data Streams * Lade das Programm von hier. * Entpacke es mittels eines Zip Tools -> 7 Zip Wähle als Ziel für das entpacken den Pfad c:\ * klicke auf Start / ausführen * tippe ein cmd drücke [Enter] * tippe ein cd c:\ * tippe ein lads /s >lads.txt * sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst [enter] * nun gehst Du mittels des Explorers [ Windows Taste + E] zu dem Laufwerk c: und öffnest die Datei lads.txt * deren Inhalt postest Du in den Thread ---------------------------------------- Fehlermeldungen
Bata |
Hallo, die dll.Datei ist im sytem32 oder ganzem Windos-Verzechnis nicht zu finden. Da frag Ich doof, ob das möglich ist, wenn die Datei im gmer-Log aufgeführt wird? Das Log ist diesmal definitiv nicht zu gross..... LADS - Freeware version 4.10 (C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de) This program lists files with alternate data streams (ADS) Use LADS on your own risk! Could not find directory \s Fehlermeldungen bei der cmd-Eingabe gabs keine. Readme und exe liegen unter C:\ . Kann das an meinen Partitionen liegen, Ich weiss so Sachen nich? Ratlos bin Ich und Angst vorm Internet hab ich jetzt auch :schmoll: Wenn Du meinst wär sicherer, hab Ich kein Problem mit einer Neuinstallation. |
Zitat:
Bitte nochmal versuchen. :daumenhoc Bata |
:balla: :kloppen: lol ohne Worte LADS - Freeware version 4.10 (C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de) This program lists files with alternate data streams (ADS) Use LADS on your own risk! Scanning directory C:\ with subdirectories size ADS in file ---------- --------------------------------- 0 C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Thumbs.db:encryptable 0 C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente\Eigene Bilder\Beispielbilder\Thumbs.db:encryptable Error 32 opening C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Error 32 opening C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Error 32 opening C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\NTUSER.DAT Error 32 opening C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\ntuser.dat.LOG Error 32 opening C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Error 32 opening C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Error 32 opening C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT Error 32 opening C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\ntuser.dat.LOG Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Anwendungsdaten\Mozilla\Firefox\Profiles\uwx1lmb2.default\parent.lock 0 C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Thumbs.db:encryptable Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Temp\Perflib_Perfdata_5f4.dat Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Temp\~DF6B87.tmp Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Temp\~DF6BAB.tmp Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\NTUSER.DAT Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\ntuser.dat.LOG Error 32 opening C:\pagefile.sys Error 32 opening C:\WINDOWS\system32\config\default Error 32 opening C:\WINDOWS\system32\config\default.LOG Error 32 opening C:\WINDOWS\system32\config\SAM Error 32 opening C:\WINDOWS\system32\config\SAM.LOG Error 32 opening C:\WINDOWS\system32\config\SECURITY Error 32 opening C:\WINDOWS\system32\config\SECURITY.LOG Error 32 opening C:\WINDOWS\system32\config\software Error 32 opening C:\WINDOWS\system32\config\software.LOG Error 32 opening C:\WINDOWS\system32\config\system Error 32 opening C:\WINDOWS\system32\config\system.LOG Error 32 opening C:\WINDOWS\system32\drivers\sptd.sys The following summary might be incorrect because there was at least one error! 0 bytes in 3 ADS listed |
Ok, so far so good. Ich sehe keine Infeaktion mit dem Rootkit mehr, das hat was, was mir fehlt ist der Report.txt der SdFix, kannst Du diesen noch posten. Hier habe ich grade noch einen Schreibfehler entdeckt, daher bitte noch einmal ausführen! Dann reparieren wir noch die Registry Öffne das Notepad ( Start/Ausführen/Notepad[Enter]) Copy and Paste alles in der Quote box ins Notepad: Zitat:
Zitat:REGEDIT4 [-HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\FCI] Vergewissere Dich das vor Regedit4 keine Leerzeile ist. Vergewissere Dich das nach der letzten Zeile eine leere Zeile ist. Datei > Speichern unter Speichere die Datei als Fix.reg Ändere den Dateityp auf "Alle Dateien" und speicher die Datei auf Deinem Desktop. Bata |
SDFix Report.txt SDFix: Version 1.100 Run by pepe on 29.08.2007 at 22:45 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix\SDFix Safe Mode: Checking Services: Name: FCI ImagePath: C:\WINDOWS\system32\svchost.exe:ext.exe FCI - Deleted Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\BitComet\\BitComet.exe"="C:\\Programme\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client" "C:\\Programme\\Java\\jre1.5.0_05\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.5.0_05\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:svchost" "C:\\Programme\\Gemeinsame Dateien\\G DATA\\AVKMail\\AVKPop.exe"="C:\\Programme\\Gemeinsame Dateien\\G DATA\\AVKMail\\AVKPop.exe:*:Enabled:AVK POP3/IMAP Proxy" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "C:\\Programme\\Xfire\\Xfire.exe"="C:\\Programme\\Xfire\\Xfire.exe:*:Enabled:Xfire" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files: --------------- Files with Hidden Attributes: C:\WINDOWS\system32\cdae7_r.dll C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe C:\Programme\Outlook Express\msimn.exe Finished zu den oben aufgeführten 3 Dateien: cdae7_r.dll ist nicht mehr vorhanden DLMCleanup.exe hab ich vorsichtshalber bei AntivirusTotal geprüft, wird nicht als Virus erkannt msimn.exe wird mir von Google als Bestandteil von outlook genannt |
Ok, Status Quo. Wir haben alles getan, alle dafür nötigen Tols verwandt Deinen Rechner wieder zu säubern. Es scheint als sei er nun sauber, dennoch bitte ich Dich alle Zugangsdaten die Du auf dem Rechner benutzt hast (eMail, Hompage, FTP, Homebanking, Messenger) zu ändern. Poste bitte abschließend noch ein neues HJT Log. :daumenhoc Bata |
:Boogie: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:51:12, on 01.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AntiVirenKit 2004\AVKService.exe C:\Programme\AntiVirenKit 2004\AVKWCtl.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe G:\pepeback\installs\refreshlock\RefreshLock.exe C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Mozilla Firefox\firefox.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.4.29.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [RefreshLock] G:\pepeback\installs\refreshlock\RefreshLock.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188124984328 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 7408 bytes Riesen Danke an meine Helfer hier, besonders an Bata, Retter von pepel's Rechner. Das Du die ganzen Logs geprüft und es auch noch geschafft hast, mir zu erklären was ich machen muss, da zieh ich den Hut. Echt sauber der Bata :party: pepel |
Das Log ist ok. :) Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam. Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst. Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren! AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System. Nutze standardmäßig einen alternativen Browser, wie zb Firefox oder Opera Der Internet Explorer sollte nur für das Windows- Officeupdate benutzt werden. Eine Alternative zu Outlook ist zb Thunderbird. Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet. CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows. Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen. Hier findest Du aktuelle Sicherheitsmeldungen. Überprüfe dein System bei Bedarf mit einem On-Demandscanner um eventuelle Befälle aufzuspüren. Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen. Generell gilt: Halte immer alle Anwendung auf einem akutellem Stand! Bata, der Dir nun wieder viel Spaß im Web wünscht. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:34 Uhr. |
Copyright ©2000-2024, Trojaner-Board