|
Frau benötigt Hilfe beim Log-Lesen: PC stockt jede 2 Minuten für 30 Sekunden! Hallo, seit kurzen stockt mein PC alle 5 Minuten für ca. 30 Sekunden. Ich kann dann leider weder Mauscursor noch sonst irgendwas bewegen. Wenn während des Stockens Sound gespielt wird, kommen nur Störgeräusche. Ich muss übermorgen eine Präsentation halten und bis dahin muss er wieder laufen. Könnte bitte jemand das Log-File überprüfen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:41:52, on 03.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.48.50.2:8080 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - h**p://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - h**ps://img.web.de/v/mail/activex/fa_os_mms/upload_1132.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3CD1CE3C-6110-4A6D-BE36-AB2FB630935E}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C4C66210-042D-4E54-AD3D-917F1B37DEE0}: NameServer = 192.168.2.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
In Deinem Logfile finden sich keine Auffälligkeiten. Wie alt ist denn der Rechner? Desktop oder Laptop? Hast Du Verbindungen an ein Institut in Polen? Deckards System Scanner (DSS) Hier gibt es das Tool -> dss.exe * Schließe alle Anwendungen * Doppelklicke dss.exe um das Programm zu starten * Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis c:\Deckard\SystemScanner\extra.txt * Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als [CODE][/CODE] Was Deckards System Scanner macht: * Es Erstellt einen System Wiederherstellungspunkt * es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Laufwerken. |
Code: Deckard's System Scanner v20071014.68 |
Kannst Du hierzu auch noch was sagen? Zitat:
|
Code: Deckard's System Scanner v20071014.68 |
Sorry, wollte ich gerade machen. Ist ein Samsung Laptop. 1,65Ghz. Dürfte inzwischen so 3 Jahre alt sein. Ich wüsste nichts von einer Verbindungen zu einem polnischen Institut. Code: -- Application Event Log ------------------------------------------------------- |
ave, Hast Du Verbindungen nach Polen? ComboFix
Wichtige Hinweise:
Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Keine Verbindung zu Polen. ComboFix 08-07-01.5 - XXX 2008-07-03 3:27:48.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\bold.log C:\Programme\webhancer C:\Programme\webhancer\Programs\whAgent.ini C:\WINDOWS\gimmygames.dat C:\WINDOWS\keyboard11.dat C:\WINDOWS\keyboard21.dat C:\WINDOWS\newname.dat C:\WINDOWS\system32\lsprst7.dll C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\ssprs.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_CMDSERVICE ((((((((((((((((((((((( Dateien erstellt von 2008-06-03 bis 2008-07-03 )))))))))))))))))))))))))))))) . 2008-07-03 03:01 . 2008-07-03 03:01 <DIR> d-------- C:\Deckard 2008-06-11 12:27 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-06-11 12:27 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-03 00:24 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\DNA 2008-07-02 23:57 --------- d-----w C:\Programme\DivX 2008-07-02 22:45 --------- d-----w C:\Programme\Image-Line 2008-07-02 19:34 --------- d-----w C:\Programme\FruityLoops 2008-07-02 16:22 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\OpenOffice.org2 2008-07-01 18:38 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\dvdcss 2008-06-28 15:12 --------- d-----w C:\Programme\coolpro2 2008-06-27 23:36 --------- d-----w C:\Programme\VstPlugins 2008-05-26 13:08 --------- d-----w C:\Programme\Outsim 2008-05-09 11:28 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\BitTorrent 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-02 10:05 13,496,780 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2004-08-04 12:00 94,800 --sh--w C:\WINDOWS\twain.dll 2004-08-04 12:00 50,688 --sh--w C:\WINDOWS\twain_32.dll 2007-12-04 18:40 550,912 --sh--w C:\WINDOWS\system32\oleaut32.dll 2004-08-04 12:00 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll 2004-08-04 12:00 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02 919280] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 00:41 262401] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-04 15:18 267048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "Midi1"= usbnp4x4.dll "vidc.yv12"= yv12vfw.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\farstone] [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [X] HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] --a------ 2005-06-28 21:05 344064 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA] --a------ 2008-05-13 12:33 289088 C:\Programme\DNA\btdna.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-04 14:00 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O] --a------ 2005-12-18 15:18 307200 C:\Programme\Syncrosoft\POS\H2O\cledx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd] --a------ 2005-07-19 04:06 77824 C:\WINDOWS\system32\hkcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers] --a------ 2005-07-19 04:10 114688 C:\WINDOWS\system32\igfxpers.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray] --a------ 2005-07-19 04:09 94208 C:\WINDOWS\system32\igfxtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-02-04 15:18 267048 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAFWTaskbarApp] --a------ 2004-06-23 17:13 151552 C:\WINDOWS\system32\maFwTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MagicKeyboard] --a------ 2005-04-11 13:01 151552 C:\Programme\Samsung\MagicKBD\PreMKbd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2004-03-17 01:06 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RestoreIT!] --a------ 2004-09-23 03:27 114688 C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\vbptask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] --a------ 2004-08-06 09:27 860160 C:\Programme\Analog Devices\SoundMAX\SMax4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] --a------ 2004-07-27 14:48 1388544 C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] --a------ 2005-02-02 05:11 692316 C:\Programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr] --a------ 2005-02-02 05:12 102492 C:\Programme\Synaptics\SynTP\SynTPLpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2007-04-04 13:32 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] --a------ 2005-03-04 05:01 88209 C:\WINDOWS\AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer] --a------ 2004-06-08 13:31 29696 C:\WINDOWS\KHALMNPR.Exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "usnjsvc"=3 (0x3) "iPod Service"=3 (0x3) "btwdins"=2 (0x2) "Avg7UpdSvc"=2 (0x2) "Avg7Alrt"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Programme\\BitTorrent\\bittorrent.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "%windir%\\system32\\sessmgr.exe"= R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-05-18 07:43] R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 18:19] R2 MarxDev1;MarxDev1;C:\WINDOWS\system32\drivers\MarxDev1.sys [2001-05-28 17:30] R2 MarxDev2;MarxDev2;C:\WINDOWS\system32\drivers\MarxDev2.sys [2001-05-28 17:30] R2 MarxDev3;MarxDev3;C:\WINDOWS\system32\drivers\MarxDev3.sys [2001-05-28 17:30] R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08] R3 SeratoUsb;SeratoUsb driver;C:\WINDOWS\system32\Drivers\SeratoUsb.sys [2006-03-16 17:24] S0 ntcdrdrv;ntcdrdrv;C:\WINDOWS\system32\DRIVERS\ntcdrdrv.sys [] S2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [] S3 ma763003;M-Audio Audiophile;C:\WINDOWS\system32\drivers\MA763003.sys [] S3 MADFU003;MADFU003;C:\WINDOWS\system32\DRIVERS\MADFU003.sys [] S3 pgusbmme;usb-audio.de MME-Adapter;C:\WINDOWS\system32\drivers\pgusbmm3.sys [] S3 pgusbwdm;usb-audio.de driver (commercial V2.5.1);C:\WINDOWS\system32\Drivers\pgusbwdm.sys [] S3 SUEPD;SUE NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\SUE_PD.sys [] S3 TTM57SLUsb;TTM 57SL USB driver;C:\WINDOWS\system32\Drivers\TTM57SLUsb.sys [2006-03-09 10:49] S3 USBNP4X4;M-Audio Audiophile USB Midi;C:\WINDOWS\system32\drivers\usbnp4x4.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7b5ff44c-cc2f-11dc-b69b-0000f07b5b1a}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe killVBS.vbs . Inhalt des "geplante Tasks" Ordners "2008-07-02 22:00:00 C:\WINDOWS\Tasks\At1.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2007-12-17 12:43:07 C:\WINDOWS\Tasks\At10.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2007-12-17 12:43:07 C:\WINDOWS\Tasks\At11.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-03-13 10:00:00 C:\WINDOWS\Tasks\At12.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-06-30 10:00:00 C:\WINDOWS\Tasks\At13.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-06-30 11:00:00 C:\WINDOWS\Tasks\At14.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 12:00:00 C:\WINDOWS\Tasks\At15.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 13:00:00 C:\WINDOWS\Tasks\At16.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-01 14:00:00 C:\WINDOWS\Tasks\At17.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-01 15:00:00 C:\WINDOWS\Tasks\At18.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-01 16:00:00 C:\WINDOWS\Tasks\At19.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 23:00:00 C:\WINDOWS\Tasks\At2.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 17:00:00 C:\WINDOWS\Tasks\At20.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 18:00:00 C:\WINDOWS\Tasks\At21.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 19:00:00 C:\WINDOWS\Tasks\At22.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 20:00:00 C:\WINDOWS\Tasks\At23.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 21:00:00 C:\WINDOWS\Tasks\At24.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 22:00:00 C:\WINDOWS\Tasks\At25.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-02 23:00:00 C:\WINDOWS\Tasks\At26.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-03 00:00:00 C:\WINDOWS\Tasks\At27.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-03 01:00:00 C:\WINDOWS\Tasks\At28.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-02 02:00:00 C:\WINDOWS\Tasks\At29.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-03 00:00:00 C:\WINDOWS\Tasks\At3.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-06-20 03:00:00 C:\WINDOWS\Tasks\At30.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-06-18 04:00:00 C:\WINDOWS\Tasks\At31.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-05-06 05:00:00 C:\WINDOWS\Tasks\At32.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-03-07 07:00:00 C:\WINDOWS\Tasks\At33.job" - C:\WINDOWS\system32\eib5OxXE.exe "2007-12-17 12:43:07 C:\WINDOWS\Tasks\At34.job" - C:\WINDOWS\system32\eib5OxXE.exe "2007-12-17 12:43:07 C:\WINDOWS\Tasks\At35.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-03-13 10:00:00 C:\WINDOWS\Tasks\At36.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-06-30 10:00:00 C:\WINDOWS\Tasks\At37.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-06-30 11:00:00 C:\WINDOWS\Tasks\At38.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-02 12:00:00 C:\WINDOWS\Tasks\At39.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-03 01:00:00 C:\WINDOWS\Tasks\At4.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 13:00:00 C:\WINDOWS\Tasks\At40.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-01 14:00:00 C:\WINDOWS\Tasks\At41.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-01 15:00:00 C:\WINDOWS\Tasks\At42.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-01 16:00:00 C:\WINDOWS\Tasks\At43.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-02 17:00:00 C:\WINDOWS\Tasks\At44.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-02 18:00:00 C:\WINDOWS\Tasks\At45.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-02 19:00:00 C:\WINDOWS\Tasks\At46.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-02 20:00:00 C:\WINDOWS\Tasks\At47.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-02 21:00:00 C:\WINDOWS\Tasks\At48.job" - C:\WINDOWS\system32\eib5OxXE.exe "2008-07-02 22:00:00 C:\WINDOWS\Tasks\At49.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-02 02:00:00 C:\WINDOWS\Tasks\At5.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 23:00:00 C:\WINDOWS\Tasks\At50.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-03 00:00:00 C:\WINDOWS\Tasks\At51.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-03 01:00:00 C:\WINDOWS\Tasks\At52.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-02 02:00:00 C:\WINDOWS\Tasks\At53.job" - C:\WINDOWS\system32\FE05200R.exe "2008-06-20 03:00:00 C:\WINDOWS\Tasks\At54.job" - C:\WINDOWS\system32\FE05200R.exe "2008-06-18 04:00:00 C:\WINDOWS\Tasks\At55.job" - C:\WINDOWS\system32\FE05200R.exe "2008-05-06 05:00:00 C:\WINDOWS\Tasks\At56.job" - C:\WINDOWS\system32\FE05200R.exe "2008-03-07 07:00:00 C:\WINDOWS\Tasks\At57.job" - C:\WINDOWS\system32\FE05200R.exe "2007-12-17 12:43:07 C:\WINDOWS\Tasks\At58.job" - C:\WINDOWS\system32\FE05200R.exe "2007-12-17 12:43:07 C:\WINDOWS\Tasks\At59.job" - C:\WINDOWS\system32\FE05200R.exe "2008-06-20 03:00:00 C:\WINDOWS\Tasks\At6.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-03-13 10:00:00 C:\WINDOWS\Tasks\At60.job" - C:\WINDOWS\system32\FE05200R.exe "2008-06-30 10:00:00 C:\WINDOWS\Tasks\At61.job" - C:\WINDOWS\system32\FE05200R.exe "2008-06-30 11:00:00 C:\WINDOWS\Tasks\At62.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-02 12:00:00 C:\WINDOWS\Tasks\At63.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-02 13:00:00 C:\WINDOWS\Tasks\At64.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-01 14:00:00 C:\WINDOWS\Tasks\At65.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-01 15:00:00 C:\WINDOWS\Tasks\At66.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-01 16:00:00 C:\WINDOWS\Tasks\At67.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-02 17:00:00 C:\WINDOWS\Tasks\At68.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-02 18:00:00 C:\WINDOWS\Tasks\At69.job" - C:\WINDOWS\system32\FE05200R.exe "2008-06-18 04:00:00 C:\WINDOWS\Tasks\At7.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-07-02 19:00:00 C:\WINDOWS\Tasks\At70.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-02 20:00:00 C:\WINDOWS\Tasks\At71.job" - C:\WINDOWS\system32\FE05200R.exe "2008-07-02 21:00:00 C:\WINDOWS\Tasks\At72.job" - C:\WINDOWS\system32\FE05200R.exe "2008-05-06 05:00:00 C:\WINDOWS\Tasks\At8.job" - C:\WINDOWS\system32\JW1w8Smf.exe "2008-03-07 07:00:00 C:\WINDOWS\Tasks\At9.job" - C:\WINDOWS\system32\JW1w8Smf.exe . - - - - ORPHANS REMOVED - - - - MSConfigStartUp-AIM - C:\PROGRA~1\AIM\aim.exe MSConfigStartUp-avast! - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe MSConfigStartUp-BearShare - C:\Programme\BearShare\BearShare.exe MSConfigStartUp-ccApp - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe MSConfigStartUp-keyboard - c:\\keyboard2.exe MSConfigStartUp-MessengerPlus3 - C:\Programme\MessengerPlus! 3\MsgPlus.exe MSConfigStartUp-Microsoft Windows Logon Process - C:\WINDOWS\winlogon.exe MSConfigStartUp-Microsoft Windows Session Manager Subsystem - C:\WINDOWS\smss.exe MSConfigStartUp-mmtask - c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe MSConfigStartUp-mousepad - C:\\mousepad2.exe MSConfigStartUp-newname - c:\\newname2.exe MSConfigStartUp-riuq - C:\PROGRA~1\GEMEIN~1\riuq\riuqm.exe MSConfigStartUp-SamsungPIC - C:\Programme\Samsung\Samsung Command Center\PIC_UI.exe MSConfigStartUp-SpybotSD TeaTimer - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe MSConfigStartUp-SunJavaUpdateSched - C:\Programme\Java\jre1.5.0_05\bin\jusched.exe MSConfigStartUp-WLAN-Access Finder - C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe MSConfigStartUp-WinampAgent - C:\Programme\Winamp\winampa.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2008-07-03 03:35:40 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-03 3:40:25 - machine was rebooted [XXX] ComboFix-quarantined-files.txt 2008-07-03 01:40:22 9 Verzeichnis(se), 32,904,978,432 Bytes frei 12 Verzeichnis(se), 32,861,392,896 Bytes frei 338 --- E O F --- 2008-07-03 00:28:39 |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:45:50, on 03.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe c:\programme\avira\antivir personaledition classic\avcenter.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.48.50.2:8080 O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - h**p://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - h**ps://img.web.de/v/mail/activex/fa_os_mms/upload_1132.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3CD1CE3C-6110-4A6D-BE36-AB2FB630935E}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C4C66210-042D-4E54-AD3D-917F1B37DEE0}: NameServer = 192.168.2.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4844 bytes |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: KillAll::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann |
ComboFix 08-07-01.5 - XXX 2008-07-03 4:07:58.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.662 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\XXX\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! FILE :: C:\WINDOWS\system32\drivers\FBAPI.sys C:\WINDOWS\system32\eib5OxXE.exe C:\WINDOWS\system32\FE05200R.exe C:\WINDOWS\system32\JW1w8Smf.exe C:\WINDOWS\Tasks\At1.job" C:\WINDOWS\Tasks\At10.job" C:\WINDOWS\Tasks\At11.job" C:\WINDOWS\Tasks\At12.job" C:\WINDOWS\Tasks\At13.job" C:\WINDOWS\Tasks\At14.job" C:\WINDOWS\Tasks\At15.job" C:\WINDOWS\Tasks\At16.job" C:\WINDOWS\Tasks\At17.job" C:\WINDOWS\Tasks\At18.job" C:\WINDOWS\Tasks\At19.job" C:\WINDOWS\Tasks\At2.job" C:\WINDOWS\Tasks\At20.job" C:\WINDOWS\Tasks\At21.job" C:\WINDOWS\Tasks\At22.job" C:\WINDOWS\Tasks\At23.job" C:\WINDOWS\Tasks\At24.job" C:\WINDOWS\Tasks\At25.job" C:\WINDOWS\Tasks\At26.job" C:\WINDOWS\Tasks\At27.job" C:\WINDOWS\Tasks\At28.job" C:\WINDOWS\Tasks\At29.job" C:\WINDOWS\Tasks\At3.job" C:\WINDOWS\Tasks\At30.job" C:\WINDOWS\Tasks\At31.job" C:\WINDOWS\Tasks\At32.job" C:\WINDOWS\Tasks\At33.job" C:\WINDOWS\Tasks\At34.job" C:\WINDOWS\Tasks\At35.job" C:\WINDOWS\Tasks\At36.job" C:\WINDOWS\Tasks\At37.job" C:\WINDOWS\Tasks\At38.job" C:\WINDOWS\Tasks\At39.job" C:\WINDOWS\Tasks\At4.job" C:\WINDOWS\Tasks\At40.job" C:\WINDOWS\Tasks\At41.job" C:\WINDOWS\Tasks\At42.job" C:\WINDOWS\Tasks\At43.job" C:\WINDOWS\Tasks\At44.job" C:\WINDOWS\Tasks\At45.job" C:\WINDOWS\Tasks\At46.job" C:\WINDOWS\Tasks\At47.job" C:\WINDOWS\Tasks\At48.job" C:\WINDOWS\Tasks\At49.job" C:\WINDOWS\Tasks\At5.job" C:\WINDOWS\Tasks\At50.job" C:\WINDOWS\Tasks\At51.job" C:\WINDOWS\Tasks\At52.job" C:\WINDOWS\Tasks\At53.job" C:\WINDOWS\Tasks\At54.job" C:\WINDOWS\Tasks\At55.job" C:\WINDOWS\Tasks\At56.job" C:\WINDOWS\Tasks\At57.job" C:\WINDOWS\Tasks\At58.job" C:\WINDOWS\Tasks\At59.job" C:\WINDOWS\Tasks\At6.job" C:\WINDOWS\Tasks\At60.job" C:\WINDOWS\Tasks\At61.job" C:\WINDOWS\Tasks\At62.job" C:\WINDOWS\Tasks\At63.job" C:\WINDOWS\Tasks\At64.job" C:\WINDOWS\Tasks\At65.job" C:\WINDOWS\Tasks\At66.job" C:\WINDOWS\Tasks\At67.job" C:\WINDOWS\Tasks\At68.job" C:\WINDOWS\Tasks\At69.job" C:\WINDOWS\Tasks\At7.job" C:\WINDOWS\Tasks\At70.job" C:\WINDOWS\Tasks\At71.job" C:\WINDOWS\Tasks\At72.job" C:\WINDOWS\Tasks\At8.job" C:\WINDOWS\Tasks\At9.job" . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\Tasks\At1.job C:\WINDOWS\Tasks\At10.job C:\WINDOWS\Tasks\At11.job C:\WINDOWS\Tasks\At12.job C:\WINDOWS\Tasks\At13.job C:\WINDOWS\Tasks\At14.job C:\WINDOWS\Tasks\At15.job C:\WINDOWS\Tasks\At16.job C:\WINDOWS\Tasks\At17.job C:\WINDOWS\Tasks\At18.job C:\WINDOWS\Tasks\At19.job C:\WINDOWS\Tasks\At2.job C:\WINDOWS\Tasks\At20.job C:\WINDOWS\Tasks\At21.job C:\WINDOWS\Tasks\At22.job C:\WINDOWS\Tasks\At23.job C:\WINDOWS\Tasks\At24.job C:\WINDOWS\Tasks\At25.job C:\WINDOWS\Tasks\At26.job C:\WINDOWS\Tasks\At27.job C:\WINDOWS\Tasks\At28.job C:\WINDOWS\Tasks\At29.job C:\WINDOWS\Tasks\At3.job C:\WINDOWS\Tasks\At30.job C:\WINDOWS\Tasks\At31.job C:\WINDOWS\Tasks\At32.job C:\WINDOWS\Tasks\At33.job C:\WINDOWS\Tasks\At34.job C:\WINDOWS\Tasks\At35.job C:\WINDOWS\Tasks\At36.job C:\WINDOWS\Tasks\At37.job C:\WINDOWS\Tasks\At38.job C:\WINDOWS\Tasks\At39.job C:\WINDOWS\Tasks\At4.job C:\WINDOWS\Tasks\At40.job C:\WINDOWS\Tasks\At41.job C:\WINDOWS\Tasks\At42.job C:\WINDOWS\Tasks\At43.job C:\WINDOWS\Tasks\At44.job C:\WINDOWS\Tasks\At45.job C:\WINDOWS\Tasks\At46.job C:\WINDOWS\Tasks\At47.job C:\WINDOWS\Tasks\At48.job C:\WINDOWS\Tasks\At49.job C:\WINDOWS\Tasks\At5.job C:\WINDOWS\Tasks\At50.job C:\WINDOWS\Tasks\At51.job C:\WINDOWS\Tasks\At52.job C:\WINDOWS\Tasks\At53.job C:\WINDOWS\Tasks\At54.job C:\WINDOWS\Tasks\At55.job C:\WINDOWS\Tasks\At56.job C:\WINDOWS\Tasks\At57.job C:\WINDOWS\Tasks\At58.job C:\WINDOWS\Tasks\At59.job C:\WINDOWS\Tasks\At6.job C:\WINDOWS\Tasks\At60.job C:\WINDOWS\Tasks\At61.job C:\WINDOWS\Tasks\At62.job C:\WINDOWS\Tasks\At63.job C:\WINDOWS\Tasks\At64.job C:\WINDOWS\Tasks\At65.job C:\WINDOWS\Tasks\At66.job C:\WINDOWS\Tasks\At67.job C:\WINDOWS\Tasks\At68.job C:\WINDOWS\Tasks\At69.job C:\WINDOWS\Tasks\At7.job C:\WINDOWS\Tasks\At70.job C:\WINDOWS\Tasks\At71.job C:\WINDOWS\Tasks\At72.job C:\WINDOWS\Tasks\At8.job C:\WINDOWS\Tasks\At9.job . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_FBAPI -------\Service_FBAPI ((((((((((((((((((((((( Dateien erstellt von 2008-06-03 bis 2008-07-03 )))))))))))))))))))))))))))))) . 2008-07-03 04:11 . 2008-07-03 04:11 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-07-03 04:11 . 2008-07-03 04:11 1,409 --a------ C:\WINDOWS\QTFont.for 2008-07-03 03:01 . 2008-07-03 03:01 <DIR> d-------- C:\Deckard 2008-06-11 12:27 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-06-11 12:27 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-03 00:24 --------- d-----w C:\Dokumente und Einstellungen\XXX \Anwendungsdaten\DNA 2008-07-02 23:57 --------- d-----w C:\Programme\DivX 2008-07-02 22:45 --------- d-----w C:\Programme\Image-Line 2008-07-02 19:34 --------- d-----w C:\Programme\FruityLoops 2008-07-02 16:22 --------- d-----w C:\Dokumente und Einstellungen\XXX \Anwendungsdaten\OpenOffice.org2 2008-07-01 18:38 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\dvdcss 2008-06-28 15:12 --------- d-----w C:\Programme\coolpro2 2008-06-27 23:36 --------- d-----w C:\Programme\VstPlugins 2008-05-26 13:08 --------- d-----w C:\Programme\Outsim 2008-05-09 11:28 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\BitTorrent 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-05-02 10:05 13,496,780 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll 2004-08-04 12:00 94,800 --sh--w C:\WINDOWS\twain.dll 2004-08-04 12:00 50,688 --sh--w C:\WINDOWS\twain_32.dll 2007-12-04 18:40 550,912 --sh--w C:\WINDOWS\system32\oleaut32.dll 2004-08-04 12:00 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll 2004-08-04 12:00 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe . ((((((((((((((((((((((((((((( snapshot@2008-07-03_ 3.40.05.60 ))))))))))))))))))))))))))))))))))))))))) . - 2008-07-03 01:33:22 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-07-03 02:10:41 2,048 --s-a-w C:\WINDOWS\bootstat.dat - 2008-04-12 18:23:21 77,294 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-07-03 01:38:41 77,294 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-04-12 18:23:21 63,804 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-03 01:38:41 63,804 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-04-12 18:23:21 421,846 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-07-03 01:38:41 421,846 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-04-12 18:23:21 406,222 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-03 01:38:42 406,222 ----a-w C:\WINDOWS\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02 919280] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 00:41 262401] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-04 15:18 267048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "Midi1"= usbnp4x4.dll "vidc.yv12"= yv12vfw.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\farstone] [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [X] HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] --a------ 2005-06-28 21:05 344064 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA] --a------ 2008-05-13 12:33 289088 C:\Programme\DNA\btdna.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-04 14:00 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O] --a------ 2005-12-18 15:18 307200 C:\Programme\Syncrosoft\POS\H2O\cledx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd] --a------ 2005-07-19 04:06 77824 C:\WINDOWS\system32\hkcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers] --a------ 2005-07-19 04:10 114688 C:\WINDOWS\system32\igfxpers.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray] --a------ 2005-07-19 04:09 94208 C:\WINDOWS\system32\igfxtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-02-04 15:18 267048 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAFWTaskbarApp] --a------ 2004-06-23 17:13 151552 C:\WINDOWS\system32\maFwTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MagicKeyboard] --a------ 2005-04-11 13:01 151552 C:\Programme\Samsung\MagicKBD\PreMKbd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2004-03-17 01:06 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RestoreIT!] --a------ 2004-09-23 03:27 114688 C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\vbptask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] --a------ 2004-08-06 09:27 860160 C:\Programme\Analog Devices\SoundMAX\SMax4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] --a------ 2004-07-27 14:48 1388544 C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] --a------ 2005-02-02 05:11 692316 C:\Programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr] --a------ 2005-02-02 05:12 102492 C:\Programme\Synaptics\SynTP\SynTPLpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2007-04-04 13:32 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] --a------ 2005-03-04 05:01 88209 C:\WINDOWS\AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer] --a------ 2004-06-08 13:31 29696 C:\WINDOWS\KHALMNPR.Exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "usnjsvc"=3 (0x3) "iPod Service"=3 (0x3) "btwdins"=2 (0x2) "Avg7UpdSvc"=2 (0x2) "Avg7Alrt"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Programme\\BitTorrent\\bittorrent.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-05-18 07:43] R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 18:19] R2 MarxDev1;MarxDev1;C:\WINDOWS\system32\drivers\MarxDev1.sys [2001-05-28 17:30] R2 MarxDev2;MarxDev2;C:\WINDOWS\system32\drivers\MarxDev2.sys [2001-05-28 17:30] R2 MarxDev3;MarxDev3;C:\WINDOWS\system32\drivers\MarxDev3.sys [2001-05-28 17:30] R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08] R3 SeratoUsb;SeratoUsb driver;C:\WINDOWS\system32\Drivers\SeratoUsb.sys [2006-03-16 17:24] S0 ntcdrdrv;ntcdrdrv;C:\WINDOWS\system32\DRIVERS\ntcdrdrv.sys [] S3 ma763003;M-Audio Audiophile;C:\WINDOWS\system32\drivers\MA763003.sys [] S3 MADFU003;MADFU003;C:\WINDOWS\system32\DRIVERS\MADFU003.sys [] S3 pgusbmme;usb-audio.de MME-Adapter;C:\WINDOWS\system32\drivers\pgusbmm3.sys [] S3 pgusbwdm;usb-audio.de driver (commercial V2.5.1);C:\WINDOWS\system32\Drivers\pgusbwdm.sys [] S3 SUEPD;SUE NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\SUE_PD.sys [] S3 TTM57SLUsb;TTM 57SL USB driver;C:\WINDOWS\system32\Drivers\TTM57SLUsb.sys [2006-03-09 10:49] S3 USBNP4X4;M-Audio Audiophile USB Midi;C:\WINDOWS\system32\drivers\usbnp4x4.sys [] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2008-07-03 04:11:38 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-03 4:16:27 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-03 02:16:21 ComboFix2.txt 2008-07-03 01:40:26 9 Verzeichnis(se), 32,981,221,376 Bytes frei 11 Verzeichnis(se), 32,964,767,744 Bytes frei 337 --- E O F --- 2008-07-03 00:28:39 |
Bitte erstelle nun mit Malwarebytes ein Logfile und poste es wie beschrieben. |
Malwarebytes' Anti-Malware 1.19 Datenbank Version: 916 Windows 5.1.2600 Service Pack 2 05:17:52 03.07.2008 mbam-log-7-3-2008 (05-17-52).txt Scan Art: Schnell Scan Objekte gescannt: 39602 Scan Dauer: 4 minute(s), 3 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{b05e9f98-ccd5-4ba9-a5cc-d2cd9ff18e31} (Spyware.Sters) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\ntsvc.ocx (Spyware.Unknown) -> Quarantined and deleted successfully. |
Hab zuvor einen kompletten Scan ausgeführt und versehentlich vergessen die Log-Datei zu speichern. Im kompletten Scan hat er aber auch nur zwei Objekte gefunden. |
Es gibt in Malwarebytes die Option "Scan Berichte" dort findest Du alle vorhergehenden Berichte. Bitte lasse Malwarebytes aber noch mal im "Komplett Scan laufen". |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board