|
system alert, windows security alert und fremde antiviren programme hallo, jetzt nochmal mit einem eigenen fred:schmoll: rechner spielt total verrückt. es werden andauert system alert und windows security alert angezeigt. dann gibt es auch dieses schöne fenster in dem dann steht ich hätte irgendeinen wurm. hinzu kommen irgendwelche antivirenprogramme die auf meinem rechner gar nichts zu suhen haben, jedoch trotz löschens immer wieder auf den schirm kommen. ich weiß dass es dieses thema schon gibt, denn ich hatte es schon gefunden. habe dann jedoch die site gewechselt und es nicht mehr wiedergefunden:headbang: SORRY außerdem wollte ich fragen ob spybot search and destroy ein rouge programm ist. mein viren scan per antivir: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Montag, 3. März 2008 16:49 Es wird nach 1127934 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: ***** Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: *** Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 06.09.2007 08:46:21 AVSCAN.DLL : 7.0.6.0 57384 Bytes 06.09.2007 08:46:21 LUKE.DLL : 7.0.5.3 147496 Bytes 06.09.2007 08:46:22 LUKERES.DLL : 7.0.6.0 10792 Bytes 06.09.2007 08:46:22 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 07:04:27 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 09:21:51 ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 24.02.2008 07:59:17 ANTIVIR3.VDF : 7.0.2.209 103424 Bytes 28.02.2008 07:59:17 AVEWIN32.DLL : 7.6.0.67 3293696 Bytes 20.02.2008 09:02:10 AVWINLL.DLL : 1.0.0.7 14376 Bytes 19.04.2007 19:23:19 AVPREF.DLL : 7.0.2.2 25640 Bytes 06.09.2007 08:46:21 AVREP.DLL : 7.0.0.1 155688 Bytes 19.04.2007 19:23:21 AVPACK32.DLL : 7.6.0.3 360488 Bytes 23.01.2008 04:58:50 AVREG.DLL : 7.0.1.6 30760 Bytes 06.09.2007 08:46:21 AVARKT.DLL : 1.0.0.20 278568 Bytes 06.09.2007 08:46:18 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06.09.2007 08:46:18 NETNT.DLL : 7.0.0.0 7720 Bytes 19.04.2007 19:23:20 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 06.09.2007 08:46:12 RCTEXT.DLL : 7.0.62.0 90152 Bytes 06.09.2007 08:46:12 SQLITE3.DLL : 3.3.17.1 339968 Bytes 06.09.2007 08:46:24 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 3. März 2008 16:49 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hprblog.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alicecnn.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alicecnn.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TosBtHSP.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TosA2dp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TosBtMng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CapabilityManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Plauto.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '51' Prozesse mit '51' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '35' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HDLW1> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\kdmob.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <HDLW2> Beginne mit der Suche in 'E:\' <HDLW3> Ende des Suchlaufs: Montag, 3. März 2008 17:30 Benötigte Zeit: 41:18 min Der Suchlauf wurde vollständig durchgeführt. 6821 Verzeichnisse wurden überprüft 182620 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 182620 Dateien ohne Befall 1546 Archive wurden durchsucht 3 Warnungen 0 Hinweise sind die drei warnungen normal? würde mich total freuen, wenn mir da jemand mal helfn könnte, hab gar keinen plan. danke |
hallo jase, sbybot sd ist kein rogue programm, pagefile.sys und hiberfil.sys sind windows-systemdateien. lade dir bitte hier http://www.trendsecure.com/portal/en...HiJackThis.exe hijackthis herunter, nenne die HiJackThis.exe in abc.exe um, dann - do a system scan and save a logfile und dann poste das log hier. dann lade dir hier ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe blacklight herunter dann als admin : - i accept the agreement - next - scan und dann poste das log, das du im blacklight-ordner findest. dann versuche, die datei C:\WINDOWS\system32\kdmob.exe im abgesicherten modus(bevor das windows-logo kommt, f8 drücken) als admin in einen anderen ordner zu kopieren. von diesem anderen ordner die datei dann bitte bei VirusTotal - Kostenloser online Viren- und Malwarescanner überprüfen lassen und die komplette analyse hier posten. |
danke schon mal für die schnelle antwort:) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:13:32, on 04.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe C:\WINDOWS\ISW\alice\signup\alicecnn.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Dokumente und Einstellungen\Jasmin\Desktop\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1031 O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Programme\Super Codec\isaddon.dll (file missing) O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - C:\Programme\IntCodec\isaddon.dll (file missing) O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7A8F5B7A-A74F-495E-8A33-DF6226D2BAD8} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {B8C5186E-EC37-4889-9C2E-F73649FFB7BB} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing) O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing) O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Programme\IntCodec\iesplugin.dll (file missing) O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: enlfxgw - {19548442-F344-4F08-A1D3-26C3B696F790} - C:\WINDOWS\enlfxgw.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [NI.UWA6PU_0001_N91M2107] "C:\Dokumente und Einstellungen\Jasmin\Desktop\WinAntiVirusPro2006FreeInstall_de.exe" -nag O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKLM\..\Policies\Explorer\Run: [homepage.monitor.exe] C:\Programme\IntCodec\isamonitor.exe O4 - HKLM\..\Policies\Explorer\Run: [pmsngr.exe] C:\Programme\Super Codec\pmsngr.exe O4 - HKLM\..\Policies\Explorer\Run: [isamonitor.exe] C:\Programme\Super Codec\isamonitor.exe O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video ActiveX Access\iesmn.exe O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Programme\Video ActiveX Access\imsmain.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140103463606 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{781DED60-0950-4709-965B-40ACCBAAF220}: NameServer = 62.109.123.196 213.191.74.18 O17 - HKLM\System\CCS\Services\Tcpip\..\{8B0C0B04-9B25-4128-8232-61393DEA6642}: NameServer = 85.255.114.78,85.255.112.120 O17 - HKLM\System\CCS\Services\Tcpip\..\{8E805026-747D-4A39-AFF8-1A0252E6FB42}: NameServer = 85.255.114.78,85.255.112.120 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.120 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.120 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.120 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll (file missing) O21 - SSODL: apdqnxp - {151BA07E-7E96-4576-9207-14ECB099CF04} - C:\WINDOWS\apdqnxp.dll O21 - SSODL: btrklfr - {97B2BBCF-FE00-4B7E-B1FA-ECB6C45E716B} - C:\WINDOWS\btrklfr.dll O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file) O22 - SharedTaskScheduler: heterandrous - {735e980d-45d2-4777-af82-9923d3c8d3ae} - C:\WINDOWS\system32\kgkdbsk.dll (file missing) O22 - SharedTaskScheduler: auditioned - {44e670f2-d57b-4815-a576-955d17dbbf2d} - C:\WINDOWS\system32\eeuydc.dll (file missing) O22 - SharedTaskScheduler: discommodiousness - {33b8d257-07f6-4c06-8605-94bc21728635} - C:\WINDOWS\system32\onljweo.dll (file missing) O22 - SharedTaskScheduler: araca - {8068bf35-3711-4dce-a2f3-f008cecfe894} - C:\WINDOWS\system32\afzdbl.dll (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe O24 - Desktop Component 0: (no name) - file:///C:/Programme/CASIO/Photo%20Loader/Image%20Library/20020101/HTML/ICON/UNKNOWN.GIF -- End of file - 11198 bytes das mit black light hab ich auch gemacht, finde aber den ordner nicht...? sorry, hab halt wirklich keine ahnung von computern.:confused: vielleicht kannst du mir ja sagen was ich falsch mache. nach dem scan stand nur close. hab dann immer versucht irgendwo irgendwas zu finden, aber diese suche war erfolglos. schande auf mein haupt. die windows analyse werd ich später einschicken. muss schnell zur uni. tausend dank bis hierhin schonmal. |
Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen!) - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
Hallöle. Du hast dir einen Zlob eingefangen und surfst zusätzlich grade mit Umleitung über die Ukraine zu uns. Als erste folge mal bitte dieser Anleitung. Danach solltest du die DNS-Einträge entfernen die dich in die Ukraine führen: Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) -Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop. -installiere das Tool und achte darauf das "Run fixit" aktiviert ist. -klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!) -achte nun auf die Hinweise die gegeben werden {mfg an [Gc]Sunny} Fixe nun mit HijackThis folgende Einträge im Logfile (sofern vorhanden): Zitat:
Danach melde dich mit frischem HJT log sowie dem SmitfraudFix log (C:\rapport.txt). PS: Was ist das?: "C:/Programme/CASIO/Photo%20Loader/Image%20Library/20020101/HTML/ICON/UNK NOWN.GIF" [EDIT] Huch. :) Hi Bata. :party: |
mensch, ist ja der wahnsinn. ich glaub es hat funktioniert. zumindest ist erst mal alles weg:) danke!! danke!!! dankeshöööön!!!! du hast mir den tag gerettet undoreal! Danke auch an boston für die antwort;) SmitFraudFix v2.300 Scan done at 19:39:35,50, 06.03.2008 Run from C:\Dokumente und Einstellungen\Jasmin\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Jasmin »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Jasmin\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "system"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HJT Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
ach so: "C:/Programme/CASIO/Photo%20Loader/Image%20Library/20020101/HTML/ICON/UNK NOWN.GIF", ist irgendein zubehör für eine digicam. es lädt die fotos automatisch auf den rechner und öffnetsie zum angucken... aber hey, ich lege dafür nicht meine hand ins feuer.:) |
abgesehen vom veralteten java ist da noch was im argen: Zitat:
was ist mit der kdmob.exe? |
hey gua, hast du das jetzt für mich gemacht?? auf jeden fall ist die analyse von hjt jetzt weg. sorry, ih hatte verstanden ich solle es so machen:( hab halt keen plan... |
oh nein, hab ich was vergessen? sorry! was muss ih denn da machen? ich bin so ahnungslos, tut mir leid. |
Hallo Jase Du solltest nochmal das HJT-Log reinstellen aber vorher die aktiven Links entschärfen Also http:// in h**p:// und deine Realnamen mit **** ersetzen. Mach das mal noch. Das @boston einen Auszug aus deinem HJT-Log hat lag daran, das er schneller war als @GUA |
oh man, ich hoffe ich habe es jetzt richtig gemacht.:( ogfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:44:51, on 10.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\WINDOWS\ISW\alice\signup\alicecnn.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\WINDOWS\system32\svchost.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**ps://login.live.com/ppsecure/sha1auth.srf?lc=1031 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [NI.UWA6PU_0001_N91M2107] "C:\Dokumente und Einstellungen\Jasmin\Desktop\WinAntiVirusPro2006FreeInstall_de.exe" -nag O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140103463606 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{781DED60-0950-4709-965B-40ACCBAAF220}: NameServer = 62.109.123.196 213.191.74.18 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe -- End of file - 7056 bytes |
Hallo In deinem Log sehe ich einen Zeile Zitat:
Dann folge mal der Anleitung von @undoreal zum Entfernen von Zlob |
hey, ich war gerade mal bei kaspersky und wollte online checken lassen. diesen punkt hatte ich total überlesen. wollte ich auf jeden fall machen und geht nicht. bin auf onlinecheck und akzeptieren gegangn. aber es passiert nichts. der andere online virenscannr ist angesprungen, deshalb liegt es vielleicht am browser. allerdings weiß i net welche datei ich am besten durchsuchen lasse. sind ja doch übrall prsönliche infos oder pics drin. was soll ich denn jetzt machn? |
Liste der Anhänge anzeigen (Anzahl: 1) Zitat:
|
ok, also mit runtergefahrenen sicherheitseinstellungen geht es nicht. aber wie mache ich es, dass ich den test über den IE von windows mache. ich weiß nicht mal wo genau ich den explorer suchen muss:( hihi, ich sollte mich mehr mit meinem rechner beschäftigen:) kannst du mir das vielleicht erklären? |
Dann gehe mal auf Start, dann Programme, all anzeigen. Dort muss ja eigentlich der Internetexplorer sein. Ansonsten kannst du auch auf Windowsupdate gehen. Da wird ja auch der IExplore geöffnet. Dann gebe in der Adresszeile einfach http://www.kaspersky.com/de/virusscanner ein. bzw mit Kopy & Paste einfügen. |
gott bin ich blöd! |
danke für die hilfe. ich würde meinen rechner sonst aus dem fenster werfen. so! hier nun erst mal der fund von kaspersky auf meiner festplatte. wie bekomme ich das ding da denn weg? Name des infizierten Objekts Virusname Letzte Aktion C:\WINDOWS\$_hpcst$.hpc Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\fqspogw.exe Infizierte Objekte: not-a-virus:AdWare.Win32.Vapsup.byb übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\EventCache\{58372CD2-C450-492E-9510-132F38DF43F9}.bin Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen C:\DOKUME~1\****\LOKALE~1\Temp\hpodvd09.log Das Objekt ist gesperrt übersprungen C:\DOKUME~1\****\LOKALE~1\Temp\Perflib_Perfdata_568.dat Das Objekt ist gesperrt übersprungen C:\DOKUME~1\****\LOKALE~1\Temp\Perflib_Perfdata_b7c.dat Das Objekt ist gesperrt übersprungen C:\DOKUME~1\****\LOKALE~1\Temp\Perflib_Perfdata_b94.dat Das Objekt ist gesperrt übersprungen C:\DOKUME~1\****\LOKALE~1\Temp\Perflib_Perfdata_c14.dat Das Objekt ist gesperrt übersprungen |
Hallo Jase Hast du eigentlich schon den Smitfraudfix im abgesicherten Modus gemacht? Ich hab bis jetzt noch kein Log gesehen. |
eigentlich schon. hatte es auch reingestellt. aber ich mah es nochmal. kann sein, dass es das war was undoreal gelöscht hatte, weil ich private daten drin hatte. |
Hallo jase. Ich klinke mich and dieser Stelle mal wieder ein. Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf dieLupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. Danach beschreibe bitte ganz genau welche Anomalien der PC noch zeigt. |
mh? bei mir geht da ne ganz andere seite auf. da steht nur the avangar. input script here und wenn ich das versuche sagt er mir das es nicht geht. |
Dann benutze bitte Killbox. |
das hat super funktioniert und das ding ist ausgeschaltet. aber ich habe da noch ein problem. ich wollte diese mega datei, von der ich schon geschrieben habe, einfach reinstellen, wegen der sieben viren die dort gefunden wurden, aber die seite stürtzt immer wieder ab. hab jetzt mal die entsprechenden rausgesucht, es sind auch viele gesperrte dateien. nach kaspersky sind auch nich alles viren, aber ich geh jetzt mal sicher. C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe Infizierte Objekte: not-a-virus:Downloader.Win32.WinFixer.l übersprungen C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe Infizierte Objekte: not-a-virus:Downloader.Win32.WinFixer.l übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP357\A0081978.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP357\A0081978.exe RarSFX: infiziert - 2 übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP357\A0081978.exe RarSFX: infiziert - 2 übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP357\A0081978.exe PE_Patch.UPX: infiziert - 2 übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP366\A0084263.exe Infizierte Objekte: not-a-virus:FraudTool.Win32.VirusProtectPro.c übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP367\A0084410.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Vapsup.bxy übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP367\A0084411.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Vapsup.bxz übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP367\A0084412.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Vapsup.bxw übersprungen C:\WINDOWS\fqspogw.exe Infizierte Objekte: not-a-virus:AdWare.Win32.Vapsup.byb übersprungen |
1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. 2) Lösche mit Killbox folgende Datei: C:\WINDOWS\fqspogw.exe und folgenden Ordner: C:\Programme\Gemeinsame Dateien\DriveCleaner Free 3) Danach würde ich das System mit SuperAntiSpyware scannen. |
killbox sagt mir immer C:\WINDOWS\fqspogw.exe existiert scheinbar nicht. ??? wie geht denn das?? sorry. und danke für die viele hilfe:) |
ok!, scheint nicht so wichtig zu sein. hab nochmal den rest reingestellt. wenn ihr nochmal zeit findet würde ich mich freuen. C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe Infizierte Objekte: not-a-virus:Downloader.Win32.WinFixer.l übersprungen (den hatte ich ja glaube ich gelöscht) C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe Infizierte Objekte: not-a-virus:Downloader.Win32.WinFixer.l übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP357\A0081978.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP357\A0081978.exe RarSFX: infiziert - 2 übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP357\A0081978.exe RarSFX: infiziert - 2 übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP357\A0081978.exe PE_Patch.UPX: infiziert - 2 übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP366\A0084263.exe Infizierte Objekte: not-a-virus:FraudTool.Win32.VirusProtectPro.c übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP367\A0084410.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Vapsup.bxy übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP367\A0084411.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Vapsup.bxz übersprungen C:\System Volume Information\_restore{EBA1E1EA-8CE8-403A-8903-25B5564ECF2F}\RP367\A0084412.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Vapsup.bxw übersprungen C:\WINDOWS\fqspogw.exe Infizierte Objekte: not-a-virus:AdWare.Win32.Vapsup.byb übersprungen |
Hallo Jase Wenn du die Systemwiederherstellung deaktivierst, dann sind die Einträge mit C:\System Volume Information\ verschwunden. Dieses sind nämlich die Reste eines, einmal vorhandenen Schädlings. Mach das mal, wie es @undoreal beschrieben hat. |
alles klar. :) hab es die ganz zeit nicht so richtig gerafft wo ich hin muss und wie genau das geht. aber jetzt habe ich es. ich danke gaaaanz mega heftig doll. glg jase |
hi ich bin es wieder. kann man die bösen sites sperren? das wäre wirklich total wichtig, denn ich wohne mit jemandem zusammen, der es nicht lassen kann auf diverse seiten zu gehen, die mir den computer verseuchen. hilfe!!!! ich habe auch schon wieder ein ähnliches problem mit meinem rechner nur sind es andere namn und ich weiß nicht was ich löschen soll. kann ich noch mal was reinstellen?? ich danke für eure hilfe:) |
:rolleyes: Poste bitte ein Hijackthis log. |
so, hier ist der logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:28:19, on 25.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe C:\WINDOWS\ISW\alice\signup\AliceCnn.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**ps://login.live.com/ppsecure/sha1auth.srf?lc=1031 O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: gktxaspm - {6E90A503-DDFD-4CC5-9628-0391A05E7212} - C:\WINDOWS\gktxaspm.dll O3 - Toolbar: gktxaspm - {0983040A-984F-4BEF-BEBE-D3D3342D3954} - C:\WINDOWS\gktxaspm.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [NI.UWA6PU_0001_N91M2107] "C:\Dokumente und Einstellungen\***\Desktop\WinAntiVirusPro2006FreeInstall_de.exe" -nag O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ecf9f935] rundll32.exe "C:\WINDOWS\system32\gqobgbji.dll",b O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140103463606 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{781DED60-0950-4709-965B-40ACCBAAF220}: NameServer = 213.191.92.87 62.109.123.6 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: gnowmebk - {DBD66189-156E-488C-88AB-093E3B0ACADD} - (no file) O21 - SSODL: pxgdslro - {9FA62446-974D-4359-B22C-58AFDC7CDCA8} - (no file) O21 - SSODL: vregfwlx - {E8947B6A-442F-46E2-A478-E6698E166E6A} - C:\WINDOWS\vregfwlx.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe -- End of file - 7638 bytes ich werde auf jeden fall in den sommerferien den computer neu aufsetzen, aber das ist leider erst im august. danke schon mal für die hilfe. ihr seid nur geil* |
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
da hab ich jetzt ein proble, denn ich komm nicht mehr an meine systemstreuerung...jedenfalls nicht auf dem üblichen weg!? und suchen kann ich auch nicht mehr. mein arbeitsplatz ist auch weg:( hilfe, was mach ich denn nun?? |
Bekommst du CF nicht zum Laufen? Wo ist das Problem? Das sollte auch ohne Systemsteuerung gehen oder? |
das problem ist, dass ich einfach zu blöd bin;) alles im grünen bereich...tut mir leid, brauche derzeit etwas länger:) |
so bin wieder da und hier nun das combofix resultat. seit ich combofix benutzt habe ist übrigens meine taskleiste wieder da;) nur das ständig ein kästchen aufgeht, in dem steht: fehler beim laden von internet explorer SETUPAPI.dll das angegebene modul konnte nicht gefunden werden. das geht etwa alle 30 sec auf:( hier erstmal der combocheck ComboFix 08-07-03.3 - *** 2008-07-04 11:18:43.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.627 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\Internet Explorer\setupapi.dll C:\WINDOWS\edma.exe C:\WINDOWS\edwf.exe C:\WINDOWS\epse.exe C:\WINDOWS\system32\aolspixw.ini C:\WINDOWS\system32\efhwcrmg.ini C:\WINDOWS\system32\fhuuoief.ini C:\WINDOWS\system32\hwnlatoh.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\njtenmbu.ini C:\WINDOWS\system32\opnnoopO.dll C:\WINDOWS\system32\Opoonnpo.ini C:\WINDOWS\system32\Opoonnpo.ini2 C:\WINDOWS\system32\psgcnfkv.ini C:\WINDOWS\system32\qjsufmdx.ini C:\WINDOWS\system32\rbadrapu.ini C:\WINDOWS\system32\rqRKBusT.dll C:\WINDOWS\system32\upardabr.dll C:\WINDOWS\system32\vltpenha.ini C:\WINDOWS\system32\ykfmbtjg.ini E:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-06-04 bis 2008-07-04 )))))))))))))))))))))))))))))) . 2008-07-02 20:45 . 2008-07-02 20:45 91,520 --a------ C:\WINDOWS\system32\ubmnetjn.dll 2008-07-02 20:12 . 2008-07-02 20:12 11,776 --a------ C:\WINDOWS\system32\78.dat 2008-07-02 20:12 . 2008-07-02 20:12 6,656 --a------ C:\WINDOWS\system32\762.dat 2008-07-02 20:12 . 2008-07-02 20:12 139 --a------ C:\WINDOWS\system32\4.dat 2008-07-02 19:22 . 2008-07-02 19:22 91,520 --a------ C:\WINDOWS\system32\gmrcwhfe.dll 2008-07-01 09:23 . 2008-07-02 08:19 714 ---hs---- C:\WINDOWS\system32\xuaexmdy.ini 2008-06-30 08:53 . 2008-07-01 09:22 474 ---hs---- C:\WINDOWS\system32\lwbiblvd.ini 2008-06-29 05:25 . 2008-06-29 05:25 294 ---hs---- C:\WINDOWS\system32\lungiscf.ini 2008-06-29 05:24 . 2008-06-29 05:24 93,056 --a------ C:\WINDOWS\system32\fcsignul.dll 2008-06-27 21:51 . 2008-06-27 21:51 91,520 --a------ C:\WINDOWS\system32\xdmfusjq.dll 2008-06-22 00:29 . 2008-06-22 00:29 294 ---hs---- C:\WINDOWS\system32\lrqwofck.ini 2008-06-22 00:28 . 2008-06-22 00:28 93,056 --a------ C:\WINDOWS\system32\kcfowqrl.dll 2008-06-15 19:52 . 2008-06-15 19:52 93,056 --a------ C:\WINDOWS\system32\gjtbmfky.dll 2008-06-05 16:27 . 2008-06-05 16:27 95,232 --a------ C:\WINDOWS\system32\hotalnwh.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-05 07:51 --------- d-----w C:\Programme\Microsoft ActiveSync 2008-05-23 02:25 81,920 ----a-w C:\WINDOWS\mdtgkswr.exe 2004-03-11 11:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-29_17.31.12.20 ))))))))))))))))))))))))))))))))))))))))) . + 2008-02-26 11:49:00 297,984 ----a-w C:\WINDOWS\$hf_mig$\KB932823-v3\SP2QFE\msctf.dll + 2007-03-06 01:14:12 15,584 ----a-w C:\WINDOWS\$hf_mig$\KB932823-v3\spmsg.dll + 2007-03-06 01:14:17 217,312 ----a-w C:\WINDOWS\$hf_mig$\KB932823-v3\spuninst.exe + 2007-03-06 01:14:11 22,752 ----a-w C:\WINDOWS\$hf_mig$\KB932823-v3\update\spcustom.dll + 2007-03-06 01:14:35 725,728 ----a-w C:\WINDOWS\$hf_mig$\KB932823-v3\update\update.exe + 2007-03-06 01:15:25 377,568 ----a-w C:\WINDOWS\$hf_mig$\KB932823-v3\update\updspapi.dll + 2004-08-04 12:00:00 294,400 -c----w C:\WINDOWS\$NtUninstallKB932823-v3$\msctf.dll + 2007-03-06 01:14:17 217,312 -c----w C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\spuninst.exe + 2007-03-06 01:15:25 377,568 -c----w C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\updspapi.dll - 2006-05-26 11:04:52 64,088 ----a-w C:\WINDOWS\assembly\GAC\Microsoft.Vbe.Interop\11.0.0.0__71e9bce111e9429c\Microsoft.Vbe.Interop.dll + 2008-06-05 07:50:33 66,936 ----a-w C:\WINDOWS\assembly\GAC\Microsoft.Vbe.Interop\11.0.0.0__71e9bce111e9429c\Microsoft.Vbe.Interop.dll - 2006-05-26 11:04:49 223,800 ----a-w C:\WINDOWS\assembly\GAC\office\11.0.0.0__71e9bce111e9429c\OFFICE.DLL + 2008-06-05 07:50:28 226,656 ----a-w C:\WINDOWS\assembly\GAC\office\11.0.0.0__71e9bce111e9429c\OFFICE.DLL - 2008-05-29 15:23:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-07-04 09:25:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2003-07-14 20:57:34 38,968 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\AUTHZAX.DLL + 2003-07-14 20:53:06 94,768 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\AW.DLL + 2003-07-14 20:56:54 14,904 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\DSITF.DLL + 2003-07-14 20:57:14 98,360 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\DSSM.EXE + 2003-07-14 20:41:44 13,368 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\FINDER.EXE + 2003-07-14 20:40:12 179,768 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\FPERSON.DLL + 2003-06-18 15:31:10 252,928 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MDIINK.DLL + 2003-07-14 20:51:44 87,104 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSENCODE.DLL + 2003-07-14 20:52:52 17,464 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSMH.DLL + 2003-07-14 20:57:16 120,888 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSOAUTH.DLL + 2003-07-14 20:52:52 27,704 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSODCW.DLL + 2003-07-14 20:52:56 55,360 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSOHTMED.EXE + 2003-07-11 00:15:48 1,292,872 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSONSEXT.DLL + 2003-07-15 01:18:52 376,888 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSORUN.DLL + 2003-07-14 20:52:54 28,224 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSOSTYLE.DLL + 2003-07-14 20:52:52 35,896 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSOSV.DLL + 2003-07-14 20:53:20 39,488 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSOSVFBR.DLL + 2003-07-14 20:46:16 42,040 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSOXEV.DLL + 2003-07-14 20:45:12 55,360 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSOXMLED.EXE + 2003-07-14 20:45:12 39,488 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSOXMLMF.DLL + 2003-06-18 15:31:50 16,384 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSPGIMME.DLL + 2003-06-19 14:05:50 364,648 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSPVIEW.EXE + 2003-07-14 20:52:58 41,528 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSSH.DLL + 2003-07-14 21:00:54 145,984 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\MSWEBCAP.DLL + 2003-07-14 20:57:10 56,888 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\NAME.DLL + 2003-07-14 20:56:52 13,888 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\NPOFFICE.DLL + 2006-05-26 11:04:49 223,800 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\OFFICE.DLL + 2003-07-15 01:14:26 242,240 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\OISGRAPH.DLL + 2003-07-14 21:05:24 1,054,264 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\OMFC.DLL + 2003-07-14 20:44:34 102,968 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\OUTLCTL.DLL + 2003-07-14 20:43:16 49,208 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\OUTLWAB.DLL + 2003-07-15 01:18:44 93,752 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\PP7X32.DLL + 2003-05-08 19:54:00 77,824 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\REFEDIT.DLL + 2003-07-14 20:57:08 40,512 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\REFIEBAR.DLL + 2003-07-21 09:46:38 390,712 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\RTFHTML.DLL + 2003-07-14 20:44:16 66,616 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\SENDTO.DLL + 2003-07-14 20:57:08 58,944 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\SEQCHK10.DLL + 2003-07-14 20:53:14 11,848 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\SMARTTAGINSTALL.EXE + 2006-05-26 11:04:52 64,088 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.5614\VBIDEPIA.DLL + 2005-05-03 22:06:28 465,640 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.8173\MSDMENG.DLL + 2005-05-03 22:06:32 1,411,816 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.8173\MSDMINE.DLL + 2005-05-03 22:06:26 199,408 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.8173\MSMDUN80.DLL - 2008-05-14 19:20:57 12,288 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\cagicon.exe + 2008-06-05 07:51:05 12,288 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\cagicon.exe - 2008-05-14 19:20:57 135,168 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\misc.exe + 2008-06-05 07:51:05 135,168 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\misc.exe - 2008-05-14 19:20:57 11,264 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\mspicons.exe + 2008-06-05 07:51:05 11,264 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\mspicons.exe - 2008-05-14 19:20:57 27,136 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\oisicon.exe + 2008-06-05 07:51:05 27,136 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\oisicon.exe - 2008-05-14 19:20:57 4,096 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\opwicon.exe + 2008-06-05 07:51:05 4,096 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\opwicon.exe - 2008-05-14 19:20:57 794,624 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\outicon.exe + 2008-06-05 07:51:05 794,624 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\outicon.exe - 2008-05-14 19:20:57 249,856 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\pptico.exe + 2008-06-05 07:51:05 249,856 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\pptico.exe - 2008-05-14 19:20:57 23,040 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\unbndico.exe + 2008-06-05 07:51:05 23,040 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\unbndico.exe - 2008-05-14 19:20:57 286,720 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\wordicon.exe + 2008-06-05 07:51:04 286,720 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\wordicon.exe - 2008-05-14 19:20:57 409,600 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\xlicons.exe + 2008-06-05 07:51:04 409,600 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\xlicons.exe - 2000-08-31 06:00:00 28,160 ----a-w C:\WINDOWS\Nircmd.exe + 2000-08-31 06:00:00 28,672 ----a-w C:\WINDOWS\Nircmd.exe - 2004-08-04 12:00:00 294,400 -c--a-w C:\WINDOWS\system32\dllcache\msctf.dll + 2008-02-26 11:59:49 294,912 -c--a-w C:\WINDOWS\system32\dllcache\msctf.dll - 2005-03-17 12:39:58 1,146,320 ----a-w C:\WINDOWS\system32\FM20.DLL + 2007-06-06 08:53:34 1,195,888 ----a-w C:\WINDOWS\system32\FM20.DLL - 2003-07-23 20:39:58 36,680 ----a-w C:\WINDOWS\system32\FM20DEU.DLL + 2007-04-12 08:05:12 48,864 ----a-w C:\WINDOWS\system32\FM20DEU.DLL + 2007-03-22 17:17:04 35,440 ----a-w C:\WINDOWS\system32\FM20ENU.DLL - 2008-04-09 17:11:26 126,912 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT + 2008-06-05 14:13:06 126,912 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT - 2004-03-22 13:17:06 24,816 ----a-w C:\WINDOWS\system32\mdimon.dll + 2007-04-09 11:23:54 28,040 ----a-w C:\WINDOWS\system32\mdimon.dll - 2004-08-04 12:00:00 294,400 ----a-w C:\WINDOWS\system32\MSCTF.dll + 2008-02-26 11:59:49 294,912 ----a-w C:\WINDOWS\system32\msctf.dll - 2004-03-22 13:17:04 765,680 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\mdigraph.dll + 2007-04-09 11:24:04 758,664 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\mdigraph.dll - 2004-03-22 13:17:10 42,224 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\mdiui.dll + 2007-04-09 11:23:58 46,472 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\mdiui.dll - 2004-03-22 13:17:04 765,680 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\mdigraph.dll + 2007-04-09 11:24:04 758,664 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\mdigraph.dll - 2004-03-22 13:17:10 42,224 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\mdiui.dll + 2007-04-09 11:23:58 46,472 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\mdiui.dll - 2004-03-22 13:17:08 25,840 ----a-w C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll + 2007-04-09 11:23:54 28,552 ----a-w C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll . -- Snapshot reset to current date -- . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 13:55 5674352] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 13:27 405583] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-24 23:11 262401] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43 45056] "RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-10-31 19:42 32768] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-21 08:42 185896] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "HP Software Update"=C:\Programme\HP\HP Software Update\HPWuSchd2.exe "NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR3\\sandra.exe"= "C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR3\\RpcSandraSrv.exe"= "C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR3\\RpcDataSrv.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"= "C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"= "C:\\WINDOWS\\system32\\mmc.exe"= "C:\\WINDOWS\\system32\\usmt\\migwiz.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"= "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-24 23:11] R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-06-23 18:16] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-24 23:11] R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-06-23 18:16] S3 k600bus;Sony Ericsson 600i driver (WDM);C:\WINDOWS\system32\DRIVERS\k600bus.sys [2005-05-11 13:12] S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k600mdfl.sys [2005-05-11 13:12] S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;C:\WINDOWS\system32\DRIVERS\k600mdm.sys [2005-05-11 13:12] S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;C:\WINDOWS\system32\DRIVERS\k600mgmt.sys [2005-05-11 13:12] S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;C:\WINDOWS\system32\DRIVERS\k600obex.sys [2005-05-11 13:12] S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51] S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51] S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51] S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51] S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51] . - - - - ORPHANS REMOVED - - - - Toolbar-{6E90A503-DDFD-4CC5-9628-0391A05E7212} - C:\WINDOWS\gktxaspm.dll Toolbar-{0983040A-984F-4BEF-BEBE-D3D3342D3954} - C:\WINDOWS\gktxaspm.dll Toolbar-{C48F0939-992C-45C8-A9C2-B97A22D9B4BD} - C:\WINDOWS\atfxqogp.dll HKLM-Run-ecf9f935 - C:\WINDOWS\system32\upardabr.dll SSODL-gnowmebk-{DBD66189-156E-488C-88AB-093E3B0ACADD} - (no file) SSODL-pxgdslro-{9FA62446-974D-4359-B22C-58AFDC7CDCA8} - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://***.gmer.net Rootkit scan 2008-07-04 11:26:39 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe C:\Programme\HP\Digital Imaging\bin\hpqste08.exe C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-04 11:34:34 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-04 09:34:30 ComboFix2.txt 2008-05-29 15:33:02 9 Verzeichnis(se), 1,040,592,896 Bytes frei 11 Verzeichnis(se), 1,186,172,928 Bytes frei 268 --- E O F --- 2008-06-05 07:51:36 so ich hoffe ich habe alle h**ps und namen gefunden:). jetzt gehts ans killen:D die liebsten grüße und schon mal 1000 dank... |
Systemanalyse
|
so hab ich gemacht. :) |
und wo ist das log? :lach: |
ups! [url=http://rhttp://www.trojaner-board.de/images/smilies/lach.gif sorry!!! |
|
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: Files to delete:
Führe danach dieses Skript unter AVZ->File->Custom Skripts aus: Code: begin |
gut, dann hier erst mal das logfile... Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\ubmnetjn.dll" deleted successfully. File "C:\WINDOWS\system32\78.dat" deleted successfully. File "C:\WINDOWS\system32\762.dat" deleted successfully. File "C:\WINDOWS\system32\4.dat" deleted successfully. File "C:\WINDOWS\system32\gmrcwhfe.dll" deleted successfully. File "C:\WINDOWS\system32\xuaexmdy.ini" deleted successfully. File "C:\WINDOWS\system32\lwbiblvd.ini" deleted successfully. File "C:\WINDOWS\system32\lungiscf.ini" deleted successfully. File "C:\WINDOWS\system32\fcsignul.dll" deleted successfully. File "C:\WINDOWS\system32\xdmfusjq.dll" deleted successfully. File "C:\WINDOWS\system32\lrqwofck.ini" deleted successfully. File "C:\WINDOWS\system32\kcfowqrl.dll" deleted successfully. File "C:\WINDOWS\system32\gjtbmfky.dll" deleted successfully. File "C:\WINDOWS\system32\hotalnwh.dll" deleted successfully. File "C:\WINDOWS\mdtgkswr.exe" deleted successfully. File "C:\Programme\Uninstall_CDS.exe" deleted successfully. File "C:\WINDOWS\bootstat.dat" deleted successfully. Error: file "C:\WINDOWS\bootstat.dat" not found! Deletion of file "C:\WINDOWS\bootstat.dat" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\Nircmd.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. danke für die schnelle antwort:) |
bei part zwei sagt mir der schlingel, script executed without errors. aber ich hab immer noch das SETUPAPI.DLL problem:( und hinzu kommt, dass ich die audios im netz nicht hören kann, aber sonst mein soundsystem gut funktioniert. |
so jetzt gerade ist kein SETUPAPI.DLL fenster, aber der ton im netz fehlt...ich bin total verwirrt;p |
Zitat:
Was für ein Setuapi Problem? |
haha, das ist das fenster das immer aufgegangen ist.hatte ich dir am 04.07.08 geschrieben. und das mit dem kein ton im netz ist erst seit dem 05.07.08. also noch ganz frisch. in den ferien werde ich mich wohl nochmal mit der anleitung zum neuaufsetzen beschäftigen:) lg jase |
ich schätze mal der virus hat mir irgendetwas verstellt und deshalb habe ich keinen ton, aber ich weiß nicht wo ich gucken soll. bitte gib mir doch mal einen tipp:) |
Systemsteuerung->Sounds und Audio Geräte. Auch den Audio Treiber neuinstallieren könnte helfen. |
guten abend an alle! ich hatte vor 2 tagen ca. das gleiche problem wie von jase oben beschrieben wurde (es werden andauernd system alert und windows security alert angezeigt. dann gibt es auch dieses schöne fenster in dem dann steht ich hätte irgendeinen wurm.) durch dieses forum habe ich es geschafft die meldungen und bösartigen dateien zu entfernen. allerdings bezweifel ich stark das das alles war, denn seit dem kann ich mein kaspersky nicht mehr öffnen und es wird auch nicht in der leiste unten rechts angezeigt wie sonst immer. habe dann kaspersky deinstalliert und eine aktuellere version aufgespielt (kav10). auch die lässt sich nicht öffnen. dann habe ich antivir installiert...auch antivir lässt sich nicht öffnen! (aber immerhin kann ich c: über rechtsklick mit antivir überprüfen lassen...antivir findet aber nichts ungewöhnliches)...auch das programm Malwarebytes' Anti-Malware lässt sich zwar installieren aber nicht öffnen. habe dann noch versucht auf einen früheren wiederherstellungspunkt zu setzen, aber auch da passiert gar nichts...solangsam verzweifel ich und glaube das sich da was fettes auf meinem laptop breit gemacht hat..habe übrigens win xp; sp3 ich hoffe wirklich sehr das mir jemand helfen kann! für die mühe sage ich schonmal vielen dank im vorraus! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board