|
Trojaner Problem "Net-pumper" Hallo liebes Trojaner Board! Habe ein kleines Problem mit einem Trojaner denke ich mal, bin beim downloaden leider so nachsichtig gewesen und habe mir das angebliche DL-Programm "NET PUMPER" gezogen was aber laut Google Suche ein fieser Trojaner ist. :headbang: Habe vor ein paar Tagen hier im Forum schon mal einen Thread gelesen von einem jungen Mann der dasselbe Problem hatte. Hoffe ihr könnt mir da weiterhelfen! :heulen: So ich lade jetzt mal meine HiJack This Logfile hoch und hoffe es ist alles richtig: ***************************************************** ***************************************************** Logfile of HijackThis v1.99.1 Scan saved at 17:27:45, on 10.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\csrss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe E:\Programme\AntiVir PersonalEdition Classic\sched.exe E:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe E:\WINDOWS\ATKKBService.exe E:\Programme\FRITZ!DSL\IGDCTRL.EXE E:\WINDOWS\system32\nvsvc32.exe E:\Programme\Spyware Doctor\pctsAuxs.exe E:\Programme\Spyware Doctor\pctsSvc.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\System32\wdfmgr.exe E:\WINDOWS\System32\alg.exe E:\WINDOWS\Explorer.EXE E:\Programme\Spyware Doctor\pctsTray.exe E:\WINDOWS\system32\WgaTray.exe E:\Programme\ASUS\Ai Booster\OverClk.exe E:\WINDOWS\Logi_MwX.Exe E:\Programme\Saitek\Software\Profiler.exe E:\Programme\Saitek\Software\SaiSmart.exe E:\Programme\Saitek\Software\SaiMfd.exe E:\Programme\Java\jre1.6.0_03\bin\jusched.exe E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe E:\WINDOWS\system32\RUNDLL32.EXE E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\ICQ6\ICQ.exe E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe E:\Programme\Internet Explorer\iexplore.exe E:\Programme\Internet Explorer\iexplore.exe E:\WINDOWS\system32\wscntfy.exe E:\WINDOWS\system32\wuauclt.exe E:\Programme\Steam\Steam.exe E:\Programme\Internet Explorer\iexplore.exe E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe E:\Programme\Mozilla Firefox\firefox.exe E:\Programme\AntiVir PersonalEdition Classic\avnotify.exe E:\Programme\Windows NT\Zubehör\wordpad.exe E:\Dokumente und Einstellungen\***\Desktop\System Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [NVIDIA nTune] "E:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear O4 - HKLM\..\Run: [Launch Ai Booster] "E:\Programme\ASUS\Ai Booster\OverClk.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Profiler] E:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [SaiSmart] E:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [SaiMfd] E:\Programme\Saitek\Software\SaiMfd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ISTray] "E:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LDM] E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [SPAM DEFY] E:\DOKUME~1\***\ANWEND~1\FACEFA~1\REGSMEMO.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\WINDOWS\System32\shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153072889375 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - E:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - E:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - E:\WINDOWS\ATKKBService.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - E:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Programme\Spyware Doctor\pctsSvc.exe ***************************************************** ***************************************************** Denke mal ihr könnt damit mehr anfangen als ich :P BTW: Bin nich so der Computer Pro, also die Erklärungen zur Fehlerbeseitigung bitte etwas ausführlicher für Noobies wenns recht is... Thx, greetz Ferrum |
Wow also ich denke das ist hier ein Forum zur Fehlerhilfe für Leute die sich nich immer selbst aus der Patsche ziehen können. :confused: Aber ich habe wirklich verdammte scheiß probleme mit dem Trojaner!!! Also wäre es nett wenn sich jmd erbarmen könnte und mir eventuell helfen... :aplaus: Ich warte solange... :heilig: |
Hallo Zitat:
Es kann schon mal passieren, dass ein Beitrag durchrutscht, da hilft meist ein "push". Mach zuerst bitte alle versteckten Dateien und Ordner sichtbar. Dann arbeite diese Anleitung ab http://www.trojaner-board.de/28388-a...ntfernung.html relevanter Eintrag für dich ist Zitat:
MFG |
Okay Habe alles so ausgeführt wie es da stand... Erstmal danke das ihr mir sone gute Hilfestellung mit Anleitung gebt!!! :daumenhoc JEtzt zu meinen Problemen: ---------------> ---------------> 1. als ich mich im abgesicherten Modus befand, habe ich die Datei "FACEFA" gelöscht, also den kompletten Ordner! Als ich dann jedoch mit Hijackthis gescannt habe fand ich keinerlei Eintrag mehr von wegen "E:\Dok.u.Einstell.\*****\Amwend.\FACEFA~" Tut mir Leid aber habe das gesamte Logfile durchgescrollt - nichts zu finden! Habe es sogar abgespeichert, werde es anhängen! =) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2. Eine sogenannte ".job"-Datei mit zusammengewürfeltem Namen aus 16 Zahlen/Buchstaben bestehend, fand ich im Ordner "C:\Windows\tasks\" leider ebenso nicht... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 3. Nachdem ich meine temporären Dateien gelöscht habe und auch die systemwiederherstellung deaktiviert, habe ich nun im NORMALEN (nicht abgesicherten!!!) Modus mein Windows XP neu gestartet. --> Sys. Wdhstellung wieder aktiviert und dann mit dem "Panda-Onlinescanner" im Microsoft Internet Expl. scannen lassen wollen, nachdem ich ein Active X STeuerelement installiert hab, kam allerdings nach der Installation und während des scans eine Warnung von Antivir darüber das eine Datei die von dieser Panda-Seite kopiert werden sollte befallen ist. Irgendein Virus oder so... :koch: --> Hijackthis als "ABC.exe" durchscannen lassen, und er hat die folgende Datei wieder gefunden: "O4 - HKCU\..\Run: [SPAM DEFY] E:\DOKUME~1\***\ANWEND~1\FACEFA~1\REGSMEMO.exe" :pfui: Ich weiß nicht was ich jetzt noch machen sollte, S.O.S. please help me!!! :confused: |
Hallo Zitat:
Ich hatte vergessen dich über eine eventuelle Falschmeldung zu informieren, kann leider vorkommen:heilig: Zitat:
Lass bitte Combofix über dein System laufen ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen -Der Durchlauf kann einige Zeit dauern -Während des Durchlaufes nichts am Rechner machen und halte alle anderen Programme geschlossen -kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! MFG |
Hallo! habe auch combofix scannen lassen! Habe leider schon im Vorfeld entdeckt das die Datei "REGSMEMO.exe" und "FACEFA" leider trotzdem gefunden wurden... Hier das Ergebnis-Logfile: ComboFix 08-03-14.4 - *** 2008-03-17 21:04:45.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.682 [GMT 1:00] ausgeführt von:: E:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . E:\Programme\myglobalsearch E:\Programme\myglobalsearch\bar\History\search . ((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 )))))))))))))))))))))))))))))) . 2008-03-15 16:07 . 2008-03-15 16:08 <DIR> d-------- E:\WINDOWS\system32\ActiveScan 2008-03-15 16:07 . 2008-03-15 16:07 30,590 --a------ E:\WINDOWS\system32\pavas.ico 2008-03-15 16:07 . 2008-03-15 16:07 1,406 --a------ E:\WINDOWS\system32\Help.ico 2008-03-05 18:33 . 2008-03-05 18:35 <DIR> d-------- E:\WINDOWS\Internet Logs 2008-03-05 18:33 . 2008-03-05 18:33 <DIR> d-------- E:\Programme\Zone Labs 2008-03-05 17:14 . 2008-03-05 17:34 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-03-05 17:14 . 2008-03-05 17:14 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp 2008-03-05 16:35 . 2006-05-16 18:52 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-03-05 16:35 . 2006-05-16 19:47 <DIR> dr------- E:\Dokumente und Einstellungen\Administrator\Startmenü 2008-03-05 16:35 . 2006-05-16 19:47 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-03-05 16:35 . 2008-03-05 17:35 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-03-05 16:35 . 2006-05-16 19:47 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Favoriten 2008-03-05 16:35 . 2006-05-16 19:47 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-03-05 16:35 . 2008-03-05 17:47 <DIR> dr-h----- E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-03-05 16:30 . 2008-03-05 16:30 2,560 --a------ E:\WINDOWS\_MSRSTRT.EXE 2008-03-05 15:49 . 2008-03-17 20:38 <DIR> d-a------ E:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP 2008-03-05 15:48 . 2008-03-17 14:11 <DIR> d-------- E:\Programme\Spyware Doctor 2008-03-05 15:48 . 2008-03-05 15:48 <DIR> d-------- E:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Tools 2008-03-05 15:48 . 2007-12-10 14:53 81,288 --a------ E:\WINDOWS\system32\drivers\iksyssec.sys 2008-03-05 15:48 . 2007-12-10 14:53 66,952 --a------ E:\WINDOWS\system32\drivers\iksysflt.sys 2008-03-05 15:48 . 2008-02-01 12:55 42,376 --a------ E:\WINDOWS\system32\drivers\ikfilesec.sys 2008-03-05 15:48 . 2007-12-10 14:53 29,576 --a------ E:\WINDOWS\system32\drivers\kcom.sys 2008-03-05 14:35 . 2008-03-05 14:35 <DIR> d-------- E:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Jump Poll Poke Mp3 2008-03-04 14:44 . 2008-03-04 14:44 <DIR> d-------- E:\Programme\Paint.NET 2008-03-04 02:26 . 2008-03-04 02:30 <DIR> d-------- E:\Programme\GWV 2008-02-28 22:32 . 2008-03-15 12:26 <DIR> d-------- E:\Programme\ICQToolbar 2008-02-28 22:31 . 2008-02-28 22:34 <DIR> d-------- E:\Programme\ICQ6 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-17 19:32 --------- d-----w E:\Programme\Steam 2008-03-14 21:17 --------- d-----w E:\Programme\GUILD WARS 2008-03-08 02:11 98,304 ----a-w E:\WINDOWS\system32\CmdLineExt.dll 2008-03-05 15:34 --------- d-----w E:\Programme\FlashGet 2008-03-05 15:12 --------- d-----w E:\Dokumente und Einstellungen\***\Anwendungsdaten\IrfanView 2008-02-19 16:43 --------- d-----w E:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss 2008-02-09 12:52 --------- d-----w E:\Programme\Java 2008-01-31 20:52 --------- d-----w E:\Programme\DATA BECKER 2008-01-29 20:19 --------- d-----w E:\Programme\Apple Software Update 2008-01-29 19:39 --------- d-----w E:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire 2008-01-25 20:56 --------- d-s---w E:\Programme\Xfire 2008-01-22 01:25 --------- d-----w E:\Programme\Game Cam v1.4 2008-01-11 00:29 54,608 ----a-w E:\WINDOWS\system32\xfcodec.dll 2006-08-15 17:50 76 ---ha-w E:\Programme\Desktop.ini . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360] "LDM"="E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-16 16:13 67128] "ICQ"="E:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280] "SPAM DEFY"="E:\DOKUME~1\***\ANWEND~1\FACEFA~1\REGSMEMO.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NVIDIA nTune"="E:\Programme\NVIDIA Corporation\nTune\\nTune.exe" [2004-12-06 11:06 532480] "Launch Ai Booster"="E:\Programme\ASUS\Ai Booster\OverClk.exe" [2005-06-16 14:36 3627520] "NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2007-04-19 12:26 7700480] "nwiz"="nwiz.exe" [2007-04-19 12:26 1626112 E:\WINDOWS\system32\nwiz.exe] "Logitech Utility"="Logi_MwX.Exe" [2003-12-11 10:50 20992 E:\WINDOWS\Logi_MwX.Exe] "Profiler"="E:\Programme\Saitek\Software\Profiler.exe" [2004-08-19 13:08 159744] "SaiSmart"="E:\Programme\Saitek\Software\SaiSmart.exe" [2004-08-19 13:08 98304] "SaiMfd"="E:\Programme\Saitek\Software\SaiMfd.exe" [2004-08-19 12:10 135168] "SunJavaUpdateSched"="E:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 12:42 249896] "NvMediaCenter"="E:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 12:26 86016] "TkBellExe"="E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-06 18:36 185896] "QuickTime Task"="E:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24 286720] "ISTray"="E:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="E:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360] E:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\ Logitech Desktop Messenger.lnk - E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-02-16 16:13:03 67128] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="LogonUI.EXE" [HKLM\~\startupfolder\E:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=E:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=E:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\E:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Xfire.lnk] path=E:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Xfire.lnk backup=E:\WINDOWS\pss\Xfire.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearFlix] E:\Programme\BearFlix\BearFlix.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] E:\Programme\BearShare\BearShare.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2006-11-12 11:48 157592 E:\Programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-01-19 11:54 5674352 E:\Programme\MSN Messenger\MsnMsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-06-29 05:24 286720 E:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryMechanic] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2006-10-13 17:20 20058152 E:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2004-11-15 11:20 77824 E:\WINDOWS\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2008-01-11 14:51 1266936 e:\programme\steam\steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2006-12-06 18:36 185896 E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector] --------- 2003-11-19 12:03 45056 E:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WinVNC4"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "E:\\Programme\\Xfire\\Xfire.exe"= "E:\\Programme\\Steam\\SteamApps\\***@web.de\\day of defeat source\\hl2.exe"= "E:\\Programme\\Steam\\SteamApps\\***@web.de\\counter-strike source\\hl2.exe"= "E:\\Programme\\mIRC\\mirc.exe"= "E:\\Programme\\THQ\\Dawn Of War\\W40k.exe"= "E:\\Programme\\THQ\\Dawn Of War\\W40kWA.exe"= "E:\\Programme\\Steam\\SteamApps\\common\\red orchestra\\System\\RedOrchestra.exe"= "E:\\Programme\\Mozilla Firefox\\firefox.exe"= "E:\\Programme\\Electronic Arts\\Need for Speed Carbon\\NFSC.exe"= "E:\\WINDOWS\\system32\\dpnsvr.exe"= "E:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"= "E:\\Programme\\DC++\\DCPlusPlus.exe"= "D:\\Programme\\Cod2\\CoD2MP_s.exe"= "D:\\Programme\\wh dark cruisade\\Dawn of War - Dark Crusade\\DarkCrusade.exe"= "E:\\Programme\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"= "E:\\Programme\\Steam\\SteamApps\\***@web.de\\source sdk base\\hl2.exe"= "E:\\Programme\\Skype\\Phone\\Skype.exe"= "E:\\Programme\\MSN Messenger\\msnmsgr.exe"= "E:\\Programme\\MSN Messenger\\livecall.exe"= "E:\\Programme\\ICQ6\\ICQ.exe"= R2 ACEDRV09;ACEDRV09;E:\WINDOWS\system32\drivers\ACEDRV09.sys [2007-07-02 18:45] S2 Ca533av;JDC 3.0S Webcam;E:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 10:37] S3 FWLANUSB;AVM FRITZ!WLAN;E:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2005-10-18 02:04] S3 gAGP440p;gAGP440p;E:\DOKUME~1\***\LOKALE~1\Temp\gAGP440p.sys [2002-02-06 04:25] S3 SaiH8000;SaiH8000;E:\WINDOWS\system32\DRIVERS\SaiH8000.sys [2004-12-10 10:41] S3 USBCamera;JDC 3.0S Camera;E:\WINDOWS\system32\Drivers\Bulk533.sys [2003-05-14 22:28] . Inhalt des "geplante Tasks" Ordners "2008-03-17 20:00:00 E:\WINDOWS\Tasks\AB4AEB1E91B560BE.job" - e:\dokume~1\***\anwend~1\facefa~1\wmaownschic.exe "2008-03-13 15:33:27 E:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - E:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-17 21:07:30 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwClose Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-03-17 21:08:22 ComboFix-quarantined-files.txt 2008-03-17 20:08:19 . 2008-03-12 03:38:12 --- E O F --- MFG Ferrum |
Hallo Wozu nutzt du VNC und hast du deine Firewall deaktiviert? lass bitte mal diese Datei Zitat:
hier Virustotal hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Dann sehen wir weiter. MFG |
Hallo Ferrum, Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern http://www.virus-protect.org/artikel...r/cfscript.png Code: KILLALL:: cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen http://www.virus-protect.org/artikel...r/cfscript.gif danach: Combofix noch einmal anwenden PC neustarten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board