|
2. Benutzerkonto als Administrator Hallo...Warum auch immer habe ich ein neues Benutzerkonto als Administrator festgestellt. Gestern morgen wurde mein taskmanager durch den Administrator deaktiviert. 1 min spaeter nachdem ich es bemerkt hatte fuhr der rechner sich neu hoch. Die folgen sind jetzt einstellungen werden nicht mehr uebernommen. Heisst soviel wie egal wo ich uebernehmen klicke wird nix gespeichert. Meine tastatur ist auf english gestellt. Downloads ausm inet koennen nich mehr gestartet werden (seite soll nich erreichbar sein. Aber nur beim download) Hab es geschafft dem neuen benutzerkonto ein pw zu geben loeschen wa zu dem zeitpunkt NICHT moeglich. Selbst im abgesicherten modus war das loeschen von dem neuen konto NICHT moeglich. Konnte aber 2 datein loeschen im abgesicherten modus die mein Anti virus (Kaspersky) nicht bearbeiten konnte. Nach dem loeschen der 2 datein hab ich es erstmal geschafft dass neue konto zu loeschen. Es sind aber noch 2 datein da die ich aber nicht sehn kann weil sie versteckt sind. Kann sie auch nich loeschen aus dem grund dass meine einstellungen NICHT uebernommen werden kann versteckte datein/ordner nicht sichtbar machen. Habe auch eine modifikation festgestellt bei meinem inet explorer(neue toolbar) Remove Popups..Scan Spyware..Security Test..Spam Protection. Soo... Icq.exe is dass einzige was noch teilweise geht. Msn.exe wird garnicht mehr gestartet! Steam.exe Runtime Error! Program: C:\Programme\Steam\Steam.exe This application has requested the Runtime to terminate it in an unusual way.Please contact the application´s support team for more information Soo... Wenn mir jetzt wer ein paar wertvolle Tipps geben kann weare ich dankbar. Allein schon aus dem grund weil ich das schreiben mit einstellung english...naja Thx, MFG. Luke. |
Hallo, der Rechner "gehört " schon nicht mehr dir...wurde von einem Hacker gekapert, er macht nun, was er will damit. Formatiere so schnell als möglich. ich kenne da einen User, der sah vor seinen Augen, wie sich wie von Geisteshand der Browser öffnete, Pornoseiten geöffnet wurden... Ja, da ist nix zu machen, du hast entweder unbewusst einen Trojaner geladen oder sie sind über schwache Kennworte auf deinen PC gelangt. inzwischen kennen sie auch dein XP-Code von MS - es kann nun Schwierigkeiten mit den Windowsupdates geben nach Neuaufsetzen. (falls du ein legales XP hast) Gleiches gilt fuer deine Passworte + Mails usw... Die haben alles, wissen alles, sie sitzen vor dem Bildschirm und sehen, was du auch siehst. |
Wie gesagt mometan bin ich der Administrator. Konnte dass neue konto loeschen und auch 2 von den 4 viren. Habe Kaspersky IS neuste version (Legal).Windows (Legal) Gibt es nich einen befehl um meine versteckten datein/ordner sichtbar zu machen? |
|
Wie gesagt mometan bin ich der Administrator. Konnte dass neue konto loeschen und auch 2 von den 4 viren. Habe Kaspersky IS neuste version (Legal).Windows (Legal) Gibt es nich einen befehl um meine versteckten datein/ordner sichtbar zu machen? |
ja nun, ich will die logs sehen, deren Links ich dir gepostet habe... dann sehen wir weiter :) (bin wahrscheinlich erst heute abend wieder online) |
Zitat:
|
ComboFix 08-03-17.1 - *** 18.03.2008 17:00:09.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\***\Eigene Dateien\ICQ\437768445\ReceivedFiles\482148732 Bonzai\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\privacy_danger C:\WINDOWS\privacy_danger\images\capt.gif C:\WINDOWS\privacy_danger\images\danger.jpg C:\WINDOWS\privacy_danger\images\down.gif C:\WINDOWS\privacy_danger\images\spacer.gif C:\WINDOWS\privacy_danger\index.htm C:\WINDOWS\rs.txt . ((((((((((((((((((((((( Dateien erstellt von 2008-02-18 bis 2008-03-18 )))))))))))))))))))))))))))))) . Keine neuen Dateien erstellt in diesem Zeitraum . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-18 16:06 22,883,872 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-03-18 16:05 874,784 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-03-18 13:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-03-18 12:58 --------- d-----w C:\Programme\Warcraft III 2008-03-17 22:28 82,700 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-03-17 22:28 306,932 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-03-17 22:24 --------- d-----w C:\DOKUME~1\***\ANWEND~1\Hamachi 2008-03-17 21:38 --------- d-----w C:\Programme\Hamachi 2008-03-17 21:37 16,224 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys 2008-03-17 13:39 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-17 12:11 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-03-17 09:13 --------- d-----w C:\Programme\Steam 2008-03-17 07:07 139,264 ----a-w C:\WINDOWS\War3Unin.exe 2008-03-17 04:18 94,208 ----a-w C:\WINDOWS\fmsxwqs.exe 2008-03-17 04:18 266,240 ----a-w C:\WINDOWS\bokpkov.dll 2008-03-17 04:18 253,952 ----a-w C:\WINDOWS\drnpfdxxsn.dll 2008-03-17 04:18 241,664 ----a-w C:\WINDOWS\altvxvm.dll 2008-03-17 04:18 204,800 ----a-w C:\WINDOWS\etlrlws.dll 2008-03-16 20:35 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2008-03-16 02:36 --------- d-----w C:\Programme\Diablo II 2008-03-13 03:23 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll 2008-03-13 03:23 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll 2008-03-13 03:23 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll 2008-03-13 03:13 102,400 ----a-w C:\WINDOWS\DIIUnin.exe 2008-03-06 17:52 --------- d-----w C:\DOKUME~1\***\ANWEND~1\teamspeak2 2008-03-03 21:28 --------- d-----w C:\DOKUME~1\***\ANWEND~1\BearShare 2008-03-02 01:53 --------- d-----w C:\Programme\ICQ6 2008-03-01 14:37 --------- d-----w C:\Programme\Windows Live Safety Center 2008-02-26 09:31 --------- d-----w C:\DOKUME~1\***\ANWEND~1\HLSW 2008-02-23 11:51 --------- d-----w C:\DOKUME~1\***\ANWEND~1\uTorrent 2008-02-18 22:29 --------- d-----w C:\Programme\SFT Loader 2007 2008-02-17 23:18 --------- d-----w C:\DOKUME~1\***\ANWEND~1\Ventrilo 2008-02-13 01:38 --------- d-s---w C:\Programme\HLSW 2008-02-10 05:50 --------- d-----w C:\Programme\DivX 2008-01-30 21:21 91,700 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2008-01-18 18:08 --------- d-----w C:\Programme\Gemeinsame Dateien\DirectX 2007-12-08 12:48 34,552 ----a-w C:\Programme\uninstall.exe 2007-11-21 12:17 913,064 ----a-w C:\Programme\fraps.exe 2007-11-21 12:15 167,936 ----a-w C:\Programme\fraps.dll 2007-11-21 12:15 135,168 ----a-w C:\Programme\frapslcd.dll 2007-11-21 12:15 111,616 ----a-w C:\Programme\fraps64.dll 2007-11-21 12:15 1,684,480 ----a-w C:\Programme\fraps64.dat 2007-11-21 09:35 12,588 ----a-w C:\Programme\changes.txt 2007-11-21 09:29 1,841 ----a-w C:\Programme\README.HTM . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E919A377-7B3B-4737-B6E1-38930F9B4256}] 17.03.2008 05:18 253952 --a------ C:\WINDOWS\drnpfdxxsn.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{1AA3E3E1-2FAD-4FE8-B7F4-296597F3CC92}"= "C:\WINDOWS\etlrlws.dll" [17.03.2008 05:18 204800] [HKEY_CLASSES_ROOT\clsid\{1aa3e3e1-2fad-4fe8-b7f4-296597f3cc92}] [HKEY_CLASSES_ROOT\etlrlws.1] [HKEY_CLASSES_ROOT\TypeLib\{FB180DA7-1ACD-4B7B-8D47-57E0ECEA2767}] [HKEY_CLASSES_ROOT\etlrlws] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "snpstd"="C:\WINDOWS\vsnpstd.exe" [10.06.2004 13:48 286720] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [11.04.2007 15:32 56080 C:\WINDOWS\KHALMNPR.Exe] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [28.06.2007 11:51 218376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [28.02.2006 13:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "altvxvm"= {57AD4CC3-9B8B-4320-B50D-093C9C00E8F1} - C:\WINDOWS\altvxvm.dll [17.03.2008 05:18 241664] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP] --a------ 28.06.2007 11:51 218376 C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer] --a------ 15.10.2002 17:00 1818624 C:\WINDOWS\mixer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 16.08.2007 12:24 167368 C:\Programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 19.01.2007 11:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 03.12.2007 13:30 1266936 C:\Programme\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 25.09.2007 00:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 14.05.2007 23:22 35328 C:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\Steam\\steamapps\\***\\counter-strike\\hl.exe"= "C:\\Programme\\Valve\\hl.exe"= "C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"= "C:\\Programme\\HLSW\\hlsw.exe"= "C:\\Programme\\BearShare Applications\\BearShare\\BearShare.exe"= "C:\\Programme\\Steam\\Steam.exe"= "C:\\Programme\\Warcraft III\\Warcraft III.exe"= . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-18 17:06:00 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 18.03.2008 17:08:24 ComboFix-quarantined-files.txt 2008-03-18 16:07:17 . 2008-03-12 22:42:43 --- E O F --- |
Zitat:
edit: Sorry, falscher Link :headbang: |
Hallo. Sind jetzt schon ein paar tage wieder vergangen.(log is da) Konnte den virus noch nicht löschen... Habs bisher geschafft das ich der Administrator bin zu 100%. Bloß kann mein antivir (Kaspersky) den virus immmernoch nicht löschen. Und ich wüsste auch nich was ich noch machen kann. Rechner hab ich soweit hinbekommen das downloads wieder gehn setupeinstellungen wieder übernommen werden(können), (neue) toolbar konnte ich entfernen. Log bitte anschaun und sagen was wo nich hingehört oder was komplett neu is. Thx. MfG, Luke |
Hallo, Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern http://www.virus-protect.org/artikel...r/cfscript.png Code: KILLALL:: cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen http://www.virus-protect.org/artikel...r/cfscript.gif danach: Combofix noch einmal anwenden PC neustarten ---------------------------------- poste das neue Log von Combofix |
Habe ich gemacht kann aus eigenem wissen schon sagen dass die datei etlrlws.dll im log die neue toolbar war.(is jetzt komplett weg)danke. ComboFix 08-03-17.1 - Nummer2 2008-03-21 14:15:49.2 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\***\Eigene Dateien\ICQ\437768445\ReceivedFiles\482148732 Bonzai\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\***\Eigene Dateien\ICQ\437768445\ReceivedFiles\482148732 Bonzai\cfscript.txt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! FILE :: C:\WINDOWS\altvxvm.dll C:\WINDOWS\bokpkov.dll C:\WINDOWS\drnpfdxxsn.dll C:\WINDOWS\etlrlws.dll C:\WINDOWS\fmsxwqs.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\altvxvm.dll C:\WINDOWS\bokpkov.dll C:\WINDOWS\etlrlws.dll C:\WINDOWS\fmsxwqs.exe C:\WINDOWS\privacy_danger C:\WINDOWS\privacy_danger\images\capt.gif C:\WINDOWS\privacy_danger\images\danger.jpg C:\WINDOWS\privacy_danger\images\down.gif C:\WINDOWS\privacy_danger\images\spacer.gif C:\WINDOWS\privacy_danger\index.htm C:\WINDOWS\rs.txt . ((((((((((((((((((((((( Dateien erstellt von 2008-02-21 bis 2008-03-21 )))))))))))))))))))))))))))))) . 2008-03-21 14:25 . 2008-03-21 14:25 6,736 --a------ C:\WINDOWS\system32\drivers\PROCEXP90.SYS 2008-03-20 17:33 . 2008-03-20 17:34 <DIR> d-------- C:\Programme\MSN Messenger 2008-03-20 17:20 . 2008-03-20 17:20 208 --ah----- C:\sqmdata19.sqm 2008-03-20 17:20 . 2008-03-20 17:20 172 --ah----- C:\sqmnoopt19.sqm 2008-03-20 17:17 . 2008-03-20 17:17 244 --ah----- C:\sqmnoopt18.sqm 2008-03-20 17:17 . 2008-03-20 17:17 244 --ah----- C:\sqmdata18.sqm 2008-03-20 17:07 . 2008-03-20 17:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc 2008-03-20 15:19 . 2008-03-20 15:20 <DIR> d-------- C:\Programme\Teamspeak2_RC2 2008-03-20 14:55 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-03-20 14:42 . 2008-03-20 14:55 <DIR> d-------- C:\Programme\Java 2008-03-20 14:40 . 2008-03-20 14:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-03-20 14:17 . 2008-03-20 14:17 256 --ah----- C:\sqmdata17.sqm 2008-03-20 14:17 . 2008-03-20 14:17 244 --ah----- C:\sqmnoopt17.sqm 2008-03-20 14:02 . 2008-03-21 14:32 <DIR> d-------- C:\Programme\steam 2008-03-20 13:57 . 2008-03-20 13:57 <DIR> d-------- C:\Programme\CCleaner 2008-03-20 12:28 . 2008-03-20 12:28 <DIR> d-------- C:\Dokumente und Einstellungen\Nummer2\.exe 2008-03-20 11:22 . 2008-03-20 11:22 <DIR> d-------- C:\Dokumente und Einstellungen\Nummer2\Anwendungsdaten\teamspeak2 2008-03-20 09:14 . 2008-03-20 09:14 <DIR> d-------- C:\Dokumente und Einstellungen\Nummer2\Anwendungsdaten\Logitech 2008-03-20 09:13 . 2008-03-20 14:12 <DIR> dr------- C:\Dokumente und Einstellungen\Nummer2\Eigene Dateien 2008-03-20 09:12 . 2007-10-16 22:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Nummer2\Vorlagen 2008-03-20 09:12 . 2007-10-16 23:15 <DIR> d-------- C:\Dokumente und Einstellungen\Nummer2\Startmen 2008-03-20 09:12 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Nummer2\Netzwerkumgebung 2008-03-20 09:12 . 2008-03-20 10:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Nummer2\Lokale Einstellungen 2008-03-20 09:12 . 2008-03-21 10:43 <DIR> dr------- C:\Dokumente und Einstellungen\Nummer2\Favoriten 2008-03-20 09:12 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Nummer2\Druckumgebung 2008-03-20 09:12 . 2008-03-21 10:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Nummer2\Anwendungsdaten 2008-03-20 09:09 . 2008-03-20 09:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-03-20 09:08 . 2007-10-16 22:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-03-17 15:41 . 2008-03-17 15:41 244 --ah----- C:\sqmnoopt16.sqm 2008-03-17 15:41 . 2008-03-17 15:41 232 --ah----- C:\sqmdata16.sqm 2008-03-17 14:29 . 2008-03-17 14:29 244 --ah----- C:\sqmnoopt15.sqm 2008-03-17 14:29 . 2008-03-17 14:29 232 --ah----- C:\sqmdata15.sqm 2008-03-17 13:09 . 2008-03-17 13:09 244 --ah----- C:\sqmnoopt14.sqm 2008-03-17 13:09 . 2008-03-17 13:09 232 --ah----- C:\sqmdata14.sqm 2008-03-17 12:47 . 2008-03-17 12:47 244 --ah----- C:\sqmnoopt13.sqm 2008-03-17 12:47 . 2008-03-17 12:47 232 --ah----- C:\sqmdata13.sqm 2008-03-17 12:39 . 2008-03-17 12:39 244 --ah----- C:\sqmnoopt12.sqm 2008-03-17 12:39 . 2008-03-17 12:39 232 --ah----- C:\sqmdata12.sqm 2008-03-17 07:24 . 2008-03-17 08:07 139,264 --a------ C:\WINDOWS\War3Unin.exe 2008-03-17 07:24 . 2008-03-17 09:42 75,779 --a------ C:\WINDOWS\War3Unin.dat 2008-03-17 07:24 . 2008-03-17 08:07 2,829 --a------ C:\WINDOWS\War3Unin.pif 2008-03-17 07:16 . 2008-03-21 09:53 <DIR> d-------- C:\Programme\Warcraft III 2008-03-07 19:43 . 2008-03-20 09:04 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-03-07 19:29 . 2008-03-13 04:23 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll 2008-03-07 19:29 . 2008-03-13 04:23 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll 2008-03-07 19:29 . 2008-03-13 04:23 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll 2008-03-07 19:06 . 2008-03-20 13:42 <DIR> d-------- C:\Programme\Diablo II 2008-03-07 05:23 . 2008-03-07 05:23 921,624 --a------ C:\img1-001.raw 2008-03-05 18:41 . 2008-03-05 18:41 <DIR> d-------- C:\WINDOWS\program files . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-21 13:33 23,706,400 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-03-21 13:32 921,120 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-03-21 13:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-03-21 13:28 87,332 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-03-21 13:28 318,044 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-03-20 15:36 --------- d-----w C:\Programme\VideoLAN 2008-03-20 12:38 --------- d-----w C:\Programme\SFT Loader 2007 2008-03-20 12:37 --------- d-----w C:\Programme\Sony 2008-03-20 12:24 --------- d-----w C:\Programme\Valve 2008-03-20 12:06 --------- d-----w C:\Programme\DivX 2008-03-20 12:01 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-20 11:41 --------- d-s---w C:\Programme\HLSW 2008-03-17 21:37 16,224 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys 2008-03-17 12:11 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-03-01 14:37 --------- d-----w C:\Programme\Windows Live Safety Center 2008-01-30 21:21 91,700 ----a-w C:\WINDOWS\system32\drivers\klin.dat . ((((((((((((((((((((((((((((( snapshot@18.03.2008_17.06.58,45 ))))))))))))))))))))))))))))))))))))))))) . - 2006-12-19 21:49:40 8,494,592 -c----w C:\WINDOWS\$NtUninstallKB943460$\shell32.dll - 2007-08-21 10:53:25 123,904 -c----w C:\WINDOWS\$NtUninstallKB943460$\xpsp3res.dll + 2006-12-19 21:49:40 8,494,592 -c----w C:\WINDOWS\$NtUninstallKB943460_0$\shell32.dll + 2007-03-06 01:14:13 217,312 -c----w C:\WINDOWS\$NtUninstallKB943460_0$\spuninst\spuninst.exe + 2007-03-06 01:15:22 377,568 -c----w C:\WINDOWS\$NtUninstallKB943460_0$\spuninst\updspapi.dll + 2007-08-21 10:53:25 123,904 -c----w C:\WINDOWS\$NtUninstallKB943460_0$\xpsp3res.dll - 2007-10-16 22:36:50 27,648 ----a-r C:\WINDOWS\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C91.exe + 2008-03-20 13:02:02 27,648 ----a-r C:\WINDOWS\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C91.exe + 2008-03-20 13:11:47 29,926 ----a-r C:\WINDOWS\Installer\{2B091530-69AA-442E-AB09-39ED06B58220}\MsblIco.Exe + 2008-03-20 16:34:36 29,926 ----a-r C:\WINDOWS\Installer\{8DCBD4B1-DD30-4A9A-ADF7-FA3162B596C4}\MsblIco.Exe + 2006-06-02 19:31:05 33,792 ------w C:\WINDOWS\network diagnostic\custsat.dll + 2006-10-10 12:44:50 557,568 ------w C:\WINDOWS\network diagnostic\xpnetdiag.exe - 2008-01-22 15:57:11 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-03-20 10:54:09 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-01-22 15:57:11 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2008-03-20 10:54:09 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-01-22 15:57:11 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-03-20 10:54:09 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat - 2006-02-28 12:00:00 28,672 -c--a-w C:\WINDOWS\system32\dllcache\custsat.dll + 2006-06-02 19:31:05 33,792 -c--a-w C:\WINDOWS\system32\dllcache\custsat.dll - 2007-10-25 16:55:09 8,495,616 -c--a-w C:\WINDOWS\system32\dllcache\shell32.dll + 2007-10-25 16:42:48 8,501,248 -c--a-w C:\WINDOWS\system32\dllcache\shell32.dll - 2006-02-28 12:00:00 49,152 -c--a-w C:\WINDOWS\system32\dllcache\wdigest.dll + 2006-03-24 04:37:55 49,152 -c--a-w C:\WINDOWS\system32\dllcache\wdigest.dll + 2006-06-29 07:05:44 26,112 ------w C:\WINDOWS\system32\idndl.dll - 2007-09-24 20:30:28 135,168 ----a-w C:\WINDOWS\system32\java.exe + 2008-02-22 00:23:35 135,168 ----a-w C:\WINDOWS\system32\java.exe - 2007-09-24 20:30:30 135,168 ----a-w C:\WINDOWS\system32\javaw.exe + 2008-02-22 00:23:39 135,168 ----a-w C:\WINDOWS\system32\javaw.exe - 2007-09-24 21:31:42 139,264 ----a-w C:\WINDOWS\system32\javaws.exe + 2008-02-22 01:33:32 139,264 ----a-w C:\WINDOWS\system32\javaws.exe + 2006-06-28 16:59:26 24,576 ------w C:\WINDOWS\system32\nlsdl.dll + 2006-06-29 07:05:44 23,552 ------w C:\WINDOWS\system32\normaliz.dll - 2008-01-05 20:58:04 88,738 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-03-20 12:05:27 88,738 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-01-05 20:58:04 74,100 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-03-20 12:05:27 74,100 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-01-05 20:58:04 445,914 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-03-20 12:05:27 445,914 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-01-05 20:58:04 428,092 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-03-20 12:05:28 428,092 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-10-25 16:55:09 8,495,616 ----a-w C:\WINDOWS\system32\shell32.dll + 2007-10-25 16:42:48 8,501,248 ----a-w C:\WINDOWS\system32\shell32.dll - 2007-01-19 10:53:04 51,056 ----a-w C:\WINDOWS\system32\sirenacm.dll + 2006-07-29 18:32:50 48,936 ----a-w C:\WINDOWS\system32\sirenacm.dll - 2006-02-28 12:00:00 49,152 ----a-w C:\WINDOWS\system32\wdigest.dll + 2006-03-24 04:37:55 49,152 ----a-w C:\WINDOWS\system32\wdigest.dll + 2006-07-14 15:51:51 121,856 ------w C:\WINDOWS\system32\xmllite.dll - 2007-10-29 15:35:14 123,904 ----a-w C:\WINDOWS\system32\xpsp3res.dll + 2007-10-29 15:07:16 373,760 ----a-w C:\WINDOWS\system32\xpsp3res.dll + 2008-03-21 13:30:23 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_7dc.dat - 2006-06-05 12:14:28 479,232 -c--a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcm80.dll + 2006-06-05 13:14:28 479,232 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcm80.dll - 2006-06-05 12:14:28 548,864 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll + 2006-06-05 13:14:28 548,864 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll - 2006-06-05 12:14:28 626,688 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll + 2006-06-05 13:14:28 626,688 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll . -- Snapshot reset to current date -- . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Steam"="c:\programme\steam\steam.exe" [2008-03-20 14:03 1266936] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2006-07-29 19:33 5354792] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "snpstd"="C:\WINDOWS\vsnpstd.exe" [2004-06-10 13:48 286720] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 15:32 56080 C:\WINDOWS\KHALMNPR.Exe] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 11:51 218376] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP] --a------ 2007-06-28 11:51 218376 C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer] --a------ 2002-10-15 17:00 1818624 C:\WINDOWS\mixer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2007-08-16 12:24 167368 C:\Programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2006-07-29 19:33 5354792 C:\Programme\MSN Messenger\MsnMsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2008-03-20 14:03 1266936 C:\Programme\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2007-05-14 23:22 35328 C:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\Programme\\Steam\\steamapps\\***\\counter-strike\\hl.exe"= "C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"= "C:\\Programme\\Steam\\Steam.exe"= "C:\\Programme\\Warcraft III\\Warcraft III.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\msncall.exe"= . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-21 14:32:21 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-03-21 14:39:00 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-21 13:38:41 ComboFix2.txt 2008-03-18 16:08:25 . 2008-03-12 22:42:43 --- E O F --- |
Hallo, 1. otmoveIt anwenden OTMoveIt by OldTimer Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Code: C:\Dokumente und Einstellungen\Nummer2\.exeposte hier das Löschlog --------------------------------------------------------- 2. wende sdfix an - muss im abgesicherten Modus sein - poste hier den report SDFix « |
Einmal. OTMoveIt2. C:\Dokumente und Einstellungen\Nummer2\.exe moved successfully. OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03212008_161203 Anderes folgt. MfG. Luke |
SDFix. SDFix: Version 1.159 Run by Nummer2 on 2008-03-21 at 16:25 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-21 16:32:06 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:ca,67,aa,e9,a6,1e,c2,3e,a0,84,0b,14,70,44,7f,34,1a,53,18,7e,3c,.. "p0"="C:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,2e,ad,d8,6a,c7,8a,ec,df,da,34,71,25,0e,a9,0f,91,40,.. "khjeh"=hex:05,3b,78,d2,77,b7,48,cb,8e,b8,ea,86,9d,02,b4,7e,05,84,1c,e3,ab,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:44,1a,c8,03,c0,0a,6b,f8,ea,0b,69,84,a3,02,57,3f,f4,8c,ce,02,75,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:2df9c43f "s2"=dword:110480d0 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:ca,67,aa,e9,a6,1e,c2,3e,a0,84,0b,14,70,44,7f,34,1a,53,18,7e,3c,.. "p0"="C:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,2e,ad,d8,6a,c7,8a,ec,df,da,34,71,25,0e,a9,0f,91,40,.. "khjeh"=hex:05,3b,78,d2,77,b7,48,cb,8e,b8,ea,86,9d,02,b4,7e,05,84,1c,e3,ab,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:44,1a,c8,03,c0,0a,6b,f8,ea,0b,69,84,a3,02,57,3f,f4,8c,ce,02,75,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:ca,67,aa,e9,a6,1e,c2,3e,a0,84,0b,14,70,44,7f,34,1a,53,18,7e,3c,.. "p0"="C:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,2e,ad,d8,6a,c7,8a,ec,df,da,34,71,25,0e,a9,0f,91,40,.. "khjeh"=hex:05,3b,78,d2,77,b7,48,cb,8e,b8,ea,86,9d,02,b4,7e,05,84,1c,e3,ab,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:44,1a,c8,03,c0,0a,6b,f8,ea,0b,69,84,a3,02,57,3f,f4,8c,ce,02,75,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent" "C:\\Programme\\Steam\\steamapps\\***\\counter-strike\\hl.exe"="C:\\Programme\\Steam\\steamapps\\vn_luke\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher" "C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"="C:\\Programme\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer" "C:\\Programme\\Steam\\Steam.exe"="C:\\Programme\\Steam\\Steam.exe:*:Enabled:Steam" "C:\\Programme\\Warcraft III\\Warcraft III.exe"="C:\\Programme\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Tue 16 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\df5639f970beb9dd53a1263e6651362c\BIT3.tmp" Finished! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:50 Uhr. |
Copyright ©2000-2024, Trojaner-Board