|
Werde autochk.dll nicht mehr los (Trojan horse BackDoor.Generic11.HUH) Nun ist es mir auch passiert. Mein Rechner ist infiziert. Seit 3 Tagen versuche ich nun das Problem zu lösen, allerdings ohne Erfolg. Nun zu den Fakten. AVG AntiVirus findet immer wieder mehrer "Trojan horse BackDoor.Generic11.HUH" nach dem Scann wird ein Neustart verlangt um die Reinigung abzuschließen aber auch danach kommt er wieder. Folgende Dateien werden immer wieder gefunden: C:\WINNT\system32\autochk.dll C:\WINNT\Temp\msb.dll C:\Dokumente und Einstellungen\*USERNAME*\protect.dll dazu Registry-Einträge zur autochk.dll Habe versucht im abgesicherten Modus Ad-Aware / Malwarebytes' Anti-Malware / AVG durchlaufen zu lassen, was scheinbar auch funktionierte und ein weitere Scann im abgesicherten Modus fand auch nichts mehr. Allerdings nach einem Start im normalen Modus wurde AVG wieder fündig Ad Aware und Malwarebytes' Anti-Malware lassen sich im normalen Modus nicht durchführen. Zudem habe ich Netz Probleme mit Seitenaufrufen, die werden zur Zeit umgeleitet (seocash.us / google-redirect.com) HiJackThis habe ich bereits runtergeladen und installiert. Werde den Scannbericht gleich posten. Danke schon mal für eure Hilfe! |
So hier das HJT-Log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:00:26, on 30.04.2009 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe D:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\acs.exe D:\programme\xampp\apache\bin\apache.exe C:\WINNT\ATKKBService.exe d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINNT\System32\svchost.exe C:\Programme\Interbase Corp\Interbase\bin\ibguard.exe C:\Programme\Java\jre6\bin\jqs.exe d:\PROGRA~1\AVG\AVG8\avgnsx.exe D:\Programme\xampp\mysql\bin\mysqld-nt.exe d:\Programme\AVG\AVG8\avgrsx.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe d:\PROGRA~1\AVG\AVG8\avgemc.exe d:\Programme\AVG\AVG8\avgcsrvx.exe D:\programme\xampp\apache\bin\apache.exe C:\Programme\Interbase Corp\Interbase\bin\ibserver.exe C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINNT\RTHDCPL.EXE D:\Programme\T-DSL SpeedManager\SpeedMgr.exe D:\PROGRA~1\AVG\AVG8\avgtray.exe D:\Programme\Multimedia Mouse Driver\V5\StartAutorun.exe D:\Programme\Cherry\KeyMan\KeyMan.exe C:\Programme\Java\jre6\bin\jusched.exe D:\Programme\Multimedia Mouse Driver\V5\KMConfig.exe C:\WINNT\system32\internat.exe D:\Programme\Multimedia Mouse Driver\V5\KMProcess.exe C:\Programme\Skype\Phone\Skype.exe D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE D:\Programme\Rainlendar2\Rainlendar2.exe D:\Programme\Cherry\CDI\cdi.exe D:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe d:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe d:\Programme\AVG\AVG8\avgui.exe D:\totalcmd\TOTALCMD.EXE D:\Programme\Mozilla Thunderbird\thunderbird.exe D:\Programme\Mozilla Firefox\firefox.exe \?\globalroot\C:\WINNT\system32\rundll32.exe C:\WINNT\NOTEPAD.EXE d:\Programme\AVG\AVG8\avgscanx.exe d:\Programme\AVG\AVG8\avgcsrvx.exe C:\WINNT\system32\taskmgr.exe C:\WINNT\explorer.exe d:\Programme\AVG\AVG8\avgscanx.exe d:\Programme\AVG\AVG8\avgcsrvx.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINNT\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - d:\Programme\FlashGet\fgiebar.dll O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - d:\Programme\AVG\AVG8\avgtoolbar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [AVG8_TRAY] d:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KMConfig] "D:\Programme\Multimedia Mouse Driver\V5\StartAutorun.exe" KMConfig.exe O4 - HKLM\..\Run: [CherryKeyMan] "D:\Programme\Cherry\KeyMan\KeyMan.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [WorkDayManager] "D:\Eigene Programme\ArbeittsTagManager\WorkDayManager.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Rainlendar2] d:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - .DEFAULT Startup: ChkDisk.lnk = C:\WINNT\system32\rundll32.exe (User 'Default user') O4 - Startup: ChkDisk.lnk = C:\WINNT\system32\rundll32.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = D:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe O4 - Global Startup: BTTray.lnk = D:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Send to Keyman - D:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html O8 - Extra context menu item: Senden an &Bluetooth - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - D:\Programme\IPPS\XM2002®\XM2002.exe (file missing) O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - D:\Programme\IPPS\XM2002®\XM2002.exe (file missing) O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - d:\Programme\IrfanView\Ebay\Ebay.htm O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - d:\Programme\AVG\AVG8\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: avgrsstarter - C:\WINNT\SYSTEM32\avgrsstx.dll O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINNT\system32\acs.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache2.2 - Apache Software Foundation - D:\programme\xampp\apache\bin\apache.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINNT\ATKKBService.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - D:\Programme\Cherry\CDI\cdi.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - InterBase Software Corp. - C:\Programme\Interbase Corp\Interbase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - InterBase Software Corp. - C:\Programme\Interbase Corp\Interbase\bin\ibserver.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: mysql - Unknown owner - D:\Programme\xampp\mysql\bin\mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - d:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - d:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Programme\T-DSL SpeedManager\tsmsvc.exe -- End of file - 11217 bytes |
Hi, damit schlage ich mich in einem anderen Thread schon rum... Der arbeitet wohl mit einem Rootkit zusammen (da was es so, mal sehen was hier rauskommt)... Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe chris |
Hallo Chris4You, danke für die schnelle Antwort, Hier der Log von ComboFix: ComboFix 09-04-29.03 - XXX 30.04.2009 11:30.1 - NTFSx86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.2047.1489 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\winnt\system32\autochk.dll c:\winnt\system32\drivers\ovfsthxtkbmlwpp.sys c:\winnt\system32\ovfsthxamuqbpfa.dll c:\winnt\system32\ovfsthxkicodqql.dat c:\winnt\system32\ovfsthxrqjkvtno.dat c:\winnt\system32\ovfsthxtogwuuns.dll c:\winnt\system32\ovfsthxvrdoeieq.dll c:\winnt\Web\default.htt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_ovfsthxtbaiyblh ((((((((((((((((((((((( Dateien erstellt von 2009-05-28 bis 2009-4-30 )))))))))))))))))))))))))))))) . 2009-04-29 22:42 . 2009-04-29 22:42 16384 ----atw c:\winnt\system32\Perflib_Perfdata_56c.dat 2009-04-29 22:09 . 2009-04-29 22:09 16384 ----atw c:\winnt\system32\Perflib_Perfdata_550.dat 2009-04-29 22:06 . 2009-04-29 22:06 16384 ----atw c:\winnt\system32\Perflib_Perfdata_394.dat 2009-04-29 13:09 . 2009-04-29 13:09 16384 ----atw c:\winnt\system32\Perflib_Perfdata_36c.dat 2009-04-28 23:12 . 2009-04-28 23:12 16384 ----atw c:\winnt\system32\Perflib_Perfdata_554.dat 2009-04-28 23:11 . 2009-04-28 23:11 16384 ----atw c:\winnt\system32\Perflib_Perfdata_3b0.dat 2009-04-28 23:04 . 2009-04-28 23:03 64160 ----a-w c:\winnt\system32\drivers\Lbd.sys 2009-04-28 23:02 . 2009-04-28 23:02 -------- dc-h--w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800} 2009-04-28 22:54 . 2008-12-11 06:38 159600 ----a-w c:\winnt\system32\drivers\pctgntdi.sys 2009-04-28 22:54 . 2008-12-18 10:16 73840 ----a-w c:\winnt\system32\drivers\PCTAppEvent.sys 2009-04-28 22:54 . 2009-04-03 09:18 130936 ----a-w c:\winnt\system32\drivers\PCTCore.sys 2009-04-28 22:54 . 2009-04-30 07:30 -------- d---a-w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\TEMP 2009-04-28 22:54 . 2009-04-28 22:55 -------- d-----w c:\programme\Gemeinsame Dateien\PC Tools 2009-04-28 22:54 . 2008-12-10 09:36 64392 ----a-w c:\winnt\system32\drivers\pctplsg.sys 2009-04-28 22:54 . 2002-05-15 13:16 360448 ----a-w c:\winnt\system32\oleacc.dll 2009-04-28 22:54 . 2002-05-15 13:16 356352 -c--a-w c:\winnt\system32\dllcache\oleaccrc.dll 2009-04-28 22:54 . 2002-05-15 13:16 356352 ----a-w c:\winnt\system32\oleaccrc.dll 2009-04-28 22:54 . 2002-05-15 13:16 462848 ----a-w c:\winnt\system32\msaatext.dll 2009-04-28 22:54 . 2009-04-28 22:54 -------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\PC Tools 2009-04-28 22:36 . 2009-04-28 22:57 -------- d-----w c:\programme\Enigma Software Group 2009-04-28 22:32 . 2009-04-28 23:01 -------- d-----w c:\programme\Gemeinsame Dateien\ParetoLogic 2009-04-28 17:03 . 2009-04-28 17:03 -------- d-----w c:\winnt\ERUNT 2009-04-28 16:55 . 2009-04-28 21:23 -------- d-----w C:\SDFix 2009-04-28 16:43 . 2009-04-06 13:32 15504 ----a-w c:\winnt\system32\drivers\mbam.sys 2009-04-28 16:43 . 2009-04-06 13:32 38496 ----a-w c:\winnt\system32\drivers\mbamswissarmy.sys 2009-04-28 16:43 . 2009-04-28 16:43 -------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Malwarebytes 2009-04-27 19:31 . 2009-04-28 23:02 -------- d-----w c:\programme\Lavasoft 2009-04-27 19:31 . 2009-04-27 19:31 -------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Lavasoft 2009-04-27 15:38 . 2009-04-27 15:38 -------- d-----w c:\dokumente und einstellungen\Default User.WINNT\Anwendungsdaten\AVGTOOLBAR 2009-04-08 12:09 . 2009-04-08 12:09 16384 ----atw c:\winnt\system32\Perflib_Perfdata_328.dat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-30 09:30 . 2009-04-30 09:30 16384 ----atw c:\winnt\system32\Perflib_Perfdata_470.dat 2009-04-30 09:28 . 2009-04-30 09:28 16384 ----atw c:\winnt\system32\Perflib_Perfdata_348.dat 2009-04-27 17:57 . 2008-11-13 12:46 1325568 ----a-w c:\winnt\system32\semtempl.dll 2009-04-19 09:21 . 2008-05-17 00:21 10520 ----a-w c:\winnt\system32\avgrsstx.dll 2009-04-19 09:21 . 2008-05-17 00:21 325640 ----a-w c:\winnt\system32\drivers\avgldx86.sys 2009-04-19 09:21 . 2008-05-17 00:21 108552 ----a-w c:\winnt\system32\drivers\avgtdix.sys 2009-04-09 14:53 . 2006-06-12 22:51 -------- d--h--w c:\programme\InstallShield Installation Information 2009-04-02 18:05 . 2006-06-14 22:22 -------- d-----w c:\programme\Java 2009-03-23 09:22 . 2009-03-23 09:22 -------- d-----w c:\programme\OO Software 2009-03-11 17:22 . 2007-02-07 20:46 -------- d-----w c:\programme\DivX 2009-03-09 03:19 . 2008-12-12 23:49 410984 ----a-w c:\winnt\system32\deploytk.dll 2009-03-03 12:28 . 2009-03-03 12:28 583168 ----a-w c:\winnt\system32\WININET.DLL 2009-02-23 09:16 . 2009-02-23 09:16 16384 ----atw c:\winnt\system32\Perflib_Perfdata_320.dat 2009-02-19 00:39 . 2006-06-12 22:51 1228800 ----a-w c:\winnt\system32\quartz.dll 2009-02-08 19:49 . 1999-12-07 23:29 1644944 ----a-w c:\winnt\system32\WIN32K.SYS 2009-02-04 04:20 . 2009-02-04 04:20 47376 ----a-w c:\winnt\system32\secur32.dll 2006-06-12 17:01 . 2006-06-12 17:01 271 ---h--w c:\programme\desktop.ini 2006-06-12 17:01 . 2006-06-12 17:01 22080 ---h--w c:\programme\folder.htt . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-23 21755688] "WorkDayManager"="d:\eigene programme\ArbeittsTagManager\WorkDayManager.exe" [2007-01-07 656896] "H/PC Connection Agent"="d:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 401491] "Rainlendar2"="d:\programme\Rainlendar2\Rainlendar2.exe" [2009-02-21 4333568] "internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [1999-12-10 20752] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\winnt\system32\NvCpl.dll" [2006-10-22 7700480] "FinePrint Dispatcher v4"="c:\winnt\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe" [2001-12-28 356352] "SmcService"="d:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760] "Acrobat Assistant 7.0"="d:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328] "T-DSL SpeedMgr"="d:\programme\T-DSL SpeedManager\SpeedMgr.exe" [2003-12-02 385024] "AVG8_TRAY"="d:\progra~1\AVG\AVG8\avgtray.exe" [2009-04-19 1932568] "NvMediaCenter"="c:\winnt\system32\NvMcTray.dll" [2006-10-22 86016] "KMConfig"="d:\programme\Multimedia Mouse Driver\V5\StartAutorun.exe" [2007-03-06 212992] "CherryKeyMan"="d:\programme\Cherry\KeyMan\KeyMan.exe" [2005-09-21 254004] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-04-28 516440] "Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 112400] "RTHDCPL"="RTHDCPL.EXE" - c:\winnt\RTHDCPL.exe [2006-07-21 16261632] "SkyTel"="SkyTel.EXE" - c:\winnt\SkyTel.exe [2006-05-16 2879488] "nwiz"="nwiz.exe" - c:\winnt\system32\nwiz.exe [2006-10-22 1622016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [1999-12-10 20752] c:\dokumente und einstellungen\Default User.WINNT\Startmen\Programme\Autostart\ ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000] c:\dokumente und einstellungen\Default User.WINNT\Startmen\Programme\Autostart\ ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000] c:\dokumente und einstellungen\Default User.WINNT\Startmen\Programme\Autostart\ ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000] c:\dokumente und einstellungen\XXX L‚\Startmen\Programme\Autostart\ ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000] c:\dokumente und einstellungen\All Users.WINNT\Startmen\Programme\Autostart\ Adobe Acrobat Speed Launcher.lnk - c:\winnt\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2006-7-10 25214] BTTray.lnk - d:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2003-9-15 503869] Microsoft Office.lnk - d:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter] 2009-04-19 09:21 10520 ----a-w c:\winnt\system32\avgrsstx.dll HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32 "aux"= mmdrv.dll "wave3"= "wave4"= "wave5"= "wave6"= "wave7"= "wave8"= "wave9"= "midi2"= "midi3"= "midi4"= "midi5"= "midi6"= "midi7"= "midi8"= "midi9"= "aux3"= "aux4"= "aux5"= "aux6"= "aux7"= "aux8"= "aux9"= "mixer3"= "mixer4"= "mixer5"= "mixer6"= "mixer7"= "mixer8"= "mixer9"= [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" R3 Cherry Device Interface;Cherry Device Interface;d:\programme\Cherry\CDI\cdi.exe [2005-08-03 569390] R3 MBAMSwissArmy;MBAMSwissArmy;c:\winnt\system32\drivers\mbamswissarmy.sys [2009-04-06 38496] R3 sdAuxService;PC Tools Auxiliary Service;d:\programme\Spyware Doctor\pctsAuxs.exe [2009-01-07 348752] R3 TNPacket;T-Systems Nova Packet Capture Driver;d:\programme\T-DSL SpeedManager\TNPACKET.SYS [2002-10-09 9376] R3 TSMPacket;T-DSL SpeedManager Service; [x] R3 VC4CB104;USB PC Camera;c:\winnt\system32\Drivers\VC4CB104.SYS [2006-07-04 81924] S0 Lbd;Lbd;c:\winnt\system32\DRIVERS\Lbd.sys [2009-04-28 64160] S0 PCTCore;PCTools KDS;c:\winnt\system32\drivers\PCTCore.sys [2009-04-03 130936] S1 AvgLdx86;AVG AVI Loader Driver x86;c:\winnt\System32\Drivers\avgldx86.sys [2009-04-19 325640] S1 AvgTdiX;AVG8 Network Redirector;c:\winnt\System32\Drivers\avgtdix.sys [2009-04-19 108552] S2 Apache2.2;Apache2.2;d:\programme\xampp\apache\bin\apache.exe [2008-06-14 17408] S2 avg8emc;AVG8 E-mail Scanner;d:\progra~1\AVG\AVG8\avgemc.exe [2009-04-19 908056] S2 avg8wd;AVG8 WatchDog;d:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-04-19 298264] S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-04-28 953168] S2 NBSPortDriver;NBSPortDriver;c:\winnt\system32\DRIVERS\NBSPortDriver.sys [2007-05-21 17912] S2 vnccom;vnccom;c:\winnt\system32\Drivers\vnccom.SYS [2004-06-26 6016] S3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);c:\winnt\system32\DRIVERS\Ch2kPS2.sys [2005-04-29 134254] S3 usbhub20;USB 2.0-Root-Hub-Support;c:\winnt\system32\DRIVERS\usbhub20.sys [2003-06-19 49776] . Inhalt des "geplante Tasks" Ordners 2009-04-28 c:\winnt\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 23:03] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-autochk - c:\winnt\system32\autochk.dll . ------- Zusätzlicher Suchlauf ------- . uStart Page = IE: &Alles mit FlashGet laden - d:\programme\FlashGet\jc_all.htm IE: &Mit FlashGet laden - d:\programme\FlashGet\jc_link.htm IE: Convert link target to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert link target to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert selected links to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Convert selected links to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Convert selection to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert selection to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Send to Keyman - d:\programme\Cherry\KeyMan\IEMenuExtKeyman.html IE: Senden an &Bluetooth - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm IE: {{ECC5777A-6E88-BFCE-13CE-81F134789E7B} - d:\programme\IPPS\XM2002®\XM2002.exe LSP: %SystemRoot%\system32\msafd.dll DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\cs7fe47f.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - Leo Eng<->Ger FF - prefs.js: browser.startup.homepage - hxxp://www.benfica-online.de/index.php?hidden=1 FF - component: c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\cs7fe47f.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll FF - component: c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\cs7fe47f.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll FF - plugin: d:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF - plugin: d:\programme\Mozilla Firefox\plugins\NPAdbESD.dll FF - plugin: d:\programme\Mozilla Firefox\plugins\npatgpc.dll FF - plugin: d:\programme\Mozilla Firefox\plugins\NpFp415.dll FF - plugin: d:\programme\Mozilla Firefox\plugins\NpFv415.dll FF - plugin: d:\programme\Mozilla Firefox\plugins\npoctoshape.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll FF - plugin: d:\programme\Real Alternative\browser\plugins\nppl3260.dll FF - plugin: d:\programme\Real Alternative\browser\plugins\nprpjplug.dll ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-30 11:32 Windows 5.0.2195 Service Pack 4 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1645522239-1580818891-839522115-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:8c,cf,2c,81,5b,d5,ac,f0,a4,9c,d0,b3,f6,12,ae,fc,07,72,95,1f,8d,0c,85, da,38,fb,48,eb,db,e5,a7,8f,45,03,7d,06,c2,dd,b4,84,f7,b4,40,43,ca,58,b6,a0,\ "??"=hex:ec,7e,b4,c2,3a,db,09,bf,8a,55,a4,14,59,c0,17,dd [HKEY_USERS\S-1-5-21-1645522239-1580818891-839522115-1000\Software\SecuROM\License information*] "datasecu"=hex:38,b6,d2,7f,53,aa,6c,34,17,d4,bf,75,97,6d,34,31,dc,a2,65,41,b4, 3a,06,b1,11,f4,69,05,3e,87,08,23,02,18,96,83,73,1d,9d,f6,0e,f2,33,e9,2d,5d,\ "rkeysecu"=hex:1d,dd,43,8b,f7,dd,dd,31,e9,92,54,48,71,d9,24,2f . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(324) c:\winnt\system32\SSSensor.dll c:\winnt\system32\msv1_0.dll c:\winnt\system32\wzcdlg.dll c:\winnt\system32\WZCSAPI.DLL - - - - - - - > 'lsass.exe'(368) c:\winnt\system32\mpr.dll . Zeit der Fertigstellung: 2009-04-30 11:33 ComboFix-quarantined-files.txt 2009-04-30 09:33 Vor Suchlauf: 1.783.328.768 Bytes frei Nach Suchlauf: 2.176.565.248 Bytes frei 252 --- E O F --- 2009-04-17 06:09 |
Hi, das sieht recht gut aus, der Rootkit wurde von Combofix erwischt... Die Regeinträge müssen noch weg: Code: c:\dokumente und einstellungen\Default User.WINNT\Startmen\Programme\Autostart\http://www.zdnet.de/windows_system_verbessern_autostart_manager_2006_download-39002345-30529-1.htm Danach bitte unbedingt MAM laufen lassen... Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Poste dann noch mal ein HJ-Log und das MAM-Log... chris |
Denke es sieht gut aus. MAM hat zwar noch eine Datei gefunden, aber die befand sich bereits in Quarantäne. Was meinst du? Hier des MAM-Logfile Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2054 Windows 5.0.2195 Service Pack 4 30.04.2009 15:10:56 mbam-log-2009-04-30 (15-10-47).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|J:\|) Durchsuchte Objekte: 344766 Laufzeit: 1 hour(s), 23 minute(s), 30 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Qoobox\Quarantine\C\WINNT\system32\autochk.dll.vir (Worm.Autorun) -> No action taken. |
und hier das HJT-Logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:13:22, on 30.04.2009 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe D:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\acs.exe D:\programme\xampp\apache\bin\apache.exe C:\WINNT\ATKKBService.exe d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINNT\System32\svchost.exe C:\Programme\Interbase Corp\Interbase\bin\ibguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe D:\Programme\xampp\mysql\bin\mysqld-nt.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe d:\PROGRA~1\AVG\AVG8\avgemc.exe d:\Programme\AVG\AVG8\avgcsrvx.exe d:\PROGRA~1\AVG\AVG8\avgrsx.exe d:\PROGRA~1\AVG\AVG8\avgnsx.exe D:\programme\xampp\apache\bin\apache.exe C:\Programme\Interbase Corp\Interbase\bin\ibserver.exe C:\WINNT\system32\MSTask.exe d:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINNT\explorer.exe D:\Programme\Mozilla Firefox\firefox.exe D:\totalcmd\TOTALCMD.EXE C:\Programme\Macromedia\Dreamweaver 8\dreamweaver.exe D:\Programme\Malwarebytes' Anti-Malware\mbam.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - d:\Programme\FlashGet\fgiebar.dll O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - d:\Programme\AVG\AVG8\avgtoolbar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [AVG8_TRAY] d:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KMConfig] "D:\Programme\Multimedia Mouse Driver\V5\StartAutorun.exe" KMConfig.exe O4 - HKLM\..\Run: [CherryKeyMan] "D:\Programme\Cherry\KeyMan\KeyMan.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "D:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [WorkDayManager] "D:\Eigene Programme\ArbeittsTagManager\WorkDayManager.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Rainlendar2] d:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = D:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe O4 - Global Startup: BTTray.lnk = D:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Send to Keyman - D:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html O8 - Extra context menu item: Senden an &Bluetooth - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - D:\Programme\IPPS\XM2002®\XM2002.exe (file missing) O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - D:\Programme\IPPS\XM2002®\XM2002.exe (file missing) O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - d:\Programme\IrfanView\Ebay\Ebay.htm O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - d:\Programme\AVG\AVG8\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: avgrsstarter - C:\WINNT\SYSTEM32\avgrsstx.dll O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINNT\system32\acs.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache2.2 - Apache Software Foundation - D:\programme\xampp\apache\bin\apache.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINNT\ATKKBService.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - D:\Programme\Cherry\CDI\cdi.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - InterBase Software Corp. - C:\Programme\Interbase Corp\Interbase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - InterBase Software Corp. - C:\Programme\Interbase Corp\Interbase\bin\ibserver.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: mysql - Unknown owner - D:\Programme\xampp\mysql\bin\mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - d:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - d:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Programme\T-DSL SpeedManager\tsmsvc.exe -- End of file - 10591 bytes |
Hi, das HJ-Log sieht sauber aus... Zur Sicherheit noch Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Liste der Anhänge anzeigen (Anzahl: 1) Hier der Screenshot, scheinbar existiert doch noch was. |
Hi, vfind.exe sollte zu den benutzten Tools gehören... Nenne sie einfach um vfind.exe -> vfinde.exe.vir... chris |
Liste der Anhänge anzeigen (Anzahl: 1) Jetzt sind es schon zwei. das umbenennen hat nichts gebracht. wird immer noch als Malware erkannt. |
Hi, lass bitte den zweiten Eintrag bei virustotal prüfen (ich kann den Namen nicht entziffern). Wenn es sich dabei um "psexesvc.exe" handelt, dann gehört es wie vfind.exe zu combofix.... Nenne auch die zweite auf .vir um... Combofix deinstallieren: Start->Ausführen combofix /u Sind sie dann immer noch da: KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html oder http://www.wintotal.de/Software/index.php?id=4101 Options: Delete on Reboot --> anhaken reinkopieren: Code: c:\winnt\vfind.exe.virPC neustarten chris |
OK scheint alles in Ordnung zu sein. Ich danke dir für deine Hilfe. Weiß nicht was ich ohne deine Tipps gemacht hätte. Wahrscheinlich hätte ich neu installiert. Daher nochmals tausend Dank. |
habe das gleiche problem hoffe du kannst auch mir helfen. |
@Eros, bitte eigenen Thread einstellen und alles abarbeiten, was unter dem Link in meiner Signatur für den "Erstbeitrag" steht... Bin jetzt erstmal weg, morgen wieder kurz da... (07:00 - 09:00 Uhr)... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board