|
hey..sorry das ich mich so lange nicht gemeldet hab hoffe du hilfst mir trozdem weiter.. wäre super danke schön.. hoffe das ist der log: ComboFix 09-05-15.08 - qs 16.05.2009 19:39.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.319.112 [GMT 2:00] ausgeführt von:: i:\downloads\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . d:\recycler\S-1-5-21-1229272821-839522115-1429171011-501\Dd1.lnk d:\recycler\S-1-5-21-1229272821-839522115-1429171011-501\INFO2 d:\windows\system32\muzapp.exe I:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2009-04-16 bis 2009-05-16 )))))))))))))))))))))))))))))) . 2009-05-16 16:50 . 2009-05-16 16:51 -------- d-----w D:\rsit 2009-05-16 11:31 . 2009-05-16 11:31 -------- d-----w d:\dokumente und einstellungen\qs\Anwendungsdaten\Malwarebytes 2009-05-16 11:31 . 2009-04-06 13:32 15504 ----a-w d:\windows\system32\drivers\mbam.sys 2009-05-16 11:31 . 2009-04-06 13:32 38496 ----a-w d:\windows\system32\drivers\mbamswissarmy.sys 2009-05-16 11:31 . 2009-05-16 11:31 -------- d-----w d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-05-16 09:39 . 2009-05-16 10:36 -------- d-----w d:\programme\Navilog1 2009-05-03 17:44 . 2009-05-03 17:45 -------- d-----w d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\ZattooPlayer 2009-05-03 17:41 . 2009-05-10 13:09 -------- d-----w d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\Zattoo 2009-04-18 18:29 . 2009-02-06 10:10 227840 -c----w d:\windows\system32\dllcache\wmiprvse.exe 2009-04-18 18:29 . 2009-03-06 14:19 286720 -c----w d:\windows\system32\dllcache\pdh.dll 2009-04-18 18:29 . 2009-02-09 11:21 111104 -c----w d:\windows\system32\dllcache\services.exe 2009-04-18 18:29 . 2009-02-09 10:51 401408 -c----w d:\windows\system32\dllcache\rpcss.dll 2009-04-18 18:29 . 2009-02-09 10:51 473600 -c----w d:\windows\system32\dllcache\fastprox.dll 2009-04-18 18:29 . 2009-02-09 10:51 678400 -c----w d:\windows\system32\dllcache\advapi32.dll 2009-04-18 18:29 . 2009-02-09 10:51 736768 -c----w d:\windows\system32\dllcache\lsasrv.dll 2009-04-18 18:29 . 2009-02-09 10:51 453120 -c----w d:\windows\system32\dllcache\wmiprvsd.dll 2009-04-18 18:29 . 2009-02-09 10:51 740352 -c----w d:\windows\system32\dllcache\ntdll.dll 2009-04-18 18:24 . 2008-04-21 21:13 217600 -c----w d:\windows\system32\dllcache\wordpad.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-16 14:49 . 2005-07-11 20:59 -------- d--h--w d:\programme\InstallShield Installation Information 2009-05-16 14:48 . 2008-03-31 17:44 -------- d-----w d:\programme\LaserSoft 2009-05-16 14:25 . 2007-01-01 15:52 -------- d-----w d:\programme\Google 2009-04-21 19:45 . 2005-07-11 19:07 28864 -c--a-w d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-19 09:17 . 2004-08-04 12:00 74996 ----a-w d:\windows\system32\perfc007.dat 2009-04-19 09:17 . 2004-08-04 12:00 415470 ----a-w d:\windows\system32\perfh007.dat 2009-04-04 17:22 . 2009-04-04 17:00 1 ----a-w d:\windows\system32\krx240.dat 2009-04-03 11:12 . 2008-05-08 11:05 -------- d-----w d:\programme\GIMP-2.0 2009-03-30 14:06 . 2005-07-11 19:41 -------- d-----w d:\programme\Gemeinsame Dateien\Adobe 2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w d:\windows\system32\pdh.dll 2009-03-03 00:03 . 2004-08-04 12:00 826368 ----a-w d:\windows\system32\wininet.dll 2009-02-20 16:49 . 2004-08-04 12:00 78336 ----a-w d:\windows\system32\ieencode.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-03-11 171448] "SweetIM"="d:\programme\Macrogaming\SweetIM\SweetIM.exe" [2006-12-27 73840] "ctfmon.exe"="d:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Steam"="i:\steam\Steam.exe" [2009-01-20 1410296] "Eraser"="i:\eraser\Eraser\eraser.exe" [2007-12-22 916240] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2007-06-29 286720] "AVMWlanClient"="d:\programme\avmwlanstick\wlangui.exe" [2007-12-19 1748992] "avgnt"="i:\avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792] "BluetoothAuthenticationAgent"="bthprops.cpl" - d:\windows\system32\bthprops.cpl [2008-04-14 110592] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360] d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Google Updater.lnk - d:\programme\Google\Google Updater\GoogleUpdater.exe [2007-3-11 124152] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32 "wave1"= serwvdrv.dll "wave3"= serwvdrv.dll [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^Lina^Startmenü^Programme^Autostart^StarOffice 7.lnk] HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "i:\\Steam\\SteamApps\\common\\trackmania nations forever\\TmForever.exe"= "i:\\Steam\\SteamApps\\common\\trackmania nations forever\\TmForeverLauncher.exe"= "i:\\spiele\\Worms Armageddon\\WA.exe"= "i:\\Qip 2\\qip.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "d:\\Dokumente und Einstellungen\\qs\\Anwendungsdaten\\U3\\2444611DE8C27F86\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\Skype.exe"= "d:\\Programme\\Mozilla Firefox\\firefox.exe"= "i:\\downloads\\cs2d_0113_win\\CounterStrike2D.exe"= "i:\\zattoo\\zattood.exe"= "i:\\zattoo\\Zattoo2.exe"= R3 FWLANUSB;AVM FRITZ!WLAN;d:\windows\system32\drivers\fwlanusb.sys [21.11.2008 17:15 265088] S3 avmeject;AVM Eject;d:\windows\system32\drivers\avmeject.sys [21.11.2008 17:15 4352] S3 AVMUNET;AVM FRITZ!Box;d:\windows\system32\drivers\avmunet.sys [27.01.2007 16:48 15104] S3 jbridgep;jbridgep;\??\d:\dokume~1\qs\LOKALE~1\Temp\jbridgep.sys --> d:\dokume~1\qs\LOKALE~1\Temp\jbridgep.sys [?] S3 PCD61X3;PCD61X3;\??\d:\dokume~1\qs\LOKALE~1\Temp\PCD61X3.sys --> d:\dokume~1\qs\LOKALE~1\Temp\PCD61X3.sys [?] S3 PCD61X4;PCD61X4;\??\d:\dokume~1\qs\LOKALE~1\Temp\PCD61X4.sys --> d:\dokume~1\qs\LOKALE~1\Temp\PCD61X4.sys [?] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-SMSTray - F:\SMSTray.exe . ------- Zusätzlicher Suchlauf ------- . DPF: Microsoft XML Parser for Java - file://d:\windows\Java\classes\xmldso.cab FF - ProfilePath - d:\dokumente und einstellungen\qs\Anwendungsdaten\Mozilla\Firefox\Profiles\vm99j4jp.default\ FF - prefs.js: browser.startup.homepage - hxxp://search.orbitdownloader.com FF - plugin: d:\dokumente und einstellungen\qs\Anwendungsdaten\Mozilla\Firefox\Profiles\vm99j4jp.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava11.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava12.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava13.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava14.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava32.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJPI142.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPOJI610.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-05-16 19:43 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\ATI Technologies Inc.\ATI-Treiber] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE UserData NT\RegBackup] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE.HKCUZoneInfo\RegBackup] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE40.BrowseUI\RegBackup] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE40.UserAgent\RegBackup] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{292AE934-4F49-40bb-9E7E-6F6398ED9C31}] @DACL=(02 0000) "FriendlyName"="Nero Fast CD-Burning Plug-in" "Description"="Brennen Sie Ihre CD" "Capabilities"=dword:40000001 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows Media Device Manager\Plugins\SP\NeroBurnPlugin] @DACL=(02 0000) "ProgID"="MDNeroBurnPlugin.MDNeroBurnPlugin" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(588) d:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-05-16 19:47 ComboFix-quarantined-files.txt 2009-05-16 17:46 Vor Suchlauf: 5.527.953.408 Bytes frei Nach Suchlauf: 5.546.303.488 Bytes frei 153 --- E O F --- 2009-05-14 14:05 |
Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
ok..hab ich erledigt..und jetzt? ComboFix 09-05-26.05 - qs 27.05.2009 17:39.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.319.130 [GMT 2:00] ausgeführt von:: d:\dokumente und einstellungen\qs\Desktop\ComboFix.exe Benutzte Befehlsschalter :: d:\dokumente und einstellungen\qs\Desktop\cfscript.txt AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt FILE :: "d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT" "d:\windows\system32\perfc007.dat" "d:\windows\system32\perfh007.dat" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT d:\programme\Google\GoogleToolbarNotifier d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\Readme.txt d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\res_de.dll d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\swg.dll d:\programme\Navilog1 d:\programme\Navilog1\Backupnavi\omwyk.dat d:\programme\Navilog1\Backupnavi\OMWYK.EXE-045F25E2.pf d:\programme\Navilog1\Backupnavi\omwyk.exe d:\programme\Navilog1\Backupnavi\omwyk_nav.dat d:\programme\Navilog1\Backupnavi\omwyk_navps.dat d:\programme\Navilog1\catchme.exe d:\programme\Navilog1\Contents\Filess.bat d:\programme\Navilog1\Contents\Folders.bat d:\programme\Navilog1\Contents\Folderss.bat d:\programme\Navilog1\Contents\Gnc2.bat d:\programme\Navilog1\Contents\Gnc2su.bat d:\programme\Navilog1\Contents\Gncs.bat d:\programme\Navilog1\Contents\Gncssfil.bat d:\programme\Navilog1\Contents\Heurs.bat d:\programme\Navilog1\Contents\Heurss.bat d:\programme\Navilog1\Contents\Orphus.bat d:\programme\Navilog1\Contents\Wlist.bat d:\programme\Navilog1\GetPaths.exe d:\programme\Navilog1\gnc.exe d:\programme\Navilog1\navilog1.bat d:\programme\Navilog1\Navreb.bat d:\programme\Navilog1\oem2ansi.exe d:\programme\Navilog1\OsV.exe d:\programme\Navilog1\Process.exe d:\programme\Navilog1\reg.exe d:\programme\Navilog1\regnavi.reg d:\programme\Navilog1\Report\catchmeF.log d:\programme\Navilog1\Report\catchmeP.log d:\programme\Navilog1\Report\debug.txt d:\programme\Navilog1\Safebackup\backup_registry.dat d:\programme\Navilog1\Safebackup\HKCU_Run.reg d:\programme\Navilog1\Safebackup\HKCU_Soft.reg d:\programme\Navilog1\Safebackup\HKLM_Arpcache.reg d:\programme\Navilog1\Safebackup\HKLM_Run.reg d:\programme\Navilog1\Safebackup\HKLM_Soft.reg d:\programme\Navilog1\Safebackup\HKLM_Startupreg.reg d:\programme\Navilog1\Safebackup\HKLM_Uninstall.reg d:\programme\Navilog1\traite.bat d:\programme\Navilog1\traite2.bat d:\programme\Navilog1\traite3.bat d:\programme\Navilog1\unins000.dat d:\programme\Navilog1\unins000.exe D:\rsit d:\rsit\info.txt d:\rsit\log.txt d:\windows\system32\perfc007.dat d:\windows\system32\perfh007.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_JBRIDGEP -------\Legacy_PCD61X3 -------\Legacy_PCD61X4 -------\Service_jbridgep -------\Service_PCD61X3 -------\Service_PCD61X4 ((((((((((((((((((((((( Dateien erstellt von 2009-04-27 bis 2009-05-27 )))))))))))))))))))))))))))))) . 2009-05-16 11:31 . 2009-05-16 11:31 -------- d-----w d:\dokumente und einstellungen\qs\Anwendungsdaten\Malwarebytes 2009-05-16 11:31 . 2009-04-06 13:32 15504 ----a-w d:\windows\system32\drivers\mbam.sys 2009-05-16 11:31 . 2009-04-06 13:32 38496 ----a-w d:\windows\system32\drivers\mbamswissarmy.sys 2009-05-16 11:31 . 2009-05-16 11:31 -------- d-----w d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-05-03 17:44 . 2009-05-03 17:45 -------- d-----w d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\ZattooPlayer 2009-05-03 17:41 . 2009-05-25 17:27 -------- d-----w d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\Zattoo . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-27 15:40 . 2007-01-01 15:52 -------- d-----w d:\programme\Google 2009-05-27 14:39 . 2008-12-14 11:36 75096 ----a-w d:\windows\system32\drivers\avipbb.sys 2009-05-16 14:49 . 2005-07-11 20:59 -------- d--h--w d:\programme\InstallShield Installation Information 2009-05-16 14:48 . 2008-03-31 17:44 -------- d-----w d:\programme\LaserSoft 2009-05-11 19:06 . 2008-02-23 18:02 -------- d-----w d:\dokumente und einstellungen\qs\Anwendungsdaten\gtk-2.0 2009-04-30 20:12 . 2009-01-12 17:39 -------- d-----w d:\dokumente und einstellungen\qs\Anwendungsdaten\dvdcss 2009-04-04 17:22 . 2009-04-04 17:00 1 ----a-w d:\windows\system32\krx240.dat 2009-04-04 16:59 . 2009-04-04 16:59 -------- d-----w d:\dokumente und einstellungen\qs\Anwendungsdaten\Kristanix Software 2009-04-03 11:12 . 2008-05-08 11:05 -------- d-----w d:\programme\GIMP-2.0 2009-03-30 14:06 . 2005-07-11 19:41 -------- d-----w d:\programme\Gemeinsame Dateien\Adobe 2009-03-07 09:54 . 2008-02-18 17:06 1 ----a-w d:\dokumente und einstellungen\qs\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w d:\windows\system32\pdh.dll 2009-03-03 00:03 . 2004-08-04 12:00 826368 ----a-w d:\windows\system32\wininet.dll . ((((((((((((((((((((((((((((((((((((((( System Restore ))))))))))))))))))))))))))))))))))))))))))))))))))) . d:\32788r22fwjfw\pv.exe 02.03.2006 23:42 73728 \RP516\A0229950.exe d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\ctor.dll 16.07.2004 00:20 69715 \RP513\A0227540.dll d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\DotNetInstaller.exe 16.07.2004 00:18 5632 \RP513\A0227536.exe d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iGdi.dll 10.09.2008 10:51 180356 \RP513\A0227538.dll d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iKernel.dll 22.03.2005 17:50 733184 \RP513\A0227543.dll d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iscript.dll 16.07.2004 00:19 266240 \RP513\A0227541.dll d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iuser.dll 16.07.2004 00:18 172032 \RP513\A0227539.dll d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\setup.dll 10.09.2008 10:51 303236 \RP513\A0227542.dll d:\programme\Google\GoogleToolbar2.dll 11.03.2007 13:47 2427968 \RP512\A0227520.dll d:\programme\Google\googletoolbar2user.exe 11.03.2007 13:48 52272 \RP512\A0227521.exe d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe 11.03.2007 13:48 171448 \RP517\A0230034.exe d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\res_de.dll 11.03.2007 13:48 48128 \RP517\A0230035.dll d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\swg.dll 11.03.2007 13:48 256440 \RP517\A0230036.dll d:\programme\InstallShield Installation Information\{2806ECD7-D23E-45D7-A918-D6E5EA1C4D8E}\_setup.dll 10.09.2008 10:51 159744 \RP513\A0227537.dll d:\programme\InstallShield Installation Information\{2806ECD7-D23E-45D7-A918-D6E5EA1C4D8E}\setup.exe 10.09.2008 10:51 119016 \RP513\A0227535.exe 28.04.2009 20:54 17400 d:\programme\Mozilla Firefox\AccessibleMarshal.dll 24.04.2009 16:39 17400 \RP503\A0221507.dll 28.04.2009 20:54 23032 d:\programme\Mozilla Firefox\components\browserdirprovider.dll 24.04.2009 16:39 23032 \RP503\A0221509.dll 28.04.2009 20:54 134648 d:\programme\Mozilla Firefox\components\brwsrcmp.dll 24.04.2009 16:39 134648 \RP503\A0221510.dll 28.04.2009 20:54 185848 d:\programme\Mozilla Firefox\crashreporter.exe 24.04.2009 16:39 185848 \RP503\A0221511.exe 28.04.2009 20:54 307704 d:\programme\Mozilla Firefox\firefox.exe 24.04.2009 16:39 307704 \RP503\A0221512.exe 28.04.2009 20:54 233472 d:\programme\Mozilla Firefox\freebl3.dll 24.04.2009 16:39 233472 \RP503\A0221513.dll 28.04.2009 20:54 697336 d:\programme\Mozilla Firefox\js3250.dll 24.04.2009 16:39 697848 \RP503\A0221514.dll 28.04.2009 20:54 710136 d:\programme\Mozilla Firefox\mozcrt19.dll 24.04.2009 16:39 710136 \RP503\A0221515.dll 28.04.2009 20:54 198136 d:\programme\Mozilla Firefox\nspr4.dll 24.04.2009 16:39 198136 \RP503\A0221516.dll 28.04.2009 20:54 718328 d:\programme\Mozilla Firefox\nss3.dll 24.04.2009 16:39 718328 \RP503\A0221517.dll 28.04.2009 20:54 292344 d:\programme\Mozilla Firefox\nssckbi.dll 24.04.2009 16:39 292344 \RP503\A0221518.dll 28.04.2009 20:54 103928 d:\programme\Mozilla Firefox\nssdbm3.dll 24.04.2009 16:39 103928 \RP503\A0221519.dll 28.04.2009 20:54 87544 d:\programme\Mozilla Firefox\nssutil3.dll 24.04.2009 16:39 87544 \RP503\A0221520.dll 28.04.2009 20:54 20472 d:\programme\Mozilla Firefox\plc4.dll 24.04.2009 16:39 20472 \RP503\A0221522.dll 28.04.2009 20:54 17400 d:\programme\Mozilla Firefox\plds4.dll 24.04.2009 16:39 17400 \RP503\A0221523.dll 28.04.2009 20:54 65528 d:\programme\Mozilla Firefox\plugins\npnul32.dll 24.04.2009 16:39 65528 \RP503\A0221524.dll 28.04.2009 20:54 103928 d:\programme\Mozilla Firefox\smime3.dll 24.04.2009 16:39 103928 \RP503\A0221525.dll 28.04.2009 20:54 151552 d:\programme\Mozilla Firefox\softokn3.dll 24.04.2009 16:39 151552 \RP503\A0221526.dll 28.04.2009 20:54 395768 d:\programme\Mozilla Firefox\sqlite3.dll 24.04.2009 16:39 395768 \RP503\A0221527.dll 28.04.2009 20:54 136696 d:\programme\Mozilla Firefox\ssl3.dll 24.04.2009 16:39 136696 \RP503\A0221528.dll 28.04.2009 20:54 510576 d:\programme\Mozilla Firefox\uninstall\helper.exe 24.04.2009 16:39 510568 \RP503\A0221529.exe 28.04.2009 20:54 242168 d:\programme\Mozilla Firefox\updater.exe 24.04.2009 16:39 242168 \RP503\A0221530.exe 28.04.2009 20:54 17912 d:\programme\Mozilla Firefox\xpcom.dll 24.04.2009 16:39 17912 \RP503\A0221531.dll 28.04.2009 20:54 9756664 d:\programme\Mozilla Firefox\xul.dll 24.04.2009 16:39 9758200 \RP503\A0221532.dll d:\programme\Navilog1\Backupnavi\omwyk.exe 15.05.2009 17:09 324608 \RP517\A0230037.exe d:\programme\Navilog1\catchme.exe 22.10.2008 20:54 145920 \RP517\A0230038.exe d:\programme\Navilog1\Contents\Filess.bat 05.11.2008 20:45 8446 \RP517\A0230039.bat d:\programme\Navilog1\Contents\Folders.bat 14.03.2009 18:26 1429 \RP517\A0230040.bat d:\programme\Navilog1\Contents\Folderss.bat 14.03.2009 18:28 7217 \RP517\A0230041.bat d:\programme\Navilog1\Contents\Gnc2.bat 08.12.2008 10:53 1615 \RP517\A0230042.bat d:\programme\Navilog1\Contents\Gnc2su.bat 08.12.2008 10:54 1575 \RP517\A0230043.bat d:\programme\Navilog1\Contents\Gncs.bat 10.12.2008 20:26 5147 \RP517\A0230044.bat d:\programme\Navilog1\Contents\Gncssfil.bat 29.09.2008 16:20 3936 \RP517\A0230045.bat d:\programme\Navilog1\Contents\Heurs.bat 07.02.2009 10:46 4654 \RP517\A0230046.bat d:\programme\Navilog1\Contents\Heurss.bat 16.02.2009 13:54 4780 \RP517\A0230047.bat d:\programme\Navilog1\Contents\Orphus.bat 13.11.2008 21:56 2662 \RP517\A0230048.bat d:\programme\Navilog1\Contents\Wlist.bat 03.11.2008 10:37 4885 \RP517\A0230049.bat d:\programme\Navilog1\GetPaths.exe 25.04.2008 21:48 98304 \RP517\A0230050.exe d:\programme\Navilog1\gnc.exe 05.06.2008 18:18 5737 \RP517\A0230051.exe d:\programme\Navilog1\navilog1.bat 12.05.2009 21:34 323612 \RP517\A0230052.bat d:\programme\Navilog1\Navreb.bat 12.05.2009 21:32 192717 \RP517\A0230053.bat d:\programme\Navilog1\oem2ansi.exe 25.08.2006 11:18 1536 \RP517\A0230054.exe d:\programme\Navilog1\OsV.exe 25.10.2008 00:33 24062 \RP517\A0230055.exe d:\programme\Navilog1\Process.exe 05.06.2003 21:13 53248 \RP517\A0230056.exe d:\programme\Navilog1\reg.exe 15.09.2007 01:24 17920 \RP517\A0230057.exe d:\programme\Navilog1\regnavi.reg 14.03.2009 18:24 67444 \RP517\A0230058.reg d:\programme\Navilog1\Safebackup\HKCU_Run.reg 16.05.2009 12:17 984 \RP517\A0230059.reg d:\programme\Navilog1\Safebackup\HKCU_Soft.reg 16.05.2009 12:19 15134972 \RP517\A0230060.reg d:\programme\Navilog1\Safebackup\HKLM_Arpcache.reg 16.05.2009 12:17 984018 \RP517\A0230061.reg d:\programme\Navilog1\Safebackup\HKLM_Run.reg 16.05.2009 12:17 1986 \RP517\A0230062.reg d:\programme\Navilog1\Safebackup\HKLM_Soft.reg 16.05.2009 12:18 27525714 \RP517\A0230063.reg d:\programme\Navilog1\Safebackup\HKLM_Startupreg.reg 16.05.2009 12:17 5682 \RP517\A0230064.reg d:\programme\Navilog1\Safebackup\HKLM_Uninstall.reg 16.05.2009 12:17 229744 \RP517\A0230065.reg d:\programme\Navilog1\traite.bat 01.11.2007 21:41 236 \RP517\A0230066.bat d:\programme\Navilog1\traite2.bat 29.11.2007 15:39 210 \RP517\A0230067.bat d:\programme\Navilog1\traite3.bat 29.03.2008 21:20 202 \RP517\A0230068.bat d:\programme\Navilog1\unins000.exe 16.05.2009 11:39 685849 \RP517\A0230069.exe 27.05.2009 16:39 75096 d:\windows\system32\drivers\avipbb.sys 30.10.2008 11:21 75072 \RP516\A0229884.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Steam"="i:\steam\Steam.exe" [2009-05-19 1217784] "Eraser"="i:\eraser\Eraser\eraser.exe" [2007-12-22 916240] "ctfmon.exe"="d:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMWlanClient"="d:\programme\avmwlanstick\wlangui.exe" [2007-12-19 1748992] "avgnt"="i:\avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "BluetoothAuthenticationAgent"="bthprops.cpl" - d:\windows\system32\bthprops.cpl [2008-04-14 110592] d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Google Updater.lnk - d:\programme\Google\Google Updater\GoogleUpdater.exe [2007-3-11 124152] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32 "wave1"= serwvdrv.dll "wave3"= serwvdrv.dll [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^Lina^Startmenü^Programme^Autostart^StarOffice 7.lnk] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "i:\\Steam\\SteamApps\\common\\trackmania nations forever\\TmForever.exe"= "i:\\Steam\\SteamApps\\common\\trackmania nations forever\\TmForeverLauncher.exe"= "i:\\spiele\\Worms Armageddon\\WA.exe"= "i:\\Qip 2\\qip.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "d:\\Dokumente und Einstellungen\\qs\\Anwendungsdaten\\U3\\2444611DE8C27F86\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\Skype.exe"= "d:\\Programme\\Mozilla Firefox\\firefox.exe"= "i:\\downloads\\cs2d_0113_win\\CounterStrike2D.exe"= "i:\\zattoo\\zattood.exe"= "i:\\zattoo\\Zattoo2.exe"= R3 FWLANUSB;AVM FRITZ!WLAN;d:\windows\system32\drivers\fwlanusb.sys [21.11.2008 17:15 265088] S3 avmeject;AVM Eject;d:\windows\system32\drivers\avmeject.sys [21.11.2008 17:15 4352] S3 AVMUNET;AVM FRITZ!Box;d:\windows\system32\drivers\avmunet.sys [27.01.2007 16:48 15104] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - Netman *Deregistered* - Nla *Deregistered* - PolicyAgent *Deregistered* - ProtectedStorage *Deregistered* - RasMan *Deregistered* - RpcSs *Deregistered* - SamSs *Deregistered* - Schedule *Deregistered* - seclogon *Deregistered* - SENS *Deregistered* - SharedAccess *Deregistered* - ShellHWDetection *Deregistered* - Spooler *Deregistered* - srservice *Deregistered* - SSDPSRV *Deregistered* - stisvc *Deregistered* - TapiSrv *Deregistered* - TermService *Deregistered* - Themes *Deregistered* - TrkWks *Deregistered* - W32Time *Deregistered* - WebClient *Deregistered* - winmgmt *Deregistered* - wscsvc *Deregistered* - wuauserv . - - - - Entfernte verwaiste Registrierungseinträge - - - - SafeBoot-procexp90.Sys . ------- Zusätzlicher Suchlauf ------- . DPF: Microsoft XML Parser for Java - file://d:\windows\Java\classes\xmldso.cab FF - ProfilePath - d:\dokumente und einstellungen\qs\Anwendungsdaten\Mozilla\Firefox\Profiles\vm99j4jp.default\ FF - prefs.js: browser.startup.homepage - hxxp://search.orbitdownloader.com FF - plugin: d:\dokumente und einstellungen\qs\Anwendungsdaten\Mozilla\Firefox\Profiles\vm99j4jp.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava11.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava12.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava13.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava14.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava32.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJPI142.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPOJI610.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-05-27 17:49 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{292AE934-4F49-40bb-9E7E-6F6398ED9C31}] @DACL=(02 0000) "FriendlyName"="Nero Fast CD-Burning Plug-in" "Description"="Brennen Sie Ihre CD" "Capabilities"=dword:40000001 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(592) d:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(1048) d:\windows\system32\msls31.dll d:\windows\system32\WPDShServiceObj.dll d:\windows\system32\PortableDeviceTypes.dll d:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . d:\windows\system32\ati2evxx.exe i:\avira\AntiVir PersonalEdition Classic\sched.exe i:\avira\AntiVir PersonalEdition Classic\avguard.exe d:\windows\system32\ati2evxx.exe d:\programme\avmwlanstick\WLanNetService.exe d:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe d:\windows\system32\rundll32.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-05-27 18:01 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-05-27 16:01 ComboFix2.txt 2009-05-16 17:47 Vor Suchlauf: 5.586.759.680 Bytes frei Nach Suchlauf: 5.474.521.088 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(1)\WINNT="Windows NT Workstation, Version 4.0" multi(0)disk(0)rdisk(0)partition(1)\WINNT="Windows NT Workstation, Version 4.0 [VGA-Modus]" /basevideo /sos 382 --- E O F --- 2009-05-14 14:05 |
1.) Start => Ausführen => combofix /u => OK. 2.) http://www.trojaner-board.de/54192-a...tellungen.html, Log posten 3.) Neues HJT-Log posten. ciao, andreas |
wenn ich "combofix /u" in ausführen einfüge offnet sich combofix und sagt das ich avira schließen soll.. soll ich das machen? mfg baumliebe |
sorry..hätte es einfach machen sollen..habs jetzt combofix deinstaliert und mache mit punkt 2 weiter.. |
Ja. ciao, andreas |
hallo.. ich hatte einige komplikationen mit der neuen avira version ich habe aber jetzt die einstellungen übernommen..aber wo inde ich jetzt den log dazu? oder meinst du ich soll eine systemprüfung mit diesen einstellungen machen und diesen log dann posten? |
Das zweite. :) ciao, andreas |
ok..habs gestartet=) sorry und danke |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:35 Uhr. |
Copyright ©2000-2024, Trojaner-Board