|
A0128560.EXE -> JOKE/Limbo.Careless Hallo an alle, ich bin mit meinem Latein am Ende. Seit drei Tagen plobbt AntiVir immer wieder mit verschiedenen Meldungen auf: 1. In der Datei 'C:\System Volume Information\_restore{8E55C5FF-FCCD-405E-A137-108D92245DF3}\RP610\A0127541.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. 2. In der Datei 'C:\System Volume Information\_restore{8E55C5FF-FCCD-405E-A137-108D92245DF3}\RP610\A0127541.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. 3. In der Datei 'C:\System Volume Information\_restore{8E55C5FF-FCCD-405E-A137-108D92245DF3}\RP611\A0128555.EXE' wurde ein Virus oder unerwünschtes Programm 'JOKE/Flipped' [joke] gefunden. 4. In der Datei 'C:\System Volume Information\_restore{8E55C5FF-FCCD-405E-A137-108D92245DF3}\RP611\A0128555.EXE' wurde ein Virus oder unerwünschtes Programm 'JOKE/Flipped' [joke] gefunden. 5. In der Datei 'C:\System Volume Information\_restore{8E55C5FF-FCCD-405E-A137-108D92245DF3}\RP611\A0128555.EXE' wurde ein Virus oder unerwünschtes Programm 'JOKE/Flipped' [joke] gefunden. usw. Ich hab das Netz auf den Kopf gestellt und auch hier schon nach ähnlichen Problemen gesucht. Leider hab ich lediglich etwas zu dem hier 'TR/Crypt.XPACK.Gen' gefunden, nur leider nicht in Kombination mit diesen A***.exe files. Ich hab keine Ahnung was ich tun soll. AntiVir findet bei einem vollständigem Suchlauf nichts. Malwarebytes Anti-Malware lässt sich nicht installieren. Mein System: XP Pro ServicePack 3 Ihr seid meine letzte Hoffnung..Ich möchte unbedingt vermeiden mein System neu aufsetzen zu müssen. Könnt Ihr mir helfen??? Bitte????Was braucht ihr für Infos von mir??? Vielen Dank im Vorraus.. Grüße David |
Nachtrag: A0128560.EXE -> JOKE/Limbo.Careless Hier noch ein Nachtrag..das LogFile von hijacktis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:57:49, on 20.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Gemeinsame Dateien\AAV\aavus.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Uni VPN Client\cvpnd.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe C:\Programme\Microsoft LifeCam\MSCamS32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Vtune\TBPanel.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\XXXXXX\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TBPanel] C:\Programme\Vtune\TBPanel.exe /A O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_SDD.tmp" /EF "HKCU" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.de O17 - HKLM\Software\..\Telephony: DomainName = ***.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ***.de,***.de,***.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.de O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ***.de O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = ***.de,***.de,***.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ***.de,***.de,***.de O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe O23 - Service: Aavpti9skadi - Unknown owner - (no file) O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: BroadCam Video Streaming Server (BroadCamService) - NCH Software - C:\Programme\NCH Software\BroadCam\broadcam.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Uni VPN Client\cvpnd.exe O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - e:\studium\hardwarebeschreibungssprache\altera\quartus\bin\jtagserver.exe (file missing) O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 9341 bytes Ich hoffe wirklich das mir jemand helfen kann..Grüße |
Hallo und :hallo: Code: O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.de |
Vielen dank, dass du dich meiner annimmst.. das ist kein Bürorechner..ich habe die "****" dort eingefügt, weil ich gelesen hatte man solle, adressen unkenntlich machen.. |
Ja aber eben dieser Eintrag deutet darauf hin, dass der Rechner Mitglied einer Windows-Server-Domäne ist und das ist bei reinen Privatrechnern eher unüblich :rolleyes: |
Ah..ok..ich verstehe..ich studiere und wohne auf dem campus. ich hänge hier am hausnetz und das wiederum am uninetz. der admin vom haus hatte mir ja den tip gegeben mich bei euch zu melden.. hoffe ihr könnt mir helfen..? Grüße |
Ok, dann mal diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
Danke für deine Hilfe, aber bei der Installation von Malwarebytes Anti-Malware kommt am Ende der Installation ein Laufzeitfehler '0' und nach der Bestätigung mit OK der Laufzeitfehler '440'. mehr passiert nicht. Ich kann das Programm zwar insatllieren, aber nicht starten. Mache ich etwas falsch?? Grüße |
Also..hab die Anleitung bis auf den punkt malwarebytes abgearbeitet. Stattdessen hab ich mit dem Onlinesystem von Bitdefender eine Suche durchgeführt-> keine Funde! hier die Logfiles von rsit: http://www.file-upload.net/download-1957136/rsit.zip.html hoffe du kannst mir helfen.. Grüße |
Bzgl MalwareBytes: Schonmal AntiVir und ZoneAlarm deaktviert? |
das Problem besteht weiterhin.. siehe Bilder: http://www.bildupload.com/index.php?image=20e1f13cde61f2fb60e3273b66ee507b Grüße |
Aus dem MBAM-Forum: Run-time error 0, Run-time error 440 automation error - Malwarebytes Forum Übersetzt: 1.) MalwareBytes komplett deinstallieren, Rechner neustarten 2.) MalwareBytes-Setup neu runterladen und installieren 3.) mbam-rules laden und installieren Wenn das nicht hilft, müssen wir erstmal ohne MalwareBytes auskommen. |
Hat alles leider nichts geholfen..habs genauso gemacht..fehlanzeige! |
Statt MBAM: Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. |
ein Fund: der Pfad: C:\Dokumente und Einstellungen\***\Desktop Status: Threat Name: audioconverter.exe Threat Identified: Medium Risk Malware Das ist ein Programm, um aus der DTS Spur in einem *.mkv Container eine AC3 Tonspur zu konvertieren. Soll ich das ding löschen??? Grüße |
Nein, wenn Du das Programm kennst, ist es okay. Brauchst Du nicht löschen, PrevX ist da manchmal etwas empfindlich. Machen wir mal weiter: 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. 2.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hab alles gemacht wie beschrieben. ICh hoffe das es damit erledigt ist?? Neu gestartet wurde der Rechner aber nicht. Ich hoffe das ist ein gutes Zeichen?? Ich danke dir auf jeden Fall schonmal für deine Geduld.. ComboFix 09-10-19.02 - *** 20.10.2009 16:08.1.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.598 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Installer\2b745.msi c:\windows\Installer\WMEncoder.msi . ((((((((((((((((((((((( Dateien erstellt von 2009-09-20 bis 2009-10-20 )))))))))))))))))))))))))))))) . 2009-10-20 12:35 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-10-20 12:35 . 2009-10-20 12:35 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-10-20 12:35 . 2009-10-20 12:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-10-20 12:35 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-10-20 10:52 . 2009-10-20 11:12 -------- d-----w- C:\rsit 2009-10-20 09:35 . 2009-10-20 10:16 -------- d-----w- c:\windows\BDOSCAN8 2009-10-18 19:14 . 2009-10-18 19:14 -------- d-----w- c:\programme\MKVtoolnix 2009-10-18 19:12 . 2009-10-19 07:06 -------- d-----w- c:\programme\7-Zip 2009-10-18 11:04 . 2009-10-18 11:04 -------- d-----w- c:\programme\Microsoft SQL Server 2009-10-18 11:00 . 2009-10-18 11:02 -------- d-----w- c:\programme\Microsoft Visual Studio 9.0 2009-10-18 10:59 . 2009-10-18 10:59 -------- d-----w- c:\programme\Microsoft SDKs 2009-10-17 15:41 . 2009-10-17 15:41 -------- d-----w- c:\dokumente und einstellungen\***\.jordan 2009-10-01 11:01 . 2009-10-01 11:01 56180 ---ha-w- c:\windows\system32\mlfcache.dat 2009-10-01 10:46 . 2009-10-01 10:46 -------- d-----w- c:\programme\iPod 2009-10-01 10:46 . 2009-10-01 10:47 -------- d-----w- c:\programme\iTunes 2009-10-01 10:46 . 2009-10-01 10:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} 2009-09-29 09:33 . 2009-09-29 18:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NCH Software 2009-09-29 09:32 . 2009-09-29 18:42 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\NCH Software 2009-09-29 09:32 . 2009-09-29 09:34 -------- d-----w- c:\programme\NCH Software 2009-09-23 09:56 . 2009-09-23 09:56 -------- d-----w- c:\programme\Microsoft Silverlight 2009-09-23 09:56 . 2009-09-23 09:56 -------- d-----w- c:\programme\Microsoft 2009-09-23 09:55 . 2008-04-13 18:39 5376 ----a-w- c:\windows\system32\MSPCLOCK.sys 2009-09-23 09:52 . 2009-09-23 09:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live 2009-09-23 09:27 . 2009-09-23 09:27 -------- d-----w- C:\Drivers 2009-09-23 09:27 . 2002-10-15 20:41 102220 ----a-w- c:\windows\system32\drivers\sonypvs1.sys 2009-09-23 09:27 . 2001-11-05 07:23 299923 ----a-w- c:\windows\system32\drivers\sonyhcs.sys 2009-09-23 09:27 . 2001-11-05 07:23 38739 ----a-w- c:\windows\system32\drivers\sonyhcc.sys 2009-09-23 09:27 . 2001-11-05 07:23 6097 ----a-w- c:\windows\system32\drivers\sonyhcb.sys 2009-09-23 09:27 . 2001-07-03 18:39 3654 ----a-w- c:\windows\system32\drivers\Sonyhcp.dll 2009-09-23 09:27 . 2001-07-03 18:33 53248 ----a-w- c:\windows\system32\SONYHCY.DLL . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-10-20 14:11 . 2008-09-21 11:34 33248800 --sha-w- c:\windows\system32\drivers\fidbox.dat 2009-10-20 12:46 . 2007-10-10 09:08 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-10-20 12:32 . 2008-09-21 11:34 457700 --sha-w- c:\windows\system32\drivers\fidbox.idx 2009-10-19 18:39 . 2008-02-15 19:39 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Skype 2009-10-19 18:22 . 2008-02-15 19:42 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM 2009-10-19 18:09 . 2007-10-10 10:16 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ 2009-10-18 11:45 . 2007-10-23 13:44 69632 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-10-18 11:04 . 2007-10-23 13:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-10-18 11:01 . 2008-05-20 11:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Merge Modules 2009-10-18 10:58 . 2009-02-16 18:29 159144 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-10-18 10:55 . 2004-08-04 12:00 81118 ----a-w- c:\windows\system32\perfc007.dat 2009-10-18 10:55 . 2004-08-04 12:00 452310 ----a-w- c:\windows\system32\perfh007.dat 2009-10-17 20:36 . 2007-10-23 18:14 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\phonostar-Player 2009-10-17 10:20 . 2008-04-16 11:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Macromedia 2009-10-17 10:20 . 2008-04-16 11:12 -------- d-----w- c:\programme\Dreamweaver 2009-10-17 10:05 . 2008-03-01 21:16 -------- d-----w- c:\programme\Aurora MPEG To DVD Burner 2009-10-17 10:05 . 2009-01-08 12:17 -------- d-----w- c:\programme\Actual Transparent Window 2009-10-17 10:03 . 2007-10-18 19:35 -------- d-----w- c:\programme\Allgemeinbildung 2009-10-17 09:55 . 2008-08-17 19:33 -------- d-----w- c:\programme\MP3-DJ 2009-10-17 09:31 . 2008-01-12 20:23 -------- d-----w- c:\programme\Activision 2009-10-15 17:39 . 2007-10-24 17:45 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla 2009-10-01 11:01 . 2008-05-08 17:13 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer 2009-10-01 10:46 . 2009-06-19 17:47 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2009-10-01 10:44 . 2008-05-08 17:11 -------- d-----w- c:\programme\QuickTime 2009-09-30 19:34 . 2009-07-15 08:10 -------- d-----w- c:\programme\ALDI Sued Foto Service 2009-09-30 19:34 . 2009-07-15 08:12 -------- d-----w- c:\programme\Aldi Sued Fotoservice 2009-09-30 19:32 . 2009-07-15 08:38 170313 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\mdbu.bin 2009-09-30 19:21 . 2009-07-15 08:11 -------- d-----w- c:\programme\Gemeinsame Dateien\MAGIX Services 2009-09-23 09:27 . 2007-10-09 20:06 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-09-18 07:04 . 2009-09-18 07:04 -------- d-----w- c:\programme\Alcohol Soft 2009-09-18 05:08 . 2008-03-14 17:45 717296 ----a-w- c:\windows\system32\drivers\sptd.sys 2009-08-28 17:42 . 2009-06-19 17:47 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys 2009-08-28 17:42 . 2009-06-19 17:47 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll 2009-08-27 14:57 . 2008-11-06 11:04 138464 -c--a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-08-27 14:56 . 2008-11-06 11:04 111928 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-08-25 05:59 . 2009-08-25 05:59 -------- d-----w- c:\programme\Olympus 2009-08-16 09:01 . 2009-08-16 09:01 98304 ----a-w- c:\windows\system32\CmdLineExt.dll 2009-08-05 16:33 . 2009-03-21 09:28 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2006-05-03 09:06 . 2009-06-19 19:01 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2009-06-19 19:01 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 12:30 . 2009-06-19 19:01 216064 --sh--r- c:\windows\system32\nbDX.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TBPanel"="c:\programme\Vtune\TBPanel.exe" [2008-12-03 2158592] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 417792] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-09-21 305440] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-12-30 18082304] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-04-30 1657376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Device Detector 3.lnk - c:\programme\Olympus\DeviceDetector\DevDtct2.exe [2009-8-25 118784] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "PhonostarTimer"=c:\programme\phonostar\ps_timer.exe "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "PhonostarAgent"=c:\programme\phonostar\ps_agent.exe "EPSON Stylus DX5000 Series"=c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "c:\windows\TEMP\E_SA6.tmp" /EF "HKCU" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033 "SkyTel"=SkyTel.EXE "NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "VX1000"=c:\windows\vVX1000.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"= "c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= "c:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"= "c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Codemasters\\GRID\\GRID.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"= "c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"= "c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015 "1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016 "500:UDP"= 500:UDP:@xpsp2res.dll,-22017 "86:TCP"= 86:TCP:BroadCam Video Streaming Server Web Server R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys --> c:\windows\system32\drivers\pxscan.sys [?] R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys --> c:\windows\system32\drivers\pxsec.sys [?] R2 AAV UpdateService;AAV UpdateService;c:\programme\Gemeinsame Dateien\AAV\aavus.exe [04.10.2007 16:32 122880] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2009 11:28 108289] R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [03.02.2009 14:53 1155072] S3 Aavpti9skadi;Aavpti9skadi; [x] S3 BroadCamService;BroadCam Video Streaming Server;c:\programme\NCH Software\BroadCam\broadcam.exe [29.09.2009 11:33 946180] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 10:10 3276800] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - CSISCANNER *NewlyCreated* - PXSCAN *NewlyCreated* - PXSEC *Deregistered* - CSIScanner HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-10-16 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 15:22] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://w*w.google.de/ uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\2lpcyufs.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - prefs.js: browser.startup.homepage - w*w.google.de FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npOGAPlugin.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-RunOnce-<NO NAME> - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net Rootkit scan 2009-10-20 16:11 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-854245398-1343024091-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:4c,19,ca,d6,2f,20,76,7c,76,af,62,4a,33,36,83,8f,60,2d,09,09,8c,c4,76, 52,a5,c4,8b,6a,a3,35,82,51,fb,cb,5d,49,da,9b,73,fe,57,4d,52,a3,ed,3d,55,f3,\ "??"=hex:0a,ad,90,f0,65,3c,48,de,9a,dd,e5,c4,ed,13,f0,dd [HKEY_USERS\S-1-5-21-854245398-1343024091-682003330-1003\Software\SecuROM\License information*] "datasecu"=hex:f1,78,91,83,6c,45,55,bb,e7,79,af,be,31,97,c8,24,86,37,22,34,0e, e9,69,b3,aa,7d,ab,ee,10,74,8e,01,f5,d8,29,0c,2f,6e,3f,45,2d,66,63,11,ad,dc,\ "rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version] "Version"=hex:01,5e,05,71,a9,ea,3d,7f,78,a8,e1,82,4c,52,33,de,c4,7b,21,27,14, 4b,73,8e,bc,2e,be,a9,0c,b7,4f,1f,42,6b,41,4b,c6,92,a1,4b,f1,a9,53,56,42,9d,\ [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\ [HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version] "Version"=hex:01,5e,05,71,a9,ea,3d,7f,78,a8,e1,82,4c,52,33,de,c4,7b,21,27,14, 4b,73,8e,bc,2e,be,a9,0c,b7,4f,1f,42,6b,41,4b,c6,92,a1,4b,f1,a9,53,56,42,9d,\ . Zeit der Fertigstellung: ~,10time:~,-3 ComboFix-quarantined-files.txt 2009-10-20 14:13 Vor Suchlauf: 13 Verzeichnis(se), 82.626.768.896 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 84.109.348.864 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - 8894607C5FCD91A15E88AAA155CD4C31 Grüße |
Scheint alles in ordnung zu sein..super..vielen dank..könnt ihr mir bei der Gelegenheit gleich mal eine möglichst sehr gute Antivirensoftware empfehlen?? viele Grüße |
Wir sind aber noch nicht fertig! Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!) Code: KILLALL::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Oh man, da war ich wohl etwas voreilig.. hier die Logdatei: http://www.file-upload.net/download-1958388/ComboFix.txt.html (zu viele Zeichen um zu posten!) ich danke dir wirklich sehr.. Grüße |
Wir müssen noch mal scripten: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!) Code: KILLALL::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Hab ich gemacht..hier die Logdatei..: ComboFix 09-10-19.04 - XXX 21.10.2009 11:28.3.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.580 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX\Desktop\CFScript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2009-09-21 bis 2009-10-21 )))))))))))))))))))))))))))))) . 2009-10-20 17:35 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll 2009-10-20 17:35 . 2008-10-16 12:06 208744 ----a-w- c:\windows\system32\muweb.dll 2009-10-20 15:56 . 2009-10-20 15:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky SDK 2009-10-20 14:05 . 2009-10-20 14:13 -------- d-----w- C:\cofi 2009-10-20 10:52 . 2009-10-20 11:12 -------- d-----w- C:\rsit 2009-10-20 09:35 . 2009-10-20 10:16 -------- d-----w- c:\windows\BDOSCAN8 2009-10-18 19:12 . 2009-10-19 07:06 -------- d-----w- c:\programme\7-Zip 2009-10-18 11:04 . 2009-10-18 11:04 -------- d-----w- c:\programme\Microsoft SQL Server 2009-10-18 11:00 . 2009-10-18 11:02 -------- d-----w- c:\programme\Microsoft Visual Studio 9.0 2009-10-18 10:59 . 2009-10-18 10:59 -------- d-----w- c:\programme\Microsoft SDKs 2009-10-17 15:41 . 2009-10-17 15:41 -------- d-----w- c:\dokumente und einstellungen\XXX\.jordan 2009-10-01 11:01 . 2009-10-01 11:01 56180 ---ha-w- c:\windows\system32\mlfcache.dat 2009-10-01 10:46 . 2009-10-01 10:46 -------- d-----w- c:\programme\iPod 2009-10-01 10:46 . 2009-10-01 10:47 -------- d-----w- c:\programme\iTunes 2009-10-01 10:46 . 2009-10-01 10:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} 2009-09-29 09:33 . 2009-09-29 18:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NCH Software 2009-09-29 09:32 . 2009-09-29 18:42 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\NCH Software 2009-09-29 09:32 . 2009-09-29 09:34 -------- d-----w- c:\programme\NCH Software 2009-09-23 09:56 . 2009-09-23 09:56 -------- d-----w- c:\programme\Microsoft Silverlight 2009-09-23 09:56 . 2009-09-23 09:56 -------- d-----w- c:\programme\Microsoft 2009-09-23 09:55 . 2008-04-13 18:39 5376 ----a-w- c:\windows\system32\MSPCLOCK.sys 2009-09-23 09:52 . 2009-09-23 09:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live 2009-09-23 09:27 . 2009-09-23 09:27 -------- d-----w- C:\Drivers 2009-09-23 09:27 . 2002-10-15 20:41 102220 ----a-w- c:\windows\system32\drivers\sonypvs1.sys 2009-09-23 09:27 . 2001-11-05 07:23 299923 ----a-w- c:\windows\system32\drivers\sonyhcs.sys 2009-09-23 09:27 . 2001-11-05 07:23 38739 ----a-w- c:\windows\system32\drivers\sonyhcc.sys 2009-09-23 09:27 . 2001-11-05 07:23 6097 ----a-w- c:\windows\system32\drivers\sonyhcb.sys 2009-09-23 09:27 . 2001-07-03 18:39 3654 ----a-w- c:\windows\system32\drivers\Sonyhcp.dll 2009-09-23 09:27 . 2001-07-03 18:33 53248 ----a-w- c:\windows\system32\SONYHCY.DLL . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-10-21 09:20 . 2007-10-10 07:04 4212 ---ha-w- c:\windows\system32\zllictbl.dat 2009-10-21 05:59 . 2007-10-10 09:08 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-10-19 18:39 . 2008-02-15 19:39 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Skype 2009-10-19 18:22 . 2008-02-15 19:42 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\skypePM 2009-10-19 18:09 . 2007-10-10 10:16 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\ICQ 2009-10-18 11:45 . 2007-10-23 13:44 69632 ----a-w- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-10-18 11:04 . 2007-10-23 13:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-10-18 11:01 . 2008-05-20 11:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Merge Modules 2009-10-18 10:58 . 2009-02-16 18:29 159144 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-10-18 10:55 . 2004-08-04 12:00 81118 ----a-w- c:\windows\system32\perfc007.dat 2009-10-18 10:55 . 2004-08-04 12:00 452310 ----a-w- c:\windows\system32\perfh007.dat 2009-10-17 20:36 . 2007-10-23 18:14 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\phonostar-Player 2009-10-17 10:20 . 2008-04-16 11:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Macromedia 2009-10-17 10:20 . 2008-04-16 11:12 -------- d-----w- c:\programme\Dreamweaver 2009-10-17 10:05 . 2008-03-01 21:16 -------- d-----w- c:\programme\Aurora MPEG To DVD Burner 2009-10-17 10:05 . 2009-01-08 12:17 -------- d-----w- c:\programme\Actual Transparent Window 2009-10-17 10:03 . 2007-10-18 19:35 -------- d-----w- c:\programme\Allgemeinbildung 2009-10-17 09:55 . 2008-08-17 19:33 -------- d-----w- c:\programme\MP3-DJ 2009-10-17 09:31 . 2008-01-12 20:23 -------- d-----w- c:\programme\Activision 2009-10-15 17:39 . 2007-10-24 17:45 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\FileZilla 2009-10-01 11:01 . 2008-05-08 17:13 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Apple Computer 2009-10-01 10:46 . 2009-06-19 17:47 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2009-10-01 10:44 . 2008-05-08 17:11 -------- d-----w- c:\programme\QuickTime 2009-09-30 19:34 . 2009-07-15 08:10 -------- d-----w- c:\programme\ALDI Sued Foto Service 2009-09-30 19:34 . 2009-07-15 08:12 -------- d-----w- c:\programme\Aldi Sued Fotoservice 2009-09-30 19:32 . 2009-07-15 08:38 170313 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\mdbu.bin 2009-09-30 19:21 . 2009-07-15 08:11 -------- d-----w- c:\programme\Gemeinsame Dateien\MAGIX Services 2009-09-23 09:27 . 2007-10-09 20:06 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-09-18 07:04 . 2009-09-18 07:04 -------- d-----w- c:\programme\Alcohol Soft 2009-09-18 05:08 . 2008-03-14 17:45 717296 ----a-w- c:\windows\system32\drivers\sptd.sys 2009-08-28 17:42 . 2009-06-19 17:47 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys 2009-08-28 17:42 . 2009-06-19 17:47 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll 2009-08-27 14:57 . 2008-11-06 11:04 138464 -c--a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-08-27 14:56 . 2008-11-06 11:04 111928 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-08-25 05:59 . 2009-08-25 05:59 -------- d-----w- c:\programme\Olympus 2009-08-16 09:01 . 2009-08-16 09:01 98304 ----a-w- c:\windows\system32\CmdLineExt.dll 2009-08-05 16:33 . 2009-03-21 09:28 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2006-05-03 09:06 . 2009-06-19 19:01 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2009-06-19 19:01 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 12:30 . 2009-06-19 19:01 216064 --sh--r- c:\windows\system32\nbDX.dll . ((((((((((((((((((((((((((((( SnapShot_2009-10-20_19.38.47 ))))))))))))))))))))))))))))))))))))))))) . + 2007-07-30 17:19 . 2008-10-16 12:09 43544 c:\windows\system32\wups2.dll + 2007-10-09 19:45 . 2008-10-16 12:08 34328 c:\windows\system32\wups.dll + 2007-10-09 19:45 . 2008-10-16 12:08 34328 c:\windows\system32\dllcache\wups.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TBPanel"="c:\programme\Vtune\TBPanel.exe" [2008-12-03 2158592] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 417792] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-09-21 305440] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-12-30 18082304] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-04-30 1657376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Device Detector 3.lnk - c:\programme\Olympus\DeviceDetector\DevDtct2.exe [2009-8-25 118784] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "PhonostarTimer"=c:\programme\phonostar\ps_timer.exe "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "PhonostarAgent"=c:\programme\phonostar\ps_agent.exe "EPSON Stylus DX5000 Series"=c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "c:\windows\TEMP\E_SA6.tmp" /EF "HKCU" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033 "SkyTel"=SkyTel.EXE "NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "VX1000"=c:\windows\vVX1000.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"= "c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= "c:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"= "c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Codemasters\\GRID\\GRID.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"= "c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"= "c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015 "1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016 "500:UDP"= 500:UDP:@xpsp2res.dll,-22017 "86:TCP"= 86:TCP:BroadCam Video Streaming Server Web Server R2 AAV UpdateService;AAV UpdateService;c:\programme\Gemeinsame Dateien\AAV\aavus.exe [04.10.2007 16:32 122880] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2009 11:28 108289] R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [03.02.2009 14:53 1155072] S3 BroadCamService;BroadCam Video Streaming Server;c:\programme\NCH Software\BroadCam\broadcam.exe [29.09.2009 11:33 946180] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 10:10 3276800] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-10-16 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 15:22] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://w*w.google.de/ uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\2lpcyufs.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - prefs.js: browser.startup.homepage - w*w.google.de FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npOGAPlugin.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net Rootkit scan 2009-10-21 11:35 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-854245398-1343024091-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:4c,19,ca,d6,2f,20,76,7c,76,af,62,4a,33,36,83,8f,60,2d,09,09,8c,c4,76, 52,a5,c4,8b,6a,a3,35,82,51,fb,cb,5d,49,da,9b,73,fe,57,4d,52,a3,ed,3d,55,f3,\ "??"=hex:0a,ad,90,f0,65,3c,48,de,9a,dd,e5,c4,ed,13,f0,dd [HKEY_USERS\S-1-5-21-854245398-1343024091-682003330-1003\Software\SecuROM\License information*] "datasecu"=hex:f1,78,91,83,6c,45,55,bb,e7,79,af,be,31,97,c8,24,86,37,22,34,0e, e9,69,b3,aa,7d,ab,ee,10,74,8e,01,f5,d8,29,0c,2f,6e,3f,45,2d,66,63,11,ad,dc,\ "rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\ [HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version] "Version"=hex:01,5e,05,71,a9,ea,3d,7f,78,a8,e1,82,4c,52,33,de,c4,7b,21,27,14, 4b,73,8e,bc,2e,be,a9,0c,b7,4f,1f,42,6b,41,4b,c6,92,a1,4b,f1,a9,53,56,42,9d,\ . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2360) c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\nvsvc32.exe c:\cofi27978c\CF16351.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\UniBw VPN Client\cvpnd.exe c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE c:\programme\Microsoft LifeCam\MSCamS32.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\wscntfy.exe c:\programme\iPod\bin\iPodService.exe c:\cofi27978c\PEV.cfxxe . ************************************************************************** . Zeit der Fertigstellung: 2009-10-21 11:40 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-10-21 09:40 ComboFix2.txt 2009-10-20 19:50 ComboFix3.txt 2009-10-20 14:15 Vor Suchlauf: 16 Verzeichnis(se), 83.130.011.648 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 83.097.157.632 Bytes frei - - End Of File - - 178A3006002196882A51EC0DFFB169C8 |
(gelöscht, bitte ignorieren) |
Okay soweit. Log sieht ok aus. Aber: 1.) ZoneAlarm besser deinstallieren und die Windows-Firewall verwenden. Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems. Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern. 2.) Bitte die Updates prüfen: Windows-/Internet Explorer Update Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt. Adobe Acrobat Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn. Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Vielen vielen Dank..hast mir super geholfen..Ich werde dieses Forum auf jeden Fall weiter empfehlen und auch weiter nutzen (hoffentlich nicht so bald :daumenhoc).. Also Updates hab ich gemacht und Firewall is auch schon deinstalliert. Hast du vllt noch nen guten Tip wegen einer Antivirensoftware?? Nochmal vielen Dank für deine professionelle Unterstützung..wo lernt man das eigentlich?? Viele Grüße David |
Zitat:
Der Virenscanner allein machts aber nicht, halte Dich am besten grob an diese fünf Regeln: 1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Zitat:
Erst wars ein Hobby, in Foren beizutragen hat mir schon immer Spaß gemacht und nun bin ich auch beruflich seit längerer Zeit in der IT :daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board