Ergebnis 1 bis 9 von 9
Thema: Virus!?
-
19.04.2009, 19:13 #1Gini
Virus!?
Seit kurzen ist mein PC merklich langsamer geworden, was den Verbindungsaufbau mit dem Internet angeht.
Bei einer Systemprüfung hat AntiVir den Trojaner "TR/MalPacked" bei mir gefunden. Ich habe den Namen schon gegoogelt, aber es wurde so gut wie nichts darüber gefunden. Was kann ich machen?
Hijack This hat Folgendes ausgespuckt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:17, on 19.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Suche
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = SPIEGEL ONLINE - Nachrichten
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Baby Got Bible and other Videos on StupidVideos.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Showwnd] showwnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - MEDIONshop Deutschland (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1128778405937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1141142460296
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.196.35.90/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
--
End of file - 9299 bytes
lg Gini
-
-
19.04.2009, 19:56 #2bLacK_dRaSanG
AW: Virus!?
Hi ,
könntest du noch den Bericht von AntiVir posten, indem der Fund vermerkt wurde?
Fixe:
Code:R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Baby Got Bible and other Videos on StupidVideos.com
Nun sucht man den oben angegebende Eintrag und markiert, das leere weiße Kästchen mit einen Haken, neben den entsprechenden Eintrag.
Schließlich klickt man auf "Fix checked
Lasse mal Combofix und Malwarebytes durchlaufen. Anleitung und Download findest du im Link .
Bei Malwarebytes das Updaten nicht vergessen .
Und poste die Logfiles von beiden Programmen und den Bericht von Antivir.
mfg
bLacK_dRaSanG
-
19.04.2009, 21:55 #3Gini
AW: Virus!?
Hier die Malwarebytes Logfile, es wurde nix gefunden:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2009
Windows 5.1.2600 Service Pack 3
19.04.2009 21:04:35
mbam-log-2009-04-19 (21-04-35).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 157549
Laufzeit: 32 minute(s), 57 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
und hier der Bericht von Antivir:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 19. April 2009 17:43
Es wird nach 1356201 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : R###
Versionsinformationen:
BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 10:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:26
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 09:49:21
ANTIVIR3.VDF : 7.1.3.73 25088 Bytes 18.04.2009 09:49:21
Engineversion : 8.2.0.148
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 15:36:42
AESCRIPT.DLL : 8.1.1.75 373113 Bytes 19.04.2009 09:49:24
AESCN.DLL : 8.1.1.10 127348 Bytes 19.04.2009 09:49:24
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:41
AEPACK.DLL : 8.1.3.14 397685 Bytes 19.04.2009 09:49:23
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:56
AEHEUR.DLL : 8.1.0.119 1724791 Bytes 19.04.2009 09:49:23
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:56
AEGEN.DLL : 8.1.1.36 340341 Bytes 19.04.2009 09:49:22
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 19.04.2009 09:49:22
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 1228
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 05:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 13:50:50
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Sonntag, 19. April 2009 17:43
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '53456' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ViewMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ViewpointService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNYHKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mHotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MdionLCM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CmUCREye.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Der Suchlauf über die Bootsektoren wird begonnen:
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '70' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <BACKUP>
D:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP748\A0046959.exe
[FUND] Ist das Trojanische Pferd TR/MalPacked
D:\TOOLS\eTrust AV\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> inoweb.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Desinfektion:
D:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP748\A0046959.exe
[FUND] Ist das Trojanische Pferd TR/MalPacked
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1b565f.qua' verschoben!
Ende des Suchlaufs: Sonntag, 19. April 2009 18:49
Benötigte Zeit: 37:36 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
7645 Verzeichnisse wurden überprüft
302360 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
302357 Dateien ohne Befall
8212 Archive wurden durchsucht
4 Warnungen
3 Hinweise
53456 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Ist das ok so?
Combofix muss ich dann morgen noch laufen lassen...
lg Gini
-
19.04.2009, 22:11 #4bLacK_dRaSanG
AW: Virus!?
Nach Combofix, sollten wir aber auch noch verstärkt nach Rootkits suchen, sie werden ja leider immer öfters benutzt.
Dazu benutze folgende Programme und poste später auch dessen Logfile:
Es reicht wenn du die bestehende Systemwiederherstellungspunkte löschst.
Dazu gibt es dort eine Anleitung:
Windows XP Systemwiederherstellungspunkte löschen | Dirks-Computerecke
Combofix hätte ich trotzdem noch gerne .
-
21.04.2009, 19:52 #5Gini
AW: Virus!?
so, das hier hat combofix erstellt:
ComboFix 09-04-21.A8 - R### 21.04.2009 19:45.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.573 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\R###\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
((((((((((((((((((((((( Dateien erstellt von 2009-03-21 bis 2009-04-21 ))))))))))))))))))))))))))))))
.
2009-04-19 18:13 . 2009-04-19 18:13 -------- d-----w c:\dokumente und einstellungen\R###\Anwendungsdaten\Malwarebytes
2009-04-19 18:13 . 2009-04-19 18:13 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-19 16:56 . 2009-04-19 16:56 -------- d-----w c:\programme\Trend Micro
2009-04-19 10:40 . 2009-04-19 11:01 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-04-19 10:40 . 2009-04-19 10:40 -------- d-----w c:\programme\Spybot - Search & Destroy
2009-04-19 10:26 . 2009-04-19 10:26 -------- d-sh--w c:\dokumente und einstellungen\LocalService\IETldCache
2009-04-19 09:41 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-19 09:41 . 2009-04-19 09:41 -------- d-----w c:\programme\Avira
2009-04-19 09:41 . 2009-04-19 09:41 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-04-19 09:38 . 2009-04-19 09:39 30143040 ----a-w C:\avira_antivir_personal_de.exe
2009-04-19 08:57 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-19 08:57 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-19 08:57 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-19 08:57 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-19 08:57 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-19 08:57 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-19 08:57 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-19 08:57 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-19 08:57 . 2009-03-27 06:49 1203922 -c----w c:\windows\system32\dllcache\sysmain.sdb
2009-04-19 08:57 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-04-07 15:13 . 2009-04-07 15:13 -------- d-----r c:\dokumente und einstellungen\LocalService\Favoriten
2009-04-04 09:22 . 2009-04-04 09:22 -------- d-sh--w c:\dokumente und einstellungen\R###\IECompatCache
2009-04-04 09:21 . 2009-04-04 09:21 -------- d-sh--w c:\dokumente und einstellungen\R###\PrivacIE
2009-04-04 09:20 . 2009-04-04 09:20 -------- d-sh--w c:\dokumente und einstellungen\NetworkService\IETldCache
2009-04-04 09:19 . 2009-04-04 09:19 -------- d-sh--w c:\dokumente und einstellungen\R###\IETldCache
2009-04-04 09:18 . 2009-04-04 09:18 -------- d-----w c:\windows\ie8updates
2009-04-04 09:16 . 2009-04-04 09:17 -------- dc-h--w c:\windows\ie8
2009-04-04 09:14 . 2009-02-28 04:55 105984 -c----w c:\windows\system32\dllcache\iecompat.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-19 15:20 . 2005-10-09 05:46 75492 ----a-w c:\windows\system32\perfc007.dat
2009-04-19 15:20 . 2005-10-09 05:46 416676 ----a-w c:\windows\system32\perfh007.dat
2009-04-19 09:48 . 2006-02-28 13:59 -------- d-----w c:\programme\CA
2009-03-21 11:02 . 2006-05-07 16:49 41070 ----a-w c:\dokumente und einstellungen\R###\Anwendungsdaten\wklnhst.dat
2009-03-21 10:16 . 2009-03-20 16:40 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-03-21 10:16 . 2009-03-20 16:40 -------- d-----w c:\programme\NOS
2009-03-20 16:43 . 2008-06-19 18:42 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-18 08:58 . 2009-03-18 08:54 -------- d-----w c:\programme\ICQ6.5
2009-03-18 08:55 . 2008-03-02 08:25 -------- d-----w c:\programme\ICQ6
2009-03-16 11:37 . 2009-03-16 11:37 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2009-03-12 17:15 . 2009-03-12 17:15 -------- d-----w c:\programme\Messenger Plus! Live
2009-03-08 02:34 . 2005-10-09 05:46 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2005-10-09 05:46 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2005-10-09 05:46 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2005-10-09 05:46 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2005-10-09 05:46 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2005-10-09 05:46 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2005-10-09 05:46 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2005-10-09 05:46 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2005-10-09 05:46 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2005-10-09 05:46 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2005-10-09 05:46 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 20:47 . 2006-04-13 08:43 87296 ----a-w c:\dokumente und einstellungen\R###\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-03 20:46 . 2009-03-03 20:46 -------- d-----w c:\programme\Microsoft
2009-03-03 20:46 . 2009-03-03 20:46 -------- d-----w c:\programme\Windows Live SkyDrive
2009-03-03 20:46 . 2008-01-19 14:03 -------- d-----w c:\programme\Windows Live
2009-03-03 20:43 . 2009-03-03 20:43 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-03-03 20:37 . 2008-06-24 13:57 244 ---ha-w C:\sqmnoopt13.sqm
2009-03-03 20:37 . 2008-06-24 13:57 232 ---ha-w C:\sqmdata13.sqm
2009-03-03 20:37 . 2008-06-19 18:56 244 ---ha-w C:\sqmnoopt12.sqm
2009-03-03 20:37 . 2008-06-19 18:56 232 ---ha-w C:\sqmdata12.sqm
2009-03-03 19:11 . 2008-06-19 18:54 244 ---ha-w C:\sqmnoopt11.sqm
2009-03-03 19:11 . 2008-06-19 18:54 232 ---ha-w C:\sqmdata11.sqm
2009-02-27 18:56 . 2005-10-09 10:25 -------- d-----w c:\programme\Google
2009-02-27 18:00 . 2008-06-19 18:54 244 ---ha-w C:\sqmnoopt10.sqm
2009-02-27 18:00 . 2008-06-19 18:54 232 ---ha-w C:\sqmdata10.sqm
2009-02-24 15:53 . 2008-06-19 18:23 244 ---ha-w C:\sqmnoopt09.sqm
2009-02-24 15:53 . 2008-06-19 18:23 232 ---ha-w C:\sqmdata09.sqm
2009-02-22 14:34 . 2008-06-19 07:01 244 ---ha-w C:\sqmnoopt08.sqm
2009-02-22 14:34 . 2008-06-19 07:01 232 ---ha-w C:\sqmdata08.sqm
2009-02-09 14:04 . 2005-10-09 05:46 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2004-08-04 00:50 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2005-10-09 05:46 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2005-10-09 05:46 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2005-10-09 05:46 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2005-10-09 05:46 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2005-10-09 05:46 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 17:52 . 2009-02-06 17:52 49504 ----a-w c:\windows\system32\sirenacm.dll
2009-02-06 10:39 . 2005-10-09 05:46 35328 ----a-w c:\windows\system32\sc.exe
2009-02-04 15:33 . 2008-06-18 19:41 244 ---ha-w C:\sqmnoopt07.sqm
2009-02-04 15:33 . 2008-06-18 19:41 232 ---ha-w C:\sqmdata07.sqm
2009-02-03 19:57 . 2005-10-09 05:46 56832 ----a-w c:\windows\system32\secur32.dll
2009-02-03 16:15 . 2008-06-01 16:00 244 ---ha-w C:\sqmnoopt06.sqm
2009-02-03 16:15 . 2008-06-01 16:00 232 ---ha-w C:\sqmdata06.sqm
2009-02-03 14:48 . 2008-06-01 15:59 244 ---ha-w C:\sqmnoopt05.sqm
2009-02-03 14:48 . 2008-06-01 15:59 232 ---ha-w C:\sqmdata05.sqm
2009-02-02 16:30 . 2008-05-30 05:36 244 ---ha-w C:\sqmnoopt04.sqm
2009-02-02 16:30 . 2008-05-30 05:36 232 ---ha-w C:\sqmdata04.sqm
2009-01-29 18:36 . 2008-05-29 18:38 244 ---ha-w C:\sqmnoopt03.sqm
2009-01-29 18:36 . 2008-05-29 18:38 232 ---ha-w C:\sqmdata03.sqm
2009-01-26 16:46 . 2008-05-29 06:01 244 ---ha-w C:\sqmnoopt02.sqm
2009-01-26 16:46 . 2008-05-29 06:01 232 ---ha-w C:\sqmdata02.sqm
2009-01-26 16:41 . 2008-05-29 06:01 244 ---ha-w C:\sqmnoopt01.sqm
2009-01-26 16:41 . 2008-05-29 06:01 232 ---ha-w C:\sqmdata01.sqm
2008-12-04 20:02 . 2006-06-05 17:39 86712 ----a-w c:\dokumente und einstellungen\R###\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-10-01 13:25 . 2006-04-13 08:43 137 ----a-w c:\dokumente und einstellungen\R###\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2005-10-09 10:25 . 2005-10-09 10:25 8 --sh--r c:\windows\system32\A3DA537E26.sys
2005-10-09 10:25 . 2005-10-09 10:25 4704 --sha-w c:\windows\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.ex e" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP. EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP. EXE" [2004-08-04 455168]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2006-02-22 143360]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2005-10-12 241664]
"MedionVFD"="c:\programme\Medion Info Display\MdionLCM.exe" [2006-01-27 176128]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InstantOn"="c:\programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 93640]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-02-28 155648]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-01-11 15961088]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616]
"CHotkey"="mHotkey.exe" - c:\windows\mHotkey.exe [2004-12-08 550912]
"ledpointer"="CNYHKey.exe" - c:\windows\CNYHKey.exe [2005-11-10 5585408]
"Showwnd"="showwnd.exe" - c:\windows\ShowWnd.exe [2003-09-18 36864]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersio n\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\stand ardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
R0 rseb;rseb; [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
S2 Viewpoint Manager Service;Viewpoint Manager Service;c:\programme\Viewpoint\Common\ViewpointService.exe [2007-01-04 24652]
S3 3xHybrid;3xHybrid service;c:\windows\system32\DRIVERS\3xHybrid.sys [2005-12-06 826752]
S3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\DRIVERS\cmiucr.SYS [2005-10-04 72320]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.spiegel.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.stupidvideos.com/video/song_dance/stupid_rap/?c=&p=25&y=340
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.
************************************************************ **************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-21 19:47
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
************************************************************ **************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3504)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2009-04-21 19:49
ComboFix-quarantined-files.txt 2009-04-21 17:49
Vor Suchlauf: 12 Verzeichnis(se), 94.994.456.576 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 95.042.494.464 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
207 --- E O F --- 2009-04-19 11:05
ist das ok so?
lg gini
-
21.04.2009, 21:35 #6bLacK_dRaSanG
AW: Virus!?
Hi,
lasse bitte noch die Rootkitscanner durchlaufen .
Was mich stört sind die vielen Dateien, die doppelt vorkommen und zwar im Ordner, indem sie normalerweise nicht aufzufinden sind. Diese Dateien sind höchst wahrscheinlich schädlich...
Suche sie auf. Ändere vorher folgende Einstellungen, sonst wirst du sie wahrscheinlich nicht sehen können:
Start --> Systemsteurung (klassische Ansicht) --> Ordneroption --> Reiter "Ansicht"
prüfe ob folgende Einträge markiert oder gegebenfalls nicht markiert sind:
markierte Einträge:
- Inhalte von Systemordnern anzeigen
- Alle Dateien und Ordnern anzeigen
nicht markierte Einträge:
- Erweiterung bei bekannten Dateitypen ausblenden
- Geschützte Systemdateien ausblenden (empfohlen)
Lade diese Datei mal auf Virustotal hoch und poste das vollständige Ergebnis
Die Dateien:
Code:c:\windows\system32\dllcache\services.exe c:\windows\system32\dllcache\iecompat.dll c:\windows\system32\dllcache\pdh.dll c:\windows\system32\dllcache\rpcss.dll c:\windows\system32\dllcache\fastprox.dll c:\windows\system32\dllcache\lsasrv.dll c:\windows\system32\dllcache\advapi32.dll c:\windows\system32\dllcache\ntdll.dll c:\windows\system32\dllcache\wmiprvsd.dll c:\windows\system32\dllcache\sysmain.sdb c:\windows\system32\dllcache\wordpad.exe
Aber anscheinend längst nicht alle...
Alternativ kannst du eine Kopie (!) von jeden der Dateien erstellen und alle in einem Zip-Archiv packen. Falls du dich dafür entscheidest, werde ich dir noch meine E-Mail-Adresse mitteilen, damit du es mir senden kannst .
mfg
bLacK_dRaSanG
-
22.04.2009, 08:56 #7Gini
AW: Virus!?
hier erstmal die rootkitscanner:
gmer:
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-22 08:44:59
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT F7BE8A86 ZwCreateKey
SSDT F7BE8A7C ZwCreateThread
SSDT F7BE8A8B ZwDeleteKey
SSDT F7BE8A95 ZwDeleteValueKey
SSDT F7BE8A9A ZwLoadKey
SSDT F7BE8A68 ZwOpenProcess
SSDT F7BE8A6D ZwOpenThread
SSDT F7BE8AA4 ZwReplaceKey
SSDT F7BE8A9F ZwRestoreKey
SSDT F7BE8A90 ZwSetValueKey
SSDT F7BE8A77 ZwTerminateProcess
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!LoadResource 7C80A055 7 Bytes JMP 28001E20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!FindResourceExW 7C80AD28 7 Bytes JMP 28001C60 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!FindResourceW 7C80BC6E 7 Bytes JMP 28001BE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!SizeofResource 7C80BD09 7 Bytes JMP 28001EE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!FindResourceA 7C80BF29 7 Bytes JMP 28001CF0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!LockResource 7C80CD37 5 Bytes JMP 28001F50 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!CreateEventA 7C8308B5 5 Bytes JMP 28001840 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!FindResourceExA 7C835FA8 7 Bytes JMP 28001D80 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] ADVAPI32.dll!CryptDeriveKey 77DB9FFD 7 Bytes JMP 28001000 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 28001060 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!GetWindowLongW 7E3688A6 7 Bytes JMP 28006A20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!PeekMessageW 7E36929B 5 Bytes JMP 280045E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!SetWindowPlacement 7E36DE46 5 Bytes JMP 28005DC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!CreateDialogParamW 7E36EA3B 5 Bytes JMP 28006040 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!LoadImageW 7E377B97 5 Bytes JMP 28006690 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 28003CA0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!SetWindowRgn 7E37E528 7 Bytes JMP 28005F00 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!LoadIconW 7E37E8BC 5 Bytes JMP 28006880 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 28006230 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!TrackPopupMenuEx 7E3BCF62 5 Bytes JMP 28004EC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 2800BC20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WS2_32.dll!send 71A14C27 5 Bytes JMP 2800B800 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 2800B5E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WS2_32.dll!recv 71A1676F 5 Bytes JMP 2800B440 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 2800B9E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] SHELL32.dll!Shell_NotifyIconW 7E6DA5BF 5 Bytes JMP 28003400 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] ole32.dll!CoInitializeEx 774CEF7B 5 Bytes JMP 28002260 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 28002600 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] ole32.dll!CoRegisterClassObject 774E7E90 5 Bytes JMP 28002360 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WININET.dll!HttpOpenRequestA 630187BC 1 Byte [E9]
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WININET.dll!HttpOpenRequestA 630187BC 5 Bytes JMP 2800A2C0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WININET.dll!InternetReadFile 6301AC9D 5 Bytes JMP 2800A450 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WININET.dll!InternetCloseHandle 63020A61 5 Bytes JMP 2800A600 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WININET.dll!HttpSendRequestA 6302E822 5 Bytes JMP 2800A530 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
blacklight:
04/22/09 08:50:31 [Info]: BlackLight Engine 2.2.1092 initialized
04/22/09 08:50:31 [Info]: OS: 5.1 build 2600 (Service Pack 3)
04/22/09 08:50:32 [Note]: 7019 4
04/22/09 08:50:32 [Note]: 7005 0
04/22/09 08:50:38 [Note]: 7006 0
04/22/09 08:50:38 [Note]: 7011 1472
04/22/09 08:50:38 [Note]: 7035 0
04/22/09 08:50:38 [Note]: 7026 0
04/22/09 08:50:38 [Note]: 7026 0
04/22/09 08:50:40 [Note]: FSRAW library version 1.7.1024
04/22/09 08:56:21 [Note]: 7007 0
catchme:
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
-
22.04.2009, 12:55 #8bLacK_dRaSanG
AW: Virus!?
Die genannten Dateien, brauchst du auch nicht mehr hochladen, ich könnte sie mittlerweile als unschädlich abstempeln.
Dafür lade diese Dateien auf VirusTotal - Free Online Virus and Malware Scan hoch und das Ergebnis posten:
Code:c:\dokumente und einstellungen\R###\Anwendungsdaten\wklnhst.dat c:\dokumente und einstellungen\R###\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT c:\dokumente und einstellungen\R###\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat c:\windows\system32\A3DA537E26.sys c:\windows\system32\KGyGaAvL.sys C:\WINDOWS\system32\CmUCReye.exe c:\windows\system32\DRIVERS\cmiucr.SYS Falls du keine chinesiche/japanische Übersetzung im Internet Explorer verwendest auch hochladen: C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE Falls du keine Chicony-Tastatur verwendest, auch hochladen: c:\windows\mHotkey.exe c:\windows\CNYHKey.exe c:\windows\ShowWnd.exe
Diese traten häufig im Zusammenhang auf, was mach erstmal skeptisch machte.
mfg
bLacK_dRaSanG
-
27.04.2009, 18:56 #9Gini
AW: Virus!?
Hi,
Jetzt habe ich mich länger nicht gemeldet, sorry dafür.
Ich hatte jobmäßig enorm viel zu tun.
Ja du hast recht, ich benutze eine Chicony-Tastatur, aber die chinesisch/japanische Übersetzung benutze ich nicht, jedenfalls nicht dass ich wüsste.
So, morgen werde ich die genannten Dateien hochladen, heute schaffe ich es nicht mehr.
Danke nochmal für die Hilfe bis jetzt
lg gini
Ähnliche Themen
-
BKA Virus?!: Hallo, als ich gerade mein Pc gestarten habe, öffnete sich ein Fenster, der den Hintergrund (Explorer) blockiert. Darin ist ein Text enthalten, wie... -
msn virus o.O: Ich weiß nicht ob ich hier richtig bin aber ich habe einen link angecklickt bei msn den ich von einer freundin bekommen habe, jetzt schickt msn... -
ICQ Virus?: Hallo liebe User :) Ich hätte da mal eine Frage unzwar in letzter Zeit werde ich ständig von irgendwelchen ICQ Nummern aus Russland geaddet.... -
Virus: Hallo Ich hab im Moment ein großes Problem vermutlich mit einem Virus, da ich von viren auf der wii bisher nichts wusste hoff ich ihr könnt mir... -
Virus?!?!: also es ist so... ich war im internet. dann ging ich auf google und da stand bei mir mitten in der seite ich hab einen virus drauf der mir...
Du meine Güte, ich hab noch gar nicht mit der alten abgeschlossen! Was ich aber schon im Schedule dieser Season gesehen hab, ist dass enorm viel...
Winter 2025 - Anime Season