-
Ok, ich wollte den letzten Beitrag ncohmal ändern, war aber zu spät, hier der letzte Stand:
EGAL, bin genervt und habs nochmal versucht, hat einigermassen funktioniert,
beim Hochfahren war natürlich AV wieder aktiv und brachte einige Funde, den ersten hab ich aus versehen ignoriert, war: In der Datei 'C:\test\N_\26757'
wurde ein Virus oder unerwünschtes Programm 'Eicar-Test-Signature' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
Spybot is jetzt nicht mehr in der Schnellstartleiste zu sehen....und ich geh jetz auf die Arbeit.
Hier noch die Log.txt (ICH HOFFE; ICH HABE JETZT JEMANDEN NICHT NOCH MEHR ARBEIT GEMACHT ALS EH SCHON IST....sorry)
ComboFix 09-08-10.06 - Udo 17.08.2009 5:28.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1535.1169 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Udo\Desktop\test.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Neuer Wiederherstellungspunkt wurde erstellt
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programme\INSTALL.LOG
c:\programme\MyWay
c:\programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
c:\programme\MyWay\SrchAstt\1.bin\PARTNER.DAT
c:\programme\MyWay\SrchAstt\Cache\files.ini
c:\programme\MyWay\SrchAstt\Settings\prevcfg.htm
c:\windows\Installer\2232e.msp
c:\windows\Installer\5116f.msi
c:\windows\Installer\68c980.msp
c:\windows\regedit.com
c:\windows\system32\drivers\svchost.exe
c:\windows\system32\drivers\UACajqoqtnehm.sys
c:\windows\system32\oledb32.dll
c:\windows\system32\taskmgr.com
c:\windows\system32\tmp.reg
c:\windows\system32\uacinit.dll
c:\windows\system32\UAClpdwpaknrn.dat
c:\windows\system32\UACmietmfklxk.dll
c:\windows\system32\UACxukvavkufr.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_UACd.sys
-------\Legacy_UACd.sys
((((((((((((((((((((((( Dateien erstellt von 2009-07-17 bis 2009-08-17 ))))))))))))))))))))))))))))))
.
2009-08-16 10:32 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-16 10:32 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-16 10:32 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-16 10:32 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-16 10:32 . 2009-08-16 10:32 -------- d-----w- c:\programme\Avira
2009-08-16 10:32 . 2009-08-16 10:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-08-12 17:03 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-16 19:36 . 2009-08-17 02:27 2599936 ----a-w- c:\windows\Internet Logs\xDB21.tmp
2009-08-16 07:31 . 2005-05-26 14:12 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-08-15 20:53 . 2007-07-24 16:33 78188 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-08-15 20:53 . 2007-07-24 16:33 6223904 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-08-13 15:03 . 2008-04-18 15:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-08-05 08:59 . 2004-02-18 15:39 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:01 . 2003-04-02 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-04 07:57 286208 ------w- c:\windows\system32\wmpdxm.dll
2009-07-13 13:50 . 2009-07-13 13:37 -------- d-----w- c:\dokumente und einstellungen\Udo\Anwendungsdaten\U3
2009-07-11 13:13 . 2003-04-02 12:00 76072 ----a-w- c:\windows\system32\perfc007.dat
2009-07-11 13:13 . 2003-04-02 12:00 419564 ----a-w- c:\windows\system32\perfh007.dat
2009-07-11 13:08 . 2007-01-14 09:00 6877448 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2009-07-11 10:09 . 2004-02-18 15:09 76487 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-06-30 20:19 . 2005-05-26 14:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-06-29 18:04 . 2007-01-10 16:09 -------- d-----w- c:\dokumente und einstellungen\Udo\Anwendungsdaten\Skype
2009-06-29 18:02 . 2004-08-17 18:37 -------- d-----w- c:\dokumente und einstellungen\Udo\Anwendungsdaten\MSN6
2009-06-29 15:55 . 2006-06-23 12:27 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2004-08-04 07:57 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2003-04-02 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2009-06-28 20:28 . 2009-06-28 20:28 -------- d-----w- c:\programme\RVS
2009-06-20 07:48 . 2009-06-20 07:48 -------- d-----w- c:\programme\Fischer
2009-06-20 07:47 . 2009-06-20 07:48 724992 ----a-w- c:\windows\iun6002.exe
2009-06-16 14:36 . 2003-04-02 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2003-04-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2003-04-02 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2003-04-02 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2004-02-18 15:07 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2007-01-26 16:30 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2004-02-18 15:39 1296896 ----a-w- c:\windows\system32\quartz.dll
2000-10-27 08:32 . 2000-10-27 08:32 569856 ------w- c:\programme\msxml3.msm
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{6dfc55bb-bfff-485a-9709-90c3fdf6db58}"= "c:\programme\Wisdom-soft\tbWisd.dll" [2007-07-17 1379352]
[HKEY_CLASSES_ROOT\clsid\{6dfc55bb-bfff-485a-9709-90c3fdf6db58}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6dfc55bb-bfff-485a-9709-90c3fdf6db58}]
2007-07-17 14:59 1379352 ----a-w- c:\programme\Wisdom-soft\tbWisd.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6dfc55bb-bfff-485a-9709-90c3fdf6db58}"= "c:\programme\Wisdom-soft\tbWisd.dll" [2007-07-17 1379352]
[HKEY_CLASSES_ROOT\clsid\{6dfc55bb-bfff-485a-9709-90c3fdf6db58}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="c:\programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
"Babylon Translator"="c:\programme\Babylon Translator\babylon.exe" [1999-11-09 712704]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LWBMOUSE"="c:\programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE" [2001-11-20 356352]
"LWBKEYBOARD"="c:\programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe" [2002-04-02 371200]
"StorageGuard"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-02-13 155648]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2003-10-22 114741]
"Starter"="c:\windows\System32\STARTER.EXE" [1998-08-26 22528]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-30 136600]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-02-16 282624]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-08-18 4841472]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"Name of App"="c:\programme\SAMSUNG\FW LiveUpdate\FWManager.exe" [2008-07-07 675935]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"dit"="dit.exe" - c:\windows\Dit.exe [2002-09-05 69632]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2003-08-18 323584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Udo\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=es1371.dll
"midi1"=es1371.dll
"mixer1"=es1371.dll
"aux"=es1371.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.08.2009 12:32 108289]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [09.01.2005 00:09 59520]
R2 rvsport;RVS Virtual COM Port;c:\windows\system32\drivers\RVSPORT.sys [28.06.2009 22:29 38400]
R2 SilmaLM;Silma License Manager;c:\windows\system32\silma_elmd.exe [17.10.2001 14:41 220160]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [11.09.2002 02:00 37568]
S0 Cdr4vsd;Cdr4vsd; [x]
S3 FUS2BASE;FRITZ!Card USB;c:\windows\system32\drivers\fus2base.sys [11.09.2002 02:00 498320]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [09.05.2009 21:42 13224]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [23.10.2006 04:39 71072]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?]
S3 ulisa;DeTeWe ISDN-Adapter (USB);c:\windows\system32\Drivers\ulisa.sys --> c:\windows\system32\Drivers\ulisa.sys [?]
.
Inhalt des "geplante Tasks" Ordners
2007-12-04 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\programme\Spybot - Search & Destroy\SpybotSD.exe [2004-05-11 13:31]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-routcnf - c:\programme\DeTeWe\TA 33 USB\routcnf.exe
HKLM-Run-Cmaudio - cmicnfg.cpl
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = hxxp://web.de/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Udo\Anwendungsdaten\Mozilla\Firefox\Profiles\ksc5bhr1.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Viewpoint\Viewpoint Media Player\npViewpoint.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-17 05:38
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(1560)
c:\programme\Windows Media Player\wmpband.dll
c:\programme\Wisdom-soft\tbWisd.dll
c:\programme\Babylon Translator\CAPTLIB.DLL
c:\programme\Browser Mouse\Browser Mouse\1.1\MOUDL32A.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\DitExp.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\ZoneLabs\vsmon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-17 5:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-17 03:43
Vor Suchlauf: 23 Verzeichnis(se), 14.775.799.808 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 15.635.492.864 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
Current=5 Default=5 Failed=4 LastKnownGood=7 Sets=1,2,3,4,5,7
215 --- E O F --- 2009-08-16 07:42
-
Das passt schon. Deinstalliere bitte Combofix via start/ausfuehren. Dort gebe
combofix /u
ein und druecke enter. Aktualisiere bitte Antivir und mache eine Systemueberpruefung.
Ein weiterer Kontrollscan mit Kasperskys Onlinescanner waere hilfreich
http://www.kaspersky.com/de/virusscanner
Sollte noch etwas gefunden werden, poste die entsprechenden Reporte/Funde, sowie ein aktuelles Hijackthis Log.
-
Hallo raman,
vielen Dank bis hierher, d.h., wir fliegen Fr. in die USA und ich sitze seit 1,5h schon an der Kiste um auf meinem GoPal die Karten zu installieren, komm aber nicht weiter
Ich werde also frühestens den kapersky-scan morgen oder in ca. 3Wo. machen.
Spybot scheint auch wieder zu starten.
Frage zu AV, obwohl mir gestern Abend das Programm bestätigte, es sei auf den neuesten Stand, hat es eben unten rechts das Fensterchen hochgefahren, dass die Aktualisierung schon älter als zwei Tage sei, ist das ein bekanntes Softwareproblem?
Danke nochmal für die Unerstützung!
Bis denne!
-
Jein, das muessen wir nochmal kontrollieren, wenn du wieder zurueck bist, dazu brauchen wir nochmal combofix...
Posting Permissions
- You may not post new threads
- You may not post replies
- You may not post attachments
- You may not edit your posts
-
Forum Rules