und dieses Loch stopfen ... IE7 ist angesagt...
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
ComboFix 09-01-08.05 - Administrator 2009-01-09 15:24:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1023.696 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
E:\Autorun.inf
E:\resycled
e:\resycled\boot.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-12-09 bis 2009-01-09 ))))))))))))))))))))))))))))))
.
2009-01-09 06:30 . 2009-01-09 06:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-09 06:30 . 2009-01-09 06:30 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-01-09 06:30 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-09 06:30 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-09 02:37 . 2009-01-09 02:37 552 --a------ c:\windows\system32\d3d8caps.dat
2009-01-09 01:06 . 2009-01-09 07:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-07 17:09 . 2007-03-08 00:51 129,784 --------- c:\windows\system32\pxafs.dll
2009-01-07 17:09 . 2007-03-08 00:51 9,464 --------- c:\windows\system32\drivers\cdralw2k.sys
2009-01-07 17:09 . 2007-03-08 00:51 9,336 --------- c:\windows\system32\drivers\cdr4_xp.sys
2009-01-06 02:00 . 2000-12-08 21:59 122,880 --a------ c:\windows\UnGins.exe
2009-01-06 01:59 . 2000-03-07 00:00 473,600 --a------ c:\windows\system32\Harmony.dll
2009-01-06 01:59 . 2000-03-07 00:00 237,568 --a------ c:\windows\system32\Unlha32.dll
2009-01-06 01:49 . 2009-01-09 04:58 <DIR> d-------- c:\programme\Gemeinsame Dateien\Real
2009-01-06 01:49 . 2009-01-06 01:49 <DIR> d-------- C:\Program Files
2009-01-05 16:21 . 2009-01-06 02:33 286,720 --a------ c:\windows\iun506.exe
2009-01-03 00:17 . 2009-01-03 00:17 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-29 17:13 . 2009-01-03 02:57 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-12-29 17:13 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll
2008-12-29 17:13 . 2006-12-08 16:36 37,376 --a------ c:\windows\system32\dwmapi.dll
2008-12-24 23:03 . 2008-12-24 23:21 921,624 --a------ C:\img2-001.raw
2008-12-24 22:48 . 2007-09-06 16:56 98,304 --a------ c:\windows\amcap.exe
2008-12-24 22:46 . 2008-04-14 03:23 91,648 --a------ c:\windows\system32\kswdmcap.ax
2008-12-24 22:46 . 2008-04-14 03:23 91,648 --a--c--- c:\windows\system32\dllcache\kswdmcap.ax
2008-12-24 22:46 . 2008-04-14 03:23 61,952 --a------ c:\windows\system32\kstvtune.ax
2008-12-24 22:46 . 2008-04-14 03:23 61,952 --a--c--- c:\windows\system32\dllcache\kstvtune.ax
2008-12-24 22:46 . 2008-04-14 03:22 54,272 --a------ c:\windows\system32\vfwwdm32.dll
2008-12-24 22:46 . 2008-04-14 03:22 54,272 --a--c--- c:\windows\system32\dllcache\vfwwdm32.dll
2008-12-24 22:46 . 2008-04-14 03:23 43,008 --a------ c:\windows\system32\ksxbar.ax
2008-12-24 22:46 . 2008-04-14 03:23 43,008 --a--c--- c:\windows\system32\dllcache\ksxbar.ax
2008-12-24 13:38 . 2008-12-24 13:38 <DIR> d-------- c:\programme\Avira
2008-12-24 13:38 . 2008-12-24 13:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-24 13:37 . 2008-12-24 13:37 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avg8
2008-12-23 20:42 . 2006-09-28 16:05 2,414,360 --a------ c:\windows\system32\d3dx9_31.dll
2008-12-23 20:41 . 2008-12-23 20:41 <DIR> d-------- c:\programme\OpenAL
2008-12-23 20:41 . 2009-01-06 02:42 413,696 --a------ c:\windows\system32\wrap_oal.dll
2008-12-23 20:41 . 2009-01-06 02:42 86,016 --a------ c:\windows\system32\OpenAL32.dll
2008-12-23 00:12 . 2008-12-23 00:12 4,096 --a------ c:\windows\d3dx.dat
2008-12-21 16:23 . 2008-12-21 16:23 56 --a------ c:\windows\FinalAlert2.ini
2008-12-19 02:00 . 2008-12-22 14:34 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Cool Record Edit Pro
2008-12-19 01:44 . 2008-12-19 01:44 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Free Sound Recorder
2008-12-19 01:44 . 2005-04-04 17:21 602,112 --a------ c:\windows\system32\NCTAudioTransform2.dll
2008-12-19 01:44 . 2005-03-28 15:54 479,232 --a------ c:\windows\system32\NCTAudioVisualization2.dll
2008-12-19 01:44 . 2005-03-28 15:52 417,792 --a------ c:\windows\system32\NCTTextToAudio2.dll
2008-12-19 01:44 . 2005-02-24 11:51 348,160 --a------ c:\windows\system32\NCTWMAFile2.dll
2008-12-19 01:44 . 2006-03-23 12:56 113,486 --a------ c:\windows\system32\NCTWMAProfiles.prx
2008-12-19 01:43 . 2005-05-17 12:37 1,986,560 --a------ c:\windows\system32\NCTAudioFile2.dll
2008-12-19 01:43 . 2005-05-18 11:52 1,212,416 --a------ c:\windows\system32\NCTAudioInformation2.dll
2008-12-19 01:43 . 2005-04-15 12:08 880,640 --a------ c:\windows\system32\NCTAudioEditor2.dll
2008-12-19 01:43 . 2004-11-04 13:31 835,584 --a------ c:\windows\system32\NCTAudioCDGrabber2.dll
2008-12-19 01:43 . 2005-04-25 13:01 458,752 --a------ c:\windows\system32\NCTAudioRecord2.dll
2008-12-19 01:43 . 2005-04-25 13:01 458,752 --a------ c:\windows\system32\NCTAudioPlayer2.dll
2008-12-18 23:41 . 2008-12-18 23:41 56 -r-hs---- c:\windows\system32\3DF379540B.sys
2008-12-18 23:40 . 2008-12-26 16:11 1,682 --ahs---- c:\windows\system32\KGyGaAvL.sys
2008-12-18 23:28 . 2008-12-18 23:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus
2008-12-18 23:28 . 2008-12-18 23:35 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Azureus
2008-12-18 23:27 . 2008-12-18 23:27 <DIR> d-------- c:\programme\Gemeinsame Dateien\i4j_jres
2008-12-18 20:38 . 2008-12-18 23:21 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent
2008-12-18 20:21 . 2008-12-18 20:21 <DIR> d-------- c:\programme\Gemeinsame Dateien\DirectX
2008-12-16 19:12 . 2008-12-22 21:43 1,682 --ahs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2008-12-16 19:12 . 2008-12-22 21:32 88 -r-hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\6828DA636A.sys
2008-12-14 20:05 . 2008-12-14 20:19 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Anvil Studio
2008-12-13 23:27 . 2008-12-13 23:31 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Contacts
2008-12-13 23:25 . 2008-12-13 23:25 <DIR> d----c--- c:\windows\system32\DRVSTORE
2008-12-13 23:22 . 2008-12-13 23:24 <DIR> d--hsc--- c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-12-13 23:22 . 2009-01-03 20:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-12-13 13:29 . 2008-12-13 13:29 <DIR> d-------- c:\programme\Font
2008-12-13 13:29 . 2008-12-13 13:28 720,896 --a------ c:\windows\iun6002.exe
2008-12-13 11:55 . 2008-12-13 11:55 <DIR> d--hs---- c:\windows\ftpcache
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-02 15:41 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-14 17:26 --------- d-----w c:\programme\avmwlanstick
2008-11-17 18:09 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\MSNInstaller
2008-11-17 14:38 --------- d-----w c:\programme\Windows Resource Kits
2008-11-17 14:11 --------- d-----w c:\programme\Windows Desktop Search
2008-11-17 13:05 --------- d-----w c:\programme\Microsoft Silverlight
2008-11-16 18:09 --------- d-----w c:\programme\Windows Live Safety Center
2008-11-16 17:46 --------- d-----w c:\programme\C-Media 3D Audio
2008-11-16 17:44 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2008-11-16 16:39 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2008-11-16 16:36 --------- d-----w c:\programme\ATI Technologies
2008-11-10 22:26 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Windows Search
2008-11-10 18:46 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ATI
2008-11-10 18:42 --------- d-----w c:\programme\Windows Media Connect 2
2008-11-10 16:35 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-11-09 18:15 --------- d-----w c:\programme\VideoLAN
2008-11-09 18:14 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-09 17:08 --------- d-----w c:\programme\Windows Media Components
2008-11-09 17:08 --------- d-----w c:\programme\msaccrt
2008-11-09 12:47 --------- d-----w c:\programme\microsoft frontpage
2008-11-09 12:44 --------- d-----w c:\programme\Online-Dienste
2008-11-09 12:43 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-11-09 12:41 --------- d-----w c:\programme\Windows Plus
2008-10-27 09:38 95,056 ----a-w C:\DSETUP.dll
2008-10-27 09:37 1,692,496 ----a-w C:\dsetup32.dll
2008-10-27 09:36 526,160 ----a-w C:\DXSETUP.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2005-05-13 1800408]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2008-11-09 452736]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-Cmaudio - cmicnfg.cpl
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\tfdqh3pf.default\
FF - component: c:\programme\Mozilla Firefox\components\iamfamous.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-09 15:26:52
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_USERS\Administrator\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2C583578-A12B-322C-366F-8C46A7C93F35}*NULL*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iakedafgdoibibcfgf"=hex:6b,61,66,69,6f,62,66,69,6f,6a,69,6b,70,62,64,69,69,70,
62,6e,62,63,00,00
"haacncldfepbnfmb"=hex:6b,61,65,69,6d,62,6c,67,6c,6d,66,68,6c,66,63,64,63,6c,
6a,68,69,6d,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(628)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\avmwlanstick\WLanNetService.exe
c:\windows\ehome\mcrdsvc.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-09 15:28:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-09 14:28:43
Vor Suchlauf: 10 Verzeichnis(se), 76.017.901.568 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 75,947,577,344 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
193 --- E O F --- 2008-12-18 10:39:58
Ich benutze den Internet Explorer überhaupt nicht.
ersguterjunge (7.378) 44x Beste Antwort 60x "Danke"
| Re: Gibt es ein Programm das Internetwerbung blockt? |
Okay benutze nun bitte noch SDFix um sicher zu gehen.
http://virus-protect.org/artikel/tools/sdfix.html
So wie in der Anleitung benutzen.
Report nachher posten.
So,hier ist es:
SDFix: Version 1.240
Run by Administrator on 09.01.2009 at 15:54
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-09 16:00:28
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2C583578-A12B-322C-366F-8C46A7C93F35}]
"iakedafgdoibibcfgf"=hex:6b,61,66,69,6f,62,66,69,6f,6a,69,6b,70,62,64,69,69,70,62,6e,62,..
"haacncldfepbnfmb"=hex:6b,61,65,69,6d,62,6c,67,6c,6d,66,68,6c,66,63,64,63,6c,6a,68,69,..
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
Remaining Files :
Files with Hidden Attributes :
Thu 18 Dec 2008 56 ..SHR --- "C:\WINDOWS\system32\3DF379540B.sys"
Fri 26 Dec 2008 1,682 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Mon 22 Dec 2008 88 ..SHR --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6828DA636A.sys"
Mon 22 Dec 2008 1,682 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys"
Mon 10 Nov 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Finished!
Das system hatte besuch von gästen,sehr auffällig waren die nameservereinträge.Die dienen IMHO aber nur zur ablenkung.
Das letzte log wurde mal aufmerksam gelesen?
Das system ist nicht mehr vertrauenswürdig,besser daten sichen und neu instalieren.
Mich würde mal ein log von knoppichilin intressieren,das könnte intressant sein.
ersguterjunge (7.378) 44x Beste Antwort 60x "Danke"
| Re: Gibt es ein Programm das Internetwerbung blockt? |
w laber nicht immer so ein sch...,bei dir gibt es nur Formatieren.
keep cool
Sicherste wäre hier formatieren. Ist hier aber meiner Meinung nach nicht nötig.
Aso habe noch eine Frage.
Ich habe noch diese Trojaner oder was das jetzt auch immer ist.
Meine Frage,was genau kann ich jetzt löschen?
« Leitungist zu lahm | Win XP: Wie kann ich einen Trojaner löschen? » | ||