Computerhilfen.de
Hilfe und Tipps => Antivirus Sicherheit => Thema gestartet von: Devil-su am 13.08.08, 01:39:03
-
Vor einigen Tagen hatten ich massive Probleme mit Trojanerbefall. Diese konnte ich mit Hilfe eines sehr lieben Mitglieds hier auch erfolgreich entfernen. Aber es bleiben noch einige Probleme die ich einfach nicht in den Griff bekommen.
Mein Bild, der Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) bleibt nach wie vor mit einem blauen Hintergrund und in der Mitte bleibt eine Warnung.
" Warning!
Spyware detected on yuor Computer!
Install an antvirus or spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) remover to clean your Computer!
Außerdem dauert es beim Hochfahren des PC`s immer einige Sekunden bis das Windowszeichen richtig scharf zu sehen ist.
Der PC arbeite eigentlich jetzt wieder einwandfrei, nur wenn ich mal einige Zeit nichts daran arbeite, erscheint plötzlich ein blauer Bildschirm mit weißer Schrift.
Dieses Meldung steht dann dort:
A problem has been detected and windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) has been shut down to prevent damage youre computer. (http://www.computerhilfen.de/fachbegriffe-c-Computer.html)
PAGE_FAULT_IN_MONPAGED_AREA (<- Dieser Name ändert sich jedes mal, wenn der Pc wieder hochfährt und die Fehlermeldung zeigt.)
If this is the first time you´ve seen this stop error screen (http://www.computerhilfen.de/fachbegriffe-s-Screen.html) restart your computer. (http://www.computerhilfen.de/fachbegriffe-c-Computer.html)
If this screens appears again, follow this steps:
Check to make s..... that any hardware (http://www.computerhilfen.de/fachbegriffe-h-Hardware.html) or Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) is properly installed.
If this is a new installation, ask your hardware (http://www.computerhilfen.de/fachbegriffe-h-Hardware.html) or software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) manufacturer, for any windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) updates you might need.
If problems continue, disable or remove any newly installed hardware (http://www.computerhilfen.de/fachbegriffe-h-Hardware.html) or software. (http://www.computerhilfen.de/fachbegriffe-s-Software.html)
Disable BIOS (http://www.computerhilfen.de/fachbegriffe-b-BIOS.html) memory optio such as catching or shadowing.
If you need use safe mode to remove or disable components, restart your computer, (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) press F8 to select Advanced startup options, and then select safe mode.
Technical Informatio:
***STOP: 0x00000050 (0x00000000, 0xBAf ( <- mehr konnte ich nicht abeschrieben… auch die technischen Informationen ändern sich bei jedem mal, wenn der PC hochfährt!)
Zu allem Übel kann ich auch kein Englisch ???
Diese Meldung bleibt ca 1 Minute, dann fährt der PC von allein runter und sofort wieder hoch bis wieder diese Meldung kommt. Das geht dann solange bis ich auf Reset drücke, dann fährt er wieder normal hoch.
Kann mir jemand helfen? Ich weiß nicht mehr weiter. Bin ein Laie am Pc.
-
Die Antwort haste schon in deinem letzten Thread von specialagent:
Formartieren und das System neu aufsetzen.
Ein infizierter Rechner ist niemaqls wieder als sicher anzusehen.
Gruß
Holger
-
Siehts so aus??
dann lade dir mal denn cccleaner und wichtig ist datfind.bad und poste des log davon http://virus-protect.org/datfindbat.html
-
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B811-F27D
Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von c:\
13.08.2008 12:34 0 dirdat.txt
13.08.2008 11:31 1.610.612.736 pagefile.sys
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B811-F27D
Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von C:\WINDOWS\system32
11.08.2008 20:57 60.928 blphcp8qj0e32t.scr
11.08.2008 20:56 90.838 phcp8qj0e32t.bmp
11.08.2008 15:48 314.644 perfh009.dat
11.08.2008 15:48 40.972 perfc009.dat
11.08.2008 15:48 345.246 perfh007.dat
11.08.2008 15:48 59.170 perfc007.dat
11.08.2008 15:48 768.086 PerfStringBackup.INI
10.08.2008 11:45 163.353 nvapps.xml
09.08.2008 12:14 13.646 wpa.dbl
06.08.2008 08:01 27 MPFServiceFailureCount.txt
29.07.2008 10:49 8.192 uiwbnp.dll
28.07.2008 13:35 355.584 TuneUpDefragService.exe
11.07.2008 23:12 0 42pv3UYd.exe.a_a
11.07.2008 21:11 0 OTn1GqBV.exe.a_a
25.06.2008 18:15 17.972.344 MRT.exe
20.06.2008 19:39 247.296 mswsock.dll
20.06.2008 19:39 148.992 dnsapi.dll
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B811-F27D
Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von C:\WINDOWS
13.08.2008 11:33 2.035.941 WindowsUpdate.log
13.08.2008 11:32 785 win.ini
13.08.2008 11:32 159 wiadebug.log
13.08.2008 11:32 50 wiaservc.log
13.08.2008 11:31 2.048 bootstat.dat
13.08.2008 11:30 32.548 SchedLgU.Txt
11.08.2008 21:01 0 [INI]
15.06.2008 19:00 181 EnvironmentsDlg.ini
15.06.2008 19:00 181 LuminancesDlg.ini
15.06.2008 19:00 171 MaterialsDlg.ini
15.06.2008 18:45 1.032 _profsect_0001.tmp
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B811-F27D
Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von C:\DOKUME~1\home\LOKALE~1\Temp
13.08.2008 12:30 0 etilqs_d1HUhJlFcJHnGz8YeslU
13.08.2008 11:37 30.271 jusched.log
13.08.2008 02:15 17 stadistic.log
13.08.2008 02:06 28.169 PSSysChk.log
13.08.2008 00:02 21.840 java_install_reg.log
12.08.2008 20:18 16.384 Perflib_Perfdata_498.dat
12.08.2008 19:58 16.384 Perflib_Perfdata_98c.dat
12.08.2008 18:33 12.304 etilqs_cYT5noD6AgZAc0S2Bm3B
12.08.2008 13:10 16.384 Perflib_Perfdata_f04.dat
12.08.2008 11:53 12.304 etilqs_uW9bzFGGXKHsEyyUXXzE
12.08.2008 10:28 16.384 Perflib_Perfdata_99c.dat
12.08.2008 09:07 32.800 etilqs_oPhgJZAbn8bvcfEa8fuX
11.08.2008 21:37 0 .tt4B.tmp
11.08.2008 21:18 31.181 ppsrindex.dat.972.2.ppu
11.08.2008 21:18 525.066 ppclean.exe.972.2.ppu
11.08.2008 21:17 0 .tt47.tmp
11.08.2008 21:03 12.304 etilqs_j1W4EmUgW6bSKj9U2R0Q
11.08.2008 21:01 0 uis39.tmp
11.08.2008 21:01 0 uis38.tmp
11.08.2008 21:01 0 uis37.tmp
11.08.2008 21:01 0 uis36.tmp
11.08.2008 21:00 0 uis35.tmp
11.08.2008 20:57 0 .tt29.tmp
11.08.2008 20:56 0 .tt25.tmp
11.08.2008 20:53 33.049 Uninstall Log 2008-08-11 #001.txt
11.08.2008 20:48 49.152 ~DF4F8E.tmp
11.08.2008 20:48 0 .tt26.tmp
11.08.2008 20:38 0 .tt22.tmp
11.08.2008 20:14 65.536 ~DF5611.tmp
11.08.2008 20:05 0 .tt23.tmp
11.08.2008 20:05 0 .tt20.tmp
11.08.2008 19:54 0 .tt2D.tmp
11.08.2008 19:46 32.768 ~DF1B4.tmp
11.08.2008 19:45 28.700 etilqs_Tp2xXjv205NfeMvVefUB
11.08.2008 19:33 0 .tt21.tmp
11.08.2008 19:33 0 .tt1E.tmp
11.08.2008 19:22 0 .tt1F.tmp
11.08.2008 19:20 0 .tt2.tmp
11.08.2008 16:18 0 .ttA4.tmp
11.08.2008 15:58 0 .tt9E.tmp
11.08.2008 15:54 82.427 Setup Log 2008-08-11 #001.txt
11.08.2008 15:38 0 .tt99.tmp
11.08.2008 15:12 0 .tt96.tmp
11.08.2008 14:52 0 .tt86.tmp
11.08.2008 14:32 0 .tt83.tmp
11.08.2008 14:06 0 .tt6A.tmp
11.08.2008 13:24 0 .tt67.tmp
11.08.2008 12:38 129.181 devmgmt.chw
10.08.2008 14:49 12.304 etilqs_bOCE1W0JlmX04FOt21Kb
09.08.2008 18:02 16.384 ~DFF20A.tmp
09.08.2008 17:38 2.048.000 Acr26B.tmp
09.08.2008 17:36 185 250.bat
09.08.2008 17:36 2.048.000 Acr247.tmp
09.08.2008 15:16 41.218 IUJ31540Swap.tmp
09.08.2008 15:16 29.839 IUJ31537Swap.tmp
09.08.2008 15:16 26.845 IUJ31534Swap.tmp
09.08.2008 15:12 167.926 IUJ_31284.tmp
09.08.2008 15:12 126.366 IUJ_31283.tmp
08.08.2008 12:34 39.461 jar_cache28349.tmp
08.08.2008 12:33 39.461 jar_cache28336.tmp
07.08.2008 19:08 3.100 redirect.html
07.08.2008 18:37 2.048.000 Acr193.tmp
07.08.2008 17:55 12.818 control.xml
07.08.2008 17:17 2.048.000 Acr171.tmp
07.08.2008 16:55 16.384 ~DFF1F0.tmp
05.06.2008 09:09 25.753 German.bin
Das sind die Daten aus dem DatFind.bad ich sollte die lezten 3 Monate in diesen Threat kopieren.
Bin mir aber nich sicher, ob das jetzt das richtige war.
Mein Bildschirm sieht genauso aus wie du ihn oben dargestellt hast.
LG Devil-Su
-
C:\WINDOWS\system32
blphcp8qj0e32t.scr
phcp8qj0e32t.bmp
löschen
ich such mal weiter
-
Gut die hab ich schon gelöscht. Der Bildschirm ist nun noch blau aber die Fehlermeldung in der Mitte ist weg.
LG Devil-su
-
Lass Malwarebytes drüber laufen und lasse alle Funde löschen, poste den Report dann hier.
Außerdem erstelle ein Logfile mit Hijackthis (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) und poste dieses hier.
-
Hallo,
vielen Dank für deinen Tipp, ich habe es drüber laufen lassen, hier das Ergebnis.
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1049
Windows 5.1.2600 Service Pack 2
09:48:59 14.08.2008
mbam-log-8-14-2008 (09-48-59).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 144212
Laufzeit: 53 minute(s), 25 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 24
Infizierte Dateien: 7
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\altcompare (Dialer) (http://www.computerhilfen.de/fachbegriffe-d-Dialer.html) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhct8qj0e32t (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\msvcl1.bhoapp (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\msvcl1.bhoapp.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\google.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\altcmd (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\Programme\altcmd\altcmd.inf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\altcmd\uninstall.bat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\42pv3UYd.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\OTn1GqBV.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\temp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
Hijackthis muss ich allerdings noch machen.
-
So ich habe jetzt mal die Ergebnisse des Spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) Doctor (Hijackthis) (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) aufgeschrieben:
Niedrig (**°°°) Adware.Advertising (1 Infizierungen)
Browser Cookie
ad.yieldmanager.com
Niedrig (**°°°) Application.Tracking Coockies (2Infizierungen)
Browser Cookie
doubleklick.net
LG Devil-su
Hoch (*****) Adware.Peppi (2 Infizierungen)
Datei
C:DOKUMENTE UND EINSTELLUNGEN/HOME/ANWENDUNGSDATEN/syslog2.dll
C:DOKUMENTE UND EINSTELLUNGEN/HOME/ANWENDUNGSDATEN/proxy.pac
Niedrig (**°°°) Rouque_AntiSpyware, AntivirusXP2008 (1 Infizierungen)
Registri Wert
HKEY_LOCAL_MACHINE_SOFTWARE/Microsoft/Windows/CurrentVersion/INternet Setting/User Agent/Post Plattform, Antivir XP08
Mittel (***°°) Adware.WinFixer (7 Infizierungen)
Registri Wert
HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Type
HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, FLags
HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Count
HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Time
HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Blocked
Registri Schlüssel
HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore
HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}
LG Devil-su
-
wo ist hijackthis?? (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html)
pack mal das komplette log hier rein!
-
Es war kein Log zu finden, das Ergebnis war alles, was ich sehen konnte.
-
Lass malwarebytes nochmal scannen und gucke ob noch Schädlinge gefunden werden!!
Würde auch dass Tool Combofix mal benützen!!
http://virus-protect.org/artikel/tools/combofix.html
Dieses lässt du laufen, kann ne weile dauern, am Ende postest du bitte das Logfile davon.
-
Hallo ersguterjunge,
so nun habe ich es so gemacht wie du geschrieben hast.
Hier Logfile:
ComboFix 08-08-13.05 - home 2008-08-14 18:22:17.1 - NTFSx86
Microsoft Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP Home Edition 5.1.2600.2.1252.1.1031.18.601 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\home\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Datenschutzrichtlinien.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Geschäftsbedingungen.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Website.url
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\Anwendungsdaten\tehxiu_navtmp.dat
C:\WINDOWS\system32\actskn43.ocx
C:\WINDOWS\system32\mdm.exe
D:\Autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-14 bis 2008-08-14 ))))))))))))))))))))))))))))))
.
2008-08-14 13:15 . 2008-08-14 13:15 <DIR> d-------- C:\WINDOWS\LastGood
2008-08-13 21:45 . 2008-08-14 10:30 <DIR> d-------- C:\Programme\Spyware Doctor
2008-08-13 21:45 . 2008-08-13 21:45 <DIR> d-------- C:\Dokumente und Einstellungen\home\Anwendungsdaten\PC Tools
2008-08-13 21:45 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-08-13 21:45 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-08-13 21:45 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-08-13 21:45 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-08-13 19:00 . 2008-08-13 19:00 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-13 19:00 . 2008-08-13 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\home\Anwendungsdaten\Malwarebytes
2008-08-13 19:00 . 2008-08-13 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-13 19:00 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-13 19:00 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-13 12:14 . 2008-08-13 12:14 <DIR> d-------- C:\Programme\CCleaner
2008-08-13 02:30 . 2008-08-13 02:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-08-13 02:02 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-08-13 01:56 . 2008-08-13 01:56 <DIR> d-------- C:\Programme\Panda Security
2008-08-11 21:18 . 2008-08-11 21:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Scanner
2008-08-11 21:17 . 2008-08-11 21:20 <DIR> d-------- C:\Programme\CA Yahoo! Anti-Spy
2008-08-11 21:01 . 2008-08-11 21:01 0 --a------ C:\WINDOWS\[INI]
2008-08-11 20:59 . 2008-08-11 20:59 <DIR> d-------- C:\Dokumente und Einstellungen\home\Anwendungsdaten\InstallShield
2008-08-11 19:45 . 2008-05-05 14:08 208,896 --a------ C:\WINDOWS\system32\ConTest.dll
2008-08-11 19:45 . 2007-10-17 10:19 20,480 --a------ C:\WINDOWS\system32\SysRestore.dll
2008-08-11 19:24 . 2004-08-04 14:00 1,035,264 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2008-08-11 19:24 . 2004-08-04 14:00 1,035,264 --a------ C:\WINDOWS\explorer.exe
2008-08-11 16:01 . 2008-08-12 09:41 <DIR> d-------- C:\Programme\Enigma Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Group
2008-08-11 15:46 . 2008-08-14 12:34 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-11 15:13 . 2008-08-11 15:13 <DIR> d-------- C:\Programme\Trend Micro
2008-08-10 11:58 . 2008-08-10 11:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-08-10 10:27 . 2008-03-20 13:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-10 10:27 . 2008-03-20 13:03 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-08-10 10:27 . 2008-03-20 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-10 10:27 . 2008-08-14 18:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-10 10:27 . 2008-03-20 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-10 10:27 . 2008-03-20 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-10 10:27 . 2008-08-14 09:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-10 10:27 . 2008-08-10 10:27 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-09 20:48 . 2008-08-09 20:48 <DIR> d-------- C:\Programme\Avira
2008-08-09 20:48 . 2008-08-09 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-09 19:47 . 2008-08-09 19:47 <DIR> d-------- C:\Programme\Avira GmbH
2008-07-28 13:35 . 2008-07-28 13:35 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-07-28 13:35 . 2008-05-29 09:28 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-14 16:14 --------- d-----w C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4
2008-08-14 10:39 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\OpenOffice.org2
2008-08-13 19:58 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\gtk-2.0
2008-08-11 19:00 --------- d-----w C:\Programme\Yahoo!
2008-08-11 18:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-11 18:51 --------- d-----w C:\Programme\FreePDF_XP
2008-08-11 18:50 --------- d-----w C:\Programme\WebMarket Ltd
2008-08-11 15:26 --------- d-----w C:\Programme\DAEMON Tools Pro
2008-08-09 20:04 --------- d-----w C:\Programme\peppi_clipart
2008-08-09 18:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-07-29 08:49 8,192 ----a-w C:\WINDOWS\system32\uiwbnp.dll
2008-07-29 08:49 149,120 ----a-w C:\WINDOWS\system32\drivers\uiwbrdr.SYS
2008-07-28 11:35 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-07-17 20:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-07-14 20:13 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\Skype
2008-07-14 17:13 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\skypePM
2008-07-11 17:29 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\AdobeUM
2008-07-11 16:00 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Yahoo!
2008-07-01 21:34 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\Zylom
2008-06-30 19:51 --------- d-----w C:\Programme\Zylom Games
2008-06-30 18:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameHouse
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-03 21:24 7 ----a-w C:\Dokumente und Einstellungen\home\Anwendungsdaten\syslog2.dll
2008-03-31 21:33 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.
------- Sigcheck -------
2004-08-04 14:00 17408 6d75bd5e29ad4433a00ff14631202c72 C:\WINDOWS\system32\svchost.exe
2004-08-04 14:00 510464 d17c3a98c752e581454f5bb27734a7cb C:\WINDOWS\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-08-30 17:43 4670704]
"DTP Werbe-Killer"="C:\Programme\Werbe-Killer\werbekiller.exe" [2002-06-24 14:47 673280]
"WEB.DE_WEB.DE SmartDrive Manager"="C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" [2008-07-29 10:50 1204224]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"WireLessMouse"="C:\Programme\Office Mouse Driver\StartAutorun.exe" [2005-11-30 13:48 94208]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2003-09-05 17:55 1200178]
"GrooveMonitor"="C:\Programme\Microsoft Office 07\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"SpyHunter Security Suite"="C:\Programme\Enigma Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Group\SpyHunter\SpyHunter3.exe" [2008-01-23 14:47 847872]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 19:08 16342528 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-05-07 19:51 1826816 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"MacrokeyManager"="WTMKM.exe" [2007-05-29 08:55 1969824 C:\WINDOWS\system32\WTMKM.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
C:\Dokumente und Einstellungen\home\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
Windows-Desktopsuche.lnk - C:\Programme\Windows Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) Search\WindowsSearch.exe [2007-02-05 15:40:46 118784]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) Search\MSNLNamespaceMgr.dll" [2007-02-05 15:39 294400]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"WEB.DE_WEB.DE SmartDrive Manager"="C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector v2"=C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Microsoft Office 07\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office 07\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office 07\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24]
R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 09:26]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 05:36]
R0 ViPrt;VIA SATA IDE (http://www.computerhilfen.de/fachbegriffe-i-IDE.html) Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 09:26]
R1 BIOS;BIOS;C:\WINDOWS\system32\drivers\BIOS.sys [2005-03-16 08:23]
R1 uiwbrdr;uiwbrdr;C:\WINDOWS\system32\DRIVERS\uiwbrdr.sys [2008-07-29 10:49]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R2 WTService;WTService;C:\WINDOWS\system32\atwtusb.exe [2007-05-29 16:40]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) Driver (http://www.computerhilfen.de/fachbegriffe-d-Driver.html) Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-02-27 10:14]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-28 13:35]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
2008-08-14 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 11:54]
2008-08-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update\SoftwareUpdate.exe [2007-08-29 15:57]
2008-08-13 C:\WINDOWS\Tasks\SpyHunter Scanner.job
- C:\Programme\Enigma Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Group\SpyHunter\SpyHunter3.exe [2008-01-23 14:47]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
SSODL-Uahpzdm-{B811F27E-12BB-58D4-2671-E75CA59EFC11} - (no file)
.
------- Zusätzlicher Scan Firefox (http://www.computerhilfen.de/download-8451109180319399.html) -: Profile - C:\Dokumente und Einstellungen\home\Anwendungsdaten\Mozilla\Firefox\Profiles\zuhx68zy.default\
FF -: plugin - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\npnul32.dll
FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\NPOFF12.DLL
FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\nppdf32.dll
FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\npzylomgamesplayer.dll
FF -: plugin - C:\Programme\Yahoo!\Shared\npYState.dll
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-14 18:26:37
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-14 18:28:42
ComboFix-quarantined-files.txt 2008-08-14 16:28:30
Pre-Run: 12 Verzeichnis(se), 34,110,930,944 Bytes frei
Post-Run: 16 Verzeichnis(se), 34,229,809,152 Bytes frei
198 --- E O F --- 2008-07-17 20:38:07
-
Was bedeutet die rote Warnung für mich, kann ich das ändern?
Danke u. Liebe Grüsse Devil-su
-
So klicke nun auf Start -> Ausführen -> Combofix /U
Dadurch wird alles von Combofix wieder gelöscht.
Mache nun nochmal einen Scan mit Malwarebytes!!
-
Danke an alle die sich bemüht haben mir so toll zu helfen. Nun läuft mein PC wieder problemlos. Ich kann es immer noch nicht glauben.
Danke,danke, danke..................
Liebe Grüsse Devil-su
-
voll genial...auch bei mir hat es hingehaun..
Voll gut, ;-) Machst deinen Namen alle Ehre *g*
AntiVir konnte meine Fehler nicht beheben..eine anderes Virenprogramm hat dies gemeldet:
BAD C:\WINDOWS\system32blphc7kkj0erce.scr Malicious Software
BAD C:\WINDOWS\system32\lphc7kkj0erce.exe Malicious Software
BAD
C:\TEMP\57329.EXE Malicious Software
Mit ccCleaner die Tmp Dateien löschen und dannach comp laufen lassen und mein System ist wie "neu" ;-)
Vielen Dank fuer Eure Vorarbeit *froi