Keine HiJackThis LogDatei

SheDevil

New member
Hallo zusammen ....
ich war mal wieder zuvoreilig.. habe Combofix durchlauffen lassen und jetzt les ich überall ich soll die GiJack Logdatei mit reinposten *kopfkratz* was nun ?

ich Poste die Combofixdatei schonmal mit rein
ComboFix 08-05-21.3 - SheDevil 2008-05-23 6:01:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2990 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\SheDevil\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt
C:\Dokumente und Einstellungen\SheDevil\lsass.exe
C:\Dokumente und Einstellungen\SheDevil\Startmenü\Programme\Autostart\Deewoo.lnk
C:\Dokumente und Einstellungen\SheDevil\Startmenü\Programme\Autostart\DW_Start.lnk
C:\Programme\network monitor
C:\Programme\network monitor\netmon.exe
C:\Programme\winvi
C:\Programme\winvi\dsktp\AC_RunActiveContent.js
C:\Programme\winvi\dsktp\desktop.html
C:\Programme\winvi\dsktp\internetDetection.swf
C:\Programme\winvi\dsktp\settings.sol
C:\Programme\winvi\Uninst.exe
C:\Programme\winvi\update.exe
C:\Programme\winvi\version.ini
C:\Programme\winvi\wupda.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\SG9tZVN3ZWV0SG9tZTE\
C:\WINDOWS\SG9tZVN3ZWV0SG9tZTE\\asappsrv.dll
C:\WINDOWS\SG9tZVN3ZWV0SG9tZTE\\command.exe
C:\WINDOWS\SG9tZVN3ZWV0SG9tZTE\\m36QtphatqpXm36QtnH.vbs
C:\WINDOWS\SG9tZVN3ZWV0SG9tZTE\command.exe
C:\WINDOWS\system32\{84b91ba1-c3af-27c4-7e94-566fd6d764fd}.dll
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\pnipyoip.ini
C:\WINDOWS\system32\rwwnw64d.exe
C:\WINDOWS\system32\tBJRstwa.ini
C:\WINDOWS\system32\tBJRstwa.ini2
C:\WINDOWS\system32\winsys.exe
C:\WINDOWS\system32\zxdnt3d.cfg
C:\WINDOWS\uninstall_nmon.vbs
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_CMDSERVICE
-------\Legacy_NETWORK_MONITOR
-------\Service_cmdService
-------\Service_Network Monitor

((((((((((((((((((((((( Dateien erstellt von 2008-04-23 bis 2008-05-23 ))))))))))))))))))))))))))))))
.
2008-05-23 06:05 . 2008-05-23 06:05 294 ---hs---- C:\WINDOWS\system32\pnipyoip.ini
2008-05-23 06:04 . 2008-05-23 06:05 93 --a------ C:\WINDOWS\system32\msnav32.ax
2008-05-23 05:46 . 2008-05-22 20:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-23 05:46 . 2008-05-22 21:01 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-05-23 05:46 . 2008-05-22 21:01 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-23 05:46 . 2008-05-22 21:01 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-23 05:46 . 2008-05-22 21:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-23 05:46 . 2008-05-22 21:01 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-23 05:46 . 2008-05-22 21:01 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-23 05:46 . 2008-05-23 05:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-23 02:38 . 2008-05-23 02:38 298,302 --a------ C:\WINDOWS\system32\gside.exe
2008-05-23 02:37 . 2008-05-23 02:37 49,172 --a------ C:\WINDOWS\system32\jnwnw64q.exe
2008-05-22 22:52 . 2008-05-23 05:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-22 22:50 . 2008-05-22 22:50 93,184 --a------ C:\WINDOWS\system32\pioypinp.dll
2008-05-22 22:49 . 2008-05-22 22:49 375,296 --a------ C:\WINDOWS\system32\awtsRJBt.dll
2008-05-22 22:45 . 2008-05-22 22:45 <DIR> d-------- C:\WINDOWS\system32\xnA
2008-05-22 22:45 . 2008-05-22 22:45 <DIR> d-------- C:\WINDOWS\system32\scoL1
2008-05-22 22:45 . 2008-05-22 22:45 <DIR> d-------- C:\WINDOWS\system32\brW
2008-05-22 22:45 . 2008-05-22 22:45 <DIR> d-------- C:\WINDOWS\system32\3056v
2008-05-22 22:45 . 2008-05-22 22:45 401,966 --a------ C:\WINDOWS\system32\g92.exe
2008-05-22 22:45 . 2008-05-22 22:45 200,766 --a------ C:\WINDOWS\system32\ncntokdm.exe
2008-05-22 22:45 . 2008-05-22 22:45 63,902 --a------ C:\WINDOWS\system32\{84b91ba1-c3af-27c4-7e94-566fd6d764fd}.dll-uninst.exe
2008-05-22 22:45 . 2008-05-23 05:49 860 --a------ C:\WINDOWS\system32\winpfz33.sys
2008-05-22 22:44 . 2008-05-22 22:44 <DIR> d-------- C:\WINDOWS\system32\vntiho18
2008-05-22 22:44 . 2008-05-22 22:45 <DIR> d-------- C:\Temp\vtmp2
2008-05-22 22:44 . 2008-05-23 06:01 <DIR> d-------- C:\Temp
2008-05-22 22:44 . 2008-05-22 22:44 28,160 --a------ C:\WINDOWS\system32\byXNddeD.dll
2008-05-22 22:00 . 2008-05-22 20:19 261 --a------ C:\WINDOWS\system32\$winnt$.inf
2008-05-20 23:13 . 2008-05-20 23:13 32,768 --a------ C:\WINDOWS\system32\vntiho18\vntiho182328.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-23 04:04 49,185 ----a-w C:\WINDOWS\system32\rwwnw64d.exe
2008-05-22 18:58 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-22 18:37 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-05-22 18:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-22 18:37 --------- d-----w C:\Dokumente und Einstellungen\SheDevil\Anwendungsdaten\TuneUp Software
2008-05-22 18:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-05-22 18:18 --------- d-----w C:\Programme\microsoft frontpage
2008-05-22 18:17 --------- d-----w C:\Programme\Online-Dienste
2008-05-22 18:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-03-27 15:35 333,824 ----a-w C:\WINDOWS\system32\mysidesearch_sidebar.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{27364755-52EB-4A59-A975-F570F257B977}]
2008-05-23 06:05 375296 --a------ C:\WINDOWS\system32\hgGyvspO.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3095D50F-F1BA-4BBC-A54D-819EEB7E0898}]
2008-05-22 22:44 28160 --a------ C:\WINDOWS\system32\byXNddeD.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4C727732-51AF-4952-8B18-11F84397224B}]
2008-05-22 22:49 375296 --a------ C:\WINDOWS\system32\awtsRJBt.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9506910A-0F94-4ea1-B567-7070428B8B2B}]
2008-03-27 17:35 333824 --a------ C:\WINDOWS\system32\mysidesearch_sidebar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 18:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 18:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"WinSys2"="C:\WINDOWS\system32\winsys2.exe" [2006-04-29 05:36 208896]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 18:43 81920]
"{6D-D3-30-07-DW}"="c:\windows\system32\rwwnw64d.exe" [ ]
"ccf6d3a8"="C:\WINDOWS\system32\pioypinp.dll" [2008-05-22 22:50 93184]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 14:00 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{3095D50F-F1BA-4BBC-A54D-819EEB7E0898}"= C:\WINDOWS\system32\byXNddeD.dll [2008-05-22 22:44 28160]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXNddeD]
byXNddeD.dll 2008-05-22 22:44 28160 C:\WINDOWS\system32\byXNddeD.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\hgGyvspO
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2002-12-31 14:00]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18c9891f-2837-11dd-aacf-806d6172696f}]
\Shell\Auto\command - D:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18c98920-2837-11dd-aacf-806d6172696f}]
\Shell\Auto\command - K:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18c98921-2837-11dd-aacf-806d6172696f}]
\Shell\Auto\command - L:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-05-22 18:37:56 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-23 06:04:59
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...

C:\WINDOWS\system32\pnipyoip.ini 294 bytes
C:\WINDOWS\system32\hgGyvspO.dll 375296 bytes executable
C:\WINDOWS\system32\msnav32.ax 93 bytes
Scan erfolgreich abgeschlossen
versteckte Dateien: 3
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\byXNddeD.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Qoobox\Quarantine\C\WINDOWS\system32\rwwnw64d.exe.virWram
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-23 6:05:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-23 04:05:30
6 Verzeichnis(se), 48,712,507,392 Bytes frei
8 Verzeichnis(se), 48,748,503,040 Bytes frei
182


So vielen lieben Dank im voraus SheDevil
 

SheDevil

New member
na dann...

... geb ich mich da mal drann ... möcht endlich wieder nen VirenFREIEN Pc *seufzt*


Vielen Dank schon mal....


EDIT (autom. Beitragszusammenführung):


so hab jetzt beide Log´s hoffe ihr könnt damit was anfangen ...
Dickes Thx im Voraus...

HiJack This log :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:01:38, on 23.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
c:\windows\system32\rwwnw64d.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ncntokdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.whynotsearchhere.com/start.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [{6D-D3-30-07-DW}] c:\windows\system32\rwwnw64d.exe DWram
O4 - HKLM\..\Run: [ccf6d3a8] rundll32.exe "C:\WINDOWS\system32\xfeeovsm.dll",b
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\ncntokdm.exe DWram
O4 - HKLM\..\Run: [{52908bbe-7d1b-7e22-da87-946ab3627d61}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\{84b91ba1-c3af-27c4-7e94-566fd6d764fd}.dll" DllInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntokdm.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\rwwnw64d.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 3052 bytes

Combofix Log :


ComboFix 08-05-21.3 - SheDevil 2008-05-23 11:17:06.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.3021 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\SheDevil\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\SheDevil\Startmenü\Programme\Autostart\Deewoo.lnk
C:\Dokumente und Einstellungen\SheDevil\Startmenü\Programme\Autostart\DW_Start.lnk
C:\Programme\Google\googletoolbar1.dll
C:\WINDOWS\system32\{84b91ba1-c3af-27c4-7e94-566fd6d764fd}.dll
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\msvoeefx.ini
C:\WINDOWS\system32\OpsvyGgh.ini
C:\WINDOWS\system32\OpsvyGgh.ini2
C:\WINDOWS\system32\zxdnt3d.cfg
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-23 bis 2008-05-23 ))))))))))))))))))))))))))))))
.
2008-05-23 11:11 . 2008-05-23 11:17 <DIR> d-------- C:\Programme\Google
2008-05-23 11:01 . 2008-05-23 11:01 <DIR> d-------- C:\Programme\Trend Micro
2008-05-23 10:04 . 2008-05-23 10:04 9,662 --a------ C:\WINDOWS\system32\pinkip.ico
2008-05-23 06:18 . 2008-05-23 06:18 0 --a------ C:\WINDOWS\msicpl.ini
2008-05-23 06:15 . 2008-05-23 06:15 95,833 --a------ C:\WINDOWS\system32\{c2785a84-b4ca-3429-e578-07005f5ad20a}.dll-uninst.exe
2008-05-23 06:08 . 2008-05-23 06:08 93,184 --a------ C:\WINDOWS\system32\xfeeovsm.dll
2008-05-23 06:05 . 2008-05-23 06:05 375,296 --a------ C:\WINDOWS\system32\hgGyvspO.dll
2008-05-23 06:05 . 2008-05-23 06:05 354 ---hs---- C:\WINDOWS\system32\pnipyoip.ini
2008-05-23 05:46 . 2008-05-22 20:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-23 05:46 . 2008-05-22 21:01 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-05-23 05:46 . 2008-05-22 21:01 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-23 05:46 . 2008-05-23 06:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-23 05:46 . 2008-05-22 21:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-23 05:46 . 2008-05-22 21:01 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-23 05:46 . 2008-05-22 21:01 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-23 05:46 . 2008-05-23 05:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-23 02:38 . 2008-05-23 02:38 298,302 --a------ C:\WINDOWS\system32\gside.exe
2008-05-23 02:37 . 2008-05-23 02:37 49,172 --a------ C:\WINDOWS\system32\jnwnw64q.exe
2008-05-22 22:52 . 2008-05-23 05:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-22 22:49 . 2008-05-22 22:49 375,296 --a------ C:\WINDOWS\system32\awtsRJBt.dll
2008-05-22 22:45 . 2008-05-22 22:45 <DIR> d-------- C:\WINDOWS\system32\xnA
2008-05-22 22:45 . 2008-05-22 22:45 <DIR> d-------- C:\WINDOWS\system32\scoL1
2008-05-22 22:45 . 2008-05-22 22:45 <DIR> d-------- C:\WINDOWS\system32\brW
2008-05-22 22:45 . 2008-05-22 22:45 <DIR> d-------- C:\WINDOWS\system32\3056v
2008-05-22 22:45 . 2008-05-22 22:45 401,966 --a------ C:\WINDOWS\system32\g92.exe
2008-05-22 22:45 . 2008-05-22 22:45 200,766 --a------ C:\WINDOWS\system32\ncntokdm.exe
2008-05-22 22:45 . 2008-05-23 06:15 63,902 --a------ C:\WINDOWS\system32\{84b91ba1-c3af-27c4-7e94-566fd6d764fd}.dll-uninst.exe
2008-05-22 22:45 . 2008-05-23 05:49 860 --a------ C:\WINDOWS\system32\winpfz33.sys
2008-05-22 22:44 . 2008-05-22 22:44 <DIR> d-------- C:\WINDOWS\system32\vntiho18
2008-05-22 22:44 . 2008-05-22 22:45 <DIR> d-------- C:\Temp\vtmp2
2008-05-22 22:44 . 2008-05-23 06:01 <DIR> d-------- C:\Temp
2008-05-22 22:44 . 2008-05-22 22:44 28,160 --a------ C:\WINDOWS\system32\byXNddeD.dll
2008-05-22 22:00 . 2008-05-22 20:19 261 --a------ C:\WINDOWS\system32\$winnt$.inf
2008-05-20 23:13 . 2008-05-20 23:13 32,768 --a------ C:\WINDOWS\system32\vntiho18\vntiho182328.exe
2008-05-19 15:55 . 2008-05-19 15:55 439,808 --a------ C:\WINDOWS\system32\{c2785a84-b4ca-3429-e578-07005f5ad20a}.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 18:58 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-22 18:37 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-05-22 18:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-22 18:37 --------- d-----w C:\Dokumente und Einstellungen\SheDevil\Anwendungsdaten\TuneUp Software
2008-05-22 18:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-05-22 18:18 --------- d-----w C:\Programme\microsoft frontpage
2008-05-22 18:17 --------- d-----w C:\Programme\Online-Dienste
2008-05-22 18:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.
((((((((((((((((((((((((((((( snapshot@2008-05-23_ 6.05.12.43 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-23 04:04:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-23 09:19:15 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-22 20:45:11 63,902 ----a-w C:\WINDOWS\system32\{84b91ba1-c3af-27c4-7e94-566fd6d764fd}.dll-uninst.exe
+ 2008-05-23 04:15:05 63,902 ----a-w C:\WINDOWS\system32\{84b91ba1-c3af-27c4-7e94-566fd6d764fd}.dll-uninst.exe
+ 2008-05-23 04:15:13 95,833 ----a-w C:\WINDOWS\system32\{c2785a84-b4ca-3429-e578-07005f5ad20a}.dll-uninst.exe
+ 2008-05-19 13:55:20 439,808 ----a-w C:\WINDOWS\system32\{c2785a84-b4ca-3429-e578-07005f5ad20a}.dll
+ 2008-03-25 02:32:44 218,496 ----a-r C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe
+ 2008-05-23 09:11:03 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
- 2008-05-23 03:53:46 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-05-23 04:08:55 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-05-23 03:53:46 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-05-23 04:08:55 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-05-23 03:53:46 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-05-23 04:08:55 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-05-23 03:53:46 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-05-23 04:08:55 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3095D50F-F1BA-4BBC-A54D-819EEB7E0898}]
2008-05-22 22:44 28160 --a------ C:\WINDOWS\system32\byXNddeD.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4C727732-51AF-4952-8B18-11F84397224B}]
2008-05-22 22:49 375296 --a------ C:\WINDOWS\system32\awtsRJBt.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c9e37345-4747-d4a6-f863-22bcf301d74b}]
2008-05-19 15:55 439808 --a------ C:\WINDOWS\system32\{c2785a84-b4ca-3429-e578-07005f5ad20a}.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FE2B9145-96E7-4C8E-875F-340EE31F7BAD}]
2008-05-23 06:05 375296 --a------ C:\WINDOWS\system32\hgGyvspO.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-05-23 11:11 171448]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 18:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 18:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"WinSys2"="C:\WINDOWS\system32\winsys2.exe" [2006-04-29 05:36 208896]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 18:43 81920]
"{6D-D3-30-07-DW}"="c:\windows\system32\rwwnw64d.exe" [ ]
"ccf6d3a8"="C:\WINDOWS\system32\xfeeovsm.dll" [2008-05-23 06:08 93184]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 14:00 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{3095D50F-F1BA-4BBC-A54D-819EEB7E0898}"= C:\WINDOWS\system32\byXNddeD.dll [2008-05-22 22:44 28160]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXNddeD]
byXNddeD.dll 2008-05-22 22:44 28160 C:\WINDOWS\system32\byXNddeD.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2002-12-31 14:00]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18c9891f-2837-11dd-aacf-806d6172696f}]
\Shell\Auto\command - D:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18c98920-2837-11dd-aacf-806d6172696f}]
\Shell\Auto\command - K:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18c98921-2837-11dd-aacf-806d6172696f}]
\Shell\Auto\command - L:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-05-22 18:37:56 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-23 11:19:28
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\byXNddeD.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-23 11:19:56 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-23 09:19:53
ComboFix2.txt 2008-05-23 04:05:33
6 Verzeichnis(se), 48,717,500,416 Bytes frei
7 Verzeichnis(se), 48,742,350,848 Bytes frei
163
 
Zuletzt bearbeitet:

Kingslayer

New member
Ulala... also bei dir ist schonmal das problem das du unheimlich viele Prozesse hast, viele die schädlich sind, viele die unbekannt sind unter denen wahrscheinlich auhc einige sind die schädlich sind... das ist schon einiges

http://hijackthis.de/ kopiere deinen logfile hier rein und lösche alle mit rotem Kreuz markiert sind ihc hae es mir angeschaut die kannst du ruhigen gewissens löschen... mal sehen was das hilft.
 

SheDevil

New member
nochmal die logdatei...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:47:16, on 23.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.whynotsearchhere.com/start.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [{6D-D3-30-07-DW}] c:\windows\system32\rwwnw64d.exe DWram
O4 - HKLM\..\Run: [BMcfc5e034] Rundll32.exe "C:\WINDOWS\system32\omninrxy.dll",s
O4 - HKLM\..\Run: [ccf6d3a8] rundll32.exe "C:\WINDOWS\system32\xfiywohw.dll",b
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 3014 bytes
 
X
Keine passende Antwort gefunden?