| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Mehrfache Trojaner eingefangen, über Firefox.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.10.2009, 12:38
| #1 |
| |  Mehrfache Trojaner eingefangen, über Firefox. ***ACHTUNG, TEXT IST ÜBER MEHRERE POSTINGS VERTEILT*** guten tag liebes board. Zuerst einmal: ich bin schuld, und das in vielerlei hinsicht. Erstens: ich benutze ein altes, kopiertes windows xp >ohne< updates. Das ist deshalb, weil das nur mein spielerechner ist und ich normalerweise mit dem laptop im internet surfe (aktuelles vista). Leider hatte ich mein laptop bei meiner freundin vergessen und ich idi*t musste ja auf fragwürdige seiten mit dem PC gehen. Ich habe meine Lektion gelernt, es tut mir leid. Möglicherweise ist trotz meiner hirnfreien vorgehensweise ja doch jemand gewillt mir zu helfen? Hier der genau geschilderte Ablauf was ich bis jetzt getan habe (inkl. logs) System: Windows XP SP2, nicht aktuell mit Avira Antivir free und Spybot SD Resident. Firefox, aktuelle version: Ich ging auf eine Website auf dem ein bild angezeigt werden sollte. Es öffneten sich pop-ups, in der taskleiste rechts zeigte plötzlich das java symbol auf. Daraufhin deaktivierte sich plötzlich die Windows Firewall, 2 sek später ging die erste Trojaner Warnung in Antivir an. Hier der genaue ereignisbericht der Viren in Antivir: -- In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\mwrxoencsa.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.MWPM.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern -- In der Datei 'C:\WINDOOF\temp\2CA.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern -- In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\xpre.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.MWPM.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern -- In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\xpre.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.MWPM.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben -- In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\maccsnet.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.AG.612' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben -- In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\prun.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.PEPM.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben -- ...usw usf. Insgesamt waren es sicher über ca. 20-30 viren. Aus voller Panik (wieder einmal sicher ein Fehler und meine Schuld) davor, dass das system gleich flöten geht und ich beim neustart nicht mehr booten kann habe ich das internet gekappt und das einzige was ich >gerade noch drauf hatte<, Combofix gestartet. (nicht im abgesicherten modus) Das ließ ich durchlaufen, hier das log (bitte entschuldigen, windows heißt bei mir windoof und ich konnte nicht alles und jeden punkt ändern, was mich nicht stört): Code:
ATTFilter ------
ComboFix 09-10-19.01 - Lord Rentner 20.10.2009 3:01.3.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1482 [GMT 2:00]
ausgeführt von:: D:\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windoof\msa.exe
c:\windoof\run.log
c:\windoof\system32\msxml71.dll
c:\windoof\system32\xa.tmp
.
((((((((((((((((((((((( Dateien erstellt von 2009-09-20 bis 2009-10-20 ))))))))))))))))))))))))))))))
.
2009-10-20 00:57 . 2009-10-20 00:57 782336 ----a-w- c:\windoof\system32\ef78.dll
2009-10-20 00:49 . 2009-10-20 00:49 1413120 ----a-w- C:\SDFix.exe
2009-10-10 14:02 . 2009-10-10 14:02 -------- d-----w- c:\dokumente und einstellungen\Lord Rentner\Lokale Einstellungen\Anwendungsdaten\Codemasters
2009-09-29 19:21 . 2009-09-29 19:22 -------- d-----w- c:\programme\Microsoft Games for Windows - LIVE
2009-09-22 17:03 . 2009-03-09 13:27 453456 ----a-w- c:\windoof\system32\d3dx10_41.dll
2009-09-22 17:03 . 2009-03-09 13:27 1846632 ----a-w- c:\windoof\system32\D3DCompiler_41.dll
2009-09-22 17:03 . 2009-03-16 12:18 69448 ----a-w- c:\windoof\system32\XAPOFX1_3.dll
2009-09-22 17:03 . 2009-03-16 12:18 517448 ----a-w- c:\windoof\system32\XAudio2_4.dll
2009-09-22 17:03 . 2009-03-16 12:18 235352 ----a-w- c:\windoof\system32\xactengine3_4.dll
2009-09-22 17:03 . 2009-03-16 12:18 22360 ----a-w- c:\windoof\system32\X3DAudio1_6.dll
2009-09-22 16:59 . 2009-09-22 17:00 -------- d-----w- c:\programme\AGEIA Technologies
2009-09-21 15:13 . 2009-05-20 13:23 4178264 ----a-w- c:\windoof\system32\D3DX9_41.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-19 22:03 . 2007-09-12 14:58 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-10-19 21:50 . 2008-10-23 12:08 -------- d-----w- c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\FileZilla
2009-10-19 18:27 . 2007-11-18 16:00 13943 ----a-w- c:\windoof\system32\tablet.dat
2009-10-19 18:27 . 2007-11-18 15:43 -------- d-----w- c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\WTablet
2009-10-18 07:35 . 2007-11-18 21:21 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\WTablet
2009-10-13 11:29 . 2007-09-12 15:14 166224 -c--a-w- c:\dokumente und einstellungen\Lord Rentner\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-29 23:09 . 2009-03-05 17:04 653840 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-09-22 17:00 . 2007-10-04 14:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-17 11:39 . 2007-11-23 13:49 -------- d-----w- c:\programme\Windows Live
2009-09-13 13:50 . 2009-09-13 13:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-09-11 11:48 . 2009-09-11 11:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-09-11 11:48 . 2009-09-11 11:48 -------- d-----w- c:\programme\McAfee Security Scan
2009-08-23 18:50 . 2007-09-13 18:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
2009-08-14 11:36 . 2009-08-14 11:36 70936 ----a-w- c:\windoof\system32\PhysXLoader.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelTraditionalChinese.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelSwedish.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelSpanish.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelSimplifiedChinese.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelPortugese.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelKorean.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelJapanese.dll
2009-08-02 22:21 . 2009-08-02 22:21 288024 ----a-w- c:\windoof\system32\PhysXCplUI.exe
2009-08-02 22:21 . 2009-08-02 22:21 288024 ----a-w- c:\windoof\system32\PhysXCompatCplUI.exe
2009-08-02 22:21 . 2009-08-02 22:21 23320 ----a-w- c:\windoof\system32\PhysXDevice.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelGerman.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelFrench.dll
2006-05-03 09:06 . 2008-11-21 15:36 163328 --sh--r- c:\windoof\system32\flvDX.dll
2007-02-21 10:47 . 2009-06-30 00:14 31232 --sh--r- c:\windoof\system32\msfDX.dll
2008-03-16 12:30 . 2009-06-30 00:14 216064 --sh--r- c:\windoof\system32\nbDX.dll
.
------- Sigcheck -------
[-] 2007-03-17 . 10D53E677A6962B964839073E492C84B . 508928 . . [5.1.2600.2815] . . c:\windoof\system32\winlogon.exe
[-] 2007-03-17 . 7AA72CFFDE889BDAA03504C383AD0786 . 343040 . . [7.0.2600.3085] . . c:\windoof\system32\msvcrt.dll
[-] 2007-02-19 . C58D60C0660E34D78C438FDC99894CC1 . 343040 . . [7.0.2600.3085] . . c:\windoof\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.3085_x-ww_e059201c\msvcrt.dll
[7] 2001-08-18 . 4200BE3808F6406DBE45A7B88DAE5035 . 322560 . . [7.0.2600.0] . . c:\windoof\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\msvcrt.dll
[-] 2007-03-17 . 15E9565CF141152C3081715782AD2097 . 175616 . . [5.1.2600.2786] . . c:\windoof\system32\appmgmts.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E8A5249-4387-481A-B38B-BEE6378CC704}]
2009-10-20 00:57 782336 ----a-w- c:\windoof\system32\ef78.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1E8A5248-4387-481A-B38B-BEE6378CC704}"= "c:\windoof\system32\ef78.dll" [2009-10-20 782336]
[HKEY_CLASSES_ROOT\clsid\{1e8a5248-4387-481a-b38b-bee6378cc704}]
[HKEY_CLASSES_ROOT\TypeLib\{8D74B939-AD80-44F3-BD5F-155BDE9D2D25}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windoof\JM\JMInsIDE.exe" [2006-10-30 36864]
"36X Raid Configurer"="c:\windoof\system32\JMRaidSetup.exe" [2007-02-06 1953792]
"EasyTuneV"="c:\programme\Gigabyte\ET5\ETcall.exe" [2007-04-26 24576]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"HP Software Update"="d:\programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"BootSkin Startup Jobs"="d:\programme\BootSkin\BootSkin.exe" [2004-04-26 270336]
"Acrobat Assistant 8.0"="d:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" [2007-06-29 286720]
"avgnt"="e:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windoof\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windoof\system32\NvMcTray.dll" [2008-10-07 86016]
"DLA"="c:\windoof\System32\DLA\DLACTRLW.EXE" [2006-06-13 127036]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-02-27 570664]
"SecurDisc"="d:\programme\Nero 7\InCD\NBHGui.exe" [2008-02-18 1629480]
"InCD"="d:\programme\Nero 7\InCD\InCD.exe" [2008-02-18 1057064]
"RTHDCPL"="RTHDCPL.EXE" - c:\windoof\RTHDCPL.exe [2007-04-12 16132608]
"nwiz"="nwiz.exe" - c:\windoof\system32\nwiz.exe [2008-10-07 1630208]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]
"IE7"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308]
McAfee Security Scan.lnk - c:\programme\McAfee Security Scan\1.0.150\SSScheduler.exe [2009-7-28 199184]
TabUserW.exe.lnk - c:\windoof\system32\WTablet\TabUserW.exe [2007-11-18 114688]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll schannel.dll digest.dll msnsspc.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=c:\windoof\pss\HP Image Zone Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Lord Rentner^Startmenü^Programme^Autostart^Konfabulator.lnk]
path=c:\dokumente und einstellungen\Lord Rentner\Startmenü\Programme\Autostart\Konfabulator.lnk
backup=c:\windoof\pss\Konfabulator.lnkStartup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\counter-strike source\\hl2.exe"=
"d:\\Programme\\BMW M3 Challenge\\BMW.exe"=
"d:\\Programme\\id Software\\Enemy Territory - QUAKE Wars Demo\\etqw.exe"=
"d:\\Programme\\id Software\\Enemy Territory - QUAKE Wars Demo\\etqwded.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\UBISOFT\\Ghost Recon Advanced Warfighter\\GRAW.exe"=
"d:\\Programme\\Sierra\\FEAR\\fpupdate.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEAR.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEARMP.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEARXP\\FEARXP.exe"=
"g:\\Valve\\Steam\\Steam.exe"=
"g:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"d:\\Programme\\Unreal Tournament 3 Demo\\Binaries\\UT3Demo.exe"=
"d:\\Downloads\\cl08seCu13\\RouterClient.exe"=
"d:\\Programme\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"=
"g:\\source\\hl2.exe"=
"d:\\Downloads\\blobby\\volley.exe"=
"d:\\Programme\\Crytek\\Crysis MP Beta\\Crysis MP Beta\\Bin32\\Crysis.exe"=
"g:\\FlatOut2 an Zimmer Michel (Michel)\\FlatOut2.exe"=
"d:\\Programme\\UBISOFT\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"=
"d:\\Programme\\UBISOFT\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"=
"d:\\Downloads\\HL1\\Counter Strike 1.5 Full + Half Life 1110 Full\\Half Life Full\\HL\\hl.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOOF\\system32\\rtcshare.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"g:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"d:\\Programme\\bluesoleil\\BlueSoleil.exe"=
"d:\\Programme\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Programme\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOOF\\system32\\PnkBstrA.exe"=
"c:\\WINDOOF\\system32\\PnkBstrB.exe"=
"d:\\Programme\\IL-2 Sturmovik Demo\\il2demo.exe"=
"d:\\Programme\\IL-2 Sturmovik 1946\\il2fb.exe"=
"g:\\Programme\\Electronic Arts\\Battlefield 2142-Demo\\BF2142.exe"=
"d:\\Programme\\Armagetron Advanced\\armagetronad.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\team fortress 2\\hl2.exe"=
"d:\\Programme\\Codemasters\\GRID\\GRID.exe"=
"d:\\Programme\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"g:\\XreaL_PreAlpha_20080704\\xreal.exe"=
"d:\\Programme\\gamigo\\levelr\\LevelR\\LevelR.bin"=
"d:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"e:\\LFS\\LFS.exe"=
"g:\\Valve\\Steam\\SteamApps\\common\\shadowgrounds demo\\ShadowgroundsLauncher.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\half-life 2\\hl2.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\source sdk base 2007\\hl2.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\source sdk base\\hl2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"g:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Programme\\CAPCOM\\RESIDENT EVIL 5\\RE5DX9.EXE"=
"d:\\Programme\\CAPCOM\\RESIDENT EVIL 5\\RE5DX10.EXE"=
R2 TabletServiceWacom;TabletServiceWacom;c:\windoof\system32\Wacom_Tablet.exe [18.11.2007 17:43 1373480]
R3 PPJoyBus;Parallel Port Joystick Bus device driver;c:\windoof\system32\drivers\PPJoyBus.sys [23.01.2004 17:33 13952]
R3 PPortJoystick;Parallel Port Joystick device driver;c:\windoof\system32\drivers\PPortJoy.sys [23.01.2004 17:32 28800]
S0 BootScreen;BootScreen;\SystemRoot\\SystemRoot\System32\drivers\vidstub.sys --> \SystemRoot\\SystemRoot\System32\drivers\vidstub.sys [?]
S2 NeroRegInCDSrv;Nero Registry InCD Service;d:\programme\Nero 7\InCD\NBHRegInCDSrv.exe --> d:\programme\Nero 7\InCD\NBHRegInCDSrv.exe [?]
S3 Wibukey2;Wibukey2;c:\windoof\system32\drivers\Wibukey2.sys [05.03.2009 19:34 16384]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mSearch Bar = hxxp://www.starbarsearch.com/?useie5=1&q=
uInternet Connection Wizard,ShellNext = hxxp://de.yahoo.com/
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Easy-WebPrint - Drucken - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
Trusted Zone: musicload.de\www
FF - ProfilePath - c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\Mozilla\Firefox\Profiles\csz6xrco.default\
FF - plugin: c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\Mozilla\Firefox\Profiles\csz6xrco.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\programme\Download Manager\npfpdlm.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
AddRemove-AGEIA PhysX v2.3.3 - c:\programme\AGEIA Technologies\uninstall.exe
AddRemove-Armagetron Advanced - i:\programme\Armagetron Advanced\uninst.exe
AddRemove-rFactor - i:\programme\rFactor\Uninstall.exe
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - d:\programme\DivX\DivXCodecUninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-20 03:08
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7378F916-8D44-99A9-2A83-9356F0D95ECA}*]
"pahhaejcejcdfdiilhfljpgpgnocanje"=hex:6b,61,63,70,6f,6c,6c,64,63,6b,62,62,6c,
63,66,6b,68,65,6c,6a,64,70,00,00
"oaficohealdpjpmjlhlikmkbmcebhk"=hex:6a,61,64,70,6b,6d,68,6c,61,6c,6c,6b,70,70,
65,68,63,66,69,63,00,00
[HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D36B2E40-EDFD-ADC9-9F69-56328D690161}*]
"oahbclndjehlljiehjfcnhkhebgcpl"=hex:6b,61,66,63,6f,62,62,62,69,6f,6f,6b,61,61,
6d,62,6a,63,69,67,69,70,00,00
"pablkihdoibkfmicbanbndnapbbidade"=hex:6b,61,66,63,69,67,64,6f,6b,6b,66,64,65,
70,6f,66,67,61,68,66,65,6d,00,00
[HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f1,1c,a1,62,cb,be,de,1f,8e,40,48,35,c4,e7,84,5d,36,56,ef,3b,d8,50,d5,
35,21,a7,7c,60,fe,7d,4d,97,05,ce,1b,80,ae,15,f2,a5,b0,2f,0b,fb,89,30,be,13,\
"??"=hex:59,e5,97,70,47,08,a5,1e,f6,13,83,cc,52,0d,a6,6c
[HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:9f,06,fb,d0,e7,6e,39,ea,71,21,35,d2,d5,09,dd,9b,a3,2d,79,ba,38,
a8,84,2d,61,43,3c,4f,05,2d,19,42,28,60,ad,78,b6,91,6d,ab,20,ad,27,74,cd,53,\
"rkeysecu"=hex:ca,30,ba,58,79,16,70,3f,e8,9d,9e,a8,18,13,70,de
[HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\YourCompanyName\YourProductName\Version*]
"VersionData"=hex:01,43,92,80,c1,d1,7a,52,55,97,24,04,6c,97,52,91,6c,b8,08,3d,
72,b0,5e,24,41,20,76,79,4f,d3,ea,9c,71,54,7c,27,76,6c,5b,cf,78,90,97,5f,e8,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:ec,ab,ed,d7,79,61,50,82,1b,53,ed,42,e4,78,b8,0c,c3,12,2b,ed,19,
a1,84,8c,0b,9d,83,fe,cf,8b,7d,de,85,45,71,69,34,6a,91,39,c9,20,04,50,98,be,\
[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:ec,ab,ed,d7,79,61,50,82,1b,53,ed,42,e4,78,b8,0c,c3,12,2b,ed,19,
a1,84,8c,0b,9d,83,fe,cf,8b,7d,de,85,45,71,69,34,6a,91,39,c9,20,04,50,98,be,\
.
Zeit der Fertigstellung: 2009-10-20 3:10
ComboFix-quarantined-files.txt 2009-10-20 01:10
ComboFix2.txt 2008-12-28 16:17
ComboFix3.txt 2008-08-19 10:07
Vor Suchlauf: 1.230.725.120 Bytes frei
Nach Suchlauf: 1.236.144.128 Bytes frei
- - End Of File - - 85581563883420682AB4F92DC058D380
-----
|
|
21.10.2009, 12:39
| #2 |
| | Mehrfache Trojaner eingefangen, über Firefox. DANACH habe ich das System im abgesicherten Modus neu gestartet und NOCHMALS Combofix laufen lassen.
__________________hier das log: Code:
ATTFilter -----
ComboFix 09-10-19.01 - Administrator 20.10.2009 3:17.4.2 - NTFSx86 MINIMAL
ausgeführt von:: D:\mulerone.exe
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
((((((((((((((((((((((( Dateien erstellt von 2009-09-20 bis 2009-10-20 ))))))))))))))))))))))))))))))
.
2009-10-20 00:57 . 2009-10-20 00:57 782336 ----a-w- c:\windoof\system32\ef78.dll
2009-10-20 00:49 . 2009-10-20 00:49 1413120 ----a-w- C:\SDFix.exe
2009-09-29 19:21 . 2009-09-29 19:22 -------- d-----w- c:\programme\Microsoft Games for Windows - LIVE
2009-09-22 17:03 . 2009-03-09 13:27 453456 ----a-w- c:\windoof\system32\d3dx10_41.dll
2009-09-22 17:03 . 2009-03-09 13:27 1846632 ----a-w- c:\windoof\system32\D3DCompiler_41.dll
2009-09-22 17:03 . 2009-03-16 12:18 69448 ----a-w- c:\windoof\system32\XAPOFX1_3.dll
2009-09-22 17:03 . 2009-03-16 12:18 517448 ----a-w- c:\windoof\system32\XAudio2_4.dll
2009-09-22 17:03 . 2009-03-16 12:18 235352 ----a-w- c:\windoof\system32\xactengine3_4.dll
2009-09-22 17:03 . 2009-03-16 12:18 22360 ----a-w- c:\windoof\system32\X3DAudio1_6.dll
2009-09-22 16:59 . 2009-09-22 17:00 -------- d-----w- c:\programme\AGEIA Technologies
2009-09-21 15:13 . 2009-05-20 13:23 4178264 ----a-w- c:\windoof\system32\D3DX9_41.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-19 22:03 . 2007-09-12 14:58 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-10-19 18:27 . 2007-11-18 16:00 13943 ----a-w- c:\windoof\system32\tablet.dat
2009-09-22 17:00 . 2007-10-04 14:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-17 11:39 . 2007-11-23 13:49 -------- d-----w- c:\programme\Windows Live
2009-09-13 13:50 . 2009-09-13 13:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-09-11 11:48 . 2009-09-11 11:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-09-11 11:48 . 2009-09-11 11:48 -------- d-----w- c:\programme\McAfee Security Scan
2009-08-23 18:50 . 2007-09-13 18:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
2009-08-14 11:36 . 2009-08-14 11:36 70936 ----a-w- c:\windoof\system32\PhysXLoader.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelTraditionalChinese.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelSwedish.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelSpanish.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelSimplifiedChinese.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelPortugese.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelKorean.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelJapanese.dll
2009-08-02 22:21 . 2009-08-02 22:21 288024 ----a-w- c:\windoof\system32\PhysXCplUI.exe
2009-08-02 22:21 . 2009-08-02 22:21 288024 ----a-w- c:\windoof\system32\PhysXCompatCplUI.exe
2009-08-02 22:21 . 2009-08-02 22:21 23320 ----a-w- c:\windoof\system32\PhysXDevice.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelGerman.dll
2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelFrench.dll
2006-05-03 09:06 . 2008-11-21 15:36 163328 --sh--r- c:\windoof\system32\flvDX.dll
2007-02-21 10:47 . 2009-06-30 00:14 31232 --sh--r- c:\windoof\system32\msfDX.dll
2008-03-16 12:30 . 2009-06-30 00:14 216064 --sh--r- c:\windoof\system32\nbDX.dll
.
------- Sigcheck -------
[-] 2007-03-17 . 10D53E677A6962B964839073E492C84B . 508928 . . [5.1.2600.2815] . . c:\windoof\system32\winlogon.exe
[-] 2007-03-17 . 7AA72CFFDE889BDAA03504C383AD0786 . 343040 . . [7.0.2600.3085] . . c:\windoof\system32\msvcrt.dll
[-] 2007-02-19 . C58D60C0660E34D78C438FDC99894CC1 . 343040 . . [7.0.2600.3085] . . c:\windoof\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.3085_x-ww_e059201c\msvcrt.dll
[7] 2001-08-18 . 4200BE3808F6406DBE45A7B88DAE5035 . 322560 . . [7.0.2600.0] . . c:\windoof\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\msvcrt.dll
[-] 2007-03-17 . 15E9565CF141152C3081715782AD2097 . 175616 . . [5.1.2600.2786] . . c:\windoof\system32\appmgmts.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E8A5249-4387-481A-B38B-BEE6378CC704}]
2009-10-20 00:57 782336 ----a-w- c:\windoof\system32\ef78.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1E8A5248-4387-481A-B38B-BEE6378CC704}"= "c:\windoof\system32\ef78.dll" [2009-10-20 782336]
[HKEY_CLASSES_ROOT\clsid\{1e8a5248-4387-481a-b38b-bee6378cc704}]
[HKEY_CLASSES_ROOT\TypeLib\{8D74B939-AD80-44F3-BD5F-155BDE9D2D25}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]
"IE7"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windoof\JM\JMInsIDE.exe" [2006-10-30 36864]
"36X Raid Configurer"="c:\windoof\system32\JMRaidSetup.exe" [2007-02-06 1953792]
"EasyTuneV"="c:\programme\Gigabyte\ET5\ETcall.exe" [2007-04-26 24576]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"HP Software Update"="d:\programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"BootSkin Startup Jobs"="d:\programme\BootSkin\BootSkin.exe" [2004-04-26 270336]
"Acrobat Assistant 8.0"="d:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" [2007-06-29 286720]
"avgnt"="e:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windoof\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windoof\system32\NvMcTray.dll" [2008-10-07 86016]
"DLA"="c:\windoof\System32\DLA\DLACTRLW.EXE" [2006-06-13 127036]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-02-27 570664]
"SecurDisc"="d:\programme\Nero 7\InCD\NBHGui.exe" [2008-02-18 1629480]
"InCD"="d:\programme\Nero 7\InCD\InCD.exe" [2008-02-18 1057064]
"RTHDCPL"="RTHDCPL.EXE" - c:\windoof\RTHDCPL.exe [2007-04-12 16132608]
"nwiz"="nwiz.exe" - c:\windoof\system32\nwiz.exe [2008-10-07 1630208]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]
"IE7"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll schannel.dll digest.dll msnsspc.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=c:\windoof\pss\HP Image Zone Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Lord Rentner^Startmenü^Programme^Autostart^Konfabulator.lnk]
path=c:\dokumente und einstellungen\Lord Rentner\Startmenü\Programme\Autostart\Konfabulator.lnk
backup=c:\windoof\pss\Konfabulator.lnkStartup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\counter-strike source\\hl2.exe"=
"d:\\Programme\\BMW M3 Challenge\\BMW.exe"=
"d:\\Programme\\id Software\\Enemy Territory - QUAKE Wars Demo\\etqw.exe"=
"d:\\Programme\\id Software\\Enemy Territory - QUAKE Wars Demo\\etqwded.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\UBISOFT\\Ghost Recon Advanced Warfighter\\GRAW.exe"=
"d:\\Programme\\Sierra\\FEAR\\fpupdate.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEAR.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEARMP.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEARXP\\FEARXP.exe"=
"g:\\Valve\\Steam\\Steam.exe"=
"g:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"d:\\Programme\\Unreal Tournament 3 Demo\\Binaries\\UT3Demo.exe"=
"d:\\Downloads\\cl08seCu13\\RouterClient.exe"=
"d:\\Programme\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"=
"g:\\source\\hl2.exe"=
"d:\\Downloads\\blobby\\volley.exe"=
"d:\\Programme\\Crytek\\Crysis MP Beta\\Crysis MP Beta\\Bin32\\Crysis.exe"=
"g:\\FlatOut2 an Zimmer Michel (Michel)\\FlatOut2.exe"=
"d:\\Programme\\UBISOFT\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"=
"d:\\Programme\\UBISOFT\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"=
"d:\\Downloads\\HL1\\Counter Strike 1.5 Full + Half Life 1110 Full\\Half Life Full\\HL\\hl.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOOF\\system32\\rtcshare.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"g:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"d:\\Programme\\bluesoleil\\BlueSoleil.exe"=
"d:\\Programme\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Programme\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOOF\\system32\\PnkBstrA.exe"=
"c:\\WINDOOF\\system32\\PnkBstrB.exe"=
"d:\\Programme\\IL-2 Sturmovik Demo\\il2demo.exe"=
"d:\\Programme\\IL-2 Sturmovik 1946\\il2fb.exe"=
"g:\\Programme\\Electronic Arts\\Battlefield 2142-Demo\\BF2142.exe"=
"d:\\Programme\\Armagetron Advanced\\armagetronad.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\team fortress 2\\hl2.exe"=
"d:\\Programme\\Codemasters\\GRID\\GRID.exe"=
"d:\\Programme\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"g:\\XreaL_PreAlpha_20080704\\xreal.exe"=
"d:\\Programme\\gamigo\\levelr\\LevelR\\LevelR.bin"=
"d:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"e:\\LFS\\LFS.exe"=
"g:\\Valve\\Steam\\SteamApps\\common\\shadowgrounds demo\\ShadowgroundsLauncher.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\half-life 2\\hl2.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\source sdk base 2007\\hl2.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\source sdk base\\hl2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"g:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Programme\\CAPCOM\\RESIDENT EVIL 5\\RE5DX9.EXE"=
"d:\\Programme\\CAPCOM\\RESIDENT EVIL 5\\RE5DX10.EXE"=
R2 NeroRegInCDSrv;Nero Registry InCD Service;d:\programme\Nero 7\InCD\NBHRegInCDSrv.exe [x]
R2 OMSCAN;OMSCAN;Sysi?? [x]
R2 TabletServiceWacom;TabletServiceWacom;c:\windoof\system32\Wacom_Tablet.exe [2007-09-07 1373480]
R3 PPJoyBus;Parallel Port Joystick Bus device driver;c:\windoof\system32\drivers\PPJoyBus.sys [2004-10-24 13952]
R3 PPortJoystick;Parallel Port Joystick device driver;c:\windoof\system32\drivers\PPortJoy.sys [2004-10-24 28800]
R3 Wibukey2;Wibukey2;c:\windoof\system32\drivers\wibukey2.sys [2006-11-09 16384]
S0 BootScreen;BootScreen;c:\windoof\\SystemRoot\System32\drivers\vidstub.sys [x]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com
mSearch Bar = hxxp://www.starbarsearch.com/?useie5=1&q=
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-20 03:30
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:ec,ab,ed,d7,79,61,50,82,1b,53,ed,42,e4,78,b8,0c,c3,12,2b,ed,19,
a1,84,8c,0b,9d,83,fe,cf,8b,7d,de,85,45,71,69,34,6a,91,39,c9,20,04,50,98,be,\
[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:ec,ab,ed,d7,79,61,50,82,1b,53,ed,42,e4,78,b8,0c,c3,12,2b,ed,19,
a1,84,8c,0b,9d,83,fe,cf,8b,7d,de,85,45,71,69,34,6a,91,39,c9,20,04,50,98,be,\
.
Zeit der Fertigstellung: 2009-10-20 3:35
ComboFix-quarantined-files.txt 2009-10-20 01:35
ComboFix2.txt 2009-10-20 01:10
ComboFix3.txt 2008-12-28 16:17
ComboFix4.txt 2008-08-19 10:07
Vor Suchlauf: 1.261.969.408 Bytes frei
Nach Suchlauf: 1.227.546.624 Bytes frei
- - End Of File - - 55CE939720EA2F5ED5E0CFE68FD2EB4B
[/COLOR]
Als mein System wieder einigermaßen bedienbar schien, habe ich eure Website aufgerufen und bin nach anleitung vorgegangen.
1. Ich habe den CCcleaner gestartet und so lange alle Fehler behoben, bis keine mehr da waren. Auffällig: es waren anfangs über 100, danach waren es mehrere male so um die 2-10.
2. Dann habe ich Malwarebytes anti malware über nacht durchlaufen lassen.
Anschließend habe ich alle gefundene Malware entfernt. Hier das log:
[COLOR="DimGray"]------
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2992
Windows 5.1.2600 Service Pack 2 (Safe Mode)
20.10.2009 09:27:23
mbam-log-2009-10-20 (09-27-23).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 1252899
Laufzeit: 2 hour(s), 45 minute(s), 59 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{1e8a5248-4387-481a-b38b-bee6378cc704} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1e8a5248-4387-481a-b38b-bee6378cc704} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1e8a5249-4387-481a-b38b-bee6378cc704} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1e8a5249-4387-481a-b38b-bee6378cc704} (Adware.Mirar) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{1e8a5248-4387-481a-b38b-bee6378cc704} (Adware.Mirar) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOOF\system32\xa.tmp.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOOF\system32\ef78.dll (Adware.Mirar) -> Quarantined and deleted successfully.
E:\Max\Gamers.IRC\bin\dll\dmu.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
E:\Max\Gamers.IRC\bin\dll\SysTray.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
------
|
|
21.10.2009, 12:42
| #3 |
| | Mehrfache Trojaner eingefangen, über Firefox. Dann habe ich RSIT durchlaufen lassen. (anders als in manchen gelesenen fällen lief es einwandfrei durch)
__________________Hier das log: Code:
ATTFilter ------ Logfile of random's system information tool 1.06 (written by random/random) Run by Lord Rentner at 2009-10-20 09:32:18 Microsoft Windows XP Professional Service Pack 2 System drive C: has 1 GB (13%) free of 10 GB Total RAM: 2046 MB (73% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:32:26, on 20.10.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20583) Boot mode: Normal Running processes: C:\WINDOOF\System32\smss.exe C:\WINDOOF\system32\winlogon.exe C:\WINDOOF\system32\services.exe C:\WINDOOF\system32\lsass.exe C:\WINDOOF\system32\svchost.exe C:\WINDOOF\System32\svchost.exe C:\WINDOOF\system32\svchost.exe C:\WINDOOF\system32\spoolsv.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe D:\Programme\Nero 7\InCD\InCDsrv.exe C:\WINDOOF\system32\nvsvc32.exe C:\WINDOOF\system32\PnkBstrA.exe C:\WINDOOF\system32\PnkBstrB.exe C:\WINDOOF\system32\svchost.exe C:\WINDOOF\system32\Tablet.exe C:\WINDOOF\system32\Wacom_Tablet.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOOF\Explorer.EXE C:\WINDOOF\system32\WTablet\Wacom_TabletUser.exe C:\WINDOOF\system32\Wacom_Tablet.exe C:\WINDOOF\RTHDCPL.EXE C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe D:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOOF\system32\wscntfy.exe D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOOF\system32\RUNDLL32.EXE C:\WINDOOF\System32\DLA\DLACTRLW.EXE C:\Programme\Gigabyte\ET5\GUI.exe D:\Programme\Nero 7\InCD\NBHGui.exe C:\WINDOOF\system32\devldr32.exe D:\Programme\Nero 7\InCD\InCD.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\McAfee Security Scan\1.0.150\SSScheduler.exe C:\WINDOOF\system32\WTablet\TabUserW.exe G:\Programme\Hama PC-Vibra joystick Outlandish\GM_DevUpdate.exe e:\programme\avira\antivir personaledition classic\avcenter.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOOF\system32\ctfmon.exe C:\RSIT.exe D:\Programme\Trend Micro\HijackThis\Lord Rentner.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*tp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://www.starbarsearch.com/?useie5=1&q= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*tp://de.yahoo.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOOF\System32\DLA\DLASHX_W.DLL O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOOF\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOOF\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [EasyTuneV] C:\Programme\Gigabyte\ET5\ETcall.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Programme\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOOF\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOOF\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DLA] C:\WINDOOF\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SecurDisc] D:\Programme\Nero 7\InCD\NBHGui.exe O4 - HKLM\..\Run: [InCD] D:\Programme\Nero 7\InCD\InCD.exe O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "D:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: GM_DevUpdate.lnk = G:\Programme\Hama PC-Vibra joystick Outlandish\GM_DevUpdate.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: McAfee Security Scan.lnk = ? O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOOF\system32\WTablet\TabUserW.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOOF\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOOF\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windoof\system32\nwprovau.dll O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - h*tp://videos.streetfire.net/upload/ImageUploader5.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - ht*p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h*tp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - ht*p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\BlueSoleil\BTNtService.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programme\Nero 7\InCD\InCDsrv.exe O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Unknown owner - D:\Programme\Nero 7\InCD\NBHRegInCDSrv.exe (file missing) O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOOF\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOOF\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOOF\system32\PnkBstrB.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOOF\system32\Tablet.exe O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOOF\system32\Wacom_Tablet.exe -- End of file - 13615 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}] Yahoo! Companion BHO - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll [2005-04-13 327748] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{074C1DC5-9320-4A9A-947D-C042949C6216}] ContributeBHO Class - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll [2007-03-27 118784] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}] Skype add-on (mastermind) - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2008-05-30 1410344] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}] Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-09-15 1562960] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}] DriveLetterAccess - C:\WINDOOF\System32\DLA\DLASHX_W.DLL [2006-06-13 110652] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}] EWPBrowseObject Class - D:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll [2006-06-09 34304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}] Groove GFS Browser Helper - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll [2008-03-25 509328] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}] Adobe PDF Conversion Toolbar Helper - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {EF99BD32-C1FB-11D2-892F-0090271D4F88} - &Yahoo! Companion - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll [2005-04-13 327748] {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120] {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - Contribute Toolbar - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll [2007-03-27 118784] {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Easy-WebPrint - D:\Programme\Canon\Easy-WebPrint\Toolband.dll [2006-06-09 552960] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"=C:\WINDOOF\RTHDCPL.EXE [2007-04-12 16132608] "JMB36X IDE Setup"=C:\WINDOOF\JM\JMInsIDE.exe [2006-10-30 36864] "36X Raid Configurer"=C:\WINDOOF\system32\JMRaidSetup.exe [2007-02-06 1953792] "EasyTuneV"=C:\Programme\Gigabyte\ET5\ETcall.exe [2007-04-26 24576] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-05-11 40048] "HP Software Update"=D:\Programme\HP\HP Software Update\HPWuSchd2.exe [2005-05-12 49152] "BootSkin Startup Jobs"=D:\Programme\BootSkin\BootSkin.exe [2004-04-26 270336] "Acrobat Assistant 8.0"=D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe [2007-05-10 624248] "Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2006-10-17 398944] "QuickTime Task"=D:\Programme\QuickTime\QTTask.exe [2007-06-29 286720] "avgnt"=E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497] "NvCplDaemon"=C:\WINDOOF\system32\NvCpl.dll [2008-10-07 13574144] "nwiz"=nwiz.exe /install [] "NvMediaCenter"=C:\WINDOOF\system32\NvMcTray.dll [2008-10-07 86016] "DLA"=C:\WINDOOF\System32\DLA\DLACTRLW.EXE [2006-06-13 127036] "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2008-02-27 570664] "SecurDisc"=D:\Programme\Nero 7\InCD\NBHGui.exe [2008-02-18 1629480] "InCD"=D:\Programme\Nero 7\InCD\InCD.exe [2008-02-18 1057064] " Malwarebytes Anti-Malware (reboot)"=D:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2008-09-16 1833296] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igndlm.exe] D:\Programme\Download Manager\DLM.exe [2007-03-05 1103480] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] D:\Programme\QuickTime\qttask.exe [2007-06-29 286720] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe] D:\Programme\TomTom HOME 2\HOMERunner.exe [2007-10-31 378784] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk] D:\PROGRA~1\HP\DIGITA~1\bin\hpqthb08.exe [2005-05-12 73728] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Lord Rentner^Startmenü^Programme^Autostart^Konfabulator.lnk] E:\KONFAB~1\KONFAB~1.EXE [2005-08-04 1282048] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe McAfee Security Scan.lnk - C:\Programme\McAfee Security Scan\1.0.150\SSScheduler.exe TabUserW.exe.lnk - C:\WINDOOF\system32\WTablet\TabUserW.exe C:\Dokumente und Einstellungen\Lord Rentner\Startmenü\Programme\Autostart Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe GM_DevUpdate.lnk - G:\Programme\Hama PC-Vibra joystick Outlandish\GM_DevUpdate.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOOF\system32\WgaLogon.dll [2007-05-09 3584] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOOF\system32\wpdshserviceobj.dll [2007-03-17 133632] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDriveAutoRun"=67108863 "NoDrives"=0 Geändert von darius200 (21.10.2009 um 12:46 Uhr) Grund: kleine anpassungen |
|
21.10.2009, 12:43
| #4 |
| | Mehrfache Trojaner eingefangen, über Firefox. ..fortsetzung RSIT: Code:
ATTFilter [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "G:\Valve\Steam\SteamApps\smaxomatic\counter-strike source\hl2.exe"="G:\Valve\Steam\SteamApps\smaxomatic\counter-strike source\hl2.exe:*:Enabled:hl2" "D:\Programme\BMW M3 Challenge\BMW.exe"="D:\Programme\BMW M3 Challenge\BMW.exe:*:Enabled:BMW M3 Challenge" "D:\Programme\id Software\Enemy Territory - QUAKE Wars Demo\etqw.exe"="D:\Programme\id Software\Enemy Territory - QUAKE Wars Demo\etqw.exe:*:Enabled:Enemy Territory - QUAKE Wars(TM) Demo" "D:\Programme\id Software\Enemy Territory - QUAKE Wars Demo\etqwded.exe"="D:\Programme\id Software\Enemy Territory - QUAKE Wars Demo\etqwded.exe:*:Enabled:etqwded.exe" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "D:\Programme\UBISOFT\Ghost Recon Advanced Warfighter\GRAW.exe"="D:\Programme\UBISOFT\Ghost Recon Advanced Warfighter\GRAW.exe:*:Enabled:GRAW" "D:\Programme\Sierra\FEAR\fpupdate.exe"="D:\Programme\Sierra\FEAR\fpupdate.exe:*:Enabled:fpupdate" "D:\Programme\Sierra\FEAR\FEAR.exe"="D:\Programme\Sierra\FEAR\FEAR.exe:*:Enabled:FEAR" "D:\Programme\Sierra\FEAR\FEARMP.exe"="D:\Programme\Sierra\FEAR\FEARMP.exe:*:Enabled:FEAR" "D:\Programme\Sierra\FEAR\FEARXP\FEARXP.exe"="D:\Programme\Sierra\FEAR\FEARXP\FEARXP.exe:*:Enabled:FEARXP" "G:\Valve\Steam\Steam.exe"="G:\Valve\Steam\Steam.exe:*:Enabled:Steam" "G:\Programme\TrackMania Nations ESWC\TmNationsESWC.exe"="G:\Programme\TrackMania Nations ESWC\TmNationsESWC.exe:*:Enabled:TmNationsESWC" "D:\Programme\Unreal Tournament 3 Demo\Binaries\UT3Demo.exe"="D:\Programme\Unreal Tournament 3 Demo\Binaries\UT3Demo.exe:*:Enabled:Unreal Tournament 3 Demo" "D:\Downloads\cl08seCu13\RouterClient.exe"="D:\Downloads\cl08seCu13\RouterClient.exe:*:Disabled:RouterClient" "D:\Programme\Crytek\Crysis SP Demo\Bin32\Crysis.exe"="D:\Programme\Crytek\Crysis SP Demo\Bin32\Crysis.exe:*:Enabled:Crysis_32_sp_demo" "G:\source\hl2.exe"="G:\source\hl2.exe:*:Disabled:hl2" "D:\Downloads\blobby\volley.exe"="D:\Downloads\blobby\volley.exe:*:Enabled:volley" "D:\Programme\Crytek\Crysis MP Beta\Crysis MP Beta\Bin32\Crysis.exe"="D:\Programme\Crytek\Crysis MP Beta\Crysis MP Beta\Bin32\Crysis.exe:*:Enabled:Crysis_32_mp_beta" "G:\FlatOut2 an Zimmer Michel (Michel)\FlatOut2.exe"="G:\FlatOut2 an Zimmer Michel (Michel)\FlatOut2.exe:*:Enabled:FlatOut2" "D:\Programme\UBISOFT\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Game.exe"="D:\Programme\UBISOFT\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Game.exe:*:Enabled:Rainbow Six Vegas" "D:\Programme\UBISOFT\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Launcher.exe"="D:\Programme\UBISOFT\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Launcher.exe:*:Enabled:Rainbow Six Vegas Updater" "D:\Downloads\HL1\Counter Strike 1.5 Full + Half Life 1110 Full\Half Life Full\HL\hl.exe"="D:\Downloads\HL1\Counter Strike 1.5 Full + Half Life 1110 Full\Half Life Full\HL\hl.exe:*:Enabled:Half-Life Launcher" "D:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="D:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook" "D:\Programme\Microsoft Office\Office12\GROOVE.EXE"="D:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove" "D:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="D:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote" "C:\WINDOOF\system32\rtcshare.exe"="C:\WINDOOF\system32\rtcshare.exe:*:Enabled:RTC-Gemeinsame Nutzung von Anwendungen" "C:\Programme\NetMeeting\conf.exe"="C:\Programme\NetMeeting\conf.exe:*:Enabled:Windows® NetMeeting®" "G:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="G:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil" "D:\Programme\bluesoleil\BlueSoleil.exe"="D:\Programme\bluesoleil\BlueSoleil.exe:*:Enabled:BlueSoleil" "D:\Programme\Crytek\Crysis\Bin32\Crysis.exe"="D:\Programme\Crytek\Crysis\Bin32\Crysis.exe:*:Enabled:Crysis_32" "D:\Programme\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"="D:\Programme\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32" "C:\WINDOOF\system32\PnkBstrA.exe"="C:\WINDOOF\system32\PnkBstrA.exe:*:Enabled:PnkBstrA" "C:\WINDOOF\system32\PnkBstrB.exe"="C:\WINDOOF\system32\PnkBstrB.exe:*:Enabled:PnkBstrB" "D:\Programme\IL-2 Sturmovik Demo\il2demo.exe"="D:\Programme\IL-2 Sturmovik Demo\il2demo.exe:*:Enabled:il2demo" "D:\Programme\IL-2 Sturmovik 1946\il2fb.exe"="D:\Programme\IL-2 Sturmovik 1946\il2fb.exe:*:Enabled:il2fb" "G:\Programme\Electronic Arts\Battlefield 2142-Demo\BF2142.exe"="G:\Programme\Electronic Arts\Battlefield 2142-Demo\BF2142.exe:*:Enabled:BF2142" "D:\Programme\Armagetron Advanced\armagetronad.exe"="D:\Programme\Armagetron Advanced\armagetronad.exe:*:Enabled:armagetronad" "G:\Valve\Steam\SteamApps\smaxomatic\team fortress 2\hl2.exe"="G:\Valve\Steam\SteamApps\smaxomatic\team fortress 2\hl2.exe:*:Enabled:hl2" "D:\Programme\Codemasters\GRID\GRID.exe"="D:\Programme\Codemasters\GRID\GRID.exe:*:Enabled:GRID" "D:\Programme\Test Drive Unlimited\TestDriveUnlimited.exe"="D:\Programme\Test Drive Unlimited\TestDriveUnlimited.exe:*:Enabled:Test Drive Unlimited" "G:\XreaL_PreAlpha_20080704\xreal.exe"="G:\XreaL_PreAlpha_20080704\xreal.exe:*:Enabled:xreal" "D:\Programme\gamigo\levelr\LevelR\LevelR.bin"="D:\Programme\gamigo\levelr\LevelR\LevelR.bin:*:Enabled:LEVEL-R" "D:\Programme\SmartFTP Client\SmartFTP.exe"="D:\Programme\SmartFTP Client\SmartFTP.exe:*:Enabled:SmartFTP Client 3.0" "D:\Programme\Mozilla Firefox\firefox.exe"="D:\Programme\Mozilla Firefox\firefox.exe:*:Disabled:Firefox" "E:\LFS\LFS.exe"="E:\LFS\LFS.exe:*:Enabled:LFS" "G:\Valve\Steam\SteamApps\common\shadowgrounds demo\ShadowgroundsLauncher.exe"="G:\Valve\Steam\SteamApps\common\shadowgrounds demo\ShadowgroundsLauncher.exe:*:Enabled:Shadowgrounds Demo" "G:\Valve\Steam\SteamApps\smaxomatic\half-life 2\hl2.exe"="G:\Valve\Steam\SteamApps\smaxomatic\half-life 2\hl2.exe:*:Enabled:hl2" "G:\Valve\Steam\SteamApps\smaxomatic\source sdk base 2007\hl2.exe"="G:\Valve\Steam\SteamApps\smaxomatic\source sdk base 2007\hl2.exe:*:Enabled:hl2" "G:\Valve\Steam\SteamApps\smaxomatic\source sdk base\hl2.exe"="G:\Valve\Steam\SteamApps\smaxomatic\source sdk base\hl2.exe:*:Enabled:hl2" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" "G:\Programme\ICQ6.5\ICQ.exe"="G:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "D:\Programme\CAPCOM\RESIDENT EVIL 5\RE5DX9.EXE"="D:\Programme\CAPCOM\RESIDENT EVIL 5\RE5DX9.EXE:*:Enabled:RESIDENT EVIL 5 (DX9)" "D:\Programme\CAPCOM\RESIDENT EVIL 5\RE5DX10.EXE"="D:\Programme\CAPCOM\RESIDENT EVIL 5\RE5DX10.EXE:*:Enabled:RESIDENT EVIL 5 (DX10)" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" ======File associations====== .js - edit - "G:\Macromedia\Dreamweaver 8\dreamweaver.exe" "%1" ======List of files/folders created in the last 1 months====== 2009-10-20 09:32:18 ----D---- C:\rsit 2009-10-20 09:29:32 ----A---- C:\WINDOOF\SchedLgU.Txt 2009-10-20 09:28:14 ----A---- C:\WINDOOF\ntbtlog.txt 2009-10-20 09:28:00 ----A---- C:\mbam-log-2009-10-20 (09-27-23).txt 2009-10-20 03:47:56 ----D---- C:\Programme\CCleaner 2009-10-20 03:47:15 ----A---- C:\RSIT.exe 2009-10-20 03:47:05 ----A---- C:\mbam-setup.exe 2009-10-20 03:46:53 ----A---- C:\ccsetup224.exe 2009-10-20 03:35:33 ----A---- C:\log3.txt 2009-10-20 03:35:10 ----D---- C:\WINDOOF\temp 2009-10-20 03:35:05 ----A---- C:\ComboFix.txt 2009-10-20 03:16:21 ----D---- C:\mulerone 2009-10-20 03:00:40 ----A---- C:\WINDOOF\PEV.exe 2009-10-20 02:49:02 ----A---- C:\SDFix.exe 2009-09-29 21:21:37 ----D---- C:\Programme\Microsoft Games for Windows - LIVE 2009-09-22 19:03:06 ----A---- C:\WINDOOF\system32\d3dx10_41.dll 2009-09-22 19:03:06 ----A---- C:\WINDOOF\system32\D3DCompiler_41.dll 2009-09-22 19:03:04 ----A---- C:\WINDOOF\system32\XAudio2_4.dll 2009-09-22 19:03:04 ----A---- C:\WINDOOF\system32\XAPOFX1_3.dll 2009-09-22 19:03:04 ----A---- C:\WINDOOF\system32\xactengine3_4.dll 2009-09-22 19:03:04 ----A---- C:\WINDOOF\system32\X3DAudio1_6.dll 2009-09-22 18:59:45 ----D---- C:\Programme\AGEIA Technologies 2009-09-21 17:13:24 ----A---- C:\WINDOOF\system32\D3DX9_41.dll ======List of files/folders modified in the last 1 months====== 2009-10-20 09:29:49 ----D---- C:\WINDOOF 2009-10-20 09:29:48 ----D---- C:\Dokumente und Einstellungen\Lord Rentner\Anwendungsdaten\WTablet 2009-10-20 09:29:45 ----D---- C:\WINDOOF\system32 2009-10-20 03:55:50 ----D---- C:\WINDOOF\system32\drivers 2009-10-20 03:50:17 ----D---- C:\WINDOOF\Minidump 2009-10-20 03:50:17 ----D---- C:\WINDOOF\Debug 2009-10-20 03:47:56 ----RD---- C:\Programme 2009-10-20 03:37:53 ----D---- C:\WINDOOF\system32\CatRoot2 2009-10-20 03:30:23 ----A---- C:\WINDOOF\system.ini 2009-10-20 03:26:26 ----D---- C:\WINDOOF\AppPatch 2009-10-20 03:26:21 ----D---- C:\Programme\Gemeinsame Dateien 2009-10-20 03:16:32 ----SHD---- C:\RECYCLER 2009-10-20 03:16:26 ----D---- C:\QooBox 2009-10-20 03:10:07 ----D---- C:\WINDOOF\Prefetch 2009-10-20 03:09:05 ----SD---- C:\WINDOOF\Tasks 2009-10-20 03:08:46 ----D---- C:\WINDOOF\erdnt 2009-10-20 02:50:49 ----D---- C:\SDFix 2009-10-20 02:05:36 ----A---- C:\WINDOOF\NeroDigital.ini 2009-10-20 00:03:40 ----HD---- C:\Programme\InstallShield Installation Information 2009-10-19 23:50:42 ----D---- C:\Dokumente und Einstellungen\Lord Rentner\Anwendungsdaten\FileZilla 2009-10-15 03:46:28 ----A---- C:\WINDOOF\winamp.ini 2009-10-10 15:33:08 ----RSD---- C:\WINDOOF\assembly 2009-10-10 15:32:51 ----D---- C:\WINDOOF\system32\DirectX 2009-09-29 21:27:44 ----SHD---- C:\WINDOOF\Installer 2009-09-29 21:27:44 ----D---- C:\Config.Msi 2009-09-29 21:24:00 ----HD---- C:\WINDOOF\inf 2009-09-22 19:00:46 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 Aspi32;Aspi32; C:\WINDOOF\system32\drivers\Aspi32.sys [2007-03-17 25244] R1 avgio;avgio; \??\E:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; C:\WINDOOF\system32\DRIVERS\avipbb.sys [2009-05-27 75096] R1 DLACDBHM;DLACDBHM; C:\WINDOOF\System32\Drivers\DLACDBHM.SYS [2006-03-17 5660] R1 DLARTL_N;DLARTL_N; C:\WINDOOF\System32\Drivers\DLARTL_N.SYS [2006-03-17 22684] R1 InCDPass;Nero InCDPass; C:\WINDOOF\system32\drivers\InCDPass.sys [2008-02-18 36648] R1 incdrm;Nero InCD MRW Remapper; C:\WINDOOF\system32\drivers\InCDRm.sys [2008-02-18 38312] R1 intelppm;Intel-Prozessortreiber; C:\WINDOOF\system32\DRIVERS\intelppm.sys [2007-03-17 40192] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOOF\system32\DRIVERS\kbdhid.sys [2004-08-04 14848] R1 prodrv06;StarForce Protection Environment Driver v6; C:\WINDOOF\System32\drivers\prodrv06.sys [2004-08-09 53920] R1 ssmdrv;ssmdrv; C:\WINDOOF\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248] R2 DLABOIOM;DLABOIOM; C:\WINDOOF\System32\DLA\DLABOIOM.SYS [2006-06-13 25724] R2 DLADResN;DLADResN; C:\WINDOOF\System32\DLA\DLADResN.SYS [2006-06-13 2496] R2 DLAIFS_M;DLAIFS_M; C:\WINDOOF\System32\DLA\DLAIFS_M.SYS [2006-06-13 86844] R2 DLAOPIOM;DLAOPIOM; C:\WINDOOF\System32\DLA\DLAOPIOM.SYS [2006-06-13 14716] R2 DLAPoolM;DLAPoolM; C:\WINDOOF\System32\DLA\DLAPoolM.SYS [2006-06-13 6364] R2 DLAUDF_M;DLAUDF_M; C:\WINDOOF\System32\DLA\DLAUDF_M.SYS [2006-06-13 88476] R2 DLAUDFAM;DLAUDFAM; C:\WINDOOF\System32\DLA\DLAUDFAM.SYS [2006-06-13 94460] R2 DRVNDDM;DRVNDDM; C:\WINDOOF\System32\Drivers\DRVNDDM.SYS [2006-03-17 40544] R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOOF\system32\DRIVERS\nwlnkipx.sys [2004-08-03 88448] R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOOF\system32\DRIVERS\nwlnknb.sys [2001-08-18 63232] R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOOF\system32\DRIVERS\nwlnkspx.sys [2001-08-18 55936] R2 rspndr;Antwort für Verbindungsschicht-Topologieerkennung; C:\WINDOOF\system32\DRIVERS\rspndr.sys [2007-03-17 62336] R2 WIBUKEY;WIBU-KEY Kernel Driver; C:\WINDOOF\SYSTEM32\DRIVERS\WibuKey.sys [2006-11-22 72704] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOOF\system32\DRIVERS\arp1394.sys [2007-06-18 60800] R3 avgntflt;avgntflt; \??\E:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [] R3 BlueletAudio;Bluetooth Audio Service; C:\WINDOOF\system32\DRIVERS\blueletaudio.sys [2006-06-23 31488] R3 BlueletSCOAudio;Bluetooth SCO Audio Service; C:\WINDOOF\system32\DRIVERS\BlueletSCOAudio.sys [2005-08-31 20480] R3 BTHidEnum;Bluetooth HID Enumerator; C:\WINDOOF\system32\DRIVERS\vbtenum.sys [2005-07-30 11988] R3 ctljystk;Creative SBLive!-Gameport; C:\WINDOOF\system32\DRIVERS\ctljystk.sys [2007-03-17 3712] R3 emu10k;Creative SB Live! (WDM); C:\WINDOOF\system32\drivers\emu10k1m.sys [2007-03-17 283904] R3 emu10k1;Creative-Schnittstellen-Verwaltungstreiber (WDM); C:\WINDOOF\system32\drivers\ctlfacem.sys [2007-03-17 6912] R3 ET5Drv;ET5Drv; \??\C:\WINDOOF\system32\Drivers\ET5Drv.sys [] R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOOF\system32\DRIVERS\HDAudBus.sys [2007-03-17 138752] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOOF\system32\DRIVERS\hidusb.sys [2007-03-17 10368] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOOF\system32\drivers\RtkHDAud.sys [2007-04-23 4402176] R3 MarkFun_NT;MarkFun_NT; \??\C:\Programme\Gigabyte\ET5\markfun.w32 [] R3 mouhid;Maus-HID-Treiber; C:\WINDOOF\system32\DRIVERS\mouhid.sys [2007-03-17 12288] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOOF\system32\DRIVERS\nic1394.sys [2007-06-18 61824] R3 nv;nv; C:\WINDOOF\system32\DRIVERS\nv4_mini.sys [2008-10-07 6133856] R3 PPJoyBus;Parallel Port Joystick Bus device driver; C:\WINDOOF\system32\drivers\PPJoyBus.sys [2004-10-24 13952] R3 PPortJoystick;Parallel Port Joystick device driver; C:\WINDOOF\system32\drivers\PPortJoy.sys [2004-10-24 28800] R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOOF\System32\Drivers\RootMdm.sys [2001-08-18 5888] R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOOF\system32\DRIVERS\Rtenicxp.sys [2007-03-01 90496] R3 sfman;Creative-SoundFont-Verwaltungstreiber (WDM); C:\WINDOOF\system32\drivers\sfmanm.sys [2007-03-17 36480] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOOF\system32\DRIVERS\usbccgp.sys [2007-03-17 31744] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOOF\system32\DRIVERS\usbehci.sys [2007-03-17 30080] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOOF\system32\DRIVERS\usbhub.sys [2007-03-17 59264] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOOF\system32\DRIVERS\usbuhci.sys [2007-03-17 20608] R3 VComm;Virtual Serial port driver; C:\WINDOOF\system32\DRIVERS\VComm.sys [2004-10-19 61312] R3 VcommMgr;Bluetooth VComm Manager Service; C:\WINDOOF\System32\Drivers\VcommMgr.sys [2006-02-28 84836] R3 WacomVKHid;Virtual Keyboard Driver; C:\WINDOOF\system32\DRIVERS\WacomVKHid.sys [2007-02-15 11440] R3 WmBEnum;Logitech Virtual Bus Enumerator Driver; C:\WINDOOF\system32\drivers\WmBEnum.sys [2005-04-12 10144] R3 WmXlCore;Logitech WingMan Translation Layer Driver; C:\WINDOOF\system32\drivers\WmXlCore.sys [2005-04-12 45504] R4 InCDfs;Nero InCD File System; C:\WINDOOF\system32\drivers\InCDFs.sys [2008-02-18 118952] S3 61883;61883-Einheitsgerät; C:\WINDOOF\system32\DRIVERS\61883.sys [2007-03-17 48128] S3 a3yn0pbd;a3yn0pbd; C:\WINDOOF\system32\drivers\a3yn0pbd.sys [] S3 Avc;AVC-Gerät; C:\WINDOOF\system32\DRIVERS\avc.sys [2007-03-17 38912] S3 BT;Bluetooth PAN Network Adapter; C:\WINDOOF\system32\DRIVERS\btnetdrv.sys [2006-01-19 10068] S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\WINDOOF\System32\Drivers\btcusb.sys [2006-07-16 23040] S3 BTNetFilter;Bluetooth Network Filter; \??\G:\Programme\IVT Corporation\BlueSoleil\Device\Win2k\BTNetFilter.sys [] S3 catchme;catchme; \??\C:\DOKUME~1\ADMINI~1.BIE\LOKALE~1\Temp\catchme.sys [] S3 CCDECODE;Untertiteldecoder; C:\WINDOOF\system32\DRIVERS\CCDECODE.sys [2007-03-17 17024] S3 gdrv;gdrv; \??\C:\WINDOOF\gdrv.sys [] S3 hamachi;Hamachi Network Interface; C:\WINDOOF\system32\DRIVERS\hamachi.sys [2008-11-21 25280] S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOOF\system32\DRIVERS\msdv.sys [2007-03-17 51200] S3 msgame;Sidewinder HID-zu-Joystickanschlussaktivierung; C:\WINDOOF\system32\DRIVERS\msgame.sys [2007-03-17 35200] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOOF\system32\drivers\MSTEE.sys [2007-03-17 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOOF\system32\DRIVERS\NABTSFEC.sys [2007-03-17 85376] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOOF\system32\DRIVERS\NdisIP.sys [2007-03-17 10880] S3 PnkBstrK;PnkBstrK; \??\C:\WINDOOF\system32\drivers\PnkBstrK.sys [] S3 RivaTuner32;RivaTuner32; \??\D:\Programme\RivaTuner v2.06\RivaTuner32.sys [] S3 SLIP;BDA Slip De-Framer; C:\WINDOOF\system32\DRIVERS\SLIP.sys [2004-08-04 11136] S3 streamip;BDA-IPSink; C:\WINDOOF\system32\DRIVERS\StreamIP.sys [2004-08-04 15360] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOOF\system32\DRIVERS\usbprint.sys [2007-03-17 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOOF\system32\DRIVERS\usbscan.sys [2007-03-17 15104] S3 usbstor;USB-Massenspeichertreiber; C:\WINDOOF\system32\DRIVERS\USBSTOR.SYS [2007-03-17 26368] S3 usbvideo;USB-Videogerät (WDM); C:\WINDOOF\System32\Drivers\usbvideo.sys [2007-03-17 121856] S3 VHidMinidrv;Bluetooth HID Device Service; C:\WINDOOF\system32\drivers\VHIDMini.sys [2005-07-29 11736] S3 wacommousefilter;Wacom Mouse Filter Driver; C:\WINDOOF\system32\DRIVERS\wacommousefilter.sys [] S3 wacomvhid;Wacom Virtual Hid Driver; C:\WINDOOF\system32\DRIVERS\wacomvhid.sys [] S3 Wibukey2;Wibukey2; C:\WINDOOF\system32\drivers\wibukey2.sys [2006-11-09 16384] S3 WmFilter;Logitech Gaming HID Filter Driver; C:\WINDOOF\system32\drivers\WmFilter.sys [2005-04-12 22240] S3 WmHidLo;Logitech Gaming USB Filter Driver; C:\WINDOOF\system32\drivers\WmHidLo.sys [2005-04-12 17632] S3 WmVirHid;Logitech Virtual Hid Device Driver; C:\WINDOOF\system32\drivers\WmVirHid.sys [2005-04-12 5600] S3 WpdUsb;WpdUsb; C:\WINDOOF\system32\DRIVERS\wpdusb.sys [2007-03-17 38528] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOOF\system32\DRIVERS\WSTCODEC.SYS [2007-03-17 19328] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOOF\system32\DRIVERS\wudfrd.sys [2007-03-17 82944] S4 IntelIde;IntelIde; C:\WINDOOF\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865] R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376] R2 CCALib8;Canon Camera Access Library 8; C:\Programme\Canon\CAL\CALMAIN.exe [2007-01-31 96370] R2 InCDsrv;InCD Helper; D:\Programme\Nero 7\InCD\InCDsrv.exe [2008-02-18 1553704] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOOF\system32\nvsvc32.exe [2008-10-07 163908] R2 PnkBstrA;PnkBstrA; C:\WINDOOF\system32\PnkBstrA.exe [2007-12-24 66872] R2 PnkBstrB;PnkBstrB; C:\WINDOOF\system32\PnkBstrB.exe [2009-02-28 201816] R2 TabletService;TabletService; C:\WINDOOF\system32\Tablet.exe [2005-07-06 749568] R2 TabletServiceWacom;TabletServiceWacom; C:\WINDOOF\system32\Wacom_Tablet.exe [2007-09-07 1373480] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOOF\system32\svchost.exe [2004-08-04 14336] R3 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297] R3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-01-28 654848] S02000000 OMSCAN;OMSCAN; \Sys [] S1 InCDrec;Nero InCD File System Recognizer; C:\WINDOOF\system32\drivers\InCDRec.sys [2008-02-18 16040] S2 BlueSoleil Hid Service;BlueSoleil Hid Service; D:\Programme\BlueSoleil\BTNtService.exe [2005-04-06 110592] S2 NeroRegInCDSrv;Nero Registry InCD Service; D:\Programme\Nero 7\InCD\NBHRegInCDSrv.exe [] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOOF\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOOF\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOOF\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 idsvc;Windows CardSpace; C:\WINDOOF\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256] S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; D:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824] S3 MSSQL$SONY_MEDIAMGR;MSSQL$SONY_MEDIAMGR; E:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe [2002-12-17 7520337] S3 MSSQLServerADHelper;MSSQLServerADHelper; C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe [2002-12-17 66112] S3 NBService;NBService; D:\Programme\Nero 7\Nero BackItUp\NBService.exe [2007-09-17 800040] S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848] S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 SQLAgent$SONY_MEDIAMGR;SQLAgent$SONY_MEDIAMGR; E:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE [2002-12-17 311872] S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOOF\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880] -----------------EOF----------------- Das war's erst mal. Scheint ziemlich viel im Busch zu sein, grade durch das unsichere und seit Jahren zugemüllte System. Kann bitte bitte trotzdem jemand helfen? Vielen dank und liebe grüße |
|
21.10.2009, 13:23
| #5 |
| | Mehrfache Trojaner eingefangen, über Firefox. NACHTRAG: habe vergessen zu sagen, dass nach dem durchlauf von malwarebytes (glaube ich!) der computer neu gestartet werden musste. Nach dem Neustart meldete Spybot mehrere änderungen, von denen ich dachte, sie wären natürlich von MBAM! dazu gehörten: 20.10.2009 09:30:14 Erlaubt (based on user decision) value "ctfmon.exe" (new data: "") gelöscht in System Startup user entry! 20.10.2009 09:30:22 Erlaubt (based on user decision) value " Malwarebytes Anti-Malware (reboot)" (new data: ""D:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript") hinzugefügt in System Startup global entry! 20.10.2009 09:30:29 Erlaubt (based on user decision) value "ScanRegistry" (new data: "") gelöscht in System Startup global entry! 20.10.2009 09:30:35 Erlaubt (based on user decision) value "Search Bar" (new data: "http://www.starbarsearch.com/?useie5=1&q=") geändert in Browser page! 20.10.2009 09:31:07 Verweigert (based on user decision) value "ctfmon.exe" (new data: "C:\WINDOOF\system32\ctfmon.exe") hinzugefügt in System Startup user entry! kam nochmal: 21.10.2009 13:17:47 Verweigert (based on user decision) value "ctfmon.exe" (new data: "C:\WINDOOF\system32\ctfmon.exe") hinzugefügt in System Startup user entry! |
|
04.11.2009, 12:40
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Mehrfache Trojaner eingefangen, über Firefox. Dein Beitrag wurde übersehen, weil Du über mehrere Postings verteilt geschrieben hast. Zitat:
__________________ --> Mehrfache Trojaner eingefangen, über Firefox. |
|
04.11.2009, 17:40
| #7 | |
| | Mehrfache Trojaner eingefangen, über Firefox.Zitat:
 |
|
04.11.2009, 20:47
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Mehrfache Trojaner eingefangen, über Firefox. Tja, dann kauf Dir schnell noch eine, mach den Rechner platt und installier Windows XP neu, aber mit der Original-CD. Mit "kopierten" Versionen wirst Du immer wieder Probleme mit den Windows-Updates bekommen und dann auch zwangsläufig Sicherheitsprobleme. Abgesehen davon gibts im Trojaner-Board keinen Support in Fällen, wo illegale Software im Spiel ist, seien es Cracks/Warez/Keygens oder eben ein schwarzes Windows.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
04.11.2009, 23:39
| #9 | |
 | Mehrfache Trojaner eingefangen, über Firefox.Zitat:
Dumm ist auf jeden Fall das hier haarklein hinzuschreiben und einen Lizenzverstoß zu publizieren. Warum machst Du nicht einfach eine Neuinstalltion und bist glücklich? Lass den komischen Frickelfox noch weg, sicherer ist der Kram in keinem Fall und good luck. Es gibt auch für Dein Problem mindestens 10 Programme, welche Du in beliebiger Reihenfolge mal verwenden kannst, das Board ist da ein unerschöpflicher Quell. |
|
04.11.2009, 23:41
| #10 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Mehrfache Trojaner eingefangen, über Firefox.Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.11.2009, 23:43
| #11 |
| | Mehrfache Trojaner eingefangen, über Firefox. Die Ecke siehst Du aus Bremen nicht! Und nein, ich würde mich nie im Lunix-Forum anmelden! |
|
04.11.2009, 23:45
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Mehrfache Trojaner eingefangen, über Firefox. Jaja gn8 pinguinüberfahrer oder welcher Troll Du auch immer sein gewesen magst bei heise.de 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.11.2009, 23:47
| #13 | |
| | Mehrfache Trojaner eingefangen, über Firefox.Zitat:
Bleibe sachlich oder schweig! |
|
05.11.2009, 09:19
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Mehrfache Trojaner eingefangen, über Firefox. Hallo, nun sei doch nicht gleich beleidigt so hab ich das doch nicht gemeint. Es gibt bei heise.de tatsächlich Trolle (Anti-Linux und Anti-Opensource) die sich so nennen. Und beim Thema Frickelfox werd ich gleich 2x hörig, das wird auch fast nur bei heise benutzt. Wenn Du jetzt wirklich noch ernsthaft posten willst, dann begründe doch mal sachlich warum der Firefox nicht sicherer / unsicherer als der IE sein soll. 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Mehrfache Trojaner eingefangen, über Firefox. |
| 0 bytes, abgesicherten modus, ablauf, antivir, avgnt, avgnt.exe, avira, bonjour, booten, browser, canon, combofix, counter-strike source, crysis, device driver, fehler, firefox, firefox.exe, gigabyte, helper, installation, konvertieren, malware, mozilla, pdf-datei, programm, registry, rthdcpl.exe, scan, schannel.dll, security, server, sierra, sigcheck, skype.exe, software, suchlauf, system, trojaner, trojaner eingefangen, viren, virus, vista, windows, windows xp, ändern |
Linear-Darstellung
