|
Plagegeister aller Art und deren Bekämpfung: Firefox öffnet automatisch attakierende Websites und weitere KuriositätenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.01.2011, 11:43 | #1 |
| Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten Hallo… ich habe einige Probleme mit meinem Rechner, kann aber nicht sagen, ob zwischen den einzelnen ein Kausalzusammenhang besteht. 1. Firefox öffnet einfach neue Tabs. Meist ist auch gleich eine Warnmeldung auf der jeweiligen Seite dabei, dass die Website als attackierend gemeldet wurde. Teilweise geht es aber auch über drei – vier Seiten zu Google. 2. Im Laufe einer Sitzung habe ich Plötzlich keinen Ton mehr, weder im Internet (Youtube etc) noch Systemgeräusche („Warnmeldungs-Pling“). Das betrifft aber nur die Benutzeroberfläche auf der ich aktiv bin. Nach einem Neustart ist der Ton wieder da und ich bekomme eine Systemmeldung. Die Datenausführverhinderung (oder so) erklärt mir, dass ein Programm Win32-irgendwas beendet wurde. Da das grad nicht passiert ist, kann ich es leider nicht konkreter machen. 3. Meine Firewall startet nicht mehr automatisch. Ich muss sie die letzten Tage manuell aktivieren. Das Problem scheint sich, durch Malwarebytes gelöst zu haben. Aus der Anleitung.html habe ich die Schritte 1- 3 befolgt. Malwarebytes fand 15 Infektionen. Kurz nach dem Neustart, kam es zu einer Besonderheit. Eine Warnmeldung erschien und das System wurde automatisch heruntergefahren. Hab mir nur fix system32/services.exe und Statuscode 1073741819 notieren können. Stell jetzt erstmal das Log von Malwarebytes hoch. Die anderen Folgen. |
30.01.2011, 12:33 | #2 |
| Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten So, hab jetzt Schritt 4 - 6 abgearbeitet. Beim defogger bin ich mir unschlüssig, ob das lief wie´s laufen sollte. Ich wurde nicht zum Neustart aufgefordert, hab aber ein Log. Keine Ahnung...
__________________Jedenfalls hier noch die fehlenden Logs. |
02.02.2011, 21:30 | #3 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox öffnet automatisch attakierende Websites und weitere KuriositätenZitat:
Update auf Version 1.50.1 also neuste Version und neueste Signaturen. Dann einen Vollscan machen. Poste das Log und auch alle anderen, die im Reiter Logdateien sind.
__________________ |
03.02.2011, 12:36 | #4 |
| Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten ok, habs geupdatet. Log vom Fullscan ist im Anhang, gab aber keinen Fund. Ich hab dort ca. 30 Logs, hab daher nur die mit funden hochgestellt. Wenn die anderen doch wichtig sind, reich ich die nach. Da Avira aber immer was findet, hab ich die letzten Berichte davon hochgestellt. Zu meinem Ton-Problem, die Meldung kam heute mal wieder. Generic Host Process for Win32 services wurde beendet. Ich hoffe das hilft... |
03.02.2011, 13:39 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
03.02.2011, 16:15 | #6 |
| Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten Ok, hab ich gemacht. Zwischendurch wurde der Rechner zwei Mal neu gestartet. Ich kann nicht beurteilen, ob das normal ist. Jedenfalls hier das CF.log: Combofix Logfile: Code:
ATTFilter ComboFix 11-01-31.02 - ButterkeksJohnny 03.02.2011 15:43:54.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.600 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\ButterkeksJohnny\Desktop\Cofi.exe AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\drivers\svchost.jxe C:\yusedehxxx.exe c:\yusedehxxx.exe\config.bin D:\resycled d:\resycled\boot.com Infizierte Kopie von c:\windows\system32\drivers\hcw88aud.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack :p wurde wiederhergestellt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ATAPIDRV -------\Legacy_SVCHOST32 -------\Legacy_USNJSVC -------\Service_usnjsvc ((((((((((((((((((((((( Dateien erstellt von 2011-01-03 bis 2011-02-03 )))))))))))))))))))))))))))))) . 2011-02-01 17:31 . 2011-02-01 17:31 -------- d-----w- c:\windows\Performance 2011-02-01 17:31 . 2011-02-01 17:31 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Lokale Einstellungen\Anwendungsdaten\Microsoft Corporation 2011-02-01 17:30 . 2011-02-01 17:30 -------- d-----w- c:\programme\Microsoft Windows 7 Upgrade Advisor 2011-01-30 09:51 . 2011-01-30 09:52 -------- d-----w- c:\programme\ERUNT 2011-01-29 14:00 . 2011-01-29 14:00 -------- d-----w- c:\programme\Microsoft Works 2011-01-29 12:29 . 2010-10-01 14:20 307200 ----a-w- c:\windows\system32\TubeFinder.exe 2011-01-29 12:29 . 2009-06-19 18:51 119568 ----a-w- c:\windows\system32\VB6FR.DLL 2011-01-29 12:29 . 2009-06-19 18:51 101888 ----a-w- c:\windows\system32\VB6STKIT.DLL 2011-01-29 12:29 . 2009-06-19 18:51 9728 ----a-w- c:\windows\system32\PCCLPFR.DLL 2011-01-29 12:29 . 2009-06-19 18:51 84512 ----a-w- c:\windows\system32\PICCLP32.OCX 2011-01-29 12:29 . 2009-06-19 18:51 364544 ----a-w- c:\windows\system32\PropertyGrid.ocx 2011-01-29 12:29 . 2009-06-19 18:51 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL 2011-01-29 12:29 . 2011-01-29 12:31 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\FreeFLVConverter 2011-01-29 12:29 . 2011-01-29 12:29 -------- d-----w- c:\programme\Free FLV Converter 2011-01-29 12:29 . 2009-06-19 18:51 32768 ----a-w- c:\windows\system32\CMDLGFR.DLL 2011-01-29 12:29 . 2009-06-19 18:51 24576 ----a-w- c:\windows\system32\ControlSubX.ocx 2011-01-29 12:29 . 2009-06-19 18:51 152848 ----a-w- c:\windows\system32\COMDLG32.OCX 2011-01-29 09:30 . 2011-01-29 09:30 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache 2011-01-26 10:59 . 2011-01-26 10:59 -------- d-----w- C:\spoolerlogs 2011-01-25 17:57 . 2011-01-25 17:57 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2011-01-24 13:51 . 2011-01-24 13:57 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\PeaZip 2011-01-24 13:49 . 2011-01-24 13:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools 2011-01-13 10:47 . 2011-02-01 16:02 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\vlc 2011-01-12 06:31 . 2011-01-12 06:31 -------- d-----w- c:\windows\system32\de 2011-01-12 06:31 . 2011-01-12 06:31 -------- d-----w- c:\windows\l2schemas 2011-01-12 06:31 . 2011-01-12 06:31 -------- d-----w- c:\windows\system32\bits 2011-01-05 12:18 . 2011-01-05 12:18 -------- d-sh--w- c:\dokumente und einstellungen\ButterkeksJohnny\PrivacIE 2011-01-05 11:47 . 2011-01-05 11:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller 2011-01-05 11:32 . 2011-01-05 11:32 -------- d-----w- c:\windows\system32\Adobe 2011-01-05 11:00 . 2011-01-05 11:00 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Lokale Einstellungen\Anwendungsdaten\Real 2011-01-05 11:00 . 2011-01-05 11:00 11776 ----a-w- c:\programme\Mozilla Firefox\plugins\nprjplug.dll 2011-01-05 10:59 . 2011-01-05 10:59 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared 2011-01-05 10:59 . 2011-01-05 10:59 151776 ----a-w- c:\programme\Mozilla Firefox\plugins\nppl3260.dll 2011-01-05 10:59 . 2011-01-05 10:59 100352 ----a-w- c:\programme\Mozilla Firefox\plugins\nprpjplug.dll 2011-01-05 10:40 . 2011-01-05 10:40 -------- d-----w- c:\programme\MSECache 2011-01-05 10:34 . 2011-01-05 10:34 -------- d-----w- c:\programme\Secunia 2011-01-05 09:39 . 2011-01-05 09:39 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\Sytexis Software 2011-01-05 09:39 . 2011-01-24 14:24 -------- d-----w- c:\programme\Sytexis Software . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-01-05 10:59 . 2003-03-18 21:14 499712 ----a-w- c:\windows\system32\msvcp71.dll 2011-01-05 10:59 . 2003-02-21 03:42 348160 ----a-w- c:\windows\system32\msvcr71.dll 2011-01-04 13:52 . 2011-01-04 13:53 73728 ----a-w- c:\windows\system32\javacpl.cpl 2011-01-04 13:52 . 2011-01-04 13:53 472808 ----a-w- c:\windows\system32\deployJava1.dll 2010-12-25 19:01 . 2010-04-11 10:22 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-12-20 17:09 . 2010-07-11 08:51 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2010-07-11 08:51 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-29 16:38 . 2010-11-29 16:38 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx 2010-11-29 16:38 . 2010-11-29 16:38 69632 ----a-w- c:\windows\system32\QuickTime.qts 2010-11-28 09:47 . 2010-04-11 10:22 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 397312] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768] "TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2011-01-05 274608] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk backup=c:\windows\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Secunia PSI Tray.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Secunia PSI Tray.lnk backup=c:\windows\pss\Secunia PSI Tray.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin210.exe.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin210.exe.lnk backup=c:\windows\pss\TrayMin210.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-09-20 22:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-09-23 03:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath] 2004-06-09 13:37 40960 ----a-w- c:\windows\VM_STI.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-09-01 06:32 421160 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] 2008-04-14 02:22 1695232 ------w- c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-11-29 16:38 421888 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-05-14 10:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 2011-01-05 10:59 274608 ----a-w- c:\programme\Real\RealPlayer\Update\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1700:TCP"= 1700:TCP:MioNet Remote Drive Access "1641:TCP"= 1641:TCP:MioNet Remote Drive Verification R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [27.07.2005 08:42 11970] R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 11:22 185472] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.04.2010 11:22 135336] R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [27.07.2005 08:42 133696] R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [27.07.2005 08:42 296515] R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [27.07.2005 08:42 140865] R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [27.07.2005 09:54 613204] R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [27.07.2005 08:42 30528] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.02.2010 22:09 135664] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [03.07.2010 17:15 1527900] S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [03.07.2010 17:18 544768] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - INT15.SYS . Inhalt des "geplante Tasks" Ordners 2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 21:09] 2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 21:09] 2011-02-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1005.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33] 2011-02-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1012.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33] 2011-01-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1005.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33] 2011-02-03 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1012.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://global.acer.com uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe" //mailurl:mailto:Goerlitz.321-Vermittlung@arbeitsagentur.de uInternet Settings,ProxyOverride = *.local IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\Mozilla\Firefox\Profiles\o08x5uyu.default\ FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKU-Default-Explorer_Run-userini - c:\windows\system32\userini.exe MSConfigStartUp-Easy-PrintToolBox - c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE MSConfigStartUp-SmartSoft PDF Printer Agent - c:\programme\Smart PDF Converter Pro\SmartSoft PDF Printer Agent.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-02-03 16:01 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-2750354099-2568687214-281242410-1012\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4AB776DD-4C2A-70A9-C08A-A140C2632237}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "iapgppacfncboapjmf"=hex:69,61,65,68,70,6d,70,64,62,6c,70,6a,6d,6b,6d,67,62,68, 00,00 "hanfjfcgbkdpojne"=hex:69,61,65,68,70,6d,70,64,62,6c,70,6a,6d,6b,6d,67,62,68, 00,00 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(780) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(3700) c:\windows\system32\ieframe.dll c:\windows\system32\webcheck.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\windows\eHome\ehRecvr.exe c:\windows\eHome\ehSched.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Avira\AntiVir Desktop\avshadow.exe c:\windows\ehome\mcrdsvc.exe c:\windows\system32\dllhost.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\Ati2evxx.exe c:\windows\SOUNDMAN.EXE c:\windows\eHome\ehmsas.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2011-02-03 16:05:10 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2011-02-03 15:05 Vor Suchlauf: 17 Verzeichnis(se), 87.063.814.144 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 87.058.300.928 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /fastdetect /NoExecute=OptOut - - End Of File - - 8C7446C297423B7324AFE843514DE23F |
03.02.2011, 19:24 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Regnull:: [HKEY_USERS\S-1-5-21-2750354099-2568687214-281242410-1012\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4AB776DD-4C2A-70A9-C08A-A140C2632237}*] 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
03.02.2011, 22:12 | #8 |
| Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten Alles gemacht, hier die Datei: Combofix Logfile: Code:
ATTFilter ComboFix 11-01-31.02 - ButterkeksJohnny 03.02.2011 21:58:16.2.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.599 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\ButterkeksJohnny\Desktop\Cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\ButterkeksJohnny\Desktop\CFScript.txt AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . ((((((((((((((((((((((( Dateien erstellt von 2011-01-03 bis 2011-02-03 )))))))))))))))))))))))))))))) . 2011-02-01 17:31 . 2011-02-01 17:31 -------- d-----w- c:\windows\Performance 2011-02-01 17:31 . 2011-02-01 17:31 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Lokale Einstellungen\Anwendungsdaten\Microsoft Corporation 2011-02-01 17:30 . 2011-02-01 17:30 -------- d-----w- c:\programme\Microsoft Windows 7 Upgrade Advisor 2011-01-30 09:51 . 2011-01-30 09:52 -------- d-----w- c:\programme\ERUNT 2011-01-29 14:00 . 2011-01-29 14:00 -------- d-----w- c:\programme\Microsoft Works 2011-01-29 12:29 . 2010-10-01 14:20 307200 ----a-w- c:\windows\system32\TubeFinder.exe 2011-01-29 12:29 . 2009-06-19 18:51 119568 ----a-w- c:\windows\system32\VB6FR.DLL 2011-01-29 12:29 . 2009-06-19 18:51 101888 ----a-w- c:\windows\system32\VB6STKIT.DLL 2011-01-29 12:29 . 2009-06-19 18:51 9728 ----a-w- c:\windows\system32\PCCLPFR.DLL 2011-01-29 12:29 . 2009-06-19 18:51 84512 ----a-w- c:\windows\system32\PICCLP32.OCX 2011-01-29 12:29 . 2009-06-19 18:51 364544 ----a-w- c:\windows\system32\PropertyGrid.ocx 2011-01-29 12:29 . 2009-06-19 18:51 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL 2011-01-29 12:29 . 2011-01-29 12:31 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\FreeFLVConverter 2011-01-29 12:29 . 2011-01-29 12:29 -------- d-----w- c:\programme\Free FLV Converter 2011-01-29 12:29 . 2009-06-19 18:51 32768 ----a-w- c:\windows\system32\CMDLGFR.DLL 2011-01-29 12:29 . 2009-06-19 18:51 24576 ----a-w- c:\windows\system32\ControlSubX.ocx 2011-01-29 12:29 . 2009-06-19 18:51 152848 ----a-w- c:\windows\system32\COMDLG32.OCX 2011-01-29 09:30 . 2011-01-29 09:30 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache 2011-01-26 10:59 . 2011-01-26 10:59 -------- d-----w- C:\spoolerlogs 2011-01-25 17:57 . 2011-01-25 17:57 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2011-01-24 13:51 . 2011-01-24 13:57 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\PeaZip 2011-01-24 13:49 . 2011-01-24 13:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools 2011-01-13 10:47 . 2011-02-01 16:02 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\vlc 2011-01-12 06:31 . 2011-01-12 06:31 -------- d-----w- c:\windows\system32\de 2011-01-12 06:31 . 2011-01-12 06:31 -------- d-----w- c:\windows\l2schemas 2011-01-12 06:31 . 2011-01-12 06:31 -------- d-----w- c:\windows\system32\bits 2011-01-05 12:18 . 2011-01-05 12:18 -------- d-sh--w- c:\dokumente und einstellungen\ButterkeksJohnny\PrivacIE 2011-01-05 11:47 . 2011-01-05 11:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller 2011-01-05 11:32 . 2011-01-05 11:32 -------- d-----w- c:\windows\system32\Adobe 2011-01-05 11:00 . 2011-01-05 11:00 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Lokale Einstellungen\Anwendungsdaten\Real 2011-01-05 11:00 . 2011-01-05 11:00 11776 ----a-w- c:\programme\Mozilla Firefox\plugins\nprjplug.dll 2011-01-05 10:59 . 2011-01-05 10:59 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared 2011-01-05 10:59 . 2011-01-05 10:59 151776 ----a-w- c:\programme\Mozilla Firefox\plugins\nppl3260.dll 2011-01-05 10:59 . 2011-01-05 10:59 100352 ----a-w- c:\programme\Mozilla Firefox\plugins\nprpjplug.dll 2011-01-05 10:40 . 2011-01-05 10:40 -------- d-----w- c:\programme\MSECache 2011-01-05 10:34 . 2011-01-05 10:34 -------- d-----w- c:\programme\Secunia 2011-01-05 09:39 . 2011-01-05 09:39 -------- d-----w- c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\Sytexis Software 2011-01-05 09:39 . 2011-01-24 14:24 -------- d-----w- c:\programme\Sytexis Software . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-01-05 10:59 . 2003-03-18 21:14 499712 ----a-w- c:\windows\system32\msvcp71.dll 2011-01-05 10:59 . 2003-02-21 03:42 348160 ----a-w- c:\windows\system32\msvcr71.dll 2011-01-04 13:52 . 2011-01-04 13:53 73728 ----a-w- c:\windows\system32\javacpl.cpl 2011-01-04 13:52 . 2011-01-04 13:53 472808 ----a-w- c:\windows\system32\deployJava1.dll 2010-12-25 19:01 . 2010-04-11 10:22 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-12-20 17:09 . 2010-07-11 08:51 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2010-07-11 08:51 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-29 16:38 . 2010-11-29 16:38 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx 2010-11-29 16:38 . 2010-11-29 16:38 69632 ----a-w- c:\windows\system32\QuickTime.qts 2010-11-28 09:47 . 2010-04-11 10:22 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys . ((((((((((((((((((((((((((((( SnapShot@2011-02-03_15.01.50 ))))))))))))))))))))))))))))))))))))))))) . + 2011-02-03 20:48 . 2011-02-03 20:48 16384 c:\windows\temp\Perflib_Perfdata_738.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 397312] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768] "TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2011-01-05 274608] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk backup=c:\windows\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Secunia PSI Tray.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Secunia PSI Tray.lnk backup=c:\windows\pss\Secunia PSI Tray.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin210.exe.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin210.exe.lnk backup=c:\windows\pss\TrayMin210.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-09-20 22:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-09-23 03:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath] 2004-06-09 13:37 40960 ----a-w- c:\windows\VM_STI.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-09-01 06:32 421160 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] 2008-04-14 02:22 1695232 ------w- c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-11-29 16:38 421888 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-05-14 10:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 2011-01-05 10:59 274608 ----a-w- c:\programme\Real\RealPlayer\Update\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1700:TCP"= 1700:TCP:MioNet Remote Drive Access "1641:TCP"= 1641:TCP:MioNet Remote Drive Verification R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [27.07.2005 08:42 11970] R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 11:22 185472] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.04.2010 11:22 135336] R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [27.07.2005 08:42 133696] R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [27.07.2005 08:42 296515] R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [27.07.2005 08:42 140865] R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [27.07.2005 09:54 613204] R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [27.07.2005 08:42 30528] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.02.2010 22:09 135664] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [03.07.2010 17:15 1527900] S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [03.07.2010 17:18 544768] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - INT15.SYS . Inhalt des "geplante Tasks" Ordners 2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 21:09] 2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 21:09] 2011-02-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1005.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33] 2011-02-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1012.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33] 2011-01-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1005.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33] 2011-02-03 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1012.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://global.acer.com uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe" //mailurl:mailto:Goerlitz.321-Vermittlung@arbeitsagentur.de uInternet Settings,ProxyOverride = *.local IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\Mozilla\Firefox\Profiles\o08x5uyu.default\ FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-02-03 22:04 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(780) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(1856) c:\windows\system32\ieframe.dll c:\windows\system32\webcheck.dll . Zeit der Fertigstellung: 2011-02-03 22:06:36 ComboFix-quarantined-files.txt 2011-02-03 21:06 ComboFix2.txt 2011-02-03 15:05 Vor Suchlauf: 17 Verzeichnis(se), 86.962.806.784 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 86.949.699.584 Bytes frei - - End Of File - - EE8B826C9BC957F6A64DF0A8F5BF4A74 |
04.02.2011, 10:55 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
04.02.2011, 17:15 | #10 |
| Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten GMER wollte nicht so, wie ich wollte- daher nur MBR und OSAM. OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 Online Solutions. Complex Protection for Information Systems Saved at 17:09:23 on 04.02.2011 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1005.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe "RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1012.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe "RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1005.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe "RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1012.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl (File signed by Microsoft | File found, but it contains no detailed information) "bdeadmin.cpl" - ? - C:\WINDOWS\system32\bdeadmin.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "acedrv11" (acedrv11) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\acedrv11.sys "agpcifoc" (agpcifoc) - ? - C:\DOKUME~1\BUTTER~2\LOKALE~1\Temp\agpcifoc.sys (Hidden registry entry, rootkit activity | File not found) "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\BUTTER~2\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "int15.sys" (int15.sys) - ? - C:\Acer\Empowering Technology\eRecovery\int15.sys (File found, but it contains no detailed information) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MHN-Treiber" (MHNDRV) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mhndrv.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "Symantec Network Security Intermediate Filter Service" (SymIM) - ? - C:\WINDOWS\System32\DRIVERS\SymIM.sys (File not found) "SymIMMP" (SymIMMP) - ? - C:\WINDOWS\System32\DRIVERS\SymIM.sys (File not found) "Upper Class Filter Driver" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\WINDOWS\System32\DRIVERS\NTIDrvr.sys "upperdev" (upperdev) - ? - C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys (File not found) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} "Microsoft Windows Media Player" - "Microsoft Corporation" - C:\WINDOWS\inf\unregmp2.exe /ShowWMP {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} "Meine freigegebenen Ordner" - "Microsoft Corporation" - C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll {cc86590a-b60a-48e6-996b-41d25ed39a1e} "Portable Media Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - c:\programme\real\realplayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL {F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll {8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll {CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll {5464D816-CF16-4784-B9F3-75C0DB52B499} "YMailShellExt Class" - "Yahoo! Inc." - C:\PROGRA~1\Yahoo!\Common\ymmapi.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.5.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10l.ocx / hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? - (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {327C2873-E90D-4c37-AA9D-10AC9BABA46C} "Easy-WebPrint" - ? - C:\Programme\Canon\Easy-WebPrint\Toolband.dll {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} "NCO Toolbar 2.0" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} "EWPBrowseObject Class" - ? - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Sign-in Helper" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll {02478D38-C3F9-4EFB-9B51-7695ECA05670} "{02478D38-C3F9-4EFB-9B51-7695ECA05670}" - ? - (File not found | COM-object registry key not found) {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} "{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}" - ? - (File not found | COM-object registry key not found) {7E853D72-626A-48EC-A868-BA8D5E23E045} "{7E853D72-626A-48EC-A868-BA8D5E23E045}" - ? - (File not found | COM-object registry key not found) [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\ButterkeksJohnny\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "eRecoveryService" - "acer Inc." - C:\Acer\Empowering Technology\eRecovery\Monitor.exe "LaunchApp" - "Acer Inc." - Alaunch "MSPY2002" - ? - C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC (File signed by Microsoft | File found, but it contains no detailed information) "TkBellExe" - "RealNetworks, Inc." - "C:\programme\real\realplayer\update\realsched.exe" -osboot [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Automatisches LiveUpdate - Scheduler" (Automatisches LiveUpdate - Scheduler) - ? - "C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" (File not found) "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "MD Simple Burner Service" (NetMDSB) - ? - C:\Programme\Sony\MD Simple Burner\NetMDSB.exe (File not found) "MHN" (MHN) - "Microsoft Corporation" - C:\WINDOWS\System32\mhn.dll "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "UPnPService" (UPnPService) - "Magix AG" - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit Online Solutions :: Index MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000001fd Kernel Drivers (total 143): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E5000 \WINDOWS\system32\hal.dll 0xF7A10000 \WINDOWS\system32\KDCOM.DLL 0xF7920000 \WINDOWS\system32\BOOTVID.dll 0xF73E0000 ACPI.sys 0xF7A12000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF73CF000 pci.sys 0xF7510000 isapnp.sys 0xF7520000 ohci1394.sys 0xF7530000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF7AD8000 pciide.sys 0xF7790000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7540000 MountMgr.sys 0xF73B0000 ftdisk.sys 0xF7A14000 dmload.sys 0xF738A000 dmio.sys 0xF7798000 PartMgr.sys 0xF7550000 VolSnap.sys 0xF7372000 atapi.sys 0xF7560000 disk.sys 0xF7570000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7352000 fltmgr.sys 0xF7340000 sr.sys 0xF77A0000 PxHelp20.sys 0xF7329000 KSecDD.sys 0xF729C000 Ntfs.sys 0xF726F000 NDIS.sys 0xF7255000 Mup.sys 0xF69CD000 \SystemRoot\system32\DRIVERS\AmdK8.sys 0xF6807000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xF67F3000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7858000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xF67CF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7860000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF69BD000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF69AD000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF699D000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF67AC000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7A36000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys 0xF7868000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0xF698D000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xF6731000 \SystemRoot\system32\drivers\hcw88vid.sys 0xF697D000 \SystemRoot\system32\drivers\STREAM.SYS 0xF79E4000 \SystemRoot\system32\drivers\hcw88aud.sys 0xF66E8000 \SystemRoot\system32\drivers\hcw88tse.sys 0xF6359000 \SystemRoot\system32\drivers\ALCXWDM.SYS 0xF6335000 \SystemRoot\system32\drivers\portcls.sys 0xF75B0000 \SystemRoot\system32\drivers\drmk.sys 0xF79E8000 \SystemRoot\system32\DRIVERS\nvnetbus.sys 0xF62EB000 \SystemRoot\system32\DRIVERS\NVNRM.SYS 0xF62B4000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS 0xF7870000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF75C0000 \SystemRoot\system32\DRIVERS\serial.sys 0xF79EC000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF62A0000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7C60000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7878000 \SystemRoot\system32\DRIVERS\rasirda.sys 0xF7880000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF75D0000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF79F4000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF6289000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF75E0000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF75F0000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF6278000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7600000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7888000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7890000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF6220000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF7610000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7898000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF78A0000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7A38000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF61C2000 \SystemRoot\system32\DRIVERS\update.sys 0xF7229000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF7660000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF7670000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7A3E000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7680000 \SystemRoot\system32\drivers\HCW88BAR.sys 0xA8746000 \SystemRoot\system32\drivers\hcw88tun.sys 0xA8722000 \SystemRoot\system32\drivers\hcw88bda.sys 0xF79B4000 \SystemRoot\system32\drivers\BdaSup.SYS 0xF76A0000 \SystemRoot\system32\DRIVERS\NVENETFD.sys 0xF78B0000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF7A4C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7B27000 \SystemRoot\System32\Drivers\Null.SYS 0xF7A4E000 \SystemRoot\System32\Drivers\Beep.SYS 0xF78C0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF78C8000 \SystemRoot\System32\drivers\vga.sys 0xF7A50000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7A52000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF78D0000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF78D8000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF79D4000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA79E7000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA798E000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA7966000 \SystemRoot\system32\DRIVERS\netbt.sys 0xA7940000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xA791E000 \SystemRoot\System32\drivers\afd.sys 0xF76C0000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF76D0000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF78E0000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xF76F0000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xA7853000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA77E3000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF7700000 \SystemRoot\System32\Drivers\Fips.SYS 0xF6264000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xF7710000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF78E8000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xA77BD000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7A56000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF78F0000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xF6258000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xF7221000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xA7771000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xA7759000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7A6A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xA7A2E000 \SystemRoot\System32\drivers\Dxapi.sys 0xF77F0000 \SystemRoot\System32\watchdog.sys 0xBE000000 \SystemRoot\System32\drivers\dxg.sys 0xF7C1A000 \SystemRoot\System32\drivers\dxgthk.sys 0xBE012000 \SystemRoot\System32\ati2dvag.dll 0xBE054000 \SystemRoot\System32\ati2cqag.dll 0xBE093000 \SystemRoot\System32\atikvmag.dll 0xBE0C9000 \SystemRoot\System32\ati3duag.dll 0xBE345000 \SystemRoot\System32\ativvaxx.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xA55B4000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA554E000 \SystemRoot\system32\DRIVERS\irda.sys 0xA55D9000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA52F1000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xA51FD000 \??\C:\WINDOWS\system32\drivers\acedrv11.sys 0xA50CC000 \SystemRoot\System32\Drivers\HTTP.sys 0xA4F11000 \SystemRoot\system32\DRIVERS\srv.sys 0xA4EFC000 \SystemRoot\system32\drivers\wdmaud.sys 0xA5165000 \SystemRoot\system32\drivers\sysaudio.sys 0xF7A82000 \SystemRoot\system32\drivers\MSPQM.sys 0xA48A7000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xA4385000 \??\C:\Acer\Empowering Technology\eRecovery\int15.sys 0xA7739000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xA4342000 \??\C:\DOKUME~1\BUTTER~2\LOKALE~1\Temp\agpcifoc.sys 0xA4317000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 39): 0 System Idle Process 4 System 668 C:\WINDOWS\system32\smss.exe 768 csrss.exe 796 C:\WINDOWS\system32\winlogon.exe 840 C:\WINDOWS\system32\services.exe 852 C:\WINDOWS\system32\lsass.exe 1044 C:\WINDOWS\system32\ati2evxx.exe 1060 C:\WINDOWS\system32\svchost.exe 1120 svchost.exe 1220 C:\WINDOWS\system32\svchost.exe 1344 svchost.exe 1420 svchost.exe 1660 C:\WINDOWS\system32\spoolsv.exe 1700 C:\Programme\Avira\AntiVir Desktop\sched.exe 1780 svchost.exe 1852 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1868 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1884 C:\Programme\Bonjour\mDNSResponder.exe 1924 C:\WINDOWS\ehome\ehrecvr.exe 1984 C:\WINDOWS\ehome\ehSched.exe 340 C:\Programme\Java\jre6\bin\jqs.exe 400 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 696 svchost.exe 988 C:\WINDOWS\system32\svchost.exe 292 C:\WINDOWS\system32\ati2evxx.exe 752 mcrdsvc.exe 1180 C:\WINDOWS\explorer.exe 2728 C:\WINDOWS\ehome\ehtray.exe 2744 C:\WINDOWS\soundman.exe 2816 C:\WINDOWS\ehome\ehmsas.exe 2836 C:\Acer\Empowering Technology\eRecovery\Monitor.exe 2844 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 2864 C:\Programme\Real\RealPlayer\Update\realsched.exe 3336 C:\WINDOWS\system32\dllhost.exe 3468 C:\WINDOWS\system32\wbem\wmiapsrv.exe 3580 alg.exe 3492 C:\Programme\Mozilla Firefox\firefox.exe 2940 C:\Dokumente und Einstellungen\ButterkeksJohnny\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000025`cf4cbe00 (FAT32) PhysicalDrive0 Model Number: WDCWD3200JD-00KLB0, Rev: 08.05J08 Size Device Name MBR Status -------------------------------------------- 298 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Done! |
04.02.2011, 20:27 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten Hast Du noch andere Betriebssystem außer WinXP drauf? Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
05.02.2011, 18:08 | #12 |
| Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten Erstmal sorry, dass die Antwort so lang auf sich warten ließ. Ja, ich hab nur XP drauf, daher hier das Log. Bootkit Remover (c) 2009 eSage Lab eSage Lab - Digital security research and consulting - Main Program version: 1.2.0.0 OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00 Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd Size Device Name MBR Status -------------------------------------------- 298 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found) Done; Press any key to quit... Übrigens scheint inzwischen symptomatisch alles ok zu sein. |
05.02.2011, 18:10 | #13 |
| Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten sorry, hatte den Beitrag zwei Mal hochgestellt... Geändert von Pentalong (05.02.2011 um 18:21 Uhr) |
06.02.2011, 18:31 | #14 |
| Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten Antivir hat grad noch einen Trojaner gefunden: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 6. Februar 2011 18:18 Es wird nach 2456743 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ACER-21FDDD6C59 Versionsinformationen: BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 12.12.2010 20:20:25 AVSCAN.DLL : 10.0.3.0 56168 Bytes 12.05.2010 09:42:06 LUKE.DLL : 10.0.3.2 104296 Bytes 12.12.2010 20:20:26 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:10:13 VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 22:10:13 VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 22:10:13 VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 22:10:13 VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 22:10:13 VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 22:10:13 VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 22:10:13 VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 22:10:14 VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 22:10:14 VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 22:10:14 VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 22:10:14 VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 22:10:14 VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 19:01:53 VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 19:01:53 VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 19:01:53 VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 19:01:53 VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 10:47:52 VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 19:46:13 VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 15:52:28 VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 15:27:12 VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 10:30:04 VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 10:30:05 VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 14:29:34 VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 14:29:44 VBASE025.VDF : 7.11.1.189 451072 Bytes 20.01.2011 14:29:53 VBASE026.VDF : 7.11.1.230 138752 Bytes 24.01.2011 17:29:57 VBASE027.VDF : 7.11.2.12 164352 Bytes 27.01.2011 12:51:14 VBASE028.VDF : 7.11.2.43 178176 Bytes 01.02.2011 13:00:53 VBASE029.VDF : 7.11.2.78 206336 Bytes 04.02.2011 16:34:57 VBASE030.VDF : 7.11.2.79 2048 Bytes 04.02.2011 16:34:57 VBASE031.VDF : 7.11.2.80 2048 Bytes 04.02.2011 16:34:57 Engineversion : 8.2.4.162 AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 08:34:57 AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 31.01.2011 12:51:23 AESCN.DLL : 8.1.7.2 127349 Bytes 28.11.2010 09:47:03 AESBX.DLL : 8.1.3.2 254324 Bytes 28.11.2010 09:47:04 AERDL.DLL : 8.1.9.2 635252 Bytes 24.09.2010 11:42:00 AEPACK.DLL : 8.2.4.9 512374 Bytes 31.01.2011 12:51:21 AEOFFICE.DLL : 8.1.1.16 205179 Bytes 31.01.2011 12:51:20 AEHEUR.DLL : 8.1.2.73 3207541 Bytes 04.02.2011 15:51:43 AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 15:51:40 AEGEN.DLL : 8.1.5.2 397683 Bytes 20.01.2011 14:30:09 AEEMU.DLL : 8.1.3.0 393589 Bytes 28.11.2010 09:47:01 AECORE.DLL : 8.1.19.2 196983 Bytes 20.01.2011 14:29:59 AEBB.DLL : 8.1.1.0 53618 Bytes 12.05.2010 09:42:06 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 02.11.2010 11:10:13 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 12.12.2010 20:20:25 AVARKT.DLL : 10.0.22.6 231784 Bytes 12.12.2010 20:20:25 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.11.2010 11:10:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_c5168802\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Beginn des Suchlaufs: Sonntag, 6. Februar 2011 18:18 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP396\A0099376.sys' C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP396\A0099376.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen3 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f3e794d.qua' verschoben! Ende des Suchlaufs: Sonntag, 6. Februar 2011 18:18 Benötigte Zeit: 00:14 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 37 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 36 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. |
06.02.2011, 21:03 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten Sry ich meinte natürlich MBRCheck und nicht den BootKit Remover (hab noch einen alten Textbaustein, den ich mal aktualisieren muss ) Deaktiviere auch die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten |
aktiv, automatisch, beendet, firefox, firewall, fix, folge, internet, log, malwarebytes, neue, neustart, nicht mehr, probleme, programm, rechner, seite, seiten, startet, startet nicht, warnmeldung, websites, win, youtube, öffnet |