|
Log-Analyse und Auswertung: Problem: zxo.exe, Falsche Weiterverlinkung auf google-ErgebnisseWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.08.2011, 09:02 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
04.08.2011, 10:36 | #17 |
| Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse Ok, ich habe mir Combofix runtergeladen, und ausgeführt. Vorher hatte ich bei Avira Antivir den Guard deaktiviert, das hat aber anscheinend nicht gereicht. Combofix hat mich gewarnt, dass Antivir ausgeführt wird und das den Scan stören kann. Da ich das nicht riskieren wollte, habe ich versucht Antivir 10 zu deaktivieren, das ging aber einfach nicht. Auf den Prozess und den Dienst hatte ich keinen Zugriff (und ich bin Administrator, musste beim Starten der Dienste das auch bestätigen). Deshalb habe ich Antivir deinstalliert, Combofix abgebrochen und neu gestartet. Jetzt beschwert sich Combofix allerdings immernoch, dass Antivir aktiv ist. Wie kann das gehen? Weder der Prozess noch der Dienst sind gestartet. Googlen half mir auch nicht weiter.
__________________Weißt Du da Rat? |
04.08.2011, 10:44 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse Wenn AntiVir deinstalliert ist kannst du die Warnung von CF ignorieren
__________________
__________________ |
04.08.2011, 11:21 | #19 |
| Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse Ok, soweit so (nicht) gut. Ich habe CF gestartet, zweimal mit OK bestätigt, dass Antivir noch läuft (obwohl es ja nicht sein kann) und dann hat CF eine ganze Weile verschiedene Schritte ausgeführt und neu gestartet. Dann das LOG-File erstellt und das Fenster von CF hat sich geschlossen und das LOG geöffnet. Ein Update oder eine Wiederherstellungskonsole runterladen wurde nicht durchgeführt, da nicht vorgeschlagen. Jetzt sitze ich an einem anderen Rechner, da ich an meinem PC nix starten konnte, es kam immer die Fehlermedlung "Es wurde versucht einen Registrierungsschlüssel einem unzulässigem Vorgang zu unterziehen, der zum Löschen markiert wurde." Das kam bei Firefox, bei Internetexplorer, beim Öffnen einer TXT...Ich habe die Log-Datei von CF auf einen USB Stick kopiert, den ich bisher noch nicht an meinem infizierten PC hatte. Ich hoffe ich habe den jetzt nicht auch noch verseucht und vor allem nicht diesen PC hier, auf den ich die Datei nur kurz kopiert habe. Hier das LOG CF Code:
ATTFilter ComboFix 11-08-03.03 - Jana 04.08.2011 11:49:06.1.2 - x64 Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.3037.1708 [GMT 2:00] ausgeführt von:: c:\users\Jana\Desktop\ComboFix.exe AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Neuer Wiederherstellungspunkt wurde erstellt . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\program files (x86)\Burn4Free DB Toolbar\tbHElper.dll c:\program files (x86)\Hotspot Shield\HssIE\HsSIe.dll c:\programdata\hpe8981.dll c:\windows\IsUn0407.exe c:\windows\SysWow64\regobj.dll D:\install.exe . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Service_RkHit . . ((((((((((((((((((((((( Dateien erstellt von 2011-07-04 bis 2011-08-04 )))))))))))))))))))))))))))))) . . 2011-08-03 16:00 . 2011-08-04 09:44 44544 ----a-w- c:\windows\SysWow64\agremove.exe 2011-08-03 15:35 . 2011-08-03 15:35 -------- d-----w- C:\_OTL 2011-08-02 11:46 . 2011-08-02 11:46 -------- d-----w- c:\program files (x86)\ESET 2011-08-02 11:03 . 2011-08-04 09:26 17408 ----a-w- c:\windows\system32\rpcnetp.exe 2011-08-02 09:47 . 2011-08-02 09:47 -------- d-----w- c:\users\Jana\AppData\Roaming\Malwarebytes 2011-08-02 09:47 . 2011-07-06 17:52 41272 ----a-w- c:\windows\SysWow64\drivers\mbamswissarmy.sys 2011-08-02 09:47 . 2011-08-02 09:47 -------- d-----w- c:\programdata\Malwarebytes 2011-08-02 09:47 . 2011-07-06 17:52 25912 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-08-02 09:47 . 2011-08-02 09:47 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware 2011-07-31 14:47 . 2011-07-31 14:49 -------- d-----w- c:\program files (x86)\SoundTells 2011-07-30 11:00 . 2011-07-13 04:53 8578896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{A04BA405-6E8F-4876-94F6-357AD0FE050F}\mpengine.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-06-08 09:20 . 2011-05-29 14:04 207390 ----a-w- c:\users\Jana\AppData\Roaming\mdbu.bin 2011-05-28 03:30 . 2011-06-17 15:50 1638912 ----a-w- c:\windows\system32\mshtml.tlb 2011-05-28 03:06 . 2011-06-17 15:50 3135488 ----a-w- c:\windows\system32\win32k.sys 2011-05-28 02:53 . 2011-06-17 15:50 1638912 ----a-w- c:\windows\SysWow64\mshtml.tlb 2011-05-24 17:14 . 2010-05-31 15:17 270720 ------w- c:\windows\system32\MpSigStub.exe 2009-11-25 14:39 . 2009-11-25 14:39 9311688 ----a-w- c:\program files (x86)\Foxit Reader.exe . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"="c:\program files (x86)\ICQ7.2\ICQ.exe" [2010-11-19 133432] "Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2011-06-15 15141768] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "WinampAgent"="c:\program files (x86)\Winamp\winampa.exe" [2010-05-25 37888] "ATKOSD2"="c:\program files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe" [2010-02-04 7350912] "ATKMEDIA"="c:\program files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe" [2010-05-03 170624] "HControlUser"="c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe" [2009-06-19 105016] "DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584] "Bonus.SSR.FR10"="c:\program files (x86)\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" [2009-12-24 941320] "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888] "VirtualCloneDrive"="c:\program files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2011-03-07 89456] "Cisco AnyConnect Secure Mobility Agent for Windows"="c:\program files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" [2011-03-23 519632] "Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Adobe Gamma Loader.lnk - c:\program files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2011-1-17 110592] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv . R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-09 136176] R3 acsock;acsock;c:\windows\system32\DRIVERS\acsock64.sys [x] R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-09 136176] R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [x] R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184] R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [x] R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [x] R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [x] R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [x] R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [x] R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [x] R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [x] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x] R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x] S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x] S2 ABBYY.Licensing.FineReader.Professional.10.0;ABBYY FineReader 10 PE Licensing Service;c:\program files (x86)\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe [2009-12-22 814344] S2 ArcGIS License Manager;ArcGIS License Manager;c:\program files (x86)\ESRI\License\arcgis9x\lmgrd.exe [2008-08-02 1431440] S2 ASMMAP64;ASMMAP64;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys [2009-07-02 15416] S2 HssWd;Hotspot Shield Monitoring Service;c:\program files (x86)\Hotspot Shield\bin\hsswd.exe [2010-09-22 325168] S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640] S2 OMSI download service;Sony Ericsson OMSI download service;c:\program files (x86)\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [2009-04-30 90112] S2 vpnagent;Cisco AnyConnect Secure Mobility Agent;c:\program files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [2011-03-23 435152] S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [x] S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x] . . . --------- x86-64 ----------- . . [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] 2010-09-22 19:19 284208 ----a-w- c:\program files (x86)\Hotspot Shield\HssIE\HssIE_64.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "combofix"="c:\combofix\CF22846.cfxxe" [X] "ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-09-30 621440] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-11 162328] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-11 386584] "Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-11 417304] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "LoadAppInit_DLLs"=0x0 . ------- Zusätzlicher Suchlauf ------- . uLocal Page = c:\windows\system32\blank.htm mLocal Page = c:\windows\SysWOW64\blank.htm IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.0.1 TCP: Interfaces\{8F1F8E60-990C-4FD7-8432-9AFB51201DA8}: NameServer = 10.4.40.1 FF - ProfilePath - c:\users\Jana\AppData\Roaming\Mozilla\Firefox\Profiles\u4dvrdtw.default\ FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 . - - - - Entfernte verwaiste Registrierungseinträge - - - - . AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE . . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10e.exe,-101" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10e.exe" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}] @Denied: (A 2) (Everyone) @="IFlashBroker3" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}] @Denied: (A) (Everyone) "Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3] @Denied: (A) (Everyone) . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0] "Key"="ActionsPane3" "Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd" . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Weitere laufende Prozesse ------------------------ . c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe c:\program files (x86)\Hotspot Shield\bin\openvpnas.exe c:\program files (x86)\Hotspot Shield\HssWPR\hsssrv.exe c:\program files (x86)\ESRI\License\arcgis9x\ARCGIS.exe c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ATKOSD.exe c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\WDC.exe c:\program files (x86)\Hotspot Shield\bin\openvpntray.exe . ************************************************************************** . Zeit der Fertigstellung: 2011-08-04 12:06:32 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2011-08-04 10:06 . Vor Suchlauf: 9.370.525.696 Bytes frei Nach Suchlauf: 9.113.448.448 Bytes frei . - - End Of File - - B7EB6430F0B26A2B8514E2EED6AFEF2E |
04.08.2011, 12:56 | #20 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter File:: c:\windows\system32\DRIVERS\acsock64.sys c:\windows\SysWow64\agremove.exe Driver:: acsock 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
04.08.2011, 19:37 | #21 |
| Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse ok, hier das log Code:
ATTFilter ComboFix 11-08-03.03 - Jana 04.08.2011 20:17:07.2.2 - x64 Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.3037.1982 [GMT 2:00] ausgeführt von:: c:\users\Jana\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\users\Jana\Desktop\CFScript.txt SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . FILE :: "c:\windows\system32\DRIVERS\acsock64.sys" "c:\windows\SysWow64\agremove.exe" . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\windows\system32\DRIVERS\acsock64.sys c:\windows\SysWow64\agremove.exe . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Legacy_ACSOCK -------\Service_acsock . . ((((((((((((((((((((((( Dateien erstellt von 2011-07-04 bis 2011-08-04 )))))))))))))))))))))))))))))) . . 2011-08-03 15:35 . 2011-08-03 15:35 -------- d-----w- C:\_OTL 2011-08-02 11:46 . 2011-08-02 11:46 -------- d-----w- c:\program files (x86)\ESET 2011-08-02 11:03 . 2011-08-04 18:02 17408 ----a-w- c:\windows\system32\rpcnetp.exe 2011-08-02 09:47 . 2011-08-02 09:47 -------- d-----w- c:\users\Jana\AppData\Roaming\Malwarebytes 2011-08-02 09:47 . 2011-07-06 17:52 41272 ----a-w- c:\windows\SysWow64\drivers\mbamswissarmy.sys 2011-08-02 09:47 . 2011-08-02 09:47 -------- d-----w- c:\programdata\Malwarebytes 2011-08-02 09:47 . 2011-07-06 17:52 25912 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-08-02 09:47 . 2011-08-02 09:47 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware 2011-07-31 14:47 . 2011-07-31 14:49 -------- d-----w- c:\program files (x86)\SoundTells 2011-07-30 11:00 . 2011-07-13 04:53 8578896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{A04BA405-6E8F-4876-94F6-357AD0FE050F}\mpengine.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-06-08 09:20 . 2011-05-29 14:04 207390 ----a-w- c:\users\Jana\AppData\Roaming\mdbu.bin 2011-05-28 03:30 . 2011-06-17 15:50 1638912 ----a-w- c:\windows\system32\mshtml.tlb 2011-05-28 03:06 . 2011-06-17 15:50 3135488 ----a-w- c:\windows\system32\win32k.sys 2011-05-28 02:53 . 2011-06-17 15:50 1638912 ----a-w- c:\windows\SysWow64\mshtml.tlb 2011-05-24 17:14 . 2010-05-31 15:17 270720 ------w- c:\windows\system32\MpSigStub.exe 2009-11-25 14:39 . 2009-11-25 14:39 9311688 ----a-w- c:\program files (x86)\Foxit Reader.exe . . ((((((((((((((((((((((((((((( SnapShot@2011-08-04_10.01.56 ))))))))))))))))))))))))))))))))))))))))) . - 2009-07-14 04:54 . 2011-08-04 09:58 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2009-07-14 04:54 . 2011-08-04 18:23 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat - 2009-07-14 04:54 . 2011-08-04 09:58 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat + 2009-07-14 04:54 . 2011-08-04 18:23 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat - 2009-07-14 04:54 . 2011-08-04 09:58 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2009-07-14 04:54 . 2011-08-04 18:23 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2010-05-31 15:41 . 2011-08-04 18:06 48206 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin + 2009-07-14 05:10 . 2011-08-04 18:06 37652 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin - 2009-07-14 05:10 . 2011-08-04 09:28 37652 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin + 2010-05-31 15:33 . 2011-08-04 18:06 12522 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4291238444-2189387340-824353431-1001_UserData.bin - 2010-05-31 20:57 . 2011-08-04 10:00 16384 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2010-05-31 20:57 . 2011-08-04 18:23 16384 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2010-05-31 20:57 . 2011-08-04 18:23 32768 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat - 2010-05-31 20:57 . 2011-08-04 10:00 32768 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat + 2009-07-14 04:54 . 2011-08-04 18:23 16384 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat - 2009-07-14 04:54 . 2011-08-04 10:00 16384 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat - 2010-05-31 15:05 . 2011-08-04 10:00 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2010-05-31 15:05 . 2011-08-04 18:26 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2010-05-31 15:05 . 2011-08-04 18:26 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat - 2010-05-31 15:05 . 2011-08-04 10:00 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat + 2010-05-31 15:05 . 2011-08-04 18:26 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat - 2010-05-31 15:05 . 2011-08-04 10:00 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2010-05-31 15:05 . 2011-08-04 18:26 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat - 2010-05-31 15:05 . 2011-08-04 10:00 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat - 2010-05-31 15:05 . 2011-08-04 10:00 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2010-05-31 15:05 . 2011-08-04 18:26 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2010-07-03 21:26 . 2011-08-04 10:23 3032 c:\windows\system32\wdi\ERCQueuedResolutions.dat - 2011-08-04 09:57 . 2011-08-04 09:57 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat + 2011-08-04 18:23 . 2011-08-04 18:23 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat + 2011-08-04 18:23 . 2011-08-04 18:23 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - 2011-08-04 09:57 . 2011-08-04 09:57 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - 2009-07-14 05:12 . 2011-08-04 10:00 262144 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat + 2009-07-14 05:12 . 2011-08-04 18:05 262144 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat - 2009-07-14 05:01 . 2011-08-04 09:57 358072 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat + 2009-07-14 05:01 . 2011-08-04 18:22 358072 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat - 2010-05-31 22:09 . 2011-08-04 09:57 2763164 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-4291238444-2189387340-824353431-1001-8192.dat + 2010-05-31 22:09 . 2011-08-04 18:22 2763164 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-4291238444-2189387340-824353431-1001-8192.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"="c:\program files (x86)\ICQ7.2\ICQ.exe" [2010-11-19 133432] "Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2011-06-15 15141768] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "WinampAgent"="c:\program files (x86)\Winamp\winampa.exe" [2010-05-25 37888] "ATKOSD2"="c:\program files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe" [2010-02-04 7350912] "ATKMEDIA"="c:\program files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe" [2010-05-03 170624] "HControlUser"="c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe" [2009-06-19 105016] "DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584] "Bonus.SSR.FR10"="c:\program files (x86)\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" [2009-12-24 941320] "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888] "VirtualCloneDrive"="c:\program files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2011-03-07 89456] "Cisco AnyConnect Secure Mobility Agent for Windows"="c:\program files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" [2011-03-23 519632] "Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Adobe Gamma Loader.lnk - c:\program files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2011-1-17 110592] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv . R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-09 136176] R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-09 136176] R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [x] R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184] R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [x] R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [x] R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [x] R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [x] R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [x] R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [x] R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [x] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x] R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x] S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x] S2 ABBYY.Licensing.FineReader.Professional.10.0;ABBYY FineReader 10 PE Licensing Service;c:\program files (x86)\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe [2009-12-22 814344] S2 ArcGIS License Manager;ArcGIS License Manager;c:\program files (x86)\ESRI\License\arcgis9x\lmgrd.exe [2008-08-02 1431440] S2 ASMMAP64;ASMMAP64;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys [2009-07-02 15416] S2 HssWd;Hotspot Shield Monitoring Service;c:\program files (x86)\Hotspot Shield\bin\hsswd.exe [2010-09-22 325168] S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640] S2 OMSI download service;Sony Ericsson OMSI download service;c:\program files (x86)\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [2009-04-30 90112] S2 vpnagent;Cisco AnyConnect Secure Mobility Agent;c:\program files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [2011-03-23 435152] S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [x] S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x] . . . --------- x86-64 ----------- . . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "combofix"="c:\combofix\CF24285.cfxxe" [X] "ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-09-30 621440] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-11 162328] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-11 386584] "Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-11 417304] . ------- Zusätzlicher Suchlauf ------- . uLocal Page = c:\windows\system32\blank.htm mLocal Page = c:\windows\SysWOW64\blank.htm IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.0.1 TCP: Interfaces\{8F1F8E60-990C-4FD7-8432-9AFB51201DA8}: NameServer = 10.4.40.1 FF - ProfilePath - c:\users\Jana\AppData\Roaming\Mozilla\Firefox\Profiles\u4dvrdtw.default\ FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10e.exe,-101" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10e.exe" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}] @Denied: (A 2) (Everyone) @="IFlashBroker3" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}] @Denied: (A) (Everyone) "Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3] @Denied: (A) (Everyone) . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0] "Key"="ActionsPane3" "Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd" . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Weitere laufende Prozesse ------------------------ . c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe c:\program files (x86)\Hotspot Shield\bin\openvpnas.exe c:\program files (x86)\Hotspot Shield\HssWPR\hsssrv.exe c:\program files (x86)\ESRI\License\arcgis9x\ARCGIS.exe c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ATKOSD.exe c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\WDC.exe c:\program files (x86)\Hotspot Shield\bin\openvpntray.exe . ************************************************************************** . Zeit der Fertigstellung: 2011-08-04 20:30:57 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2011-08-04 18:30 ComboFix2.txt 2011-08-04 10:06 . Vor Suchlauf: 9.202.634.752 Bytes frei Nach Suchlauf: 9.584.529.408 Bytes frei . - - End Of File - - CB1492004F2270B51295726549612CF8 ich hoffe das hat geholfen. danke mal wieder |
04.08.2011, 19:51 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
04.08.2011, 20:11 | #23 |
| Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse ok, hier das log von aswMBR Code:
ATTFilter aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software Run date: 2011-08-04 20:57:39 ----------------------------- 20:57:39.822 OS Version: Windows x64 6.1.7601 Service Pack 1 20:57:39.822 Number of processors: 2 586 0x170A 20:57:39.824 ComputerName: JANA-LAPTOP UserName: Jana 20:57:40.464 Initialize success 20:58:19.606 AVAST engine defs: 11080400 20:58:31.341 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 20:58:31.345 Disk 0 Vendor: ST9320325AS 0002SDM1 Size: 305245MB BusType: 11 20:58:33.374 Disk 0 MBR read successfully 20:58:33.378 Disk 0 MBR scan 20:58:33.384 Disk 0 Windows 7 default MBR code 20:58:33.389 Service scanning 20:58:34.912 Modules scanning 20:58:34.916 Disk 0 trace - called modules: 20:58:34.970 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 20:58:34.975 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80033ef740] 20:58:34.981 3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> [0xfffffa8002dac610] 20:58:34.986 5 ACPI.sys[fffff88000f8a7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa8002e93060] 20:58:36.059 AVAST engine scan C:\Windows 20:58:38.825 AVAST engine scan C:\Windows\system32 21:00:46.207 AVAST engine scan C:\Windows\system32\drivers 21:00:59.666 AVAST engine scan C:\Users\Jana 21:05:21.921 AVAST engine scan C:\ProgramData 21:07:15.266 Scan finished successfully 21:09:54.058 Disk 0 MBR has been saved successfully to "C:\Users\Jana\Desktop\MBR.dat" 21:09:54.064 The log file has been saved successfully to "C:\Users\Jana\Desktop\aswMBR.txt" |
04.08.2011, 20:32 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
04.08.2011, 20:34 | #25 |
| Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse Alles klar, werde ich machen. Könnte etwas dauern, vielleicht antworte ich erst morgen wieder. Danke schonmal bis hierher |
05.08.2011, 21:50 | #26 |
| Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse Hier erstmal das Log von Malwarebytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7387 Windows 6.1.7601 Service Pack 1 Internet Explorer 8.0.7601.17514 05.08.2011 19:11:31 mbam-log-2011-08-05 (19-11-31).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 385021 Laufzeit: 36 Minute(n), 8 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter 18:24:38 Jana MESSAGE Protection started successfully 18:24:44 Jana MESSAGE IP Protection started successfully 18:30:09 Jana MESSAGE IP Protection stopped 18:30:11 Jana MESSAGE Database updated successfully 18:30:13 Jana MESSAGE IP Protection started successfully Leider konnte ich den Scan nicht zu Ende führen. Nach ca. 50 min erschien ein Fenster, das mich (eigentlich optional) dazu auffordert meine email-Adresse einzugeben. Dort soll man dann eine Rückmeldung über den Scan bekommen. Ich habe auf abbrechen geklickt und dabei stürzt das Programm dann vollständig ab. Ich hatte im Hintergrund Malwarebytes laufen, kann das daran liegen? Während des Scans hat SUPERAntiSpyware viele (über 100) Funde wegen irgendwelchen Tracking Cookies gefunden und auch noch Browser Hijacker. Das heißt, da muss was sein, aber wie komme ich an einen vollständigen Scan? Ich hatte zweimal versucht zu scannen. Unter "View Scan Logs" sind leider keine Logs vorhanden, also auch nicht bis zu dem Zeitpunkt des Abstürzens. Ich habe auch während des Scans nichts am Laptop gemacht. Den Online-Scan schaffe ich heute nicht mehr, ich werde morgen wieder online sein. |
06.08.2011, 11:38 | #27 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse Hat SUPERAntiSpyware nur Cookies gefudnen oder noch was anderes? Tracking-Cookies sind nur "Müll" aber sonst nicht weiter schlimm Tipp mit der E-Mail-Adresse: Um nicht vollgespammt zu werden, kannst du Wegwerfadressen verwenden, zB über trash-mail.com oder Spamgourmet. So bekommste du zwar die ein oder andere Mail musst dafür aber eine echte/wichtige Mailadresse nicht potentiellen Spammern verraten. (wobei ich jetzt nicht damit sagen will, dass im SUPERAntiSpyware Team Spammer sind )
__________________ Logfiles bitte immer in CODE-Tags posten |
07.08.2011, 17:22 | #28 |
| Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse Ich habe eben nochmal probiert mit SUPERAntiSpyware zu scannen, es ist diesmal von alleine, ohne dass ich etwas angeklickt hätte, abgestürzt. Neben den Tracking cookies gab es nach ca. 1 std scannen 4 einträge bei Browser Hijacker.Deskbar. das fing an mit "(x86)HKCR\Interface{und hier verschiedenste zahlen und buchstaben, das konnte ich eben nicht alles abschreiben}". Ich scanne jetzt nochmal mit diesem Online-Scanner. Die Dateien rpcnetp.exe unter C:\Windows\System32 und agremove.exe unter C:\Windows\SysWOW64 sind übrigens immernoch da. Änderungsdatum stimmt mit letztem PC Start überein. Bis später |
07.08.2011, 19:54 | #29 |
| Problem: zxo.exe, Falsche Weiterverlinkung auf google-ErgebnisseCode:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=d81e600ae45fc247aca231b80ad664d7 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-08-07 06:20:03 # local_time=2011-08-07 08:20:03 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=5893 16776574 100 94 710629 64364123 0 0 # compatibility_mode=8192 67108863 100 0 448664 448664 0 0 # scanned=202927 # found=4 # cleaned=0 # scan_time=6930 C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe a variant of Win32/HotSpotShield application (unable to clean) 00000000000000000000000000000000 I C:\Users\Jana\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\24ddd997-6c16c119 Java/TrojanDownloader.Agent.NBN trojan (unable to clean) 00000000000000000000000000000000 I C:\Users\Jana\Downloads\HSS-1.52-install-anchorfree-238-conduit2.exe a variant of Win32/HotSpotShield application (unable to clean) 00000000000000000000000000000000 I C:\Users\Jana\Downloads\PCSafeDoctor_Setup.exe multiple threats (unable to clean) 00000000000000000000000000000000 I |
08.08.2011, 11:27 | #30 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Problem: zxo.exe, Falsche Weiterverlinkung auf google-ErgebnisseZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse |
adblock, alternate, antivir, autorun, backdoor, backdoor trojaner, c:\windows\system32\rundll32.exe, calculator, computer, desktop, document, error, explorer, google earth, hijack.zones, hotspot, hotspot shield, langs, logfile, mozilla thunderbird, nicht sicher, plug-in, prozess, registry, software, start menu, trojan.downloader, trojan.fraudpack, trojaner, webcheck, winlogon.exe |