| |
| |||||||
Log-Analyse und Auswertung: Problem mit ihavenet google-Umleitung im FirefoxWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
17.12.2012, 20:52
| #1 |
| |  Problem mit ihavenet google-Umleitung im Firefox Hallo liebes Trojaner-Board! Nach einer Recherche hier im Board scheint das Problem immer individuell zu variieren und es wurde drum gebeten, für jedes individuelle Probleme einen Thread zu öffnen. Dann wollen wir mal. Ich habe das Problem, daß nach jedem Firefox-Neustart die ersten drei Klicks auf google-Suchergebnisse zu ihavenet.com oder anderen fragwürdigen Seiten führen. - Defogger ausgeführt - OTL gestartet, Resultat: (gab nur OTL.Txt, keine EXTRAS.txt) Code:
ATTFilter OTL logfile created on: 16.12.2012 21:33:22 - Run 2 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\meikek\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,40 Gb Available Physical Memory | 69,94% Memory free 3,85 Gb Paging File | 3,26 Gb Available in Paging File | 84,68% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 19,53 Gb Total Space | 3,21 Gb Free Space | 16,45% Space Free | Partition Type: NTFS Drive E: | 213,34 Gb Total Space | 154,73 Gb Free Space | 72,53% Space Free | Partition Type: NTFS Computer Name: KLAUS | User Name: meikek | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.12.16 21:32:51 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\meikek\Desktop\OTL.exe PRC - [2012.12.13 05:44:09 | 000,916,960 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe PRC - [2012.11.13 14:08:12 | 003,487,240 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe PRC - [2012.11.13 14:07:20 | 001,369,624 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe PRC - [2012.11.13 14:07:16 | 001,103,392 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe PRC - [2012.07.31 09:51:25 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.05.14 20:56:53 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.14 20:56:52 | 000,619,472 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe PRC - [2012.05.14 20:56:52 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe PRC - [2012.05.14 20:56:52 | 000,375,760 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe PRC - [2012.05.14 20:56:52 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.14 20:56:52 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2012.02.26 23:15:42 | 000,055,144 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2008.09.15 18:27:30 | 000,554,264 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== MOD - [2012.12.13 05:44:08 | 002,397,152 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll MOD - [2012.11.13 14:06:32 | 000,158,624 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\snlFileFormats150.bpl MOD - [2012.11.13 14:06:30 | 000,108,960 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\snlThirdParty150.bpl MOD - [2012.11.13 14:06:28 | 000,554,400 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\VirtualTreesDXE150.bpl MOD - [2012.11.13 14:06:28 | 000,528,288 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\JSDialogPack150.bpl MOD - [2012.11.13 14:06:28 | 000,416,160 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\DEC150.bpl MOD - [2012.08.23 09:38:24 | 000,574,840 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\sqlite3.dll MOD - [2012.05.14 20:56:54 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2011.10.13 17:19:07 | 000,447,848 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\libxml2.dll MOD - [2011.10.13 17:19:05 | 000,060,264 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\cares.dll MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU MOD - [2007.04.12 16:44:00 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\nvshell.dll MOD - [2003.01.16 23:16:20 | 000,118,784 | ---- | M] () -- E:\Programme\WinRAR\RarExt.dll ========== Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- C:\Programme\Spybot -- (SDWSCService) SRV - File not found [Auto | Running] -- C:\Programme\Spybot -- (SDUpdateService) SRV - File not found [Auto | Running] -- C:\Programme\Spybot -- (SDScannerService) SRV - [2012.12.15 22:30:51 | 000,250,808 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012.12.13 05:44:08 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.05.14 20:56:53 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.14 20:56:52 | 000,619,472 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe -- (AntiVirFirewallService) SRV - [2012.05.14 20:56:52 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe -- (AntiVirWebService) SRV - [2012.05.14 20:56:52 | 000,375,760 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService) SRV - [2012.05.14 20:56:52 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.03.28 12:55:44 | 000,720,936 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer) SRV - [2012.02.26 23:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2010.01.15 13:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService) SRV - [2008.10.24 15:35:44 | 000,128,296 | ---- | M] () [Auto | Stopped] -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe -- (AAV UpdateService) SRV - [2008.09.15 18:27:30 | 000,554,264 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc) SRV - [2005.03.04 10:50:00 | 000,118,784 | ---- | M] (AVM Berlin) [Auto | Stopped] -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- (AVM IGD CTRL Service) SRV - [2005.03.04 10:42:08 | 000,315,392 | ---- | M] (AVM Berlin) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe -- (de_serv) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750obex.sys -- (k750obex) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mgmt.sys -- (k750mgmt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mdm.sys -- (k750mdm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mdfl.sys -- (k750mdfl) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750bus.sys -- (k750bus) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2012.11.13 09:37:31 | 000,112,584 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avfwot.sys -- (avfwot) DRV - [2012.11.13 09:37:31 | 000,092,008 | ---- | M] (Avira GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avfwim.sys -- (avfwim) DRV - [2012.05.14 20:56:54 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.05.14 20:56:54 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.03.28 12:56:00 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd) DRV - [2012.01.09 16:28:20 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd) DRV - [2011.10.11 12:31:50 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2011.10.11 12:31:49 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2010.01.10 01:28:31 | 000,950,848 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\tdrpm124.sys -- (tdrpman124) DRV - [2010.01.10 01:28:21 | 000,539,104 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter) DRV - [2010.01.10 01:28:21 | 000,044,704 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter) DRV - [2010.01.10 01:27:58 | 000,134,272 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\snman378.sys -- (snapman378) DRV - [2008.09.03 19:12:40 | 001,516,672 | R--- | M] (C-Media Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cmudax3.sys -- (cmuda3) DRV - [2007.05.10 11:28:08 | 004,419,584 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) DRV - [2007.04.14 09:28:00 | 000,094,592 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKLM\..\SearchScopes,DefaultScope = IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ebay.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 86 FF 03 BE F5 CA CD 01 [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\..\SearchScopes,DefaultScope = {29441196-4B8F-4650-BA24-7C5F1B192ABA} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKCU\..\SearchScopes\{29441196-4B8F-4650-BA24-7C5F1B192ABA}: "URL" = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE - HKCU\..\SearchScopes\{72FAD570-721A-47EB-A4BB-F6FEF6627A3D}: "URL" = IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.defaulturl: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=" FF - prefs.js..browser.search.param.yahoo-fr: "moz2-ytff-" FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "moz2-ytff-" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "hxxp://www.ebay.de" FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.91 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.3.20100310105313 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}:6.0.37 FF - prefs.js..keyword.URL: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=" FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: E:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_37: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.91: C:\Programme\NOS\bin\np_gp.dll (NOS Microsystems Ltd.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.12.13 05:44:10 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.12.07 19:46:24 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\{857610fe-b36c-47f2-b4fa-6b7affe0cf5a}: C:\Programme\Mobile Master\ext\1\ [2012.11.25 11:31:57 | 000,000,000 | ---D | M] [2010.01.16 21:05:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\Mozilla\Extensions [2012.12.09 09:01:08 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\Mozilla\Firefox\Profiles\le3w3ys1.default\extensions [2012.02.12 22:33:48 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\Mozilla\Firefox\Profiles\le3w3ys1.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2012.12.09 09:01:08 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\Mozilla\Firefox\Profiles\le3w3ys1.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2012.12.07 19:46:13 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\Mozilla\Firefox\Profiles\le3w3ys1.default\extensions\nostmp [2012.12.07 16:20:23 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.10.26 11:09:56 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} [2012.12.13 05:44:10 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.12.13 05:44:04 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.12.13 05:44:04 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.12.13 05:44:04 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.12.13 05:44:04 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.12.13 05:44:04 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.12.13 05:44:04 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml ========== Chrome ========== CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}sourceid=chrome&ie={inputEncoding}&q={searchTerms} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?client=chrome&hl={language}&q={searchTerms} CHR - homepage: hxxp://www.google.com CHR - plugin: Shockwave Flash (Enabled) = C:\Programme\Google\Chrome\Application\11.0.696.68\gcswf32.dll CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll CHR - plugin: Java Deployment Toolkit 6.0.220.4 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npdeployJava1.dll CHR - plugin: Java(TM) Platform SE 6 U22 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll CHR - plugin: Adobe Acrobat (Disabled) = C:\Programme\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Programme\Google\Chrome\Application\11.0.696.68\pdf.dll CHR - plugin: Chrome NaCl (Disabled) = C:\Programme\Google\Chrome\Application\11.0.696.68\ppGoogleNaClPluginChrome.dll CHR - plugin: Google Gears 0.5.33.0 (Enabled) = C:\Programme\Google\Chrome\Application\11.0.696.68\gears.dll CHR - plugin: getPlusPlus for Adobe 162103 (Enabled) = C:\Programme\Mozilla Firefox\plugins\np_gp.dll CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll CHR - plugin: Windows Presentation Foundation (Enabled) = C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll CHR - plugin: Default Plug-in (Enabled) = default_plugin O1 HOSTS File: ([2012.12.16 20:48:19 | 000,444,820 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 15277 more lines... O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll File not found O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH) O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH) O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH) O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll File not found O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis) O4 - HKLM..\Run: [AcronisTimounterMonitor] E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [MMTray] C:\WINDOWS\System32\MMTray.exe (Morgan Multimedia) O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [SDTray] C:\Programme\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [TrueImageMonitor.exe] E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis) O4 - HKLM..\Run: [ZoneAlarm Installer] "C:\Programme\CheckPoint\Install\Launcher.exe" "C:\Programme\CheckPoint\Install\Install.exe" /r /c "C:\Programme\CheckPoint\Install\Install.xml" File not found O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1353789926421 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-31-0.cab (EPUImageControl Class) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7CAF7292-DCA2-407D-847E-A90642DDB0FA}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) - File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\meikek\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\meikek\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.09.05 19:59:01 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.12.16 21:32:51 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\meikek\Desktop\OTL.exe [2012.12.16 20:55:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\Malwarebytes [2012.12.16 20:55:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.12.15 22:24:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy [2012.12.15 22:24:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy 2 [2012.12.15 22:23:48 | 000,015,224 | ---- | C] (Safer Networking Limited) -- C:\WINDOWS\System32\sdnclean.exe [2012.12.15 22:23:40 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy 2 [2012.12.15 22:00:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERUNT [2012.12.15 22:00:44 | 000,000,000 | ---D | C] -- C:\JRT [2012.12.15 22:00:27 | 000,497,945 | ---- | C] (Oleg N. Scherbakov) -- C:\Dokumente und Einstellungen\meikek\Desktop\JRT.exe [2012.12.15 21:23:29 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2012.12.13 12:13:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\meikek\Eigene Dateien\MeineBackups [2012.12.13 12:12:23 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF [2012.12.07 19:46:22 | 000,000,000 | ---D | C] -- C:\Programme\NOS [2012.12.07 16:20:25 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service [2012.12.07 16:20:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla [2012.11.25 11:07:40 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8 [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [11 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.12.16 21:35:20 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\meikek\Desktop\dvx51t3y.exe [2012.12.16 21:32:51 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\meikek\Desktop\OTL.exe [2012.12.16 21:32:22 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\meikek\defogger_reenable [2012.12.16 21:30:15 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012.12.16 21:21:50 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.12.16 21:20:56 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012.12.16 21:20:47 | 000,000,612 | ---- | M] () -- C:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job [2012.12.16 21:20:38 | 000,000,310 | ---- | M] () -- C:\WINDOWS\tasks\vrvoso.job [2012.12.16 21:20:36 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.12.16 20:48:19 | 000,444,820 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2012.12.15 23:20:32 | 000,000,082 | ---- | M] () -- C:\WINDOWS\wininit.ini [2012.12.15 22:56:01 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012.12.15 22:24:16 | 000,000,608 | ---- | M] () -- C:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job [2012.12.15 22:24:16 | 000,000,438 | ---- | M] () -- C:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job [2012.12.15 22:24:03 | 000,001,806 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk [2012.12.15 22:00:29 | 000,497,945 | ---- | M] (Oleg N. Scherbakov) -- C:\Dokumente und Einstellungen\meikek\Desktop\JRT.exe [2012.12.15 21:50:43 | 000,545,819 | ---- | M] () -- C:\Dokumente und Einstellungen\meikek\Desktop\adwcleaner.exe [2012.12.15 21:43:09 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2012.12.15 21:27:21 | 000,000,053 | ---- | M] () -- C:\biosinfo [2012.12.14 09:57:52 | 000,001,783 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk [2012.12.13 05:22:23 | 000,114,968 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.12.12 18:37:10 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.12.09 17:54:31 | 000,215,396 | ---- | M] () -- C:\Dokumente und Einstellungen\meikek\default.pls [2012.12.09 17:53:46 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2012.12.05 17:54:03 | 000,000,708 | ---- | M] () -- C:\WINDOWS\M3JPEG.INI [2012.11.25 11:31:58 | 000,000,813 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mobile Master.lnk [2012.11.25 11:24:25 | 000,000,789 | ---- | M] () -- C:\Dokumente und Einstellungen\meikek\Desktop\Internet Explorer (2).lnk [2012.11.21 09:45:02 | 000,126,976 | RHS- | M] () -- C:\WINDOWS\System32\rcimlbyb.dll [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [11 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.12.16 21:35:18 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\meikek\Desktop\dvx51t3y.exe [2012.12.16 21:32:22 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\meikek\defogger_reenable [2012.12.15 23:20:32 | 000,000,082 | ---- | C] () -- C:\WINDOWS\wininit.ini [2012.12.15 22:24:15 | 000,000,438 | ---- | C] () -- C:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job [2012.12.15 22:24:14 | 000,000,612 | ---- | C] () -- C:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job [2012.12.15 22:24:14 | 000,000,608 | ---- | C] () -- C:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job [2012.12.15 22:24:03 | 000,001,812 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot-S&D Start Center.lnk [2012.12.15 22:24:03 | 000,001,806 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk [2012.12.15 21:50:42 | 000,545,819 | ---- | C] () -- C:\Dokumente und Einstellungen\meikek\Desktop\adwcleaner.exe [2012.12.07 16:19:57 | 000,000,708 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk [2012.11.25 11:24:25 | 000,000,789 | ---- | C] () -- C:\Dokumente und Einstellungen\meikek\Desktop\Internet Explorer (2).lnk [2012.11.21 09:45:02 | 000,126,976 | RHS- | C] () -- C:\WINDOWS\System32\rcimlbyb.dll [2012.11.21 09:45:02 | 000,000,310 | ---- | C] () -- C:\WINDOWS\tasks\vrvoso.job [2012.03.31 10:48:55 | 000,018,064 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2012.02.16 07:14:28 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2007.10.04 19:10:59 | 000,215,396 | ---- | C] () -- C:\Dokumente und Einstellungen\meikek\default.pls [2007.09.07 22:39:20 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2007.09.05 22:40:33 | 000,092,160 | ---- | C] () -- C:\Dokumente und Einstellungen\meikek\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ========== ZeroAccess Check ========== [2010.12.03 19:08:04 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2009.10.29 06:24:34 | 001,509,888 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2012.01.12 10:07:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV [2010.01.10 01:30:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis [2007.09.07 20:22:11 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2012.08.23 14:27:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CheckPoint [2012.04.18 10:41:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2010.01.10 09:57:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier [2012.06.08 11:28:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mobile Master [2012.04.22 19:12:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NokiaInstallerCache [2012.08.27 18:49:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phase6 [2012.02.12 18:45:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2012.12.13 12:09:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\Acronis [2007.09.24 20:48:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\Canon [2012.08.26 07:51:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\CheckPoint [2012.04.20 08:20:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\elsterformular [2012.04.25 08:17:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\Mobile Master [2011.09.19 17:35:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\Phase6 [2007.11.18 11:17:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\meikek\Anwendungsdaten\Teleca ========== Purity Check ========== < End of report > Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-12-16 23:02:46
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T1L0-5 SAMSUNG_SP2504C rev.VT100-50
Running: dvx51t3y.exe; Driver: C:\DOKUME~1\meikek\LOKALE~1\Temp\kgtdqpob.sys
---- System - GMER 1.0.15 ----
SSDT BA7F6C1E ZwCreateKey
SSDT BA7F6C46 ZwCreateSymbolicLinkObject
SSDT BA7F6C14 ZwCreateThread
SSDT BA7F6C23 ZwDeleteKey
SSDT BA7F6C2D ZwDeleteValueKey
SSDT BA7F6C4B ZwLoadDriver
SSDT BA7F6C32 ZwLoadKey
SSDT BA7F6C00 ZwOpenProcess
SSDT BA7F6C41 ZwOpenSection
SSDT BA7F6C05 ZwOpenThread
SSDT BA7F6C3C ZwReplaceKey
SSDT BA7F6C37 ZwRestoreKey
SSDT BA7F6C50 ZwSetSystemInformation
SSDT BA7F6C28 ZwSetValueKey
SSDT BA7F6C0F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB799E360, 0x2F2EA7, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] ntdll.dll!LdrLoadDll 7C92632D 5 Bytes JMP 01604470 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] kernel32.dll!lstrlenW + 43 7C809AEC 7 Bytes JMP 0185047C C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] kernel32.dll!MapViewOfFileEx + 6A 7C80B9A0 7 Bytes JMP 01850459 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] kernel32.dll!ValidateLocale + B1C8 7C8449C8 7 Bytes JMP 0160F972 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 0488ED8F
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] USER32.dll!DrawTextExW 7E37B415 5 Bytes JMP 0489031F
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] USER32.dll!DrawTextW 7E37D7E2 5 Bytes JMP 0489015D
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] USER32.dll!SetClipboardData 7E380F9E 5 Bytes JMP 0488FDD3
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] USER32.dll!DrawTextA 7E38C702 5 Bytes JMP 04890082
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] USER32.dll!DrawTextExA 7E38C739 5 Bytes JMP 04890238
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] GDI32.dll!TextOutW 77EF7EAC 5 Bytes JMP 0488FFB6
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] GDI32.dll!ExtTextOutW 77EF8086 5 Bytes JMP 048904EA
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] GDI32.dll!SetDIBitsToDevice + 20A 77EF9E14 7 Bytes JMP 018503DA C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] GDI32.dll!TextOutA 77EFBA4F 5 Bytes JMP 0488FEEA
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] GDI32.dll!ExtTextOutA 77EFD3FA 5 Bytes JMP 04890406
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] GDI32.dll!GetGlyphIndicesA 77F1DFE3 5 Bytes JMP 048908AA
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] GDI32.dll!GetGlyphIndicesW 77F32604 5 Bytes JMP 04890977
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] WS2_32.dll!getaddrinfo 71A12A6F 5 Bytes JMP 0488E8FB
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 0488FD2C
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] WS2_32.dll!send 71A14C27 5 Bytes JMP 0488F8A1
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 0488FAC8
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 0488E83A
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] WS2_32.dll!recv 71A1676F 5 Bytes JMP 0488F946
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 0488F9F4
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] WS2_32.dll!WSAAsyncGetHostByName 71A1E99D 5 Bytes JMP 0488ECB0
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] WININET.dll!InternetCrackUrlW 408B40C0 5 Bytes JMP 04890D86
.text C:\Programme\Mozilla Firefox\firefox.exe[3312] WININET.dll!InternetCrackUrlA 408D4938 5 Bytes JMP 04890C3D
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs tdrpm124.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Tcpip \Device\Ip avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\Tcp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 tdrpm124.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 tdrpm124.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\RawIp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat tdrpm124.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
|
|
18.12.2012, 16:12
| #2 | |||
| /// TB-Ausbilder  | Problem mit ihavenet google-Umleitung im Firefox Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich. Gelesen und verstanden? Schritt 1: Deinstalliere ZoneAlarm und McAfee Security Scan Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen Schritt 3: Temporäre Dateien löschen mit TFC Schritt 4: Scan mit Combofix
__________________ |
|
19.12.2012, 20:37
| #3 |
| | Problem mit ihavenet google-Umleitung im Firefox Alles klar!
__________________Schritt 1: Deinstalliere ZoneAlarm und McAfee Security Scan ==> MacAfee deinstalliert. ZoneAlarm hatte ich eigentlich schon letzte Woche deinstalliert. Unter Systemsteuerung/Software und im Startmenu kann ich es nicht mehr finden. Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen ==> Erledigt. Hier der Output: Code:
ATTFilter # AdwCleaner v2.101 - Datei am 19/12/2012 um 19:26:50 erstellt
# Aktualisiert am 16/12/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : meikek - KLAUS
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\meikek\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
***** [Registrierungsdatenbank] *****
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Die Registrierungsdatenbank ist sauber.
*************************
AdwCleaner[R1].txt - [2973 octets] - [15/12/2012 21:51:15]
AdwCleaner[S1].txt - [3035 octets] - [15/12/2012 21:52:07]
AdwCleaner[S2].txt - [705 octets] - [19/12/2012 19:26:50]
########## EOF - C:\AdwCleaner[S2].txt - [764 octets] ##########
Temporäre Dateien löschen mit TFC ==> Erledigt. Schritt 4: Scan mit Combofix ==> Erledigt. Ich hab Avira deaktiviert (also inaktiv gesetzt), da ich es nicht beenden konnte. Sollte also den Scan nicht behindert haben. Hier der Output: [CODE] Combofix Logfile: Code:
ATTFilter ComboFix 12-12-19.02 - meikek 19.12.2012 19:43:48.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1350 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\meikek\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
FW: FireWall *Enabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\klausk\Lokale Einstellungen\Anwendungsdaten\Microsoft\AddIns\MMOutlookAddIn.dll
c:\windows\IsUn0407.exe
c:\windows\system32\WinSys.exe
c:\windows\wininit.ini
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-11-19 bis 2012-12-19 ))))))))))))))))))))))))))))))
.
.
2012-12-16 19:55 . 2012-12-16 19:55 -------- d-----w- c:\dokumente und einstellungen\meikek\Anwendungsdaten\Malwarebytes
2012-12-16 19:55 . 2012-12-16 19:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-12-15 21:24 . 2012-12-15 22:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2012-12-15 21:23 . 2009-01-25 11:14 15224 ----a-w- c:\windows\system32\sdnclean.exe
2012-12-15 21:23 . 2012-12-15 21:24 -------- d-----w- c:\programme\Spybot - Search & Destroy 2
2012-12-15 21:00 . 2012-12-15 21:00 -------- d-----w- c:\windows\ERUNT
2012-12-15 21:00 . 2012-12-15 21:00 -------- d-----w- C:\JRT
2012-12-13 11:12 . 2012-12-13 11:12 -------- d--h--w- c:\windows\PIF
2012-12-07 15:19 . 2012-12-13 04:44 262112 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll
2012-12-07 15:19 . 2012-12-13 04:44 2106216 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2012-12-07 15:19 . 2012-12-13 04:44 1998168 ----a-w- c:\programme\Mozilla Firefox\d3dx9_43.dll
2012-12-07 15:19 . 2012-12-13 04:44 4220896 ----a-w- c:\programme\Mozilla Firefox\gkmedias.dll
2012-12-07 15:19 . 2012-12-13 04:44 58848 ----a-w- c:\programme\Mozilla Firefox\libEGL.dll
2012-12-07 15:19 . 2012-12-13 04:44 472544 ----a-w- c:\programme\Mozilla Firefox\libGLESv2.dll
2012-12-07 15:19 . 2012-12-13 04:44 192728 ----a-w- c:\programme\Mozilla Firefox\maintenanceservice_installer.exe
2012-12-07 15:19 . 2012-12-13 04:44 15840 ----a-w- c:\programme\Mozilla Firefox\mozalloc.dll
2012-12-07 15:19 . 2012-12-13 04:44 124896 ----a-w- c:\programme\Mozilla Firefox\mozglue.dll
2012-12-07 15:19 . 2012-12-13 04:44 115168 ----a-w- c:\programme\Mozilla Firefox\maintenanceservice.exe
2012-12-07 15:19 . 2012-12-13 04:44 2397152 ----a-w- c:\programme\Mozilla Firefox\mozjs.dll
2012-12-07 15:19 . 2012-12-13 04:44 810976 ----a-w- c:\programme\Mozilla Firefox\mozsqlite3.dll
2012-11-25 10:07 . 2012-11-25 10:08 -------- dc-h--w- c:\windows\ie8
2012-11-21 08:45 . 2012-11-21 08:45 126976 --sha-r- c:\windows\system32\rcimlbyb.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-15 21:30 . 2012-04-28 19:31 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-12-15 21:30 . 2011-05-22 14:36 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-11-13 11:55 . 2004-08-04 10:00 1866496 ----a-w- c:\windows\system32\win32k.sys
2012-11-13 08:37 . 2011-10-11 11:37 92008 ----a-w- c:\windows\system32\drivers\avfwim.sys
2012-11-13 08:37 . 2011-10-11 11:37 112584 ----a-w- c:\windows\system32\drivers\avfwot.sys
2012-11-06 00:41 . 2004-08-04 10:00 290560 ----a-w- c:\windows\system32\atmfd.dll
2012-11-02 02:02 . 2004-08-04 10:00 375296 ----a-w- c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2006-03-04 03:34 916992 ----a-w- c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2004-08-04 10:00 43520 ------w- c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2004-08-04 10:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2004-08-04 10:00 385024 ------w- c:\windows\system32\html.iec
2012-10-26 10:09 . 2012-10-26 10:09 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-10-26 10:09 . 2012-10-26 10:09 477168 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-10-26 10:09 . 2010-06-12 12:12 473072 ----a-w- c:\windows\system32\deployJava1.dll
2012-10-02 18:04 . 2004-08-04 10:00 58368 ----a-w- c:\windows\system32\synceng.dll
2012-12-13 04:44 . 2012-12-07 15:19 262112 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 94208]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]
"nwiz"="nwiz.exe" [2007-04-12 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"RemoteControl"="e:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"MMTray"="MMTray.exe" [2001-11-09 53248]
"TrueImageMonitor.exe"="e:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-09-15 4353088]
"AcronisTimounterMonitor"="e:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-09-15 962456]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-09-15 165144]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-07-31 348664]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
"iTunesHelper"="e:\programme\iTunes\iTunesHelper.exe" [2012-03-27 421736]
"QuickTime Task"="e:\programme\QuickTime\qttask.exe" [2012-04-18 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896]
"SDTray"="c:\programme\Spybot - Search & Destroy 2\SDTray.exe" [2012-11-13 3825176]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^phase-6 Reminder.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\phase-6 Reminder.lnk
backup=c:\windows\pss\phase-6 Reminder.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^klausk^Startmenü^Programme^Autostart^0.8829028754663306.exe.lnk]
path=c:\dokumente und einstellungen\klausk\Startmenü\Programme\Autostart\0.8829028754663306.exe.lnk
backup=c:\windows\pss\0.8829028754663306.exe.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 -c----r- c:\windows\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-05-10 10:08 16342528 -c----r- c:\windows\RTHDCPL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW20]
2006-12-15 02:58 208896 ----a-r- c:\windows\system32\sw20.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW24]
2006-12-15 02:58 69632 ----a-r- c:\windows\system32\sw24.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSys2]
2006-12-15 02:59 217088 ----a-r- c:\windows\system32\WinSys2.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"e:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDTray.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDFSSvc.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDUpdate.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDUpdSvc.exe"=
.
R0 snapman378;Acronis Snapshots Manager (Build 378);c:\windows\system32\drivers\snman378.sys [10.01.2010 01:27 134272]
R0 tdrpman124;Acronis Try&Decide and Restore Points filter (build 124);c:\windows\system32\drivers\tdrpm124.sys [10.01.2010 01:28 950848]
R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [11.10.2011 12:37 112584]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [11.10.2011 12:37 36000]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 AntiVirFirewallService;Avira FireWall;c:\programme\Avira\AntiVir Desktop\avfwsvc.exe [11.10.2011 12:37 619472]
R2 AntiVirMailService;Avira Email Schutz;c:\programme\Avira\AntiVir Desktop\avmailc.exe [11.10.2011 12:37 375760]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.10.2011 12:37 86224]
R2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [11.10.2011 12:37 465360]
R2 SDScannerService;Spybot-S&D 2 Scanner Service;c:\programme\Spybot - Search & Destroy 2\SDFSSvc.exe [15.12.2012 22:23 1103392]
R2 SDUpdateService;Spybot-S&D 2 Updating Service;c:\programme\Spybot - Search & Destroy 2\SDUpdSvc.exe [15.12.2012 22:23 1369624]
R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [11.10.2011 12:37 92008]
S2 SDWSCService;Spybot-S&D 2 Security Center Service;c:\programme\Spybot - Search & Destroy 2\SDWSCSvc.exe [15.12.2012 22:24 168384]
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-19 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-28 21:30]
.
2012-12-19 c:\windows\Tasks\Check for updates (Spybot - Search & Destroy).job
- c:\programme\Spybot - Search & Destroy 2\SDUpdate.exe [2012-12-15 13:08]
.
2012-12-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-04-05 17:45]
.
2012-12-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-04-05 17:45]
.
2012-12-15 c:\windows\Tasks\Refresh immunization (Spybot - Search & Destroy).job
- c:\programme\Spybot - Search & Destroy 2\SDImmunize.exe [2012-12-15 13:07]
.
2012-12-15 c:\windows\Tasks\Scan the system (Spybot - Search & Destroy).job
- c:\programme\Spybot - Search & Destroy 2\SDScan.exe [2012-12-15 13:07]
.
2012-12-19 c:\windows\Tasks\vrvoso.job
- c:\windows\system32\rcimlbyb.dll [2012-11-21 08:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebay.de/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\meikek\Anwendungsdaten\Mozilla\Firefox\Profiles\le3w3ys1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ebay.de
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - ExtSQL: 2012-10-26 12:09; jqs@sun.com; c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - ExtSQL: 2012-10-26 12:09; {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}; c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
FF - ExtSQL: !HIDDEN! 2010-12-05 09:25; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
HKLM-Run-ZoneAlarm Installer - c:\programme\CheckPoint\Install\Launcher.exe
Notify-SDWinLogon - SDWinLogon.dll
MSConfigStartUp-ISW - c:\programme\CheckPoint\ZAForceField\ForceField.exe
AddRemove-Canon MP510 Benutzerregistrierung - c:\programme\Canon\IJEREG\MP510\UNINST.EXE
AddRemove-FRITZ!DSL - c:\windows\IsUn0407.exe
AddRemove-MP Navigator 3.0 - c:\programme\Canon\MP Navigator 3.0\Maint.exe
AddRemove-phase-6 - h:\phase6\phase-6\uninstall.exe
AddRemove-Pixum EasyPrint - c:\programme\Pixum AG\Pixum EasyPrint\uninstall.exe
AddRemove-{E2883E8F-472F-4fb0-9522-AC9BF37916A7} - c:\programme\NOS\bin\getPlus_Helper_3004.dll
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-19 19:48
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(1124)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2012-12-19 19:49:32
ComboFix-quarantined-files.txt 2012-12-19 18:49
.
Vor Suchlauf: 3.682.938.880 Bytes frei
Nach Suchlauf: 4.326.301.696 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - A1E86B083F1C9C1168018ACBECAFA995
Danke für Deine Hilfe!!  |
|
19.12.2012, 20:45
| #4 | ||
| /// TB-Ausbilder | Problem mit ihavenet google-Umleitung im Firefox Gut, dann weiter: Combofix-Skript
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
20.12.2012, 21:18
| #5 |
| | Problem mit ihavenet google-Umleitung im Firefox Hallo! Anbei die Ausgabe von ComboFix: (Upload hat geklappt) Code:
ATTFilter ComboFix 12-12-20.02 - meikek 20.12.2012 21:01:45.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1387 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\meikek\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\meikek\Desktop\CFScript.txt
AV: Avira Desktop *Enabled/Updated* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
FW: FireWall *Enabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
.
file zipped: c:\windows\pss\0.8829028754663306.exe.lnkStartup
file zipped: c:\windows\system32\rcimlbyb.dll
file zipped: c:\windows\Tasks\vrvoso.job
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\pss\0.8829028754663306.exe.lnkStartup
c:\windows\system32\rcimlbyb.dll
c:\windows\Tasks\vrvoso.job
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-11-20 bis 2012-12-20 ))))))))))))))))))))))))))))))
.
.
2012-12-16 19:55 . 2012-12-16 19:55 -------- d-----w- c:\dokumente und einstellungen\meikek\Anwendungsdaten\Malwarebytes
2012-12-16 19:55 . 2012-12-16 19:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-12-15 21:24 . 2012-12-15 22:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2012-12-15 21:23 . 2009-01-25 11:14 15224 ----a-w- c:\windows\system32\sdnclean.exe
2012-12-15 21:23 . 2012-12-15 21:24 -------- d-----w- c:\programme\Spybot - Search & Destroy 2
2012-12-15 21:00 . 2012-12-15 21:00 -------- d-----w- c:\windows\ERUNT
2012-12-15 21:00 . 2012-12-15 21:00 -------- d-----w- C:\JRT
2012-12-13 11:12 . 2012-12-13 11:12 -------- d--h--w- c:\windows\PIF
2012-12-07 15:19 . 2012-12-13 04:44 262112 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll
2012-12-07 15:19 . 2012-12-13 04:44 2106216 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2012-12-07 15:19 . 2012-12-13 04:44 1998168 ----a-w- c:\programme\Mozilla Firefox\d3dx9_43.dll
2012-12-07 15:19 . 2012-12-13 04:44 4220896 ----a-w- c:\programme\Mozilla Firefox\gkmedias.dll
2012-12-07 15:19 . 2012-12-13 04:44 58848 ----a-w- c:\programme\Mozilla Firefox\libEGL.dll
2012-12-07 15:19 . 2012-12-13 04:44 472544 ----a-w- c:\programme\Mozilla Firefox\libGLESv2.dll
2012-12-07 15:19 . 2012-12-13 04:44 192728 ----a-w- c:\programme\Mozilla Firefox\maintenanceservice_installer.exe
2012-12-07 15:19 . 2012-12-13 04:44 15840 ----a-w- c:\programme\Mozilla Firefox\mozalloc.dll
2012-12-07 15:19 . 2012-12-13 04:44 124896 ----a-w- c:\programme\Mozilla Firefox\mozglue.dll
2012-12-07 15:19 . 2012-12-13 04:44 115168 ----a-w- c:\programme\Mozilla Firefox\maintenanceservice.exe
2012-12-07 15:19 . 2012-12-13 04:44 2397152 ----a-w- c:\programme\Mozilla Firefox\mozjs.dll
2012-12-07 15:19 . 2012-12-13 04:44 810976 ----a-w- c:\programme\Mozilla Firefox\mozsqlite3.dll
2012-11-25 10:07 . 2012-11-25 10:08 -------- dc-h--w- c:\windows\ie8
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-15 21:30 . 2012-04-28 19:31 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-12-15 21:30 . 2011-05-22 14:36 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-11-13 11:55 . 2004-08-04 10:00 1866496 ----a-w- c:\windows\system32\win32k.sys
2012-11-13 08:37 . 2011-10-11 11:37 92008 ----a-w- c:\windows\system32\drivers\avfwim.sys
2012-11-13 08:37 . 2011-10-11 11:37 112584 ----a-w- c:\windows\system32\drivers\avfwot.sys
2012-11-06 00:41 . 2004-08-04 10:00 290560 ----a-w- c:\windows\system32\atmfd.dll
2012-11-02 02:02 . 2004-08-04 10:00 375296 ----a-w- c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2006-03-04 03:34 916992 ----a-w- c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2004-08-04 10:00 43520 ------w- c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2004-08-04 10:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2004-08-04 10:00 385024 ------w- c:\windows\system32\html.iec
2012-10-26 10:09 . 2012-10-26 10:09 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-10-26 10:09 . 2012-10-26 10:09 477168 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-10-26 10:09 . 2010-06-12 12:12 473072 ----a-w- c:\windows\system32\deployJava1.dll
2012-10-02 18:04 . 2004-08-04 10:00 58368 ----a-w- c:\windows\system32\synceng.dll
2012-12-13 04:44 . 2012-12-07 15:19 262112 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 94208]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]
"nwiz"="nwiz.exe" [2007-04-12 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"RemoteControl"="e:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"MMTray"="MMTray.exe" [2001-11-09 53248]
"TrueImageMonitor.exe"="e:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-09-15 4353088]
"AcronisTimounterMonitor"="e:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-09-15 962456]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-09-15 165144]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-07-31 348664]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
"iTunesHelper"="e:\programme\iTunes\iTunesHelper.exe" [2012-03-27 421736]
"QuickTime Task"="e:\programme\QuickTime\qttask.exe" [2012-04-18 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896]
"SDTray"="c:\programme\Spybot - Search & Destroy 2\SDTray.exe" [2012-11-13 3825176]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^phase-6 Reminder.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\phase-6 Reminder.lnk
backup=c:\windows\pss\phase-6 Reminder.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 -c----r- c:\windows\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-05-10 10:08 16342528 -c----r- c:\windows\RTHDCPL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW20]
2006-12-15 02:58 208896 ----a-r- c:\windows\system32\sw20.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW24]
2006-12-15 02:58 69632 ----a-r- c:\windows\system32\sw24.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSys2]
2006-12-15 02:59 217088 ----a-r- c:\windows\system32\WinSys2.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"e:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDTray.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDFSSvc.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDUpdate.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDUpdSvc.exe"=
.
R0 snapman378;Acronis Snapshots Manager (Build 378);c:\windows\system32\drivers\snman378.sys [10.01.2010 01:27 134272]
R0 tdrpman124;Acronis Try&Decide and Restore Points filter (build 124);c:\windows\system32\drivers\tdrpm124.sys [10.01.2010 01:28 950848]
R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [11.10.2011 12:37 112584]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [11.10.2011 12:37 36000]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 AntiVirFirewallService;Avira FireWall;c:\programme\Avira\AntiVir Desktop\avfwsvc.exe [11.10.2011 12:37 619472]
R2 AntiVirMailService;Avira Email Schutz;c:\programme\Avira\AntiVir Desktop\avmailc.exe [11.10.2011 12:37 375760]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.10.2011 12:37 86224]
R2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [11.10.2011 12:37 465360]
R2 SDScannerService;Spybot-S&D 2 Scanner Service;c:\programme\Spybot - Search & Destroy 2\SDFSSvc.exe [15.12.2012 22:23 1103392]
R2 SDUpdateService;Spybot-S&D 2 Updating Service;c:\programme\Spybot - Search & Destroy 2\SDUpdSvc.exe [15.12.2012 22:23 1369624]
R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [11.10.2011 12:37 92008]
S2 SDWSCService;Spybot-S&D 2 Security Center Service;c:\programme\Spybot - Search & Destroy 2\SDWSCSvc.exe [15.12.2012 22:24 168384]
S3 CFcatchme;CFcatchme;\??\c:\dokume~1\meikek\LOKALE~1\Temp\CFcatchme.sys --> c:\dokume~1\meikek\LOKALE~1\Temp\CFcatchme.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-28 21:30]
.
2012-12-20 c:\windows\Tasks\Check for updates (Spybot - Search & Destroy).job
- c:\programme\Spybot - Search & Destroy 2\SDUpdate.exe [2012-12-15 13:08]
.
2012-12-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-04-05 17:45]
.
2012-12-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-04-05 17:45]
.
2012-12-15 c:\windows\Tasks\Refresh immunization (Spybot - Search & Destroy).job
- c:\programme\Spybot - Search & Destroy 2\SDImmunize.exe [2012-12-15 13:07]
.
2012-12-15 c:\windows\Tasks\Scan the system (Spybot - Search & Destroy).job
- c:\programme\Spybot - Search & Destroy 2\SDScan.exe [2012-12-15 13:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebay.de/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\meikek\Anwendungsdaten\Mozilla\Firefox\Profiles\le3w3ys1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ebay.de
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - ExtSQL: 2012-10-26 12:09; jqs@sun.com; c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - ExtSQL: 2012-10-26 12:09; {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}; c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
FF - ExtSQL: !HIDDEN! 2010-12-05 09:25; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-20 21:09
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(1092)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - - - - > 'explorer.exe'(3876)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-12-20 21:12:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-12-20 20:12
.
Vor Suchlauf: 4.269.428.736 Bytes frei
Nach Suchlauf: 4.262.981.632 Bytes frei
.
- - End Of File - - AD423C1CB4967219419DEB432C38BEF8
Hochladen war erfolgreich
|
|
20.12.2012, 21:21
| #6 | |
| /// TB-Ausbilder | Problem mit ihavenet google-Umleitung im Firefox Gut!  Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen. Da diese sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten. Schritt 1: Quick-Scan mit Malwarebytes Schritt 2: ESET Online Scanner Zitat:
Schritt 3: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck: LINK1 LINK2
__________________ --> Problem mit ihavenet google-Umleitung im Firefox |
|
22.12.2012, 14:03
| #7 |
| /// TB-Ausbilder | Problem mit ihavenet google-Umleitung im Firefox Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
23.12.2012, 17:40
| #8 |
| | Problem mit ihavenet google-Umleitung im Firefox Sorry, der Rechner ist von einem Freund und wir sind noch nicht dazu gekommen, den Abschlussscan gemeinsam durchzuführen. Werds aber die Tage machen! Danke für die Geduld und sorry fürs warten! |
|
23.12.2012, 18:10
| #9 |
| /// TB-Ausbilder | Problem mit ihavenet google-Umleitung im Firefox Was heißt die Tage? Wir erwarten nach 2 Tagen eine Antwort, ansonsten wirst du wieder angezählt.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
24.12.2012, 00:18
| #10 |
| | Problem mit ihavenet google-Umleitung im Firefox Zack, schon da! Schritt 1 Resultat: Code:
ATTFilter Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.12.23.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 meikek :: KLAUS [Administrator] 23.12.2012 18:12:08 mbam-log-2012-12-23 (18-12-08).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 228782 Laufzeit: 5 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter C:\Qoobox\Quarantine\[4]-Submit_2012-12-20_21.01.37.zip a variant of Win32/Ponmocup.FD trojan
Code:
ATTFilter Results of screen317's Security Check version 0.99.56 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Spybot - Search & Destroy Malwarebytes Anti-Malware Version 1.65.1.1000 Java(TM) 6 Update 37 Java version out of Date! Adobe Flash Player 11.5.502.135 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox (17.0.1) Google Chrome 21.0.1180.83 Google Chrome 21.0.1180.89 Google Chrome 22.0.1229.79 Google Chrome 22.0.1229.92 Google Chrome 22.0.1229.94 Google Chrome 23.0.1271.64 Google Chrome 23.0.1271.91 Google Chrome 23.0.1271.95 Google Chrome 23.0.1271.97 ````````Process Check: objlist.exe by Laurent```````` Spybot Teatimer.exe is disabled! Avira Antivir avgnt.exe Avira Antivir avguard.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` |
|
24.12.2012, 09:46
| #11 | ||||
| /// TB-Ausbilder | Problem mit ihavenet google-Umleitung im Firefox Prima! Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren
Schritt 2: ESET deinstallieren (Optional) Schritt 3: Java Update (Windows XP, Vista, 7) Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.Schritt 4: Update: Adobe Reader
Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:
Abschließend noch Tipps zu folgenden Themen:
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
24.12.2012, 11:34
| #12 |
| | Problem mit ihavenet google-Umleitung im Firefox VIELEN Dank für die Super Hilfe und auch die Tipps am Ende! Den Adobe Reader habe ich direkt ersetzt.  Danke schön und ich wünsch Dir ein frohes Fest!!  |
|
24.12.2012, 11:41
| #13 |
| /// TB-Ausbilder | Problem mit ihavenet google-Umleitung im Firefox Schön, dass wir helfen konnten  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
| Themen zu Problem mit ihavenet google-Umleitung im Firefox |
| .com, adobe, antivir, avg, avira, beseitigung, bho, bonjour, dsl, einstellungen, firefox, flash player, format, helper, install.exe, logfile, mozilla, ntdll.dll, plug-in, problem, realtek, refresh, registry, safer networking, scan, security, software, temp, trojaner-board, udp |
Button.
und dann 
+ R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.
Linear-Darstellung
