![]() |
|
Plagegeister aller Art und deren Bekämpfung: sygate meldet rundll32 zugriff auf rightonadz.bizWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() sygate meldet rundll32 zugriff auf rightonadz.biz Hallo! Als ich eben mein XP home hochgefahren hab, meldete Sygate Personal Firewall einen Zugriffsversuch der rundll32.dll in Richtung der Domain rightonadz.biz (spaeter auch die grammatisch seltsame meldung "an application named is trying to access rightonadz.biz...", der name also ein lehrer String, suspekt!) Die zugehoerige IP mit whois-ergebnis: Code:
ATTFilter 85.92.152.71 inetnum: 85.92.152.0 - 85.92.159.255 netname: RecurringInternational descr: Recurring International Inc. person: Recurring International Inc Support Team address: U12 Gamma Commercial Complex address: #47 Rizal Highway cor. Manila Avenue address: Subic Bay Freeport, Philippines phone: +63 754327753 abuse-mailbox: abuse@webair.net Nachdem ich paar aehnliche Beitrage gelesen hatte, fand ich auch bei mir eine sog. gzmrotate.dll unter C:\WINDOWS\system32. Diese bei VirusTotal gescannt, ergab: AhnLab-V3 2007.10.13.1 2007.10.12 - AntiVir 7.6.0.23 2007.10.18 ADSPY/RightHandz.2 Authentium 4.93.8 2007.10.17 - Avast 4.7.1051.0 2007.10.17 - AVG 7.5.0.488 2007.10.17 - BitDefender 7.2 2007.10.18 - CAT-QuickHeal 9.00 2007.10.17 Trojan.RightHandz.gen ClamAV 0.91.2 2007.10.17 - DrWeb 4.44.0.09170 2007.10.18 - eSafe 7.0.15.0 2007.10.15 - eTrust-Vet 31.2.5219 2007.10.18 - Ewido 4.0 2007.10.17 - FileAdvisor 1 2007.10.18 - Fortinet 3.11.0.0 2007.10.18 - F-Prot 4.3.2.48 2007.10.18 - F-Secure 6.70.13030.0 2007.10.18 - Ikarus T3.1.1.12 2007.10.18 - Kaspersky 7.0.0.125 2007.10.18 - McAfee 5143 2007.10.17 - Microsoft 1.2908 2007.10.18 Adware:Win32/AdRotator NOD32v2 2599 2007.10.17 - Norman 5.80.02 2007.10.17 - Panda 9.0.0.4 2007.10.18 Adware/AdRotator Prevx1 V2 2007.10.18 - Rising 19.45.31.00 2007.10.18 - Sophos 4.22.0 2007.10.18 Mal/Heuri-E Sunbelt 2.2.907.0 2007.10.18 - Symantec 10 2007.10.16 - TheHacker 6.2.9.097 2007.10.18 - VBA32 3.12.2.4 2007.10.17 - VirusBuster 4.3.26:9 2007.10.17 - Webwasher-Gateway 6.6.1 2007.10.18 Ad-Spyware.RightHandz.2 o_O da stellt sich mir einerseits doch die Frage warum findet mein AVG nix!?? sollte ich doch wieder zu AntiVir wechseln, was empfehlt ihr? und weiterhin natuerlich "omg was soll denn die sch****, was mach ich jetzt!??" Ich liess auch mal den Ad-Aware SE Deep Scan laufen (was gefuehlt ungewoehnlich lange dauerte), mit folgendem Ergebnis: Tracking Cookies (3 Objects) Adware.Adssites (29 Objects) Other (1 Object): Other Object Recognized! Type : File Data : SETUP_RIGHTONADZ.EXE-07E6498D.pf TAC Rating : 7 Category : Malware Comment : Object : C:\WINDOWS\prefetch\ Habe alles entfernt. (zur Sicherheit davor schon ein HiJackThis-Log erstellt, falls das von Interesse waere) Als naechstes (bzw waehrend dem Scan ![]() Logfile of HijackThis v1.99.1 Scan saved at 09:58:15, on 18.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\keyhook.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\taskswitch.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Vidalia\vidalia.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\Last.fm\LastFMHelper.exe C:\Programme\Privoxy\privoxy.exe C:\WINDOWS\system32\sistray.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\locator.exe C:\Programme\Tor\tor.exe C:\Programme\FirefoxPortable\App\firefox\firefox.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Trillian\trillian.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=localhost:8118;gopher=localhost:8118;h**p=localhost:8118;h**ps=localhost:8118;socks=localhost:9050 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost; 127.0.0.1 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsiE.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia\vidalia.exe" O4 - Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe O4 - Startup: Verknüpfung mit taskmgr.lnk = C:\WINDOWS\system32\taskmgr.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O8 - Extra context menu item: Download All Files by HiDownload - C:\Programme\HiDownload\HDGetAll.htm O8 - Extra context menu item: Download by HiDownload - C:\Programme\HiDownload\HDGet.htm O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\Programme\HiDownload\hidownload.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3419CF94-A2B9-4FB4-B584-93C170B8AEA6}: NameServer = 192.168.***.*** O17 - HKLM\System\CCS\Services\Tcpip\..\{EFC2F90C-79D3-49D0-A314-8893DE79F621}: NameServer = 192.168.***.*** O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe So, ich versteh nur Bahnhof ^^ Ich hoffe sehr ich MUSS mein System nicht neu aufsetzen. VIELEN Dank fuer euere Hilfe!! |
![]() | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() sygate meldet rundll32 zugriff auf rightonadz.biz Hallo.
__________________Zitat:
__________________ |
![]() | #3 |
| ![]() sygate meldet rundll32 zugriff auf rightonadz.biz habe kein aktuelles und weiss nicht wie lang da schon etwas verseucht ist (also auch auf nem image evtl.), hab mich lang nicht mit HJT etc beschaeftigt, wollte es aber fast gleichlang.
__________________die frage quasi: sehen die logs wieder gesund aus!? und heisst das mit hinreichender wahrscheinlichkeit, dass mein system nun wieder gesundet ist? thx! |
![]() | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() sygate meldet rundll32 zugriff auf rightonadz.biz Wozu hast du denn überhaupt Acronis wenn du es nicht nutzt? Ist doch rausgeschmissenes Geld...und es ist doch kein Problem alle paar Wochen mal ein Systemimage anzufertigen. Naja, ich will da auch nicht noch weiter drauf rumreiten. Hätte ja sein können, dass du was aktuelles da hast und man sich somit einen langen Thread (unnötige Schreiberei) hätte ersparen können. Zum Log: Code:
ATTFilter C:\WINDOWS\system32\nsiE.dll Führ auch mal für Analysenzwecke folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScan
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #5 |
| ![]() sygate meldet rundll32 zugriff auf rightonadz.biz Ich nutze es doch. Schon nach paar Tagen wäre ein Image jedoch eher nur noch die Notlösung und als diese ist Acronis für mich gedacht. Sonst wärs ja unnötig hier zu posten, seh ich auch so. Ich versprech mir vom Posten eine bessere Lösung. Wollte die nsiE.dll eben scannen, jetzt existiert die Datei nicht mehr! (Habe mittlerweile einmal neu gebootet, und habe versteckte sowie Systemdateien eingeblendet.) aber ich glaub sie ist nichtmal das hauptproblem..... danke für die guten tools! scheint jedoch leider nicht gut auszusehen.. :-\ ? MWAV: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.2.6 Sprache: English Virus Database Date: 5/28/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken. System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: No Action Taken. Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "look2me Adware" found in File System! Action Taken: No Action Taken. Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ File C:\Addon\BSI\toolbox\Parentsfriend\pfsetup.exe//data0025 infected by "Trojan-PSW.Win32.VB.ji" Virus! Action Taken: No Action Taken. File C:\Addon\Norton_Internet_Security\NAV\External\NORTON\NAVAPW32.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. File C:\Programme\Adobe\Reader 8.0\Setup Files\{AC76BA86-7AD7-1033-7B44-A81000000003}\Setup.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\DOWNLOAD\UltraVNC-102-Bin(2).zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken. File C:\DOWNLOAD\UltraVNC-102-Bin.zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken. File C:\Programme\UltraVNC-102-Bin\UltraVNC-server.zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken. File C:\Programme\UltraVNC-102-Bin\vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken. File C:\Programme\UltraVNC-102-Bin\winvnc.exe tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken. File C:\[MP3PLAYER]\[FIRMWARE]\AMV_Convert_368_www.mympxplayer.org.zip/AMV_Convert_368/MSI.CAB/_6227252443C841BF9FFDFF29A9856421 tagged as "not-a-virus:RiskTool.Win32.Deleter.b". Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\WINDOWS\icons ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\look2me !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f7fd154a-86ac-11da-bf09-00904bd2ecd1} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOWNLOAD\CMI8738.zip not Scanned. Possibly password protected... C:\DOWNLOAD\Rainlendar-0.22.1.exe.part not Scanned. Possibly password protected... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Total Critical Objects: 19 Total Disinfected Objects: 0 Total Objects Renamed: 0 Total Deleted Objects: 0 Total Errors: 112 Time Elapsed: 03:04:55 Total Objects Scanned: 260506 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Memory Check: Enabled Registry Check: Enabled System Folder Check: Enabled System Area Check: Disabled Services Check: Enabled Drive Check: Disabled All Drive Check :Enabled All Drive Check :Enabled Batchstart: 2:29:42,48 Batchende: 2:29:52,40 ComboFix: ComboFix 07-10-17.8@ - *** 2007-10-18 22:04:24.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.439 [GMT 2:00] ausgeführt von:: C:\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\w*w.broadcaster.com C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\w*w.broadcaster.com\played_list.sol C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\w*w.broadcaster.com\video_queue.sol C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.broadcaster.com C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.broadcaster.com\settings.sol C:\WINDOWS\system32\nsc13.dll C:\WINDOWS\system32\system . ((((((((((((((((((((((( Dateien erstellt von 2007-09-18 bis 2007-10-18 )))))))))))))))))))))))))))))) . 2007-10-18 22:03 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-17 20:06 40,733 --a------ C:\WINDOWS\system32\rightonadz-uninst.exe 2007-10-17 20:05 79,877 --a------ C:\WINDOWS\system32\adssite-remove.exe 2007-10-17 00:50 468,480 --a------ C:\WINDOWS\system32\NMDll.dll 2007-10-17 00:50 208,896 --a------ C:\WINDOWS\system32\HDBHO.dll 2007-10-17 00:50 20,480 --a------ C:\WINDOWS\yhl.dll 2007-10-17 00:50 7,168 --a------ C:\WINDOWS\lq.dll 2007-10-17 00:34 <DIR> d-------- C:\Programme\Real Alternative 2007-10-16 23:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real 2007-10-16 22:54 <DIR> d-------- C:\Programme\Real 2007-10-15 19:07 <DIR> d-------- C:\Programme\PHTML Encoder 2007-10-15 19:06 <DIR> d-------- C:\Programme\phpCipher 2007-10-15 18:53 <DIR> d-------- C:\Programme\SourceGuardian 2.0 Pro Demo 2007-10-15 17:57 <DIR> d-------- C:\Programme\PHP Obfuscator 2007-10-02 22:01 <DIR> d-------- C:\Programme\ordrumbox 2007-10-01 05:24 <DIR> d-------- C:\Programme\WinBoard-4.2.7 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-18 20:03 --------- d-----w C:\Programme\Trillian 2007-10-18 20:03 --------- d-----w C:\Programme\GuildFTPd 2007-10-18 20:03 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\SmartFTP 2007-10-18 19:09 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Tor 2007-10-18 17:33 --------- d-----w C:\Programme\Java 2007-10-18 17:26 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Vidalia 2007-10-18 09:18 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AVG7 2007-10-17 21:31 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\foobar2000 2007-10-17 18:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7 2007-10-16 09:42 --------- d-----w C:\Programme\PortableFirefox 2007-10-16 01:51 --------- d-----w C:\Programme\FirefoxPortable 2007-10-16 01:49 --------- d-----w C:\Programme\Biet-O-Matic 2007-10-15 17:06 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE 2007-10-15 17:06 249,856 ------w C:\WINDOWS\Setup1.exe 2007-10-12 00:45 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype 2007-09-20 23:59 --------- d-----w C:\Programme\Last.fm 2007-09-15 16:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm 2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7 2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7 2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7 2007-09-11 16:37 --------- d-----w C:\Programme\Lexmark X1100 Series 2007-09-09 13:24 --------- d-----w C:\Programme\speq 2007-08-31 16:01 --------- d-----w C:\Programme\foobar2000 2007-07-07 13:16 606 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat 2006-04-24 16:55 54,313 ----a-w C:\Programme\tor-bundle-uninstall.exe 2006-02-11 00:41 26,657 ----a-w C:\Programme\BUNDLE_LICENSE 2005-09-09 17:55 7,155,864 ----a-w C:\Programme\NGhost10.msi 2005-09-09 17:55 4,588,454 ----a-w C:\Programme\setup.exe 2005-09-09 17:55 37,766,164 ----a-w C:\Programme\Data1.cab 2005-09-09 17:55 35 ----a-w C:\Programme\SCSSDist.ini 2007-01-20 14:52:05 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49] "SiSPower"="SiSPower.dll" [2004-09-02 14:47 C:\WINDOWS\system32\SiSPower.dll] "SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2004-09-02 13:44] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 19:15] "OdTray.exe"="C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" [2003-12-16 12:44] "SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40] "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-09-14 09:08] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 16:57] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57] "CoolSwitch"="C:\WINDOWS\system32\taskswitch.exe" [2002-03-19 17:30] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-25 22:48] "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-25 22:48] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00] "Vidalia"="C:\Programme\Vidalia\vidalia.exe" [2007-02-08 03:38] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoResolveSearch"=1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoRecentDocsNetHood"=1 (0x1) [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1] Source= C:\active desktop\wiki.html FriendlyName= [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2] Source= C:\activeDesktop.html FriendlyName= [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 relog_ap [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" R0 hotcore3;hotcore3;C:\WINDOWS\system32\drivers\hotcore3.sys R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys R0 timounter;Acronis TrueImage Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys R2 tifsfilter;Acronis TrueImage FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys R3 EU3_USB;WLAN miniUSB USB Driver;C:\WINDOWS\system32\DRIVERS\EU3USB.sys R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\NSNDIS5.SYS S3 PRISM_A00;PRISM 802.11 Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys S3 Sunplus;Mega Camera Still Image Capture, Sunplus Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1733BDA9-5A3F-F9C1-1D48-21CFE0F1A0B4}] C:\WINDOWS\system32\system\system.exe s . Inhalt des "geplante Tasks" Ordners "2007-10-12 15:16:20 C:\WINDOWS\Tasks\1-Klick-Wartung.job" . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-18 22:11:16 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-10-18 22:13:41 - machine was rebooted . --- E O F --- Geändert von xardras (19.10.2007 um 02:05 Uhr) |
![]() | #6 |
| ![]() sygate meldet rundll32 zugriff auf rightonadz.biz Silent Runners: "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Vidalia" = ""C:\Programme\Vidalia\vidalia.exe"" ["vidalia-project.net"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] "SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."] "SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."] "SiSPower" = "Rundll32.exe SiSPower.dll,ModeAgent" [MS] "SiS Windows KeyHook" = "C:\WINDOWS\system32\keyhook.exe" ["Silicon Integrated Systems Corporation"] "SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."] "OdTray.exe" = ""C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"" ["Funk Software, Inc."] "SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."] "AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "CoolSwitch" = "C:\WINDOWS\system32\taskswitch.exe" [null data] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "TrueImageMonitor.exe" = "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" ["Acronis"] "Acronis Scheduler2 Service" = ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"" ["Acronis"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."] "{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL" -> {HKLM...CLSID} = "SmartFTP Shell Extension DLL" \InProcServer32\(Default) = "C:\Programme\SmartFTP\smarthook.dll" ["SmartFTP"] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] "{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] "{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension" -> {HKLM...CLSID} = "AVG7 Find Extension Class" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{1530F7EE-5128-43BD-9977-84A4B0FAD7DF}" = "PhotoToys" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\phototoys.dll" [MS] "{8903F6C9-25E3-40AC-A98F-E6D35CD0469C}" = "PSPad" -> {HKLM...CLSID} = "PSPad" \InProcServer32\(Default) = "C:\Programme\PSPad\pspadshell.dll" [null data] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"] AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] PSPad\(Default) = "{8903F6C9-25E3-40AC-A98F-E6D35CD0469C}" -> {HKLM...CLSID} = "PSPad" \InProcServer32\(Default) = "C:\Programme\PSPad\pspadshell.dll" [null data] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] VIDEOTRANS\(Default) = "{548773BA-874E-4C02-9DC7-B7A096772C7D}" -> {HKLM...CLSID} = "CountLines Class" \InProcServer32\(Default) = "C:\Programme\MP3 Player Utilities 3.57\AMVTools\SrcCount.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Default executables: -------------------- HKCU\Software\Classes\batfile\ HKCU\Software\Classes\cmdfile\ Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoRecentDocsNetHood" = (REG_DWORD) hex:0x00000001 {unrecognized setting} "ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000 {unrecognized setting} "NoLowDiskSpaceChecks" = (REG_DWORD) hex:0x00000001 {unrecognized setting} "LinkResolveIgnoreLinkInfo" = (REG_DWORD) hex:0x00000000 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "LinkResolveIgnoreLinkInfo" = (REG_DWORD) hex:0x00000000 {unrecognized setting} "NoResolveSearch" = (REG_DWORD) hex:0x00000001 {unrecognized setting} HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions\ "NoUpdateCheck" = (REG_DWORD) hex:0x00000001 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} "NoInternetOpenWith" = (REG_DWORD) hex:0x00000001 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "***" & "All Users" startup folders: ---------------------------------------------------- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart "Mozilla Thunderbird" -> shortcut to: "C:\Programme\Mozilla Thunderbird\thunderbird.exe" ["Mozilla Corporation"] "Verknüpfung mit taskmgr" -> shortcut to: "C:\WINDOWS\system32\taskmgr.exe" [MS] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "BlueSoleil" -> shortcut to: "C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe" ["IVT Corporation"] "Last.fm Helper" -> shortcut to: "C:\Programme\Last.fm\LastFMHelper.exe" ["Last.fm"] "Privoxy" -> shortcut to: "C:\Programme\Privoxy\privoxy.exe" ["The Privoxy team - www.privoxy.org"] "Utility Tray" -> shortcut to: "C:\WINDOWS\system32\sistray.exe" ["Silicon Integrated Systems Corporation"] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {85D1F590-48F4-11D9-9669-0800200C9A66}\ "MenuText" = "Uninstall BitDefender Online Scanner v8" "Exec" = "%windir%\bdoscandel.exe" [null data] {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ "ButtonText" = "PartyPoker.com" "MenuText" = "PartyPoker.com" "Exec" = "C:\Programme\PartyGaming\PartyPoker\RunApp.exe" [empty string] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\***ssenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Acronis Scheduler2 Service, AcrSch2Svc, ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"" ["Acronis"] AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVG7\avgemc.exe" ["GRISOFT, s.r.o."] AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."] AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."] BlueSoleil Hid Service, BlueSoleil Hid Service, "C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe" [null data] Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\Cisco Systems\VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."] LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."] Odyssey Client, odClientService, "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe" ["Funk Software, Inc."] Sygate Personal Firewall, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."] TuneUp WinStyler Theme Service, TUWinStylerThemeSvc, ""C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe"" ["TuneUp Software GmbH"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."] Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] RICOH Language Monitor2\Driver = "rc4mon.dll" ["RICOH CO.,Ltd."] ---------- (launch time: 2007-10-18 22:27:09) <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 45 seconds, including 18 seconds for message boxes) |
![]() | #7 | |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() sygate meldet rundll32 zugriff auf rightonadz.bizZitat:
Sei mir nicht böse, ich versteh einfach nur nicht die Philosophie dahinter. Wie klingt denn das für dich: Man hat eins der besten Backupprogramme, nutzt es einfach zu selten, um denn irgendwas wieder per Forum zu bereinigen. Wenn du die Möglichkeit hast, nutze das Image.
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #8 | |
| ![]() sygate meldet rundll32 zugriff auf rightonadz.biz Ok cosinus, da du mir offenbar noch immer nicht folgen kannst: ich wollte in Erfahrung bringen, ob mein System, falls - wie sich nun wohl herausstellt - befallen, zu sanieren ist. Und habe bei einer etwaigen Sanierung auf kompetente Unterstützung gehofft. Ein Kerngedanke dieses Forums aus meiner Sicht. Dies nun vor dem Hintergrund, dass die Möglichkeit es wiederherzustellen eben NICHT besteht. Falls du mit deinem zweifelhaften Beitrag versucht hast, meine Frage zu verneinen, frage ich mich, wieso du die Antwort bei mir als bekannt vorraussetzt. Sogar eine Erklärung. Zitat:
"Na hätten Sie mal besser auf Ihre Gesundheit geachtet. Auf Wiedersehen!" -- "...au..auf Wiedersehen Herr Doktor" ? Da du dich, um beim Bild zu bleiben, als Arzt nicht wirklich zu qualifizieren scheinst, wozu dein Beitrag? Kann mir jemand weiterhelfen? (Dass ich die Logfiles auf dein Anraten gepostet habe, sei dann mal dahingestellt oder? Zum Thema Philosophie.) Geändert von xardras (20.10.2007 um 13:03 Uhr) |
![]() | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() sygate meldet rundll32 zugriff auf rightonadz.biz Ich habs dir nur geschrieben, dass du in Zukuft evtl. mal stärker auf die Imaging-Lösung setzt, denn eine Bereinigung ist meist nur Flickschusterei - wir könnens aber trotzdem machen. Ich schau mir gleich mal deine Logfiles genauer an. Du solltest aber eben im Hinterkopf behalten, dass bei einer Bereinigung eben die Möglichkeit besteht, dass nicht alles aufgespürt bzw. entfernt werden kann.
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() sygate meldet rundll32 zugriff auf rightonadz.biz Bei dir verdichten sich die Hinweise auf eine Look2me-Infektion: Code:
ATTFilter Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains\look2me !!! 2007-10-17 00:50 468,480 --a------ C:\WINDOWS\system32\NMDll.dll -Vorher alle Windows-Fenster schließen -Programm starten -> Scan for L2M -> danach Remove L2M -dann wird der Rechner heruntergefahren -Nach dem Neustart den Inhalt der Look2Me-Destroyer.txt posten.
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() |
Themen zu sygate meldet rundll32 zugriff auf rightonadz.biz |
.dll, ad-aware, adobe, alert, application, bho, dll, explorer, firewall, frage, ftp, hijack, hilfe!!, home, internet, internet explorer, mozilla, mozilla thunderbird, pdf, prefetch, programme, rundll, rundll32.dll, sicherheit, software, suspekt, system, tuneup utilities, vielen dank, virus, warum, windows, windows xp |