|
Plagegeister aller Art und deren Bekämpfung: Firefox hängt sich aufWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.10.2007, 11:15 | #1 |
| Firefox hängt sich auf Hallo, ich habe Probleme mit meinem Firefox. Ich habe das Problem seit längerem, jedoch häuft es sich in letzter Zeit immer mehr und ist echt nervig. Wenn ich Firefox beende, stürzt es grundsätzlich ab (ca. 9 von 10 Schließungen). Auch stürzt es immer häufiger während einer Sitzung ab, auch auf Seiten, bei denen das sonst nicht passiert ist. Kürzlich habe ich es erst geupdatet, das Problem ist jedoch unverändert, unabhängig wieviel Tabs oder ob ich nur eins geöffnet habe. Mein Antivirusprogramm bemeckert nur die Dateien: Reboot.exe, restart.exe, diese gehören zu SmitfraudFix und habe diese immer ignoriert. Mein Antispyware findet auch nichts. meine Daten: Windows XP SP2 Adaware 2007 Avira PE Classic Zone Labs Firefox 1.8.20071.816 Spybot Hier noch mein hijackthis.log file: Logfile of HijackThis v1.99.1 Scan saved at 12:07:49, on 20.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\NMSSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System\Inst.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Internetsicherheit\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: CDLPObj Object - {BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA} - C:\WINDOWS\IECodecPl.dll O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Inst] C:\WINDOWS\System\Inst.exe install O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://***//PhotoUpload/MsnPUpld.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Kann jemand was verdächtiges entdecken? Ich habe davon nämlich null Plan. Danke im Voraus für Eure Zeit und Hilfe |
20.10.2007, 18:39 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox hängt sich auf Hallo.
__________________Werte mal online bei Virustotal diese Datei aus: Code:
ATTFilter C:\WINDOWS\IECodecPl.dll - eScan
__________________ |
21.10.2007, 15:23 | #3 |
| Firefox hängt sich auf Danke erstmal, dass du dich meinem Problem widmest.
__________________Habe besagte Datei scannen lassen: Datei IECodecPl.dll empfangen 2007.10.21 12:23:42 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 15/32 (46.88%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.20.0 2007.10.19 - AntiVir 7.6.0.27 2007.10.20 ADSPY/Webdir.A Authentium 4.93.8 2007.10.20 - Avast 4.7.1051.0 2007.10.20 Win32:Adware-gen AVG 7.5.0.488 2007.10.20 Adware Generic2.AMB BitDefender 7.2 2007.10.21 Adware.Webdir.L CAT-QuickHeal 9.00 2007.10.20 AdWare.Webdir.a (Not a Virus) ClamAV 0.91.2 2007.10.20 - DrWeb 4.44.0.09170 2007.10.20 - eSafe 7.0.15.0 2007.10.15 Spyware.WebDir eTrust-Vet 31.2.5225 2007.10.20 - Ewido 4.0 2007.10.20 Adware.Webdir FileAdvisor 1 2007.10.21 Low threat detected Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.20 - F-Secure 6.70.13030.0 2007.10.19 - Ikarus T3.1.1.12 2007.10.21 Virus.Win32.AdWare Kaspersky 7.0.0.125 2007.10.21 - McAfee 5145 2007.10.19 - Microsoft 1.2908 2007.10.21 Spyware:Win32/Webdir NOD32v2 2604 2007.10.19 a variant of Win32/Adware.Webdir Norman 5.80.02 2007.10.19 - Panda 9.0.0.4 2007.10.20 Adware/Webdir Prevx1 V2 2007.10.21 - Rising 19.45.62.00 2007.10.21 - Sophos 4.22.0 2007.10.21 - Sunbelt 2.2.907.0 2007.10.20 WebDir Symantec 10 2007.10.21 Adware.WebDir TheHacker 6.2.9.103 2007.10.21 - VBA32 3.12.2.4 2007.10.19 - VirusBuster 4.3.26:9 2007.10.20 - Webwasher-Gateway 6.6.1 2007.10.20 Ad-Spyware.Webdir.A Nun habe ich erstmal eine Frage zu dem escan: Muss ich die Variante mit Rooter oder ohne Rooter verwenden? Ich habe ein Breitbandmodem an der TV-Buchse angeschlossen ohne W-LAN. Eine weitere Frage zu diesem Silentrunner: Wenn ich dort auf downloaden klicke öffnet sich ein weiterer Tab, soll ich das hier mit reinkopieren oder muss ich die zip Datei downloaden? Sorry für meine Unwissenheit. |
22.10.2007, 18:38 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox hängt sich auf Vermutlich hast du dann keinen Router. Stellst du immer manuell eine Verbindung zum Internet her oder bist quasi "daueran"? Wenn du immer manuell eine Verbindung herstellen musst, solltest du die Anleitung für User ohne Router befolgen.
__________________ Logfiles bitte immer in CODE-Tags posten |
22.10.2007, 19:08 | #5 |
| Firefox hängt sich auf Man kann noch ein Telefon anstecken und ein FAX Gerät, ich ziehe das Teil eigentlich nur nachts raus. Wenn es angesteckt ist und ich fahre den Rechner hoch, kann ich auch sofort ins Netz. Ich habe den Eintrag von besagter Datei gefixt, anschließend wollte ich diese Datei noch löschen, war jedoch nicht mehr auffindbar, das Problem besteht jedoch weiterhin. |
22.10.2007, 19:24 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox hängt sich auf Dann probier mal die Anleitung für User mit Router aus. Wichtig ist nur, dass du halt im abgesicherten Modus Netzwerkunterstützung bzw. eine Internetverbindung hast, um die neuesten Virensignaturen herunterladen zu können. Klappt das im abgesicherten Modus nicht, musst du diese im normalen Modus bei bestehender Internetverbindung herunterladen, aber im abgesicherten Modus das System scannen!
__________________ --> Firefox hängt sich auf |
23.10.2007, 14:17 | #7 |
| Firefox hängt sich auf Hier ist erstmal das Ergebnis des e-scan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.9 Sprache: German Virus-Datenbank Datum: 10/23/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "perfwo Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen. System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\Birgit Rockoff\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\785b6d83-7ad8c6b6/BaaaaBaa.class infiziert von "Exploit.Java.Gimsh.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Download\zugang_vorlagen.exe markiert als "not-a-virus:AdWare.Win32.Stud.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Internetsicherheit\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Internetsicherheit\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Silvio\Secured Downloading of ashampoo unistaller with New Secured eMule.zip/SecuredeMule0.47c_8_EN.EXE//WISE0015.BIN//data0015//data0005 markiert als "not-a-virus:AdWare.Win32.Shopper.l". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{A3E2BD2E-93D6-4A75-B81F-99947669BB6C}\RP1\A0000318.exe markiert als "not-a-virus:AdWare.Win32.Stud.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File F:\Sicherung C\Download\zugang_vorlagen.exe markiert als "not-a-virus:AdWare.Win32.Stud.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\svkp.sys ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKLM\Software\ptech !!! Offending Key found: HKCR\magnet !!! Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\load !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\IBMTOOLS\APPS\PCDRWIN\SETUP2.EX2 nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\eRightSoft\SUPER\SUPER1.dlm nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\eRightSoft\SUPER\SUPER6.dlm nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 113392 Gefundene Viren: 13 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 168 Dauer des Scans bisher: 01:30:20 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 14:59:14,01 Batchende: 14:59:31,78 |
23.10.2007, 14:25 | #8 |
| Firefox hängt sich auf Ergebnis Silent Runners: "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "Inst" = "C:\WINDOWS\System\Inst.exe install" [empty string] "IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"] "HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"] "ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Sign-in Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS] {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Toolbar Helper" \InProcServer32\(Default) = "C:\Programme\Windows Live Toolbar\msntb.dll" [MS] {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL" ["klickTel AG"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] "{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\soa800.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\System\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] Default executables: -------------------- HKLM\Software\Classes\.scr\(Default) = "AutoCADScriptFile" <<!>> HKLM\Software\Classes\AutoCADScriptFile\shell\open\command\(Default) = "C:\WINDOWS\NOTEPAD.EXE "%1"" [MS] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Birgit Rockoff\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."] "Auf Updates für Windows Live Toolbar prüfen" -> launches: "C:\Programme\Windows Live Toolbar\MSNTBUP.EXE" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 16 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" -> {HKLM...CLSID} = "Windows Live Toolbar" \InProcServer32\(Default) = "C:\Programme\Windows Live Toolbar\msntb.dll" [MS] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7}" = (no title provided) -> {HKLM...CLSID} = "&klickTel Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL" ["klickTel AG"] "{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = (no title provided) -> {HKLM...CLSID} = "Windows Live Toolbar" \InProcServer32\(Default) = "C:\Programme\Windows Live Toolbar\msntb.dll" [MS] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS] HKLM\Software\Classes\CLSID\{FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7}\(Default) = "&klickTel Toolbar" Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar] InProcServer32\(Default) = "C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL" ["klickTel AG"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_02" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_02" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."] {49783ED4-258D-4F9F-BE11-137C18D3E543}\ "ButtonText" = "Titan Poker" "MenuText" = "Titan Poker" "Exec" = "C:\Poker\Titan Poker\casino.exe" [null data] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search & Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {FA9B9510-9FCB-4CA0-818C-5D0987B47C4D}\ "ButtonText" = "PokerStars.net" "Exec" = "C:\Programme\PokerStars.NET\PokerStarsUpdate.exe" ["PokerStars"] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"] AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] C-DillaCdaC11BA, C-DillaCdaC11BA, "C:\WINDOWS\system32\drivers\CDAC11BA.EXE" ["C-Dilla Ltd"] C-DillaSrv, C-DillaSrv, "C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE" ["C-Dilla Ltd"] Intel(R) NMS, NMSSvc, "C:\WINDOWS\System32\NMSSvc.exe" ["Intel Corporation"] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- (launch time: 2007-10-23 15:22:34) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 77 seconds, including 11 seconds for message boxes) |
23.10.2007, 14:44 | #9 |
| Firefox hängt sich auf Ergebnis combofix: Das System hat sich zunächst aufgehängt und wurde nach einem schweren Systemfehler neugestartet. ComboFix 07-10-21.1** - 2007-10-23 15:31:16.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.213 [GMT 2:00] ausgeführt von:: C:\Internetsicherheit\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com . ((((((((((((((((((((((( Dateien erstellt von 2007-09-23 bis 2007-10-23 )))))))))))))))))))))))))))))) . 2007-10-23 13:27 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-10-23 13:27 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-10-23 13:27 <DIR> d-a------ C:\WINDOWS\system32\systems.txt 2007-10-23 13:27 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-10-23 13:27 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-10-23 13:27 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-10-23 13:27 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2007-10-23 13:19 153,600 --a------ C:\WINDOWS\R.COM 2007-10-23 13:19 140,800 --a------ C:\WINDOWS\system32\T.COM 2007-10-21 16:25 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-10 15:29 582,656 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll 2007-10-07 16:46 <DIR> d-------- C:\Program Files 2007-10-06 13:42 2,266 --a------ C:\WINDOWS\system32\tmp.reg . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-22 18:41 --------- d-----w C:\Programme\eMule.de 0.46c v17 2007-10-10 09:30 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\LimeWire 2007-09-28 19:50 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2 2007-09-20 21:17 --------- d-----w C:\Programme\DivX 2007-09-17 18:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll 2007-09-17 18:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll 2007-09-17 18:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll 2007-09-17 18:22 739,840 ----a-w C:\WINDOWS\system32\DivX.dll 2007-09-15 08:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-09-13 22:47 --------- d-----w C:\Programme\Lavasoft 2007-09-13 22:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-09-13 22:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2007-09-11 23:14 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2007-09-10 09:13 --------- d-----w C:\Programme\Google 2007-09-10 08:51 --------- d-----w C:\Programme\klickTel 2007-09-08 13:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2007-09-07 20:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ashampoo 2007-09-07 10:37 --------- d-----w C:\Programme\PokerStars.NET 2007-09-05 09:34 --------- d-----w C:\Programme\OpenTTD 2007-08-27 15:49 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-08-27 15:49 --------- d-----w C:\Programme\Intuwave Ltd 2007-08-23 19:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-21 06:16 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll 2007-08-21 00:26 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll 2007-08-21 00:26 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2007-08-20 09:55 824,832 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll 2007-08-20 09:55 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll 2007-08-20 09:55 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll 2007-08-20 09:55 6,058,496 ------w C:\WINDOWS\system32\dllcache\ieframe.dll 2007-08-20 09:55 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2007-08-20 09:55 477,696 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll 2007-08-20 09:55 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll 2007-08-20 09:55 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll 2007-08-20 09:55 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll 2007-08-20 09:55 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll 2007-08-20 09:55 3,584,512 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2007-08-20 09:55 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll 2007-08-20 09:55 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll 2007-08-20 09:55 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll 2007-08-20 09:55 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll 2007-08-20 09:55 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll 2007-08-20 09:55 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll 2007-08-20 09:55 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll 2007-08-20 09:55 132,608 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll 2007-08-20 09:55 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll 2007-08-20 09:55 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll 2007-08-20 09:55 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll 2007-08-20 09:55 1,152,000 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll 2007-08-17 10:20 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2007-08-17 10:19 63,488 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2007-08-17 10:19 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2007-08-17 07:34 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll 2007-08-15 22:33 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2007-08-15 22:33 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-08-15 22:33 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-08-15 22:33 129,784 ------w C:\WINDOWS\system32\pxafs.dll 2007-08-15 22:33 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe 2007-08-15 22:33 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe 2007-08-15 22:33 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2007-08-15 22:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2007-08-15 22:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2007-08-15 22:31 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2007-08-15 22:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2007-08-15 22:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2007-08-15 22:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2007-08-15 22:30 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2004-10-01 13:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe 2005-05-13 16:12:00 217,073 --sha-r C:\WINDOWS\meta4.exe 2005-10-24 10:13:58 66,560 --sha-r C:\WINDOWS\MOTA113.exe 2005-10-13 20:27:00 422,400 --sha-r C:\WINDOWS\x2.64.exe 2005-10-07 18:14:52 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll 2005-07-14 11:31:20 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll 2005-06-26 14:32:28 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll 2005-06-21 21:37:42 45,568 --sha-r C:\WINDOWS\system32\cygz.dll 2004-01-24 23:00:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll 2006-04-27 09:24:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll 2005-02-28 12:16:22 240,128 --sha-r C:\WINDOWS\system32\x.264.exe 2004-01-24 23:00:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57] "Inst"="C:\WINDOWS\System\Inst.exe" [2002-04-02 17:42] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-06-21 17:48] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-06-21 17:44] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-06-11 00:13] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^klickTel Herbst 2006 - Schnellstarter.lnk] path=C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\klickTel Herbst 2006 - Schnellstarter.lnk backup=C:\WINDOWS\pss\klickTel Herbst 2006 - Schnellstarter.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load] C:\Progra~1\TBridge\Flatbed.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "TermService"=3 (0x3) "TapiSrv"=3 (0x3) "RDSessMgr"=3 (0x3) "mnmsrvc"=3 (0x3) "usnjsvc"=3 (0x3) "LightScribeService"=2 (0x2) "IDriverT"=3 (0x3) "gusvc"=3 (0x3) R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys R2 ppsio;PrmxPPDev;C:\WINDOWS\system32\drivers\ppsio.sys R2 SVKP;SVKP;\??\C:\WINDOWS\system32\SVKP.sys S2 NMSSvc;Intel(R) NMS;C:\WINDOWS\System32\NMSSvc.exe S3 bfastfao;bfastfao;\??\C:\DOKUME~1\***~1\LOKALE~1\Temp\bfastfao.sys S3 C-Dilla;C-Dilla;\??\C:\WINDOWS\system32\drivers\CDANT.SYS S3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\system32\DRIVERS\netrcacm.sys *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners "2007-10-19 15:32:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" "2007-10-23 13:08:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job" . ************************************************************************** catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-23 15:35:18 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-10-23 15:36:27 . --- E O F --- Geändert von ivan81 (23.10.2007 um 15:35 Uhr) |
23.10.2007, 20:47 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox hängt sich auf Da wären ein paar Kandidaten zur Auswertung bei Virustotal: Code:
ATTFilter C:\WINDOWS\NOTEPAD.EXE C:\WINDOWS\system32\drivers\oreans32.sys C:\WINDOWS\system32\drivers\ppsio.sys C:\WINDOWS\system32\SVKP.sys C:\DOKUME~1\***~1\LOKALE~1\Temp\bfastfao.sys
__________________ Logfiles bitte immer in CODE-Tags posten |
23.10.2007, 21:23 | #11 |
| Firefox hängt sich auf Die Datei bfastfao.sys konnte ich nicht finden, hier die Ergegnisse der anderen Dateien: notepad.exe Göße:69kB Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.24.0 2007.10.23 - AntiVir 7.6.0.27 2007.10.23 - Authentium 4.93.8 2007.10.23 - Avast 4.7.1051.0 2007.10.22 - AVG 7.5.0.488 2007.10.23 - BitDefender 7.2 2007.10.23 - CAT-QuickHeal 9.00 2007.10.23 - ClamAV 0.91.2 2007.10.23 - DrWeb 4.44.0.09170 2007.10.23 - eSafe 7.0.15.0 2007.10.22 - eTrust-Vet 31.2.5233 2007.10.23 - Ewido 4.0 2007.10.23 - FileAdvisor 1 2007.10.23 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.23 - F-Secure 6.70.13030.0 2007.10.23 - Ikarus T3.1.1.12 2007.10.23 - Kaspersky 7.0.0.125 2007.10.23 - McAfee 5147 2007.10.23 - Microsoft 1.2908 2007.10.23 - NOD32v2 2610 2007.10.23 - Norman 5.80.02 2007.10.23 - Panda 9.0.0.4 2007.10.23 - Prevx1 V2 2007.10.23 - Rising 19.46.12.00 2007.10.23 - Sophos 4.22.0 2007.10.23 - Sunbelt 2.2.907.0 2007.10.23 - Symantec 10 2007.10.23 - TheHacker 6.2.9.105 2007.10.23 - VBA32 3.12.2.4 2007.10.22 - VirusBuster 4.3.26:9 2007.10.23 - Webwasher-Gateway 6.0.1 2007.10.23 - weitere Informationen File size: 70144 bytes MD5: 362d1687892bcf1fcd725d3169c7fc0e SHA1: 24bc68969283dab955ebc58d44810412d2ef8150 oreans32.sys 34 KB Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.24.0 2007.10.23 - AntiVir 7.6.0.27 2007.10.23 - Authentium 4.93.8 2007.10.23 - Avast 4.7.1051.0 2007.10.22 - AVG 7.5.0.488 2007.10.23 - BitDefender 7.2 2007.10.23 - CAT-QuickHeal 9.00 2007.10.23 - ClamAV 0.91.2 2007.10.23 - DrWeb 4.44.0.09170 2007.10.23 - eSafe 7.0.15.0 2007.10.22 - eTrust-Vet 31.2.5233 2007.10.23 Win32/VMalum.BIQD Ewido 4.0 2007.10.23 - FileAdvisor 1 2007.10.23 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.23 W32/Trojan.CDWY F-Secure 6.70.13030.0 2007.10.23 - Ikarus T3.1.1.12 2007.10.23 - Kaspersky 7.0.0.125 2007.10.23 - McAfee 5147 2007.10.23 - Microsoft 1.2908 2007.10.23 - NOD32v2 2610 2007.10.23 - Norman 5.80.02 2007.10.23 - Panda 9.0.0.4 2007.10.23 - Prevx1 V2 2007.10.23 - Rising 19.46.12.00 2007.10.23 - Sophos 4.22.0 2007.10.23 - Sunbelt 2.2.907.0 2007.10.23 - Symantec 10 2007.10.23 - TheHacker 6.2.9.105 2007.10.23 - VBA32 3.12.2.4 2007.10.22 - VirusBuster 4.3.26:9 2007.10.23 - Webwasher-Gateway 6.0.1 2007.10.23 - weitere Informationen File size: 33824 bytes MD5: 21dc5b289dce2d32a32baab7bcf29a6a SHA1: b843fe0e71b4475ee390d133fa14aa1d68d1ac0d PPSIO.SYS 23KB Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.24.0 2007.10.23 - AntiVir 7.6.0.27 2007.10.23 - Authentium 4.93.8 2007.10.23 - Avast 4.7.1051.0 2007.10.22 - AVG 7.5.0.488 2007.10.23 - BitDefender 7.2 2007.10.23 - CAT-QuickHeal 9.00 2007.10.23 - ClamAV 0.91.2 2007.10.23 - DrWeb 4.44.0.09170 2007.10.23 - eSafe 7.0.15.0 2007.10.22 - eTrust-Vet 31.2.5233 2007.10.23 - Ewido 4.0 2007.10.23 - FileAdvisor 1 2007.10.23 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.23 - F-Secure 6.70.13030.0 2007.10.23 - Ikarus T3.1.1.12 2007.10.23 - Kaspersky 7.0.0.125 2007.10.23 - McAfee 5147 2007.10.23 - Microsoft 1.2908 2007.10.23 - NOD32v2 2610 2007.10.23 - Norman 5.80.02 2007.10.23 - Panda 9.0.0.4 2007.10.23 - Prevx1 V2 2007.10.23 - Rising 19.46.12.00 2007.10.23 - Sophos 4.22.0 2007.10.23 - Sunbelt 2.2.907.0 2007.10.23 - Symantec 10 2007.10.23 - TheHacker 6.2.9.105 2007.10.23 - VBA32 3.12.2.4 2007.10.22 - VirusBuster 4.3.26:9 2007.10.23 - Webwasher-Gateway 6.0.1 2007.10.23 - weitere Informationen File size: 22688 bytes MD5: 3c4860889d5cf3f7c06199e045d64774 SHA1: 14d95be501bdebab00bc24a1648014493c808757 SVKP.sys 3KB Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.24.0 2007.10.23 - AntiVir 7.6.0.27 2007.10.23 - Authentium 4.93.8 2007.10.23 - Avast 4.7.1051.0 2007.10.22 - AVG 7.5.0.488 2007.10.23 - BitDefender 7.2 2007.10.23 - CAT-QuickHeal 9.00 2007.10.23 TrojanSpy.Joiner.av ClamAV 0.91.2 2007.10.23 - DrWeb 4.44.0.09170 2007.10.23 - eSafe 7.0.15.0 2007.10.22 - eTrust-Vet 31.2.5233 2007.10.23 - Ewido 4.0 2007.10.23 - FileAdvisor 1 2007.10.23 - Fortinet 3.11.0.0 2007.10.19 SPY/Joiner F-Prot 4.3.2.48 2007.10.23 - F-Secure 6.70.13030.0 2007.10.23 - Ikarus T3.1.1.12 2007.10.23 - Kaspersky 7.0.0.125 2007.10.23 - McAfee 5147 2007.10.23 - Microsoft 1.2908 2007.10.23 - NOD32v2 2610 2007.10.23 - Norman 5.80.02 2007.10.23 - Panda 9.0.0.4 2007.10.23 - Prevx1 V2 2007.10.23 - Rising 19.46.12.00 2007.10.23 - Sophos 4.22.0 2007.10.23 - Sunbelt 2.2.907.0 2007.10.23 - Symantec 10 2007.10.23 - TheHacker 6.2.9.105 2007.10.23 - VBA32 3.12.2.4 2007.10.22 - VirusBuster 4.3.26:9 2007.10.23 - Webwasher-Gateway 6.0.1 2007.10.23 - weitere Informationen File size: 2368 bytes MD5: f05028b163b92c302a74409d683ac9b0 SHA1: 74a943b9f3bf63f8de5c3175f96366b24a661067 Das e-Scan hat ja auch noch einiges gefunden, was ist damit? |
24.10.2007, 19:47 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox hängt sich auf Nochmal dieser Eintrag: Code:
ATTFilter R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys Ich vermute, du hast da irgendeine modifizierte Form dieses Schädlings drauf, deswegen wird der von sowenig Scannern erkannt. Da der Dritten unbefugten Zugruff auf deinen Rechner ermöglicht, solltest du das System neu aufsetzen, absichern und danach auch sämtliche Passwörter ändern. Folge dem Link "neu aufsetzen" in meiner Signatur für mehr Details.
__________________ Logfiles bitte immer in CODE-Tags posten |
24.10.2007, 21:12 | #13 |
| Firefox hängt sich auf Mit dem Aufsetzen habe ich ein Problem, dazu wird doch sicher die Windows CD benötigt, diese habe ich jedoch nicht. Das ist ein ausgemusterter Firmenrechner, auf dem die Originalsoftware neuinstalliert wurde, ich habe jedoch keinerlei CD's dazubekommen, eben nur den PC. Hier nochmal das Ergebnis der oreans32.sys: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.25.0 2007.10.24 - AntiVir 7.6.0.27 2007.10.24 - Authentium 4.93.8 2007.10.24 - Avast 4.7.1074.0 2007.10.23 - AVG 7.5.0.488 2007.10.24 - BitDefender 7.2 2007.10.24 - CAT-QuickHeal 9.00 2007.10.23 - ClamAV 0.91.2 2007.10.24 - DrWeb 4.44.0.09170 2007.10.24 - eSafe 7.0.15.0 2007.10.22 - eTrust-Vet 31.2.5237 2007.10.24 Win32/VMalum.BIQD Ewido 4.0 2007.10.24 - FileAdvisor 1 2007.10.24 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.23 W32/Trojan.CDWY F-Secure 6.70.13030.0 2007.10.24 - Ikarus T3.1.1.12 2007.10.24 - Kaspersky 7.0.0.125 2007.10.24 - McAfee 5147 2007.10.23 - Microsoft 1.2908 2007.10.24 - NOD32v2 2614 2007.10.24 - Norman 5.80.02 2007.10.24 - Panda 9.0.0.4 2007.10.23 - Prevx1 V2 2007.10.24 - Rising 19.46.22.00 2007.10.24 - Sophos 4.22.0 2007.10.24 - Sunbelt 2.2.907.0 2007.10.24 - Symantec 10 2007.10.24 - TheHacker 6.2.9.106 2007.10.24 - VBA32 3.12.2.4 2007.10.24 - VirusBuster 4.3.26:9 2007.10.24 - Webwasher-Gateway 6.6.1 2007.10.24 - weitere Informationen File size: 33824 bytes MD5: 21dc5b289dce2d32a32baab7bcf29a6a SHA1: b843fe0e71b4475ee390d133fa14aa1d68d1ac0d |
25.10.2007, 17:41 | #14 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox hängt sich aufZitat:
Wenn der wirklich nicht neu aufgesetzt wurde, wäre das noch ein Grund mehr, sogar unabhängig von einem Befall. Wäre jedenfalls ziemlich fahrlässig solche Rechner einfach weiterzugeben, denn auf der Festplatte sind ja noch Firmendaten gespeichert. Die Festplatte hätte vor der Herausgabe des Rechners sicher gelöscht werden sollen (z.B. mit DBAN). Da auch immer pro Rechner eine Lizenz für Windows benötigt wird, sollte man dir diese zusammen mit der Windows-CD eigentlich gegeben haben. Da solltest du nochmal nachhaken.
__________________ Logfiles bitte immer in CODE-Tags posten |
25.10.2007, 19:10 | #15 |
| Firefox hängt sich auf Die Festplatte wurde entweder gelöscht oder sogar ausgetauscht, und danach die Original Windows Version wieder draufgespielt. Firmendaten hätten da wahrscheinlich eh keine draufsein können, da dieser ganze Firmeninterne Krams auf einem oder mehreren Zentralrechner gespeichert wird. Mir wurde eben gesagt, dass dieses Windows zur dieser Firma gehört und eben nur auf diesen Rechner draufgespielt werden darf, daher habe ich auch keinerlei Software auf Datenträgern dazubekommen. |
Themen zu Firefox hängt sich auf |
ad-aware, adobe, antispyware, bho, dateien, drivers, excel, explorer, file, firefox, hijack, hängt, hängt sich auf, internet, internet explorer, microsoft, monitor, mozilla, mozilla firefox, object, pdf, programme, seiten, sicherheit, smitfraudfix, software, system, windows\system32\drivers |