| |
| |||||||
Log-Analyse und Auswertung: Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
29.10.2007, 21:07
| #1 |
| |  Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Hallo zusammen! Ich hoffe hier im Forum kann mir jemand helfen. Ich habe ein riesiges Problem mit „Malware“. Mein Desktophintergrund zeigt eine Warnung "Your privacy is in Danger" an, zusätzlich sind auf meinem Desktop Links zu „ Privacy Protector“, „Error Cleaner“, „Spyware&Maleware Protection“ aufgetaucht. Weiterhin tauchen permanent Pop-Ups / neu Fenster wie „ Spyware alert“, „pcsecuresystem.com“, "yourPrivacyGuard“, „ucleaner.com“ und ähnliches auf, die einen auffordern z.B. ein Tool aus dem Netz herunter zuladen. Zudem zeigt mein BitDefender dauernd an, dass mein Computer mit einem Trojaner infiziert ist („Trojan.Agent.ABSG“, Trojan Downloader. Agent.YNG“, Trojan.Generic.45239“, etc.). Ein normales Arbeiten ist absolut nicht mehr möglich!!!! Ich habe schon Spybot installiert und laufen lassen. Ebenso Ad-Aware 2007. Auch im abgesicherten Modus (F8). Zusätzlich habe ich den Online-Scanner von www.kasperski.com ausprobiert. Es konnte zwar immer etwas gefunden und auch gelöscht werden, aber geholfen hat es nichts. Zusätzlich habe ich ein Programm („SmitfraudFix“) aus einem andren Forum (http://siri.geekstogo.com/SmitfraudFix_De.php) herunter geladen. Im ersten Moment dachte ich es hätte geklappt, da der Desktophintergrund sowie die Links verschwunden waren, aber dann ist alles wieder Stück für Stück aufgetaucht. Hier im Forum (http://www.trojaner-board.de/44913-habe-einen-trojaner-virus-und-keine-ahnung-von-soetwas-laest-sich-nicht-entfernen.html) habe ich den Hinweis von „Cleriker“ auf HijackThis gefunden. Hier ist der entsprechende logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:40:53, on 29.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\mHotkey.exe C:\WINDOWS\system32\CmUCReye.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Medion Info Display\MdionLCM.exe C:\Programme\Audio\Winamp\winampa.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Softwin\BitDefender10\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Microsoft Works\WkDStore.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\Programme\Internet\thunderbird.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Hijackthis\puefung.com\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: MSVPS System - {AC546B33-036A-41DA-B1CC-C1D15659520E} - C:\WINDOWS\movctrlflm.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Audio\Winamp\winampa.exe O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c " O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [NI.UGA6P_0001_N119M1510] "c:\dokumente und einstellungen\***\anwendungsdaten\install_en[1].exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937 O17 - HKLM\System\CCS\Services\Tcpip\..\{BF6DCDF3-DCF5-4343-BA82-37C22128A461}: NameServer = 213.168.112.60,194.8.194.8 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: bxsbang - {70ABE97F-C667-46A2-A108-331B92B1721B} - C:\WINDOWS\bxsbang.dll O21 - SSODL: ocgrep - {758A9514-7F10-4620-BFB1-4A511BC43082} - C:\WINDOWS\ocgrep.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm -- End of file - 10471 bytes Ich hoffe es kann mir jemand bei dieser Sch**** helfen! Vielen Dank schon mal im voraus. |
|
29.10.2007, 21:14
| #2 |
| /// AVZ-Toolkit Guru   | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Hallöle.
__________________Folge bitte der nachstehenden Anleitung damit wir einen besseren Überblick über dein System erhalten: -Deaktiviere die Systemwiederherstellung auf allen Laufwerken. -Deinstalliere Java über die Systemsteuerung. -Lasse Silentrunners laufen und poste die logFiles.. -Fixe folgende Einträge mit Hijackthis: * O2 - BHO: MSVPS System - {AC546B33-036A-41DA-B1CC-C1D15659520E} - C:\WINDOWS\movctrlflm.dll * * O4 - HKLM\..\Run: [NI.UGA6P_0001_N119M1510] "c:\dokumente und einstellungen\***\anwendungsdaten\install_en[1].exe" * * O21 - SSODL: bxsbang - {70ABE97F-C667-46A2-A108-331B92B1721B} - C:\WINDOWS\bxsbang.dll * * O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - Medionshop.de (file missing) (HKCU) * * O21 - SSODL: ocgrep - {758A9514-7F10-4620-BFB1-4A511BC43082} - C:\WINDOWS\ocgrep.dll * * O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm * -Räume danach umgehen mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen). -Danach lasse SmitfraudFix nocheinmal laufen. Allerdings im normalen Modus ohne Neustart ! -Run Combofix. Poste den erscheinenden Text. -Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren). -Folge dieser Anleitung. -Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report). -Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.
__________________ |
|
31.10.2007, 17:48
| #3 |
| | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Hallo Undoreal.
__________________Erst einmal vielen Dank für die Antwort!!!! Habe gestern schon einmal fast den ganzen Vorgang durchgezogen, aber keine LogFiles gepostet. Bis heute morgen sah alles nach Erfolg aus. Bevor ich zur Arbeit gegangen bin, habe ich noch ein letztes mal Ad-aware laufen lassen. Zu den letzten drei Punkten in Deiner Anleitung war ich da noch nicht gekommen. Nach der Arbeit war mein Bildschirm wieder voller Pop-Ups und das "bekannte" Hintergrundbild war wieder da. Jetzt Versuche ich es noch einmal und poste zwischen durch immer die gewünschten LogFiles. Was ist eigentlich mit dem letzten Punkt gemeint?: "-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log. " Hier der Erste LogFile(SilentRunner): "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."] "Personal ID" = "C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE" ["coolspot AG"] "WMPNSCFG" = "C:\Programme\Windows Media Player\WMPNSCFG.exe" [MS] "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "AntivirusRegistration" = "C:\Programme\CA\Etrust Antivirus\Register.exe" [null data] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS] "MSPY2002" = "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data] "PHIME2002ASync" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS] "PHIME2002A" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS] "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "CHotkey" = "mHotkey.exe" [empty string] "CmUCRRun" = "C:\WINDOWS\system32\CmUCReye.exe" [empty string] "RemoteControl" = ""C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."] "MedionVFD" = ""C:\Programme\Medion Info Display\MdionLCM.exe"" ["Dritek System Inc."] "WinampAgent" = "C:\Programme\Audio\Winamp\winampa.exe" [null data] "InstantOn" = ""C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "" [null data] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" ["Sony Ericsson Mobile Communications AB"] "BDMCon" = ""C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg" ["SOFTWIN S.R.L."] "BDAgent" = ""C:\Programme\Softwin\BitDefender10\bdagent.exe"" ["SOFTWIN S.R.L."] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "ALDI_SUED_FotoSuite_Download" = ""C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun" ["MAGIX AG"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = (no title provided) -> {HKLM...CLSID} = "Skype add-on (mastermind)" \InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"] {AC546B33-036A-41DA-B1CC-C1D15659520E}\(Default) = (no title provided) -> {HKLM...CLSID} = "MSVPS System" \InProcServer32\(Default) = "C:\WINDOWS\movctrlflm.dll" [empty string] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager" -> {HKLM...CLSID} = "Sony Ericsson Datei-Manager" \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] "ocgrep" = "{12BC10EF-3AE2-40FB-8C3F-33AE19C8D839}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\ocgrep.dll" [null data] "bxsbang" = "{A4BA6EBC-573D-4A74-AE61-CFA613978070}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\bxsbang.dll" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ <<!>> "AppInit_DLLs" = "sockspy.dll" [null data] HKLM\System\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Active Desktop web content (hidden if disabled): HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "FriendlyName" = "Privacy Protection" "Source" = "file:///C:\WINDOWS\privacy_danger\index.htm" "SubscribedURL" = "" Startup items in "Trierweiler" & "All Users" startup folders: ------------------------------------------------------------- C:\Dokumente und Einstellungen\Trierweiler\Startmenü\Programme\Autostart "hamachi" -> shortcut to: "C:\Programme\Hamachi\hamachi.exe" ["LogMeIn Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {77BF5300-1474-4EC7-9980-D32B190E9B07}\ "ButtonText" = "Skype" "CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}" -> {HKLM...CLSID} = "Skype add-on (button)" \InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."] {B205A35E-1FC4-4CE3-818B-899DBBB3388C}\ {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search & Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.aldi.com Missing lines (compared with English-language version): [Strings]: 1 line HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*g" (unwritable string) -> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"] BitDefender Communicator, XCOMM, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["SOFTWIN S.R.L"] BitDefender Desktop Update Service, LIVESRV, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service" ["SOFTWIN S.R.L."] BitDefender Scan Server, bdss, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data] BitDefender Virus Shield, VSSERV, ""C:\Programme\Softwin\BitDefender10\vsserv.exe" /service" ["SOFTWIN S.R.L."] CyberLink Background Capture Service (CBCS), CLCapSvc, ""C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe"" [empty string] CyberLink Media Library Service, CyberLink Media Library Service, ""C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe"" ["Cyberlink"] Cyberlink RichVideo Service(CRVS), RichVideo, ""C:\Programme\CyberLink\Shared Files\RichVideo.exe"" [empty string] CyberLink Task Scheduler (CTS), CLSched, ""C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe"" [empty string] ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Programme\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."] LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Windows Media Player-Netzwerkfreigabedienst, WMPNetworkSvc, ""C:\Programme\Windows Media Player\WMPNetwk.exe"" [MS] X10 Device Network Service, x10nets, "C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe" ["X10"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] ---------- (launch time: 2007-10-31 17:35:47) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 247 seconds. ---------- (total run time: 384 seconds) |
|
31.10.2007, 18:05
| #4 | |
| /// AVZ-Toolkit Guru | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com"Zitat:
 http://www.trojaner-board.de/42731-escan-anleitung.html Am besten versuchst du afolgende Punkte ohne Neustart durchzuführen: -Deaktiviere die Systemwiederherstellung auf allen Laufwerken. -Deinstalliere Java über die Systemsteuerung. -Lasse Silentrunners laufen und poste die logFiles.. -Fixe folgende Einträge mit Hijackthis: * O2 - BHO: MSVPS System - {AC546B33-036A-41DA-B1CC-C1D15659520E} - C:\WINDOWS\movctrlflm.dll * * O4 - HKLM\..\Run: [NI.UGA6P_0001_N119M1510] "c:\dokumente und einstellungen\***\anwendungsdaten\install_en[1].exe" * * O21 - SSODL: bxsbang - {70ABE97F-C667-46A2-A108-331B92B1721B} - C:\WINDOWS\bxsbang.dll * * O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - Medionshop.de (file missing) (HKCU) * * O21 - SSODL: ocgrep - {758A9514-7F10-4620-BFB1-4A511BC43082} - C:\WINDOWS\ocgrep.dll * * O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm * -Räume danach umgehen mit CCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen). -Danach lasse SmitfraudFix nocheinmal laufen. Allerdings im normalen Modus ohne Neustart ! -Run Combofix. Poste den erscheinenden Text. -Danach lasse am besten CCleaner laufen und folge dieser Anleitung. Während dessen musst du neustarten. -Danach arbeite die restlichen 4 Punkte ab.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
31.10.2007, 18:11
| #5 |
| | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Hier das LogFile von ComboFix: ComboFix 07-10-29.1** - ***** 2007-10-31 18:05:07.2 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\****+\Lokale Einstellungen\Temporary Internet Files\Content.IE5\03TN6YJH\ComboFix[1].exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\dat.txt C:\WINDOWS\rs.txt C:\WINDOWS\search_res.txt . ((((((((((((((((((((((( Dateien erstellt von 2007-09-28 bis 2007-10-31 )))))))))))))))))))))))))))))) . 2007-10-30 21:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-30 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion 2007-10-30 20:32 <DIR> d--h----- C:\WINDOWS\PIF 2007-10-30 20:30 <DIR> d-------- C:\Programme\Yahoo! 2007-10-30 20:28 <DIR> d-------- C:\Programme\ccleaner 2007-10-30 20:17 <DIR> d-------- C:\Programme\Silent Runners 2007-10-26 16:02 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-10-26 16:02 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-10-26 16:02 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-10-26 16:02 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-10-26 16:02 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-10-25 16:01 4,052 --a------ C:\WINDOWS\system32\tmp.reg 2007-10-24 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Bitdefender 2007-10-24 06:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS 2007-10-24 06:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-10-24 06:29 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData 2007-10-24 06:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2007-10-24 06:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-10-24 06:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-10-24 06:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-10-24 06:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2007-10-24 06:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-10-24 06:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver 2007-10-24 06:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype 2007-10-24 06:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MAGIX 2007-10-24 06:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink 2007-10-24 06:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL 2007-10-24 06:29 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-10-23 22:50 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-10-23 22:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2007-10-23 21:12 <DIR> d-------- C:\Programme\Lavasoft 2007-10-23 21:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2007-10-23 21:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-10-23 19:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-10-22 17:41 286,720 --a------ C:\WINDOWS\movctrlflm.dll 2007-10-22 17:41 284,160 --a------ C:\WINDOWS\ocgrep.dll 2007-10-22 17:41 260,608 --a------ C:\WINDOWS\bxsbang.dll 2007-10-22 17:41 107,520 --a------ C:\WINDOWS\kthemup.exe 2007-10-15 23:09 1,419,232 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll 2007-10-15 23:09 19,424 --a------ C:\WINDOWS\system32\drivers\ggsemc.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-31 17:06 81,984 ----a-w C:\WINDOWS\system32\bdod.bin 2007-10-31 16:54 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Skype 2007-10-31 05:50 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Hamachi 2007-10-30 20:11 --------- d-----w C:\Programme\Internet 2007-10-29 20:13 4,132 ----a-w C:\Dokumente und Einstellungen\******\Anwendungsdaten\wklnhst.dat 2007-10-26 15:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime 2007-10-24 20:11 95,832 ----a-w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-10-24 16:59 --------- d-----w C:\Programme\ewido anti-spyware 4.0 2007-10-15 22:14 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2007-10-15 22:14 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf 2007-10-15 22:07 --------- d-----w C:\Programme\Sony Ericsson 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-20 18:18 133,522 ----a-w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\mdb.bin 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-07-09 13:11 584,192 ----a-w C:\WINDOWS\system32\rpcrt4.dll 2006-08-03 15:58 595 ----a-w C:\Programme\INSTALL.LOG 2005-11-19 14:14:09 56 --sh--r C:\WINDOWS\system32\9C8AECF9FD.sys 2005-10-09 10:25:40 8 --sh--r C:\WINDOWS\system32\A3DA537E26.sys 2005-11-19 14:14:09 5,538 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2007-10-30_21.07.44.93 ))))))))))))))))))))))))))))))))))))))))) . + 2007-10-31 06:20:41 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5e0.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AC546B33-036A-41DA-B1CC-C1D15659520E}] 2007-10-22 10:08 286720 --a------ C:\WINDOWS\movctrlflm.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AntivirusRegistration"="C:\Programme\CA\Etrust Antivirus\Register.exe" [2005-01-31 14:09] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 11:22] "nwiz"="nwiz.exe" [2006-10-22 11:22 C:\WINDOWS\system32\nwiz.exe] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 13:00] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 13:00] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 13:00] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 13:00] "RTHDCPL"="RTHDCPL.EXE" [2005-08-18 15:20 C:\WINDOWS\RTHDCPL.EXE] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50] "CHotkey"="mHotkey.exe" [2004-06-03 20:07 C:\WINDOWS\mHotkey.exe] "CmUCRRun"="C:\WINDOWS\system32\CmUCReye.exe" [2005-10-12 13:44] "RemoteControl"="C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 20:24] "MedionVFD"="C:\Programme\Medion Info Display\MdionLCM.exe" [2005-10-11 17:11] "WinampAgent"="C:\Programme\Audio\Winamp\winampa.exe" [2005-11-15 20:31] "InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 13:19] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-10-09 10:23] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17] "BDMCon"="C:\Programme\Softwin\BitDefender10\bdmcon.exe" [2007-04-17 17:22] "BDAgent"="C:\Programme\Softwin\BitDefender10\bdagent.exe" [2007-03-29 17:10] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 11:22] "ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 16:44] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-05-07 09:32] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-05 18:33] "Personal ID"="C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE" [2007-05-11 14:04] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:56] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 15:46] C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Autostart\ hamachi.lnk - C:\Programme\Hamachi\hamachi.exe [2007-07-17 20:09:28] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "ocgrep"= {12BC10EF-3AE2-40FB-8C3F-33AE19C8D839} - C:\WINDOWS\ocgrep.dll [2007-10-22 10:07 284160] "bxsbang"= {A4BA6EBC-573D-4A74-AE61-CFA613978070} - C:\WINDOWS\bxsbang.dll [2007-10-22 10:07 260608] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=sockspy.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALDI_SUED_FotoSuite] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ledpointer] CNYHKey.exe R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;C:\WINDOWS\system32\DRIVERS\cmiucr.SYS S3 W700bus;Sony Ericsson W700 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\W700bus.sys S3 W700mdfl;Sony Ericsson W700 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\W700mdfl.sys S3 W700mdm;Sony Ericsson W700 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\W700mdm.sys S3 W700mgmt;Sony Ericsson W700 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\W700mgmt.sys S3 W700obex;Sony Ericsson W700 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\W700obex.sys S3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\system32\DRIVERS\wdmwanmp.sys . ************************************************************************** catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-31 18:08:09 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-10-31 18:09:41 C:\ComboFix2.txt ... 2007-10-30 21:08 . --- E O F --- |
|
31.10.2007, 23:26
| #6 |
| | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Hallo, hier ist das HijackThis LogFile (nach dem ganzen Durchlauf): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:26:33, on 31.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\mHotkey.exe C:\WINDOWS\system32\CmUCReye.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Medion Info Display\MdionLCM.exe C:\Programme\Audio\Winamp\winampa.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Softwin\BitDefender10\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Skype\Phone\Skype.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Hijackthis\puefung.com\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Audio\Winamp\winampa.exe O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c " O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937 O17 - HKLM\System\CCS\Services\Tcpip\..\{BF6DCDF3-DCF5-4343-BA82-37C22128A461}: NameServer = 213.168.112.60,194.8.194.8 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: ocgrep - {DD58A23D-2042-4E06-80D3-3EB97616A418} - C:\WINDOWS\ocgrep.dll O21 - SSODL: bxsbang - {6AB71613-8200-4E6F-948F-BF5B5CA68591} - C:\WINDOWS\bxsbang.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 10008 bytes |
|
31.10.2007, 23:39
| #7 |
| | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Der iClean Report paßt hier nicht rein (zu groß). |
|
02.11.2007, 10:27
| #8 |
| /// AVZ-Toolkit Guru | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Dann kürze bitte die " Restrcted Area" Einträge raus. Lasse folgende Datei auf VT überprüfen und posten den Bericht: " C:\WINDOWS\kthemup.exe " Dann sollten wir wissen womit wir es zu tun haben..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
05.11.2007, 19:20
| #9 |
| | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Hallo Undoreal! Danke für die Antwort. War ein paar Tage nicht da, deshalb erst jetzt meine Antwort. Leider hat der letzte Säuberungsvorgang nicht viel gebracht. Hier ist der gekürzte iClean log: iclean log 31.10.2007 23:30:57 Windows XP SP2, Using advanced Kernel functions Processes --------- 596 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe 672 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe 696 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe 752 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller 764 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version) 924 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 976 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 1224 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 1344 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 1428 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 1508 - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe - Ad-Aware 2007 Service (Signed) 1752 - C:\WINDOWS\Explorer.EXE - Windows Explorer 1904 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel 1920 - C:\WINDOWS\mHotkey.exe - Multimedia Keyboard Driver 1928 - C:\WINDOWS\system32\CmUCReye.exe - CmCardMonitor MFC Application 1936 - C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe - PowerDVD RC Service 1960 - C:\Programme\Medion Info Display\MdionLCM.exe - LCM Controller for Medion 1968 - C:\Programme\Audio\Winamp\winampa.exe - C:\Programme\Audio\Winamp\winampa.exe 1976 - C:\Programme\QuickTime\qttask.exe - C:\Programme\QuickTime\qttask.exe 1984 - Application Lau - Application Lau 1992 - C:\Programme\Softwin\BitDefender10\bdmcon.exe - BitDefender Management Console 2000 - C:\Programme\Softwin\BitDefender10\bdagent.exe - BDAgent Application 2008 - C:\WINDOWS\system32\RUNDLL32.EXE - Eine DLL-Datei als Anwendung ausführen 2028 - C:\Programme\Skype\Phone\Skype.exe - Skype. Take a deep breath (Signed) 180 - C:\Programme\Messenger\msmsgs.exe - Windows Messenger 188 - GoogleToolbarNo - GoogleToolbarNo 200 - C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE - http://www.personalid.de 224 - C:\Programme\Windows Media Player\WMPNSCFG.exe - Windows Media Player Network Sharing Service Configuration Application 196 - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed) 424 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App (Hidden) 512 - CapabilityManag - CapabilityManag 1580 - C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe - Generic Device Management Executable. 1812 - C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe - CAPI_Worker Module 1864 - C:\Programme\Skype\Plugin Manager\skypePM.exe - Skype Extras Manager (Signed) 1268 - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe - CLCapSvc Module 1292 - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe - NT CLMLServer 1264 - C:\Programme\ewido anti-spyware 4.0\guard.exe - ewido anti-spyware guard 1704 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 2052 - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe 2084 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 93.71 2236 - C:\Programme\CyberLink\Shared Files\RichVideo.exe - RichVideo Module 2444 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe - X10 Module 2592 - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe - BitDefender Communicator Server 2732 - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe - BitDefender Security Service 2860 - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe 2908 - C:\Programme\Windows Media Player\WMPNetwk.exe - Windows Media Player-Netzwerkfreigabedienst 3140 - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe - CLSched Module 3560 - C:\Programme\Softwin\BitDefender10\vsserv.exe - BitDefender Security Service 1540 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service 3404 - C:\Programme\Internet Explorer\IEXPLORE.EXE - Internet Explorer 2400 - C:\Programme\Internet Explorer\IEXPLORE.EXE - Internet Explorer 2744 - C:\Programme\Hijackthis\puefung.com\HijackThis.exe - HijackThis (Signed) 3480 - C:\WINDOWS\system32\NOTEPAD.EXE - Editor 2584 - C:\Programme\iClean\iclean.exe - Interactive Cleaner Services -------- c:\programme\lavasoft\ad-aware 2007\aawservice.exe=aawservice C:\WINDOWS\system32\alg.exe=ALG C:\WINDOWS\system32\svchost.exe=AudioSrv c:\programme\gemeinsame dateien\softwin\bitdefender scan server\bdss.exe=bdss C:\WINDOWS\system32\svchost.exe=BITS C:\WINDOWS\system32\svchost.exe=Browser c:\programme\home cinema\powercinema\kernel\tv\clcapsvc.exe=CLCapSvc c:\programme\home cinema\powercinema\kernel\tv\clsched.exe=CLSched C:\WINDOWS\system32\svchost.exe=CryptSvc c:\programme\home cinema\powercinema\kernel\clml_ntservice\clmlserver.exe=CyberLink Media Library Service C:\WINDOWS\system32\svchost.exe=DcomLaunch C:\WINDOWS\system32\svchost.exe=Dhcp C:\WINDOWS\system32\svchost.exe=Dnscache C:\WINDOWS\system32\svchost.exe=ERSvc C:\WINDOWS\system32\services.exe=Eventlog c:\windows\system32\svchost.exe=EventSystem c:\programme\ewido anti-spyware 4.0\guard.exe=ewido anti-spyware 4.0 guard C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility C:\WINDOWS\system32\svchost.exe=helpsvc C:\WINDOWS\system32\svchost.exe=HidServ C:\WINDOWS\system32\svchost.exe=HTTPFilter C:\WINDOWS\system32\svchost.exe=lanmanserver C:\WINDOWS\system32\svchost.exe=lanmanworkstation c:\programme\gemeinsame dateien\lightscribe\lssrvc.exe=LightScribeService c:\programme\gemeinsame dateien\softwin\bitdefender update service\livesrv.exe=LIVESRV C:\WINDOWS\system32\svchost.exe=LmHosts C:\WINDOWS\system32\svchost.exe=Netman C:\WINDOWS\system32\svchost.exe=Nla C:\WINDOWS\system32\nvsvc32.exe=NVSvc C:\WINDOWS\system32\services.exe=PlugPlay C:\WINDOWS\system32\lsass.exe=PolicyAgent C:\WINDOWS\system32\lsass.exe=ProtectedStorage C:\WINDOWS\system32\svchost.exe=RasMan c:\programme\cyberlink\shared files\richvideo.exe=RichVideo C:\WINDOWS\system32\svchost.exe=RpcSs C:\WINDOWS\system32\lsass.exe=SamSs C:\WINDOWS\system32\svchost.exe=Schedule C:\WINDOWS\system32\svchost.exe=seclogon C:\WINDOWS\system32\svchost.exe=SENS C:\WINDOWS\system32\svchost.exe=SharedAccess C:\WINDOWS\system32\svchost.exe=ShellHWDetection C:\WINDOWS\system32\spoolsv.exe=Spooler C:\WINDOWS\system32\svchost.exe=SSDPSRV C:\WINDOWS\system32\svchost.exe=TapiSrv C:\WINDOWS\system32\svchost.exe=TermService C:\WINDOWS\system32\svchost.exe=Themes C:\WINDOWS\system32\svchost.exe=TrkWks C:\WINDOWS\system32\svchost.exe=upnphost c:\programme\softwin\bitdefender10\vsserv.exe=VSSERV C:\WINDOWS\system32\svchost.exe=W32Time C:\WINDOWS\system32\svchost.exe=WebClient C:\WINDOWS\system32\svchost.exe=winmgmt c:\programme\windows media player\wmpnetwk.exe=WMPNetworkSvc C:\WINDOWS\system32\svchost.exe=wscsvc C:\WINDOWS\system32\svchost.exe=wuauserv C:\WINDOWS\system32\svchost.exe=WZCSVC c:\progra~1\common~1\x10\common\x10nets.exe=x10nets c:\programme\gemeinsame dateien\softwin\bitdefender communicator\xcommsvr.exe=XCOMM Registry -------- 000=HKCU\Run: MSMSGS="c:\programme\messenger\msmsgs.exe" /background 000=HKCU\Run: Personal ID=c:\progra~1\coolspot\person~1\pid.exe 000=HKCU\Run: Skype="c:\programme\skype\phone\skype.exe" /nosplash /minimized 000=HKCU\Run: SpybotSD TeaTimer=c:\programme\spybot - search & destroy\teatimer.exe 000=HKCU\Run: swg=c:\programme\google\googletoolbarnotifier\googletoolbarnotifier.exe 000=HKCU\Run: WMPNSCFG=c:\programme\windows media player\wmpnscfg.exe 000=HKLM\Run: ALDI_SUED_FotoSuite_Download="c:\programme\aldi sued foto service\aldi_foto_service\fotosuite.exe" /autorun 000=HKLM\Run: AntivirusRegistration=c:\programme\ca\etrust antivirus\register.exe 000=HKLM\Run: BDAgent="c:\programme\softwin\bitdefender10\bdagent.exe" 000=HKLM\Run: BDMCon="c:\programme\softwin\bitdefender10\bdmcon.exe" /reg 000=HKLM\Run: CHotkey=c:\windows\mhotkey.exe 000=HKLM\Run: CmUCRRun=c:\windows\system32\cmucreye.exe 000=HKLM\Run: IMJPMIG8.1="c:\windows\ime\imjp8_1\imjpmig.exe" /spoil /remadvdef /migration32 000=HKLM\Run: InstantOn="c:\programme\cyberlink\powercinema linux\ion_install.exe 000=HKLM\Run: MedionVFD="c:\programme\medion info display\mdionlcm.exe" 000=HKLM\Run: MSPY2002=c:\windows\system32\ime\pintlgnt\imscinst.exe 000=HKLM\Run: NeroFilterCheck=c:\windows\system32\nerocheck.exe 000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll 000=HKLM\Run: NvMediaCenter=c:\windows\system32\nvmctray.dll 000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe 000=HKLM\Run: PHIME2002A=c:\windows\system32\ime\tintlgnt\tintsetp.exe /imename 000=HKLM\Run: PHIME2002ASync=c:\windows\system32\ime\tintlgnt\tintsetp.exe /sync 000=HKLM\Run: QuickTime Task="c:\programme\quicktime\qttask.exe" -atboottime 000=HKLM\Run: RemoteControl="c:\programme\home cinema\powerdvd\pdvdserv.exe" 000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe 000=HKLM\Run: Sony Ericsson PC Suite="c:\programme\sony ericsson\mobile2\application launcher\application launcher.exe" /startoptions 000=HKLM\Run: WinampAgent=c:\programme\audio\winamp\winampa.exe 001=Firewall bypass: C:\Programme\Skype\Phone\Skype.exe=c:\programme\skype\phone\skype.exe 020=SSODL: bxsbang=c:\windows\bxsbang.dll 020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll 020=SSODL: ocgrep=c:\windows\ocgrep.dll 020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll 020=SSODL: SysTray=c:\windows\system32\stobject.dll 020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll 020=SSODL: WPDShServiceObj=c:\windows\system32\wpdshserviceobj.dll 030=BHO: {02478D38-C3F9-4EFB-9B51-7695ECA05670}=c:\programme\yahoo!\companion\installs\cpn\yt.dll (Yahoo! Toolbar Helper) 030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=c:\programme\adobe\acrobat 7.0\activex\acroiehelper.dll (AcroIEHlprObj Class) 030=BHO: {22BF413B-C6D2-4d91-82A9-A0F997BA588C}=c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll (Skype add-on (mastermind)) 030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection) 030=BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar3.dll (Google Toolbar Helper) 030=BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=c:\programme\google\googletoolbarnotifier\2.0.301.7164\swg.dll (Google Toolbar Notifier BHO) 031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll 031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll 031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=c:\programme\google\googletoolbar3.dll 031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=c:\programme\yahoo!\companion\installs\cpn\yt.dll 031=Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F}=c:\programme\google\googletoolbar3.dll 031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=c:\programme\yahoo!\companion\installs\cpn\yt.dll Startup Folders --------------- Common: desktop.ini Personal: desktop.ini Personal: hamachi.lnk -> C:\PROGRA~1\Hamachi\hamachi.exe HOSTS ----- 127.0.0.1 localhost |
|
05.11.2007, 19:29
| #10 |
| | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Und hier ist das Ergebnis von VirusTotal: AhnLab-V3 2007.11.6.0 2007.11.05 - AntiVir 7.6.0.30 2007.11.05 - Authentium 4.93.8 2007.11.03 - Avast 4.7.1074.0 2007.11.05 - AVG 7.5.0.503 2007.11.05 - BitDefender 7.2 2007.11.05 - CAT-QuickHeal 9.00 2007.11.05 - ClamAV 0.91.2 2007.11.05 - DrWeb 4.44.0.09170 2007.11.05 - eSafe 7.0.15.0 2007.10.28 - eTrust-Vet 31.2.5264 2007.11.02 - Ewido 4.0 2007.11.05 - FileAdvisor 1 2007.11.05 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.05 - F-Secure 6.70.13030.0 2007.11.05 - Ikarus T3.1.1.12 2007.11.05 not-a-virus:AdWare.Win32.Agent.bn Kaspersky 7.0.0.125 2007.11.05 not-a-virus:AdWare.Win32.Vapsup.hw McAfee 5155 2007.11.02 - Microsoft 1.2908 2007.11.05 - NOD32v2 2637 2007.11.05 a variant of Win32/Adware.Agent.NHQ Norman 5.80.02 2007.11.05 - Panda 9.0.0.4 2007.11.04 - Prevx1 V2 2007.11.05 - Rising 20.17.01.00 2007.11.05 - Sophos 4.23.0 2007.11.05 - Sunbelt 2.2.907.0 2007.11.02 - Symantec 10 2007.11.05 - TheHacker 6.2.9.116 2007.11.05 - VBA32 3.12.2.4 2007.11.05 AdWare.Win32.Vapsup.hw VirusBuster 4.3.26:9 2007.11.05 - Webwasher-Gateway 6.0.1 2007.11.05 - weitere Informationen File size: 107520 bytes MD5: 1bbc25d69563918c7a0b197ae2fda449 SHA1: b0e4498258261e4cae80c497b1d995a01a79bbeb |
|
06.11.2007, 07:17
| #11 |
| /// AVZ-Toolkit Guru | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Halli hallo. Wechsel bitte in den abgesicherten Modus und lösche dort folgende Dateien: " 2007-10-22 17:41 286,720 --a------ C:\WINDOWS\movctrlflm.dll 2007-10-22 17:41 284,160 --a------ C:\WINDOWS\ocgrep.dll 2007-10-22 17:41 260,608 --a------ C:\WINDOWS\bxsbang.dll 2007-10-22 17:41 107,520 --a------ C:\WINDOWS\kthemup.exe " Leere den Papierkorb und lasse CCleaner laufen. Die Systemwiederherstellung sollte noch deaktviert sein. Starte den Rechner neu und melde dich mit einem frischem HijackThis logFile sowie einer Beschreibung deiner noch vorhanden Probleme
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
06.11.2007, 17:36
| #12 |
| | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Hallo! Direkt (5 Minuten) nach dem Restart gibt es noch keine Probleme, aber ich werde den Rechner mal über Nacht laufen lassen. Hier ist schon mal das LogFile von Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:32:40, on 06.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\mHotkey.exe C:\WINDOWS\system32\CmUCReye.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Medion Info Display\MdionLCM.exe C:\Programme\Audio\Winamp\winampa.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Softwin\BitDefender10\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Skype\Phone\Skype.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Hijackthis\puefung.com\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: MSVPS System - {AC546B33-036A-41DA-B1CC-C1D15659520E} - C:\WINDOWS\movctrlflm.dll (file missing) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Audio\Winamp\winampa.exe O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c " O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937 O17 - HKLM\System\CCS\Services\Tcpip\..\{BF6DCDF3-DCF5-4343-BA82-37C22128A461}: NameServer = 213.168.112.60,194.8.194.8 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: ocgrep - {DD58A23D-2042-4E06-80D3-3EB97616A418} - C:\WINDOWS\ocgrep.dll (file missing) O21 - SSODL: bxsbang - {6AB71613-8200-4E6F-948F-BF5B5CA68591} - C:\WINDOWS\bxsbang.dll (file missing) O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 10089 bytes |
|
07.11.2007, 10:53
| #13 |
| /// AVZ-Toolkit Guru | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Halli hallo. Das sieht doch schon mal super aus. Fixe bitte noch die drei * .....(file missing) * Einträge.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
12.11.2007, 19:36
| #14 |
| | Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" Hallo Undoreal! Nach dem in den letzten Tagen kein Problem mehr aufgetaucht ist, kann man wohl davon ausgehen, daß mein Computer jetzt endlich Virenfrei ist. Vielen, vielen Dank nochmal für Deine Hilfe! Gruß Andre |
|
| Themen zu Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com" |
| abgesicherten modus, ad-aware, add-on, adobe, application, bho, computer, cyberlink, defender, einstellungen, explorer, google, hijack, hijackthis, hkus\s-1-5-18, home, install.exe, internet, internet explorer, logfile, maleware, monitor, object, privacy protection, problem, programm, rundll, s-1-5-18, software, toolbars, trend micro, trojan.generic., trojaner, vielen dank, warnung, windows, windows xp |
Linear-Darstellung
