| |
| |||||||
Log-Analyse und Auswertung: Bitte um ÜberprüfungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.12.2007, 17:59
| #1 |
| |  Bitte um Überprüfung Hi, kann sich mal einer bitte das Logfile anschauen, mein System läuft seit Tagen sehr instabil Firefox und explorer.exe stürzt ständig ab, CPU Auslastung immer wieder 100% dann geht nicht mehr viel, nicht mal mit dem Taskmanager lassen sich die hängenden Task´s beenden, Systemwiederherstellung ändert auch nichts Danke für die Hilfe Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:28:49, on 18.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Spyware\AVG Anti-Spyware 7.5\guard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\E_S00RP2.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Raxco\PerfectDisk\PDSched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\1&1\1&1 Upload-Manager\DAVSRV.EXE C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\**\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://www.1und1.de/?ac=uc.overture_d R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ht*p://www.excid.com/spb/index.jsp?language=de O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\DOKUME~1\**\EIGENE~1\TESTPR~2\PREISP~1\PPSEAR~1.DLL O2 - BHO: metaspinner GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - blank (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\DOKUME~1\**\EIGENE~1\TESTPR~2\PREISP~1\IEBUTT~3.DLL O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Free Download Manager\iefdmcks.dll O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\DOKUME~1\**\EIGENE~1\TESTPR~2\PREISP~1\IEBUTT~2.DLL O2 - BHO: metaspinner GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\DOKUME~1\**\EIGENE~1\TESTPR~2\PREISP~1\IEBUTT~1.DLL O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - blank (file missing) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500" O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [PwrUpTweakMe] C:\WINDOWS\system32\PUXPTWKS.EXE /TWEAK O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /M "Stylus Photo RX500" /EF "HKCU" O4 - HKCU\..\Run: [1&1_1&1 Upload-Manager] "C:\Programme\1&1\1&1 Upload-Manager\DAVSRV.EXE" /hide O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Dokumente und Einstellungen\\**\\Eigene Dateien\\test prog\\Preispiraten2\\preispiraten.html O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Free Download Manager\dlall.htm O8 - Extra context menu item: amazon Suche - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\Searchamazon.htm O8 - Extra context menu item: amazon Suche starten - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\Searchamazon.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Free Download Manager\dlselected.htm O8 - Extra context menu item: eBay - Mein eBay - C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\test prog\Preispiraten2\SearchEbaymein.htm O8 - Extra context menu item: eBay - Powersuche - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\SearchEbaypower.htm O8 - Extra context menu item: eBay - Startseite - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\SearchEbay.htm O8 - Extra context menu item: eBay Suche starten - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\SearchEbay.htm O8 - Extra context menu item: Google Suche - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\SearchGoogle.htm O8 - Extra context menu item: Google Suche starten - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\SearchGoogle.htm O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/229?12ecda20fe94631915cfb90b1469b40 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/230?12ecda20fe94631915cfb90b1469b40 O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\preispiraten2ie.exe O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O17 - HKLM\System\CCS\Services\Tcpip\..\{CF4AEF6F-5978-46EF-81B7-4E5B739F0C97}: NameServer = 192.168.122.252,192.168.122.253 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Spyware\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: Google Desktop Manager 5.1.709.19590 (GoogleDesktopManager-091907-194040) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\test prog\Sandra\SiSoftware Sandra Lite XII\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\test prog\Sandra\SiSoftware Sandra Lite XII\RpcSandraSrv.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 15600 bytes |
|
18.12.2007, 20:22
| #2 |
| | compofix log hier noch das compofix log
__________________ComboFix 07-12-18.1 - **** 2007-12-18 18:35:33.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.930 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\t\ . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\NPF ((((((((((((((((((((((( Dateien erstellt von 2007-11-18 bis 2007-12-18 )))))))))))))))))))))))))))))) . 2007-12-17 17:16 . 2007-12-17 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Grisoft 2007-12-17 17:16 . 2007-12-17 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2007-12-17 17:16 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-17 16:56 . 2004-08-03 23:10 61,056 --a------ C:\WINDOWS\system32\drivers\ohci1394.sys 2007-12-10 13:17 . 2007-12-10 13:17 210,540 --a------ C:\01-Goblin_Vs_Rocky_-_Japanise_Owa-zEn.mp3 2007-12-10 13:15 . 2007-12-10 13:16 901,120 --a------ C:\01-va_-_psychedelic_high_2-mycel.mp3 2007-12-06 15:29 . 2007-12-06 15:29 <DIR> d--h----- C:\SBE 2007-12-06 14:53 . 2004-08-04 13:00 15,360 --a--c--- C:\WINDOWS\system32\dllcache\ctfmon.exe.backup 2007-12-06 14:53 . 2004-08-04 13:00 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe.backup 2007-12-01 14:54 . 2007-12-12 19:29 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-01 14:54 . 2007-12-01 14:54 1,409 --a------ C:\WINDOWS\QTFont.for 2007-11-26 20:12 . 2007-11-26 20:12 <DIR> d-------- C:\WINDOWS\system32\Color 2007-11-26 20:12 . 2007-11-26 20:12 <DIR> d-------- C:\Programme\Quark 2007-11-25 16:00 . 2005-03-09 18:04 2,572,288 --a------ C:\WINDOWS\system32\m2v_enc.dll 2007-11-25 16:00 . 2004-10-19 23:20 2,089,052 --a------ C:\WINDOWS\system32\libmmd.dll 2007-11-25 16:00 . 2004-12-07 17:01 1,662,976 --a------ C:\WINDOWS\system32\mpa.dll 2007-11-25 16:00 . 2004-11-26 12:40 929,792 --a------ C:\WINDOWS\system32\nSDL.dll 2007-11-25 16:00 . 2004-11-26 12:38 122,880 --a------ C:\WINDOWS\system32\nanoLicence.dll 2007-11-20 22:32 . 2007-11-20 22:32 <DIR> d-------- C:\Programme\Aspecto Software . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-18 17:40 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ! 2007-12-18 16:07 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS 2007-12-18 00:03 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avant Browser 2007-12-17 22:48 --------- d-----w C:\Programme\Google 2007-12-17 22:30 --------- d-----w C:\Programme\Microsoft ActiveSync 2007-12-16 14:00 25,976 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat 2007-12-01 20:14 --------- d-----w C:\Programme\Windows Live Toolbar 2007-12-01 20:11 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss 2007-12-01 13:56 --------- d-----w C:\Programme\DVD Kopierer deLuxe 2007-11-27 22:15 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Free Download Manager 2007-11-25 15:00 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-11-25 14:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service 2007-11-14 18:32 --------- d-----w C:\Programme\Picasa2 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-11-04 10:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2007-11-01 16:46 --------- d-----w C:\Programme\Ashampoo 2007-10-30 23:53 58,242 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\mdb.bin 2007-10-30 20:56 --------- d-----w C:\Programme\AOL 9.0 2007-10-24 17:08 18,752 ----a-w C:\Dokumente und Einstellungen\****\Anwendungsdaten\wklnhst.dat 2007-09-25 21:57 286,720 ----a-w C:\WINDOWS\iun506.exe 2005-08-28 20:15 284 ----a-w C:\Dokumente und Einstellungen\****\Anwendungsdaten\ViewerApp.dat 2004-10-17 17:30 8 --sh--r C:\WINDOWS\system32\32828BBAAC.sys 2005-03-14 18:53 56 --sh--r C:\WINDOWS\system32\A9CC008D8C.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B660087-931C-4056-A04F-0423890E40B6}] 2005-03-18 11:18 129536 --a------ C:\DOKUME~1\****\EIGENE~1\TESTPR~2\PREISP~1\PPSEAR~1.DLL [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24] "EPSON Stylus Photo RX500"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.exe" [2003-09-12 04:00] "1&1_1&1 Upload-Manager"="C:\Programme\1&1\1&1 Upload-Manager\DAVSRV.exe" [2007-01-22 11:44] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 00:00] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 20:05] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2004-09-20 23:09 C:\WINDOWS\system32\nwiz.exe] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 15:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "Cmaudio"="RunDll32 cmicnfg.cpl" [] "Dit"="Dit.exe" [2004-07-20 17:18 C:\WINDOWS\Dit.exe] "CHotkey"="mHotkey.exe" [2004-02-24 13:05 C:\WINDOWS\mHotkey.exe] "ledpointer"="CNYHKey.exe" [2004-02-03 16:15 C:\WINDOWS\CNYHKey.exe] "AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 11:01 C:\WINDOWS\AGRSMMSG.exe] "EPSON Stylus Photo RX500"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.exe" [2003-09-12 04:00] "FinePrint Dispatcher v5"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" [2005-03-29 20:34] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 19:03] "PwrUpTweakMe"="C:\WINDOWS\system32\PUXPTWKS.exe" [2005-09-12 09:36] "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-12-18 00:27] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-12-06 14:53] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk] backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Telefonverbindungsmonitor.lnk] backup=C:\WINDOWS\pss\Telefonverbindungsmonitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WD Backup Monitor.lnk] backup=C:\WINDOWS\pss\WD Backup Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk] backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1&1_1&1 Upload-Manager] C:\Programme\1&1\1&1 Upload-Manager\DAVSRV.EXE /hide [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2006-10-23 01:48 40048 --a------ C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOL Spyware Protection] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer] 2004-11-09 21:36 497240 --a------ C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] 2006-06-21 00:00 1211176 --a------ C:\Programme\Microsoft ActiveSync\wcescomm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager] 2006-10-11 12:38 50736 --a------ C:\Programme\Gemeinsame Dateien\AOL\1174945439\ee\AOLSoftware.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2007-03-02 15:24 257088 --a------ C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M3Development_WhenUSave_Installer] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mspwr] 2005-09-29 10:05 110592 --a------ C:\WINDOWS\system32\PuXpMan2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] 2005-04-14 15:56 1957888 --------- C:\Programme\Ahead\Nero BackItUp\NBJ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 10:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] 2004-10-21 10:03 81920 --a------ C:\Programme\Home Cinema\PowerCinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] 2005-01-12 03:01 32768 --a------ C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpriteService] 2006-02-21 14:04 552960 --a------ C:\Programme\Sprite Software\Sprite Backup\SpriteService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WD Button Manager] WDBtnMgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG] 2006-10-24 20:05 204288 --------- C:\Programme\Windows Media Player\WMPNSCFG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\X:] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\X:\Programme] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\X:\Programme\1&1] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\X:\Programme\1&1\1&1 EasyLogin] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\X:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe] 1&1 EasyLogin HIDE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "usnjsvc"=3 (0x3) "iPod Service"=3 (0x3) "WMPNetworkSvc"=2 (0x2) "BlueSoleil Hid Service"=2 (0x2) "AOLService"=2 (0x2) "AOL ACS"=2 (0x2) R0 Defrag32b;Defrag32Boot;C:\WINDOWS\system32\drivers\Defrag32b.sys [2005-06-28 10:44] R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2006-06-20 06:04] R0 stwlfbus;stwlfbus;C:\WINDOWS\system32\DRIVERS\stwlfbus.sys [2003-04-27 11:39] R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys [2003-12-03 17:44] R1 Ext2Fs;Ext2Fs;C:\WINDOWS\system32\drivers\ext2.sys [2004-03-05 18:39] R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 10:41] R1 ui11rdr;ui11rdr;C:\WINDOWS\system32\DRIVERS\ui11rdr.sys [2007-01-22 11:43] R2 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2000-01-08 09:22] R2 Defrag32;Defrag32;C:\WINDOWS\system32\drivers\Defrag32.sys [2005-06-28 10:44] R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 22:29] R2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [2005-06-28 10:44] R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 14:10] R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 13:58] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 10:41] R3 st3wolf;st3wolf;C:\WINDOWS\system32\DRIVERS\st3wolf.sys [2003-04-27 10:43] R3 SUSCOM;Susteen Serial port driver;C:\WINDOWS\system32\DRIVERS\SUSCOM.SYS [2002-11-18 21:00] R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 16:13] R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 11:07] S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 22:27] S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 22:41] S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2007-12-18 17:07] S3 GoogleDesktopManager-091907-194040;Google Desktop Manager 5.1.709.19590;"C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-12-18 00:27] S3 MPCSYS;MPCSYS;C:\WINDOWS\system32\DRIVERS\mpcsys.sys [2007-10-04 19:04] S3 WD_FireWire_HID;WD FireWire Pseudo-HID driver;C:\WINDOWS\system32\DRIVERS\wdfwhid.sys [2006-03-22 10:37] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34876cf2-b5a9-11d9-920b-001109514cc3}] \Shell\AutoRun\command - F:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b3cfd67-1bf5-11dc-881f-001109514cc3}] \Shell\AutoRun\command - F:\WD_Windows_Tools\setup.exe . Inhalt des "geplante Tasks" Ordners "2007-12-17 17:38:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2007-12-18 16:55:01 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job" . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-18 18:43:13 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156] -> C:\WINDOWS\HKCYDLL.dll . Zeit der Fertigstellung: 2007-12-18 18:46:05 - machine was rebooted . 2007-12-11 23:33:41 --- E O F --- |
|
18.12.2007, 20:44
| #3 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Bitte um Überprüfung Hallo.
__________________Ich habda einige verdächtige Kandidaten gefunden: Code:
ATTFilter C:\WINDOWS\system32\drivers\USBCRFT.SYS
C:\WINDOWS\system32\DRIVERS\ui11rdr.sys
C:\WINDOWS\system32\DRIVERS\UKBFLT.sys
C:\WINDOWS\system32\DRIVERS\mpcsys.sys
C:\WINDOWS\system32\32828BBAAC.sys
C:\WINDOWS\system32\A9CC008D8C.sys
C:\WINDOWS\system32\m2v_enc.dll
C:\WINDOWS\system32\mpa.dll
C:\WINDOWS\system32\nSDL.dll
C:\WINDOWS\system32\nanoLicence.dll
C:\WINDOWS\HKCYDLL.dll
Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: * BlacklightFalls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
|
| Themen zu Bitte um Überprüfung |
| 0 bytes, antivir, appinit_dlls, auslastung, avira, bho, ctfmon.exe, desktop, drivers, ebay, ellung, excel, firefox, free download, geht nicht mehr, google, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, mozilla, mozilla firefox, object, picasa, s-1-5-18, software, spyware, starten, system, taskmanager, trend micro, uleadburninghelper, usb, windows, windows xp |
Linear-Darstellung
