|
Log-Analyse und Auswertung: HILFE! Google-Links - UmleitungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.02.2008, 00:46 | #1 |
| HILFE! Google-Links - Umleitung Hi! Bin auch neu hier - habe ein Problem, das anscheinend auch schon viele vor mir hatten... Habe deshalb die Anweisungen an ein anderes Opfer gleich befolgt und sämtliche files angehängt, die Ihr wahrscheinlich sehen wollt... Das Problem ist: bei Klick auf einen Google-Link komme ich auch immer auf daily-search.com oder sonstigen sch.... außerdem wird angezeigt, daß meine c-festplatte, die eigentlich mal 100 gb hatte, nur noch aus 29,2 mb besteht und bereits voll wäre.... vor einigen tagen war sie das allerdings noch nicht, da der computer grade mal 2 monate alt ist... des weiteren öffnet sich hin und wieder in der toolbar unten rechts ein fenster, das behauptet, ich hätte sex-inhalte auf meinem computer!! BITTE, BITTE helft mir rasch - ich nutze nämlich auch e-banking etc. dürfte mir das ding eingefangen haben, als ich ein spiel über limewire runtergeladen habe. *selber schuld*. der neue norton und sämtliche anderen virenprogramme haben leider auch nix gebracht. Schon mal Danke im Voraus! lg dicker2204 "Silent Runners.vbs", revision 55, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "AdwareAlert" = "C:\Programme\AdwareAlert\AdwareAlert.exe -boot" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"] "HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"] "Persistence" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"] "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."] "Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."] "Acrobat Assistant 7.0" = ""C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"" ["Adobe Systems Inc."] "(Default)" = (empty string) [file not found] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] "osCheck" = ""C:\Programme\Norton AntiVirus\osCheck.exe"" ["Symantec Corporation"] "HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Co."] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {0347C33E-8762-4905-BF09-768834316C61}\(Default) = "HP Print Enhancer" -> {HKLM...CLSID} = "HP Print Enhancer" \InProcServer32\(Default) = "C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll" ["Hewlett-Packard Co."] {053F9267-DC04-4294-A72C-58F732D338C0}\(Default) = (no title provided) -> {HKLM...CLSID} = "HP Print Clips" \InProcServer32\(Default) = "C:\Programme\HP\Smart Web Printing\hpswp_framework.dll" ["Hewlett-Packard Co."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {4ECBC9A4-80A6-4409-8F68-BD6FE0C53377}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\capico.dll" [null data] {6D53EC84-6AAE-4787-AEEE-F4628F01010C}\(Default) = "Symantec Intrusion Prevention" -> {HKLM...CLSID} = "Symantec Intrusion Prevention" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll" ["Symantec Corporation"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEToolbarHelper Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu" -> {HKLM...CLSID} = "Acrobat Elements Context Menu" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}" = "Sophos Anti-Virus Shell Extension" -> {HKLM...CLSID} = "ContextMenuHandler Class" \InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ <<!>> "AppInit_DLLs" = "C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL" ["Sophos Plc"] HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"] HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" -> {HKLM...CLSID} = "Acrobat Elements Context Menu" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."] SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}" -> {HKLM...CLSID} = "ContextMenuHandler Class" \InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "C:\PROGRA~1\NORTON~1\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}" -> {HKLM...CLSID} = "ContextMenuHandler Class" \InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}" -> {HKLM...CLSID} = "ContextMenuHandler Class" \InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "C:\PROGRA~1\NORTON~1\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssstars.scr" [MS] Startup items in "***" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart "Outlook" -> shortcut to: "C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe" [null data] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "AutoUpdate Monitor" -> shortcut to: "C:\Programme\Sophos\AutoUpdate\ALMon.exe" ["Sophos Plc"] Enabled Scheduled Tasks: ------------------------ "Norton AntiVirus - Systemprüfung ausführen - ***" -> launches: "C:\Programme\Norton AntiVirus\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{47833539-D0C5-4125-9FA8-0819E2EAAC93}" -> {HKLM...CLSID} = "Adobe PDF" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided) -> {HKLM...CLSID} = "Adobe PDF" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"] Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ {182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"] HKLM\SOFTWARE\Classes\CLSID\{315108E4-E3AF-460F-B264-F2ACC9E1ACEB}\(Default) = "SE Sidebar" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\WINDOWS\system32\mysidesearch_sidebar.dll" [file not found] HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {58ECB495-38F0-49CB-A538-10282ABF65E7}\ "ButtonText" = "HP Sammelmappe" "CLSIDExtension" = "{E763472E-A716-4CD9-89BD-DBDA6122F741}" -> {HKLM...CLSID} = "ClipBookBtn Class" \InProcServer32\(Default) = "C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll" ["Hewlett-Packard Co."] {700259D7-1666-479A-93B1-3250410481E8}\ "ButtonText" = "HP Intelligente Auswahl" "CLSIDExtension" = "{A93C41D8-01F8-4F8B-B14C-DE20B117E636}" -> {HKLM...CLSID} = "EnhSelectionBtn Class" \InProcServer32\(Default) = "C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll" ["Hewlett-Packard Co."] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft"] Adobe LM Service, Adobe LM Service, ""C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe"" ["Adobe Systems"] Automatisches LiveUpdate - Scheduler, Automatic LiveUpdate Scheduler, "C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe" ["Symantec Corporation"] HP CUE DeviceDiscovery Service, hpqddsvc, "C:\WINDOWS\system32\svchost.exe -k hpdevmgmt" {"C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll" ["Hewlett-Packard Co."]} hpqcxs08, hpqcxs08, "C:\WINDOWS\system32\svchost.exe -k hpdevmgmt" {"C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll" ["Hewlett-Packard Co."]} LiveUpdate Notice, LiveUpdate Notice, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS] Net Driver HPZ12, Net Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZinw12.dll" ["Hewlett-Packard"]} Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZipm12.dll" ["Hewlett-Packard"]} Sophos Anti-Virus, SAVService, ""C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe"" ["Sophos Plc"] Sophos Anti-Virus Statusreporter, SAVAdminService, ""C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe"" ["Sophos Plc"] Sophos AutoUpdate Service, Sophos AutoUpdate Service, "C:\Programme\Sophos\AutoUpdate\ALsvc.exe" ["Sophos Plc"] Symantec Core LC, Symantec Core LC, "C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe" ["Symantec Corporation"] Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"] Symantec Lic NetConnect service, CLTNetCnService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"] Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."] LIDIL hpzll5ha\Driver = "hpzll5ha.dll" ["Hewlett-Packard Company"] Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- (launch time: 2008-02-06 00:22:54) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. Rest im nächsten eintrag! |
06.02.2008, 00:49 | #2 |
| HILFE - Google-Links - Umleitung -die zweite- Logfile of HijackThis v1.99.1
__________________Scan saved at 23:42:53, on 05.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HP\Smart Web Printing\hpswp_clipbook.exe D:\HiJackThis\HijackThis.exe O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4ECBC9A4-80A6-4409-8F68-BD6FE0C53377} - C:\WINDOWS\system32\capico.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AdwareAlert] C:\Programme\AdwareAlert\AdwareAlert.exe -boot O4 - Startup: Outlook.lnk = ? O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3CBB-4753 Verzeichnis von C:\ 05.02.2008 22:26 2.145.386.496 pagefile.sys 05.02.2008 22:26 657 aaw7boot.log 20.01.2008 20:35 1.119 INSTALL.LOG 14.01.2008 19:53 0 CONFIG.SYS 14.01.2008 19:53 0 MSDOS.SYS 14.01.2008 19:53 0 AUTOEXEC.BAT 14.01.2008 19:53 0 IO.SYS 14.01.2008 19:49 211 boot.ini 05.08.2004 13:00 251.184 ntldr 05.08.2004 13:00 47.564 NTDETECT.COM 05.08.2004 13:00 4.952 bootfont.bin 10.01.2001 12:23 162.304 UNWISE.EXE 12 Datei(en) 2.145.854.487 Bytes 0 Verzeichnis(se), 170.635.264 Bytes frei ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3CBB-4753 Verzeichnis von C:\WINDOWS\system32 05.02.2008 22:31 40.972 perfc009.dat 05.02.2008 22:31 314.644 perfh009.dat 05.02.2008 22:31 320.424 perfh007.dat 05.02.2008 22:31 49.372 perfc007.dat 05.02.2008 22:31 732.342 PerfStringBackup.INI 04.02.2008 23:24 2.206 wpa.dbl 01.02.2008 23:23 40.730 superiorads-uninst.exe 28.01.2008 19:40 5.686 jupdate-1.6.0_03-b05.log 27.01.2008 22:43 241.536 FNTCACHE.DAT 26.01.2008 23:04 4.924 jupdate-1.6.0_02-b06.log 26.01.2008 00:02 60.800 S32EVNT1.DLL 15.01.2008 02:48 0 h323log.txt 14.01.2008 20:40 23.392 nscompat.tlb 14.01.2008 20:40 16.832 amcompat.tlb 14.01.2008 20:10 940.794 LoopyMusic.wav 14.01.2008 20:10 146.650 BuzzingBee.wav 14.01.2008 19:55 261 $winnt$.inf 14.01.2008 19:53 2.951 CONFIG.NT 14.01.2008 19:52 488 logonui.exe.manifest 14.01.2008 19:52 488 WindowsLogon.manifest 14.01.2008 19:52 749 sapi.cpl.manifest 14.01.2008 19:52 749 cdplayer.exe.manifest 14.01.2008 19:52 749 ncpa.cpl.manifest 14.01.2008 19:52 749 nwc.cpl.manifest 14.01.2008 19:52 749 wuaucpl.cpl.manifest 14.01.2008 19:51 21.740 emptyregdb.dat 2009 Datei(en) 369.576.586 Bytes 0 Verzeichnis(se), 170.508.288 Bytes frei ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3CBB-4753 Verzeichnis von C:\WINDOWS\Prefetch 06.02.2008 00:24 18.134 NOTEPAD.EXE-336351A9.pf 06.02.2008 00:24 43.206 WINRAR.EXE-3588DFE8.pf 06.02.2008 00:22 68.392 WMIPRVSE.EXE-28F301A9.pf 05.02.2008 23:54 12.716 ADOBELM_CLEANUP.0001-2E88F244.pf 05.02.2008 23:54 69.458 ADOBELMSVC.EXE-0665217B.pf 05.02.2008 23:52 74.564 WINWORD.EXE-3395695A.pf 05.02.2008 23:52 91.426 OUTLOOK.EXE-14C4968A.pf 05.02.2008 23:46 99.638 ACROBAT.EXE-02E9AE67.pf 05.02.2008 23:34 15.500 HPSWP_CLIPBOOK.EXE-364E35B1.pf 05.02.2008 23:34 75.074 IEXPLORE.EXE-2CA9778D.pf 05.02.2008 23:32 14.222 NMBGMONITOR.EXE-0BC10095.pf 05.02.2008 23:32 41.226 NMIndexStoreSvr.exe-1DBCF9FD.pf 05.02.2008 23:31 49.142 ACROBATINFO.EXE-2A2FB9E7.pf 05.02.2008 23:17 21.572 SSSTARS.SCR-2D6FC20D.pf 05.02.2008 23:00 131.762 MSIEXEC.EXE-2F8A8CAE.pf 05.02.2008 22:53 15.262 REGSVR32.EXE-25EEFE2F.pf 05.02.2008 22:48 129.688 NAVW32.EXE-20C61389.pf 05.02.2008 22:47 54.152 SSAUTORN.EXE-125390C0.pf 05.02.2008 22:42 82.488 RUNDLL32.EXE-37A7C420.pf 05.02.2008 22:42 34.616 AUPDATE.EXE-089630E1.pf 05.02.2008 22:42 67.816 LUCALLBACKPROXY.EXE-0B5F632D.pf 05.02.2008 22:42 55.630 LUCOMSERVER_3_4.EXE-34438721.pf 05.02.2008 22:31 33.670 WMIADAP.EXE-2DF425B2.pf 05.02.2008 22:28 1.773.234 NTOSBOOT-B00DFAAD.pf 05.02.2008 00:29 21.336 LOGONUI.EXE-0AF22957.pf 05.02.2008 00:18 76.758 MCUI32.EXE-316ABBA2.pf 04.02.2008 23:47 79.744 IGFXSRVC.EXE-2FB63FE8.pf 04.02.2008 23:46 91.514 COH32.EXE-1453A4B6.pf 04.02.2008 23:45 56.372 RUNDLL32.EXE-1BC55A4F.pf 04.02.2008 23:40 39.934 SYMLCSVC.EXE-221DC953.pf 04.02.2008 23:40 10.242 SYMLCSV1.EXE-0EE21BE3.pf 04.02.2008 01:35 11.108 HPQUSGL.EXE-1D5E2061.pf 04.02.2008 01:26 17.102 IMAPI.EXE-0BF740A4.pf 04.02.2008 01:26 11.734 RUNDLL32.EXE-451FC2C0.pf 04.02.2008 01:21 70.788 NERO.EXE-2031B565.pf 04.02.2008 01:21 70.626 NEROSTARTSMART.EXE-0A488AA3.pf 04.02.2008 01:18 33.446 OSA.EXE-000C604A.pf 04.02.2008 01:16 52.406 DRWTSN32.EXE-2B4B52AC.pf 04.02.2008 01:16 99.566 MYMP3.EXE-1308E232.pf 04.02.2008 01:03 72.984 LIMEWIRE.EXE-1CE6208C.pf 04.02.2008 01:01 68.508 SHOWTIME.EXE-1713ECDC.pf 03.02.2008 14:28 15.186 AU_.EXE-0315491E.pf 03.02.2008 14:15 31.292 TASKMGR.EXE-20256C55.pf 02.02.2008 00:30 23.262 UISTUB2.EXE-21EAEB4C.pf 02.02.2008 00:00 75.070 RUNDLL32.EXE-1D873B11.pf 01.02.2008 23:39 13.920 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf 01.02.2008 23:39 21.860 GOOGLETOOLBARNOTIFIER.EXE-18F4DAD0.pf 01.02.2008 23:31 21.038 GAMEINSTLR.EXE-31580682.pf 01.02.2008 23:30 13.364 UNINSTALL.EXE-3A184E84.pf 01.02.2008 23:30 40.220 EMERALDTALE.EXE-020F31D5.pf 01.02.2008 23:29 20.670 CC.EX_-1544767F.pf 01.02.2008 23:29 22.864 SETUP.EXE-119427C0.pf 01.02.2008 23:28 24.176 NAVSHCOM.EXE-1041A7EA.pf 01.02.2008 23:25 25.668 RUNDLL32.EXE-39AF94A7.pf 01.02.2008 23:25 25.668 RUNDLL32.EXE-1AB5ED34.pf 01.02.2008 23:25 25.668 RUNDLL32.EXE-1C9A5F5D.pf 01.02.2008 23:25 25.680 RUNDLL32.EXE-38918709.pf 01.02.2008 23:25 57.972 RUNDLL32.EXE-14C9B6D8.pf 01.02.2008 23:24 3.384 STUB.EXE-381D26C9.pf 01.02.2008 23:24 25.266 50.EX_-2C7A7792.pf 01.02.2008 23:24 16.214 WHINSTALLER.EXE-10AB5B4F.pf 01.02.2008 23:24 24.668 66.EX_-0736990E.pf 01.02.2008 23:23 15.626 RUNDLL32.EXE-2B816CCC.pf 01.02.2008 23:23 11.072 TMP19.TMP.EXE-0BF8C1A5.pf 01.02.2008 23:23 22.680 GAMES.EXE-188DDBFD.pf 01.02.2008 23:23 16.154 BANN.EXE-2060921A.pf 01.02.2008 23:23 20.250 ADW.EXE-388A062D.pf 01.02.2008 15:53 20.700 GOOGLETOOLBAR-DE.EXE-23FDB57B.pf 01.02.2008 15:53 25.650 MSI1A.TMP-1E7AAE3F.pf 01.02.2008 15:53 12.900 SWG1C.TMP-2151200A.pf 01.02.2008 15:53 13.188 GUS1B.TMP-00469681.pf 01.02.2008 15:53 52.116 ZGI13.TMP-2BCF2DFA.pf 01.02.2008 14:49 82.458 EMERALDTALE.DLL-05C70574.pf 01.02.2008 14:49 53.032 EMERALDTALEDOWNLOAD[1].EXE-16450E0F.pf 01.02.2008 14:19 85.150 EXCEL.EXE-0DC93B7A.pf 01.02.2008 14:18 31.116 START.EXE-2629DD07.pf 01.02.2008 14:13 84.074 EXPLORER.EXE-082F38A9.pf 01.02.2008 14:13 18.560 SETUP.EXE-393E66AE.pf 01.02.2008 14:09 14.178 SYMLCSV1.EXE-09DC115C.pf 01.02.2008 14:05 19.854 COHUPDT.EXE-30954EA4.pf 01.02.2008 14:04 45.190 DFRGNTFS.EXE-269967DF.pf 01.02.2008 14:04 14.920 DEFRAG.EXE-273F131E.pf 01.02.2008 14:04 389.738 Layout.ini 01.02.2008 13:55 37.628 SYMCUW.EXE-361E6BB0.pf 31.01.2008 23:42 31.770 IDSINST.EXE-063B5EEB.pf 30.01.2008 22:22 99.878 HELPSVC.EXE-2878DDA2.pf 30.01.2008 22:07 18.850 COHUPDT.EXE-2D0E3492.pf 29.01.2008 18:54 59.756 ACDSEEQV.EXE-05193191.pf 29.01.2008 18:48 20.560 AOM.EXE-04CC7735.pf 29.01.2008 18:47 61.658 PHOTOSHOPELEMENTS.EXE-1C90DCCB.pf 29.01.2008 18:47 14.958 RUNDLL32.EXE-32EAD1E4.pf 28.01.2008 21:22 34.526 RUNDLL32.EXE-1EC44590.pf 28.01.2008 21:22 33.164 RUNDLL32.EXE-2C91C5F9.pf 28.01.2008 21:22 34.966 RUNDLL32.EXE-1E7EF4A8.pf 28.01.2008 21:21 65.948 CCSVCHST.EXE-33FAFF2F.pf 28.01.2008 21:21 8.872 CCAPP.EXE-2EA3695D.pf 28.01.2008 21:15 12.490 SOL.EXE-1C0C14EB.pf 28.01.2008 20:57 17.226 RUNDLL32.EXE-3B3D8EB0.pf 28.01.2008 20:56 22.144 NTVDM.EXE-1A10A423.pf 28.01.2008 20:18 32.834 RUNDLL32.EXE-1CB9B650.pf 28.01.2008 20:01 31.904 RUNDLL32.EXE-2CA17584.pf 28.01.2008 20:01 32.616 RUNDLL32.EXE-17E38B97.pf 28.01.2008 19:40 36.032 JAVAW.EXE-2826389B.pf 28.01.2008 19:39 29.078 PATCHJRE.EXE-203CCF34.pf 28.01.2008 19:39 5.868 JAVA.EXE-0967259C.pf 28.01.2008 19:39 9.398 UNPACK200.EXE-09A3E822.pf 28.01.2008 19:39 5.898 LAUNCHER.EXE-1ACDCBCD.pf 28.01.2008 19:39 97.582 ZIPPER.EXE-0236362E.pf 28.01.2008 19:38 24.928 JINSTALL.EXE-00882ED7.pf 28.01.2008 19:24 29.674 MMC.EXE-3D93B3AE.pf 28.01.2008 19:24 24.484 SVCHOST.EXE-3530F672.pf 27.01.2008 22:56 64.856 NEROVISION.EXE-0D954CB8.pf 27.01.2008 22:54 38.518 NEROMEDIAHOME.EXE-000777FA.pf 27.01.2008 22:48 10.242 IGFXEXT.EXE-20973E2B.pf 27.01.2008 22:48 6.844 JAVA.EXE-1980726E.pf 27.01.2008 22:48 44.926 MOVIEMK.EXE-26DF9BB8.pf 27.01.2008 22:45 35.912 POWERDVD.EXE-35D9A3BA.pf 27.01.2008 22:44 20.898 HPRBLOG.EXE-20CD9551.pf 27.01.2008 22:44 22.402 HPQSTE08.EXE-1E91DFAA.pf 27.01.2008 22:07 40.052 PHOTOSNAPVIEWER.EXE-1BCDA4AE.pf 27.01.2008 21:54 21.604 MSPAINT.EXE-11CBB631.pf 27.01.2008 21:32 33.602 DREAMWEAVER.EXE-1FFDC856.pf 27.01.2008 21:31 31.192 IDRIVER.EXE-28F432B1.pf 27.01.2008 21:30 48.820 DW_CLIENT_INSTALLER.EXE-3115E0D0.pf 27.01.2008 21:29 10.752 DREAMWEAVER8-DE.EXE-15E131F2.pf 27.01.2008 21:17 29.804 RUNDLL32.EXE-1720125D.pf 27.01.2008 14:13 19.538 RUNDLL32.EXE-45694CB8.pf 27.01.2008 14:11 32.110 MMC.EXE-39071BCC.pf 27.01.2008 14:10 30.824 RUNDLL32.EXE-1FE5B1C9.pf 27.01.2008 13:15 44.470 WMPLAYER.EXE-09969339.pf 130 Datei(en) 7.080.528 Bytes 0 Verzeichnis(se), 170.524.672 Bytes frei |
06.02.2008, 00:50 | #3 |
| HILFE - Google-Links - Umleitung - die dritte... so, das sollte jetzt vorerst mal alles sein....
__________________vielen Dank nochmal! ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3CBB-4753 Verzeichnis von C:\WINDOWS 06.02.2008 00:24 202.375 WindowsUpdate.log 05.02.2008 23:00 921.820 setupapi.log 05.02.2008 22:27 0 0.log 05.02.2008 22:27 157 wiadebug.log 05.02.2008 22:27 50 wiaservc.log 05.02.2008 22:26 2.048 bootstat.dat 05.02.2008 00:29 14.370 SchedLgU.Txt 04.02.2008 23:34 256 adaway.lic 03.02.2008 23:37 202 NeroDigital.ini 03.02.2008 23:22 67.046 wmsetup.log 01.02.2008 23:32 1.257 IE4 Error Log.txt 01.02.2008 14:20 1.024 ppengine.ini 24.01.2008 00:04 160.172 hpoins14.dat 24.01.2008 00:04 711 win.ini 23.01.2008 23:59 58.284 DPINST.LOG 23.01.2008 23:43 0 hpqEmlSz.INI 15.01.2008 21:57 739 STImgBrowser.INI 15.01.2008 21:55 27.697 DirectX.log 15.01.2008 02:46 0 Sti_Trace.log 15.01.2008 02:44 1.348 regopt.log 15.01.2008 02:42 0 setuperr.log 14.01.2008 22:40 3.290 KB894391.log 14.01.2008 22:40 2.691 KB891781.log 14.01.2008 21:35 61.782 iis6.log 14.01.2008 21:35 1.569 ocmsn.log 14.01.2008 21:35 19.970 comsetup.log 14.01.2008 21:35 15.829 tsoc.log 14.01.2008 21:35 1.874 tabletoc.log 14.01.2008 21:35 1.374 imsins.log 14.01.2008 21:35 10.396 ntdtcsetup.log 14.01.2008 21:35 6.112 KB893803v2.log 14.01.2008 21:35 4.956 netfxocm.log 14.01.2008 21:35 20.564 ocgen.log 14.01.2008 21:35 2.337 MedCtrOC.log 14.01.2008 21:35 1.489 msgsocm.log 14.01.2008 21:35 23.901 FaxSetup.log 14.01.2008 21:35 13.898 msmqinst.log 14.01.2008 21:34 13.459 Ascd_tmp.ini 14.01.2008 21:33 0 AS_Debug.txt 14.01.2008 20:41 237 wmsetup10.log 14.01.2008 20:40 316.640 WMSysPr9.prx 14.01.2008 20:30 264 system.ini 14.01.2008 20:21 400 ODBC.INI 14.01.2008 20:08 1.374 imsins.BAK 14.01.2008 20:08 4.489 KB888111.log 14.01.2008 20:07 315.392 HideWin.exe 14.01.2008 19:57 829 OEWABLog.txt 14.01.2008 19:57 782.463 setuplog.txt 14.01.2008 19:56 8.192 REGLOCS.OLD 14.01.2008 19:55 182.401 setupact.log 14.01.2008 19:53 0 control.ini 14.01.2008 19:53 4.161 ODBCINST.INI 14.01.2008 19:52 749 WindowsShell.Manifest 14.01.2008 19:51 1.023 sessmgr.setup.log 14.01.2008 19:51 37 vbaddin.ini 14.01.2008 19:51 36 vb.ini 14.01.2008 19:51 133 DtcInstall.log 14.01.2008 19:50 200 cmsetacl.log 118 Datei(en) 44.346.924 Bytes 0 Verzeichnis(se), 170.524.672 Bytes frei ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3CBB-4753 Verzeichnis von C:\WINDOWS\tasks 05.02.2008 22:27 6 SA.DAT 28.01.2008 20:18 594 Norton AntiVirus - Systemprfung ausfhren - ***.job 05.08.2004 13:00 65 desktop.ini 3 Datei(en) 665 Bytes 0 Verzeichnis(se), 170.524.672 Bytes frei ----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3CBB-4753 Verzeichnis von C:\WINDOWS\temp 06.02.2008 00:02 5.252 Sophos Anti-Virus Install Log_080205_110246.txt 06.02.2008 00:02 1.090 Sophos Anti-Virus CustomActions Log_080205_110246.txt 05.02.2008 23:20 138.062 hpqddsvc.log 05.02.2008 22:27 0 JET9625.tmp 31.01.2008 23:42 6.951 IDSinst.LOG 26.01.2008 00:03 4.007 SRTSP_Setup_10.2.2.6.log 26.01.2008 00:03 276.348 SRTSP_MSI_U_(1)10.2.0.57.log 26.01.2008 00:02 722 srtUnin.log 26.01.2008 00:02 435.122 SRTSP_MSI_I_10.2.2.6.log 26.01.2008 00:02 17.064 SYMEVENT.LOG 24.01.2008 18:49 616.448 umqfckfn.TMP 24.01.2008 00:04 448.070 ProductContextF2100.log 24.01.2008 00:03 11.937 HPZIDS002.log 24.01.2008 00:03 540 servic001.log 24.01.2008 00:03 81.370 hppldcoi.log 23.01.2008 23:55 938 hpqddusr.log 23.01.2008 23:43 8.353 TWAIN.LOG 23.01.2008 23:41 2 Twain001.Mtx 23.01.2008 23:41 156 Twunk001.MTX 23.01.2008 23:36 0 Twunk002.MTX 23.01.2008 23:36 4.426 setup0000.log 23.01.2008 23:36 2.463 hpzstu001.log 23.01.2008 23:36 4.142 hpzset006.log 23.01.2008 23:36 7.294 hpzpsl000.log 23.01.2008 23:32 1.858 hpzstu000.log 23.01.2008 23:32 26.531 hpzset000.log 23.01.2008 23:32 2.357 hpzwrp002.log 23.01.2008 23:32 2.588 hpzcdl004.log 23.01.2008 23:32 2.130 hpzmsi021.log 23.01.2008 23:32 2.605 hpzcdl003.log 23.01.2008 23:32 3.016 hpzmsi020.log 23.01.2008 23:32 190 F2100_doccd.log 23.01.2008 23:32 2.587 hpzcdl002.log 23.01.2008 23:32 3.072 hpzmsi019.log 23.01.2008 23:32 226 hpz_MSI.F2100_install.log 23.01.2008 23:32 47.122 DIO195.tmp 23.01.2008 23:32 2.602 hpzcdl001.log 23.01.2008 23:32 2.949 hpzmsi018.log 23.01.2008 23:32 190 hpz_MSI.F2100_Help_install.log 23.01.2008 23:32 47.122 DIO18F.tmp 23.01.2008 23:32 1.285 MAR185.tmp 23.01.2008 23:32 1.342 MAR184.tmp 23.01.2008 23:32 1.921 hpzrcv003.log 23.01.2008 23:32 1.805 hpzmsi017.log 23.01.2008 23:32 5.087 hpzpnp002.log 23.01.2008 23:32 2.440 hpzdui000.log 23.01.2008 23:31 5.087 hpzpnp001.log 23.01.2008 23:31 1.749 hpzset005.log 23.01.2008 23:31 2.385 hpzarp004.log 23.01.2008 23:31 2.276 hpzprl010.log 23.01.2008 23:31 2.153 hpzmsi016.log 23.01.2008 23:31 5.419 hpzmsi015.log 23.01.2008 23:31 190 hpovideotoolkit01.log 23.01.2008 23:31 284 hpoHPPhotosmartEssential.log 23.01.2008 23:31 284 hpoPSSWCore.log 23.01.2008 23:31 1.921 hpzmsi014.log 23.01.2008 23:31 2.564 hpzmsi013.log 23.01.2008 23:31 226 hpoMSI_HPUpdate.log 23.01.2008 23:31 1.921 hpzmsi012.log 23.01.2008 23:30 2.497 hpzmsi011.log 23.01.2008 23:30 226 hpoDTSS.log 23.01.2008 23:30 1.921 hpzmsi010.log 23.01.2008 23:30 2.577 hpzmsi009.log 23.01.2008 23:30 226 hpoWebPrint.log 23.01.2008 23:30 0 is155.tmp 23.01.2008 23:30 1.749 hpzset004.log 23.01.2008 23:30 2.380 hpzarp003.log 23.01.2008 23:30 2.272 hpzprl009.log 23.01.2008 23:30 2.037 hpzmsi008.log 23.01.2008 23:30 4.096 hpzmsi007.log 23.01.2008 23:30 190 hpoMSI_Mars.log 23.01.2008 23:30 58 MsiExe000.log 23.01.2008 23:30 472 hpoMSI_CustomerResearchQFolder.log 23.01.2008 23:30 1.749 hpzset003.log 23.01.2008 23:30 2.385 hpzarp002.log 23.01.2008 23:30 2.276 hpzprl008.log 23.01.2008 23:30 2.501 hpzmsi006.log 23.01.2008 23:30 9.197 hpzmsi005.log 23.01.2008 23:30 190 hpoMSI_DeviceDiscovery.log 23.01.2008 23:30 284 hpoMSI_Copy.log 23.01.2008 23:30 472 hpoMSI_Status.log 23.01.2008 23:30 284 hpoMSI_TrayApp.log 23.01.2008 23:30 284 hpoMSI_Destinations.log 23.01.2008 23:29 472 hpoMSI_DeviceManagementQFolder.log 23.01.2008 23:29 1.749 hpzset002.log 23.01.2008 23:29 2.381 hpzarp001.log 23.01.2008 23:29 2.210 hpzprl007.log 23.01.2008 23:29 2.269 hpzmsi004.log 23.01.2008 23:29 5.722 hpzmsi003.log 23.01.2008 23:29 378 hpoMSI_SolutionCenter.log 23.01.2008 23:29 284 hpoMSI_hpproductassistant.log 23.01.2008 23:29 284 hpoMSI_eSupportQFolder.log 23.01.2008 23:29 2.363 hpzrcv002.log 23.01.2008 23:29 1.921 hpzrcv001.log 23.01.2008 23:29 1.749 hpzset001.log 23.01.2008 23:29 2.849 hpzmsi002.log 23.01.2008 23:29 11.091 hpzmsi001.log 23.01.2008 23:29 190 hpoUnloadSupport.log 23.01.2008 23:29 284 hpoMSI_dj_aio_software_min.log 23.01.2008 23:29 284 hpoMSI_BufferChm.log 23.01.2008 23:29 284 hpoMSI_Scan.log 23.01.2008 23:29 846 _add_ds.log 23.01.2008 23:29 284 hpoMSI_Toolbox.log 23.01.2008 23:28 284 hpoMSI_WebReg.log 23.01.2008 23:28 284 hpoMSI_AiOScan.log 23.01.2008 23:28 284 hpoMSI_dj_aio_software.log 23.01.2008 23:28 2.435 hpzprl006.log 23.01.2008 23:28 2.431 hpzprl005.log 23.01.2008 23:28 2.449 hpzprl004.log 23.01.2008 23:28 1.946 hpzprl003.log 23.01.2008 23:28 2.459 hpzarp000.log 23.01.2008 23:28 1.878 hpzcdl000.log 23.01.2008 23:28 1.806 hpznop001.log 23.01.2008 23:28 2.457 hpzmsi000.log 23.01.2008 23:28 190 hpoMSI_cioum32.log 23.01.2008 23:28 1.585 hpzwrp001.log 23.01.2008 23:28 383 HPZIDS001.log 23.01.2008 23:28 528 DPInst000.log 23.01.2008 23:28 2.411 hpzprl002.log 23.01.2008 23:27 2.345 hpzprl001.log 23.01.2008 23:27 1.537 hpzwis000.log 23.01.2008 23:27 2.210 hpzrcv000.log 23.01.2008 23:27 1.967 hpzprl000.log 23.01.2008 23:27 101.764 hpzshl002.log 23.01.2008 23:27 1.603 hpzwrp000.log 23.01.2008 23:27 2.396 hpzsui000.log 23.01.2008 23:27 1.908 hpzgat000.log 23.01.2008 23:27 2.080 hpzpsc001.log 23.01.2008 23:27 1.615 hpqbhp000.log 23.01.2008 23:26 2.019 hpzopt000.log 23.01.2008 23:26 8.292 hpzchk000.log 23.01.2008 23:26 1.626 hpzshl001.log 23.01.2008 23:26 1.939 hpzshl000.log 23.01.2008 23:26 1.664 hpznop000.log 23.01.2008 23:26 1.982 hpzwup000.log 23.01.2008 23:26 2.467 hpzrei000.log 23.01.2008 23:25 2.066 hpzpsc000.log 23.01.2008 23:25 1.397 hpzpnp000.log 23.01.2008 23:25 4.125 HPZIDS000.log 23.01.2008 23:25 540 servic000.log 23.01.2008 22:58 0 JET590C.tmp 22.01.2008 19:23 7.296.134 0000059E 14.01.2008 21:35 14.919 coinlog.log 28.03.2007 12:50 37.842 hpzDE5ha.hlp 28.03.2007 12:50 51.060 hpzDE5ha.chm 145 Datei(en) 9.907.765 Bytes 0 Verzeichnis(se), 170.508.288 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3CBB-4753 Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp 06.02.2008 00:25 122.049 filelist.txt 05.02.2008 23:59 16.384 ~WRF0001.tmp 05.02.2008 23:59 7.964 ~WRS0000.tmp 05.02.2008 23:54 59.964 Adobelm_Cleanup.0001 05.02.2008 23:46 355 Acr71.tmp 05.02.2008 23:46 2.048.000 Acr6F.tmp 01.02.2008 23:27 4.864 xvqxbmer.dat 7 Datei(en) 2.259.580 Bytes 0 Verzeichnis(se), 170.516.480 Bytes frei # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost |
06.02.2008, 01:23 | #4 |
/// Helfer-Team | HILFE! Google-Links - Umleitung Hi, in welchem deiner Thread soll ich denn nun antworten? Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
Geh zu VirusTotal und lass die C:\WINDOWS\system32\capico.dll scannen, Ergebnisse komplett hierher kopieren. Gruß, Karl |
06.02.2008, 22:33 | #5 |
| HILFE! Google-Links - Umleitung Hallo, KarlKarl! Danke für die schnelle Antwort erstmal. Hier das Ergebnis: 0 bytes size received / Se ha recibido un archivo vacio (mußte meine ersten einträge auf 3 aufteilen, da immer die anzeige kam "zuviele zeichen"...) lg dicker2204 |
07.02.2008, 12:06 | #6 |
| HILFE! Google-Links - Umleitung Versuch mal folgendes: Lad dir das Programm:http://siri.geekstogo.com/SmitfraudFix.exe runter und lass es mal im abgesicherten Modus laufen! Beschreibung des Programms findest du ebenfalls im Link!! Viel Glück!!!!!!!! |
07.02.2008, 13:31 | #7 |
| HILFE! Google-Links - Umleitung Hi, @KarlKarl -> Bingo: CAPICO.DLL, Prevx Killbox: Killbox - Pocket KillBox oder WinTotal - Software - KillBox Options: Delete on Reboot --> anhaken reinkopieren: C:\WINDOWS\system32\capico.dll und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes" PC neustarten Dann neues HJ-Log sowie einen ComboFix-Lauf, da es wohl auch ein Trojandownloader ist. Daher kein Homebanking mehr, Passwörter und Pins sperren oder sofort von einem sauberen Rechner aus ändern... Combofix: Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Scanne mit PrevX und poste eventuelle Funde: Prevx CSI - FREE Malware Scanner chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
07.02.2008, 23:00 | #8 |
| HILFE! Google-Links - Umleitung Hi chris, leider hat das löschen mit killbox nicht hingehauen,die datei ist immer noch da. beim neustart war der pc außerdem seeehr langsam und es öffnete sich dann von selbst die msn-seite, ohne daß ich auf den internet-link geklickt hatte. dann bekam ich beim prevxSCI die meldung, daß keine internetverbindung da wäre - und tatsächlich hat die auch erst nach einem neuerlichen neustart wieder funktioniert. beim combofix war die erste zeile auch eine fehlermeldung: "der befehl "löschen" konnte nicht gefunden werden oder ist falsch geschrieben". logfiles im anhang! wie kann ich eine file posten, die fast 220000 zeichen hat? muß ich die wieder aufteilen und einzeln reinstellen? hätte sie grade geteilt, aber als anhang sind die teile immer noch zu groß.... (die logfile von Prevx SCI). lg dicker2204 |
08.02.2008, 07:51 | #9 | ||
| HILFE! Google-Links - Umleitung Hi, nutzen wir mal Combofix... Der zeigt im übrigen einen seltsamen Treiber, der zu HP-gehören soll (kwklkwot.dat) den ich aber per google nicht finde; Wenn Du die Treiber für den HP-Drucker noch hast, würde ich ihn löschen lassen... Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen. Gib an "Alle Dateien" an - Speichern: Zitat:
Poste vom PrevX-Log nur die Zeilen, wo er einen Fund meldet (und keine Cookies), das müssten hoffentlich weniger sein... ;o)... Anschließend noch mal ein neues HJ-Log (siehe Signatur) und Silentrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
09.02.2008, 02:04 | #10 |
| HILFE! Google-Links - Umleitung hi chris, habe alles gemacht, was du mir aufgeschrieben hast. mal ´ne (für dich bestimmt lächerliche) laien-frage: wie erkenne ich in der prevx-file die cookies unter all den buchstaben und zahlen...? sorry, is sicher ´ne blöde frage.... hier die andern logfiles von eben: Logfile of HijackThis v1.99.1 Scan saved at 01:56:04, on 09.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\system32\wuauclt.exe D:\Forum\HiJackThis\HijackThis.exe O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AdwareAlert] C:\Programme\AdwareAlert\AdwareAlert.exe -boot O4 - Startup: Outlook.lnk = ? O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe ComboFix 08-02.05.3 - *** 2008-02-09 1:46:10.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1524 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! FILE C:\WINDOWS\system32\capico.dll C:\WINDOWS\system32\drivers\kwklkwot.dat . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\WINDOWS\system32\capico.dll C:\WINDOWS\system32\drivers\kwklkwot.dat . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-01-09 bis 2008-02-09 )))))))))))))))))))))))))))))) . 2008-02-07 23:24 . 2008-02-07 23:32 2,378 --a------ C:\WINDOWS\system32\tmp.reg 2008-02-07 23:23 . 2008-01-14 19:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-02-07 23:23 . 2008-01-15 02:44 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-02-07 23:23 . 2008-01-15 02:44 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-02-07 23:23 . 2008-02-09 01:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-02-07 23:23 . 2008-01-15 02:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-02-07 23:23 . 2008-01-15 02:44 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-02-07 23:23 . 2008-01-15 02:44 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-02-07 23:06 . 2008-02-07 23:06 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy 2008-02-07 22:17 . 2008-02-07 22:24 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PrevxCSI 2008-02-07 22:11 . 2004-08-05 13:00 401,408 --a------ C:\kmd.exe 2008-02-06 22:24 . 2008-02-06 22:24 19,990 --a------ C:\ircbo-zy.ide 2008-02-05 23:00 . 2008-02-05 23:01 <DIR> d-------- C:\Programme\Sophos 2008-02-05 23:00 . 2008-02-05 23:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Cisco Systems 2008-02-05 23:00 . 2008-02-05 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos 2008-02-05 23:00 . 2007-03-09 09:56 17,920 --a------ C:\WINDOWS\system32\SophosBootTasks.exe 2008-02-05 22:59 . 2007-09-10 11:09 101,120 --a------ C:\WINDOWS\system32\drivers\savonaccesscontrol.sys 2008-02-05 22:59 . 2007-09-10 11:08 33,408 --a------ C:\WINDOWS\system32\drivers\savonaccessfilter.sys 2008-02-05 22:52 . 2006-05-18 08:30 2,091,031 --------- C:\Programme\Setup.exe 2008-02-05 00:18 . 2008-02-05 00:18 357,768 --a------ C:\Dokumente und Einstellungen\***\SymXPep2.dll 2008-02-03 13:58 . 2008-02-03 13:58 <DIR> d-------- C:\Programme\Lavasoft 2008-02-03 13:58 . 2008-02-03 13:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-02-03 13:58 . 2008-02-03 13:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-02-01 23:23 . 2008-02-01 23:23 40,730 --a------ C:\WINDOWS\system32\superiorads-uninst.exe 2008-02-01 15:53 . 2008-02-01 23:42 <DIR> d-------- C:\Programme\Google 2008-02-01 14:49 . 2008-02-01 14:49 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zylom 2008-02-01 14:49 . 2008-02-01 14:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom 2008-02-01 14:18 . 2008-02-01 14:20 1,024 --a------ C:\WINDOWS\ppengine.ini 2008-01-28 20:58 . 1994-12-27 12:54 21,648 --------- C:\WINDOWS\system\ctl3dv2.dll 2008-01-28 20:58 . 1993-06-01 08:51 15,856 --------- C:\WINDOWS\system\ctl3d.dll 2008-01-28 20:58 . 1995-02-21 04:39 537 --------- C:\WINDOWS\spedview.ini 2008-01-28 19:41 . 2008-01-28 20:36 <DIR> d-------- C:\Programme\win2day 2008-01-28 19:40 . 2008-01-28 19:40 <DIR> d-------- C:\WINDOWS\Sun 2008-01-27 22:45 . 2008-01-27 22:45 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\CyberLink 2008-01-27 21:31 . 2008-01-27 21:31 <DIR> d-------- C:\Programme\Macromedia 2008-01-27 21:31 . 2008-01-27 21:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia 2008-01-27 21:30 . 2008-01-27 21:30 <DIR> d-------- C:\WINDOWS\Downloaded Installations 2008-01-26 23:06 . 2008-01-26 23:06 <DIR> d-------- C:\Dokumente und Einstellungen\***\LimeWire Store Purchased 2008-01-26 23:05 . 2008-01-26 23:05 <DIR> d-------- C:\Dokumente und Einstellungen\***\Incomplete 2008-01-26 23:05 . 2008-02-04 01:03 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\LimeWire 2008-01-26 23:04 . 2008-01-26 23:05 <DIR> d-------- C:\Programme\LimeWire 2008-01-26 23:04 . 2008-01-28 19:40 <DIR> d-------- C:\Programme\Java 2008-01-26 23:04 . 2008-01-26 23:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-01-26 23:04 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-01-24 00:04 . 2008-01-24 00:11 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HP 2008-01-24 00:01 . 2008-01-24 00:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP Product Assistant 2008-01-24 00:00 . 2008-01-24 00:00 <DIR> d-------- C:\Programme\Hewlett-Packard 2008-01-23 23:57 . 2008-01-24 00:04 160,172 --------- C:\WINDOWS\hpoins14.dat 2008-01-23 23:57 . 2007-06-06 00:07 2,000 --------- C:\WINDOWS\hpomdl14.dat 2008-01-23 23:44 . 2008-02-03 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HPAppData 2008-01-23 23:43 . 2008-01-23 23:43 0 --------- C:\WINDOWS\hpqEmlSz.INI 2008-01-23 23:41 . 2008-01-23 23:41 <DIR> d---s---- C:\Dokumente und Einstellungen\LocalService\UserData 2008-01-23 23:36 . 2008-01-23 23:36 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\HP 2008-01-23 23:32 . 2008-01-23 23:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEBREG 2008-01-23 23:30 . 2008-01-23 23:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HPSSUPPLY 2008-01-23 23:29 . 2008-01-23 23:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\HP 2008-01-23 23:29 . 2008-01-24 00:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP 2008-01-23 23:28 . 2008-01-23 23:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard 2008-01-23 23:27 . 2008-01-23 23:30 <DIR> d-------- C:\Programme\HP 2008-01-23 23:25 . 2008-01-23 23:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard 2008-01-23 23:25 . 2007-03-30 16:07 267,864 -r------- C:\WINDOWS\system32\hpzids01.dll 2008-01-23 23:25 . 2007-03-28 14:01 117,760 --------- C:\WINDOWS\system32\hpzll5ha.dll 2008-01-23 23:25 . 2007-03-08 05:20 49,920 -r------- C:\WINDOWS\system32\drivers\HPZid412.sys 2008-01-23 23:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2008-01-23 23:25 . 2004-08-03 23:01 25,856 -----c--- C:\WINDOWS\system32\dllcache\usbprint.sys 2008-01-23 23:25 . 2007-03-08 05:20 21,568 -r------- C:\WINDOWS\system32\drivers\HPZius12.sys 2008-01-23 23:25 . 2007-03-08 05:20 16,496 -r------- C:\WINDOWS\system32\drivers\HPZipr12.sys 2008-01-23 23:24 . 2007-03-17 17:11 675,840 -r------- C:\WINDOWS\system32\hpowiax3.dll 2008-01-23 23:24 . 2007-03-17 17:11 569,344 -r------- C:\WINDOWS\system32\hpotscl3.dll 2008-01-23 23:24 . 2007-03-08 05:20 364,544 -r------- C:\WINDOWS\system32\hppldcoi.dll 2008-01-23 23:24 . 2007-03-17 17:11 303,104 -r------- C:\WINDOWS\system32\hpovst10.dll 2008-01-23 23:24 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2008-01-23 23:24 . 2004-08-03 22:58 15,104 -----c--- C:\WINDOWS\system32\dllcache\usbscan.sys 2008-01-23 23:19 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2008-01-23 23:19 . 2004-08-03 23:08 31,616 -----c--- C:\WINDOWS\system32\dllcache\usbccgp.sys 2008-01-21 22:38 . 2008-01-21 22:38 <DIR> d---s---- C:\Dokumente und Einstellungen\***\UserData 2008-01-21 22:25 . 2008-01-21 22:25 <DIR> d-------- C:\Programme\Windows Sidebar 2008-01-21 22:25 . 2008-01-26 22:30 <DIR> d-------- C:\Programme\Norton AntiVirus 2008-01-21 22:25 . 2008-01-26 00:02 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS 2008-01-21 22:25 . 2008-01-26 00:02 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL 2008-01-21 22:25 . 2008-01-26 00:02 10,740 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT 2008-01-21 22:25 . 2008-01-26 00:02 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF 2008-01-20 20:35 . 2001-06-18 09:41 282,624 --------- C:\WINDOWS\system32\ActiveSkin.ocx 2008-01-20 20:35 . 2001-01-10 12:23 162,304 --------- C:\UNWISE.EXE 2008-01-20 20:35 . 2001-06-18 09:41 112 --------- C:\WINDOWS\ActiveSkin.INI 2008-01-16 23:09 . 2008-01-16 23:09 <DIR> d-------- C:\Programme\Usb to Serial Driver 1.12.28 2008-01-15 22:35 . 2008-02-08 00:05 202 --a------ C:\WINDOWS\NeroDigital.ini 2008-01-15 22:28 . 2008-02-04 23:59 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-01-15 22:26 . 2004-08-09 06:44 82,768 -r-h----- C:\WINDOWS\system32\drivers\slabser.sys 2008-01-15 22:26 . 2004-08-09 06:44 6,112 -r-h----- C:\WINDOWS\system32\drivers\slabcmnt.sys 2008-01-15 22:26 . 2004-08-09 06:44 6,112 -r-h----- C:\WINDOWS\system32\drivers\slabcm.sys 2008-01-15 22:25 . 2004-08-09 06:44 51,040 -r-h----- C:\WINDOWS\system32\drivers\slabbus.sys 2008-01-15 22:25 . 2004-08-09 06:44 47,616 -r-h----- C:\WINDOWS\system32\USB2k.exe 2008-01-15 22:25 . 2004-08-09 06:44 5,776 -r-h----- C:\WINDOWS\system32\drivers\slabwhnt.sys 2008-01-15 22:25 . 2004-08-09 06:44 5,776 -r-h----- C:\WINDOWS\system32\drivers\slabwh.sys 2008-01-15 22:25 . 2004-08-09 06:44 100 -r-h----- C:\WINDOWS\system32\USB.u2k 2008-01-15 21:57 . 2008-01-15 21:57 739 --------- C:\WINDOWS\STImgBrowser.INI 2008-01-15 21:56 . 2008-01-15 21:56 <DIR> d-------- C:\Programme\Samsung 2008-01-15 21:56 . 2008-01-15 21:56 <DIR> d-------- C:\Programme\DigimaxReader Eng 2008-01-15 21:56 . 1998-06-18 00:00 89,360 --------- C:\WINDOWS\system32\VB5DB.DLL . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-15 08:54 10,537 ----a-w C:\WINDOWS\system32\drivers\coh_mon.cat 2008-01-15 04:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf 2008-01-14 18:53 --------- d-----w C:\Programme\microsoft frontpage 2008-01-14 18:52 --------- d-----w C:\Programme\Online-Dienste 2008-01-14 18:52 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap 2008-01-14 18:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2008-01-12 17:32 23,904 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys 2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2006-12-19 16:14 6,922 ----a-r C:\Programme\readscc.txt 2006-12-11 14:39 74,549,248 ----a-r C:\Programme\Sophos Control Center.msi . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0347C33E-8762-4905-BF09-768834316C61}] 2007-03-02 16:52 1298024 -r------- C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{053F9267-DC04-4294-A72C-58F732D338C0}] 2007-03-02 16:52 177768 -r------- C:\Programme\HP\Smart Web Printing\hpswp_framework.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}] 2008-01-31 23:42 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360] "AdwareAlert"="C:\Programme\AdwareAlert\AdwareAlert.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-05 14:11 98304] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-05 14:13 114688] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-05 14:10 94208] "RTHDCPL"="RTHDCPL.EXE" [2007-04-10 08:28 16126464 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2007-04-04 10:22 1822720 C:\WINDOWS\SkyTel.exe] "Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12 483328] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-08-24 22:07 51048] "osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2007-08-24 21:53 714608] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 21:34 49152] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360] C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\ Outlook.lnk - C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe [2008-01-14 20:21:10 794624] C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\ Outlook.lnk - C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe [2008-01-14 20:21:10 794624] C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\ Outlook.lnk - C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe [2008-01-14 20:21:10 794624] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2000-01-08 09:22] R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-09-10 11:09] R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-09-10 11:08] R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" [2007-08-24 22:07] R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2007-07-03 11:33] R3 SymIMMP;SymIMMP;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27] S0 hpcceipw;hpcceipw;C:\WINDOWS\system32\drivers\kwklkwot.dat [] S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-01-12 18:32] S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Inhalt des "geplante Tasks" Ordners "2008-01-28 19:18:54 C:\WINDOWS\Tasks\Norton AntiVirus - Systemprüfung ausführen - ***.job" - C:\Programme\Norton AntiVirus\Navw32.exel/TASK: . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-09 01:47:04 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-02-09 1:47:26 ComboFix-quarantined-files.txt 2008-02-09 00:47:24 ComboFix2.txt 2008-02-07 21:14:07 . 2008-02-09 00:09:25 --- E O F --- AhnLab-V3 2008.2.6.10 2008.02.05 - AntiVir 7.6.0.62 2008.02.08 - Authentium 4.93.8 2008.02.08 - Avast 4.7.1098.0 2008.02.08 - AVG 7.5.0.516 2008.02.08 - BitDefender 7.2 2008.02.09 - CAT-QuickHeal None 2008.02.08 - ClamAV 0.92 2008.02.09 - DrWeb 4.44.0.09170 2008.02.08 - eSafe 7.0.15.0 2008.01.28 - eTrust-Vet 31.3.5522 2008.02.08 - Ewido 4.0 2008.02.08 - FileAdvisor 1 2008.02.09 - Fortinet 3.14.0.0 2008.02.08 - F-Prot 4.4.2.54 2008.02.08 - F-Secure 6.70.13260.0 2008.02.08 - Ikarus T3.1.1.20 2008.02.08 - Kaspersky 7.0.0.125 2008.02.09 - McAfee 5226 2008.02.08 - Microsoft 1.3204 2008.02.09 - NOD32v2 2860 2008.02.08 - Norman 5.80.02 2008.02.08 - Panda 9.0.0.4 2008.02.08 - Prevx1 V2 2008.02.09 - Rising 20.29.22.00 2008.01.30 - Sophos 4.26.0 2008.02.08 - Sunbelt 2.2.907.0 2008.02.08 - Symantec 10 2008.02.09 - TheHacker 6.2.9.213 2008.02.09 - VBA32 3.12.6.0 2008.02.09 - VirusBuster 4.3.26:9 2008.02.08 - Webwasher-Gateway 6.6.2 2008.02.08 - weitere Informationen File size: 23904 bytes MD5: 4ecde31d8cf3c342bef518af954f513b SHA1: dd8602f8e18f4146fd2c537fb420af95302b3134 PEiD: - |
11.02.2008, 07:31 | #11 |
| HILFE! Google-Links - Umleitung Hi, zwei weiter Files zu prüfen und ggf. zu löschen: C:\WINDOWS\system32\tmp.reg C:\kmd.exe (Kaza oder Wurm?->http://www.fbmsoftware.com/spyware-net/process/kmd_exe/584/) Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Poste das Ergebnis mit Filename! Cookies haben meist die Endung .txt und stehen in einem Verzeichnis, was dem Browser zuzuordnen ist... Scanne noch mit Dr. Web und poste das log: Anleitung: Anleitung: DrWeb - CureIt - Anleitung Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
11.02.2008, 18:16 | #12 |
/// Helfer-Team | HILFE! Google-Links - Umleitung kmd.exe ist einer der neuen "Tricks" von Combofix, eine Kopie von cmd.exe aus system32. |
13.02.2008, 12:05 | #13 |
| HILFE! Google-Links - Umleitung hi, leute! vielen vielen dank für eure tips und tricks - aber ich habe meinen compi jetzt doch lieber ganz neu aufgesetzt, da die meldungen und aktivitäten immer kurioser wurden (microsoft-update 34 von 87 wird ausgeführt beim herunterfahren etc...). das mit dem google hat zwar am schluss wieder funktioniert, aber ich traute dem frieden nicht ganz.... also nochmal - herzlichen dank und ich hoffe, ich darf mich wieder melden, wenns mal wieder probleme geben sollte! lg dicker2204 |
Themen zu HILFE! Google-Links - Umleitung |
acroiehelper.dll, adobe, antivirus, appinit_dlls, browser, computer, ctfmon.exe, desktop, document, e-banking, einstellungen, explorer, gpedit.msc, helper, heulen, internet, internet explorer, intrusion prevention, jusched.exe, limewire, malware, monitor, pdf, plug-in, problem, realtek, registry, rthdcpl.exe, saver, shortcut, shut down, software, svchost.exe, symantec, system, windows, windows xp, öffnet |