| |
| |||||||
Log-Analyse und Auswertung: Brauche dringend Hilfe!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
21.04.2008, 18:57
| #1 |
 |  Brauche dringend Hilfe! hab mir wahrscheinlich n trojaner eingefangen...andauernd wenn ich den explorer benutze öffnen sich immer websiten von den ich keine ahnung habe...gladiator etc...mein avast findet zwar die kacke aber wenn ich löschen drücke taucht die meldung in einigen minuten wieder.. hier ist mal mein logfile bitte um hilfe wie ich das ganze wieder los werde Danke für eure Unterstützung... Logfile of HijackThis v1.99.1 Scan saved at 19:47:12, on 21.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\vVX1000.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\MICROS~3\wcescomm.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Microsoft LifeCam\MSCamS32.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\ArcorOnline\AOButler.exe C:\Programme\Steam\Steam.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Home\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-onlein.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DetectorApp] C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe O4 - HKLM\..\Run: [EULA] C:\APPS\PB_TB\EULALauncher.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe" O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe O4 - HKLM\..\Run: [d4c0c58c] rundll32.exe "C:\WINDOWS\system32\cvnbywfr.dll",b O4 - HKLM\..\Run: [BMd7f3f610] Rundll32.exe "C:\WINDOWS\system32\ipxhwqwu.dll",s O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe" O4 - HKCU\..\Run: [PMCLoader] C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe -checktasks O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=8&key=IESTART O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://C:\Programme\Cake Mania\Images\stg_drm.ocx O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Programme\Turbo Pizza\Images\armhelper.ocx O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100 O17 - HKLM\System\CCS\Services\Tcpip\..\{50244C6A-5F38-4B34-998F-328EF40A8AD7}: NameServer = 195.50.140.178 195.50.140.114 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe |
|
22.04.2008, 08:13
| #3 | |
 | Brauche dringend Hilfe! Die beiden Dateien bitte ebenfalls unter VistaUser's Link überprüfen
__________________Zitat:
Außerdem ist dein java nicht up-to-date mfg Cleriker |
|
22.04.2008, 13:17
| #5 | |
| | Brauche dringend Hilfe!Zitat:
|
|
22.04.2008, 13:39
| #6 | |
| | Brauche dringend Hilfe!Zitat:
AntiVir 7.8.0.8 2008.04.22 - Authentium 4.93.8 2008.04.22 - Avast 4.8.1169.0 2008.04.21 - AVG 7.5.0.516 2008.04.21 - BitDefender 7.2 2008.04.22 - CAT-QuickHeal 9.50 2008.04.21 - ClamAV 0.92.1 2008.04.22 - DrWeb 4.44.0.09170 2008.04.22 - eSafe 7.0.15.0 2008.04.21 - eTrust-Vet 31.3.5723 2008.04.22 - Ewido 4.0 2008.04.21 - F-Prot 4.4.2.54 2008.04.21 - F-Secure 6.70.13260.0 2008.04.22 - FileAdvisor 1 2008.04.22 Low threat detected Fortinet 3.14.0.0 2008.04.22 - Ikarus T3.1.1.26 2008.04.22 not-a-virus:Server-FTP.Win32.Serv-U.l Kaspersky 7.0.0.125 2008.04.22 - McAfee 5278 2008.04.21 - Microsoft 1.3408 2008.04.22 - NOD32v2 3044 2008.04.21 - Norman 5.80.02 2008.04.21 - Panda 9.0.0.4 2008.04.21 Suspicious file Prevx1 V2 2008.04.22 - Rising 20.41.10.00 2008.04.22 - Sophos 4.28.0 2008.04.22 Sus/ComPack-C Sunbelt 3.0.1056.0 2008.04.17 BearShare Symantec 10 2008.04.22 - TheHacker 6.2.92.286 2008.04.21 - VBA32 3.12.6.4 2008.04.16 - VirusBuster 4.3.26:9 2008.04.21 - Webwasher-Gateway 6.6.2 2008.04.22 Virus.Win32.FileInfector.gen (suspicious) weitere Informationen File size: 3305472 bytes MD5...: a91d222a5c426ff90532f1bde53e4e55 SHA1..: 16339c700aac96a4f5d0156f44593f33570cb9e5 SHA256: b1fe863500f1f662e3fffeeed38d4520c5190a0cd136977a365e3c1689777630 SHA512: ca1b1875625bf5cbdbcb4e87f3512f877ae43c96e37546abffa3257955d49e0a e9b074a57a36170b5f2e3d3a3ed5b40a627ed55456bc93f930c81d59437758f9 PEiD..: Armadillo 3.X-5.X -> Silicon Realms Toolworks PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x923000 timedatestamp.....: 0x44c7aa45 (Wed Jul 26 17:45:41 2006) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x39153e 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0x393000 0xd5314 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .data 0x469000 0x699b8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .text1 0x4d3000 0x50000 0x43000 7.98 21b898071260ddd30c26ebcae19e0e73 .adata 0x523000 0x10000 0xd000 7.01 f1abcdb8fccdef16d7a2ecf7ba286b4f .data1 0x533000 0x20000 0xb000 3.50 70a9fe97f6b6aab0f633a9b026ce7445 .pdata 0x553000 0x290000 0x28e000 8.00 62b3d742fa8d061e30394a97b564da41 .rsrc 0x7e3000 0x18a000 0x3d000 4.66 d9beceeb14e319a72a392fb71549a171 ( 3 imports ) > KERNEL32.dll: GlobalUnlock, GlobalLock, GlobalAlloc, GetTickCount, WideCharToMultiByte, IsBadReadPtr, GlobalAddAtomA, GlobalAddAtomW, GetModuleHandleA, GlobalFree, GlobalGetAtomNameA, GlobalDeleteAtom, GlobalGetAtomNameW, FreeConsole, GetEnvironmentVariableA, VirtualProtect, VirtualAlloc, GetProcAddress, GetLastError, LoadLibraryA, SetLastError, SetThreadPriority, GetCurrentThread, CreateProcessA, GetCommandLineA, GetStartupInfoA, SetEnvironmentVariableA, ReleaseMutex, WaitForSingleObject, CreateMutexA, OpenMutexA, GetCurrentThreadId, CloseHandle, ReadFile, GetFileSize, CreateFileA, FindClose, FindFirstFileA, FindFirstFileW, VirtualQueryEx, GetExitCodeProcess, ReadProcessMemory, ContinueDebugEvent, SetThreadContext, GetThreadContext, WaitForDebugEvent, SuspendThread, CreateThread, ResumeThread, CreateProcessW, GetCommandLineW, GetStartupInfoW, MapViewOfFile, DuplicateHandle, GetCurrentProcess, CreateFileMappingA, VirtualProtectEx, WriteProcessMemory, ExitProcess, CompareStringA, FlushFileBuffers, LCMapStringW, LCMapStringA, SetStdHandle, GetOEMCP, GetACP, GetCPInfo, GetStringTypeW, GetStringTypeA, CompareStringW, MultiByteToWideChar, SetFilePointer, HeapReAlloc, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, HeapFree, HeapAlloc, GetVersion, GetLocalTime, GetSystemTime, GetTimeZoneInformation, RtlUnwind, TerminateProcess, Sleep, EnterCriticalSection, LeaveCriticalSection, GetVersionExA, InitializeCriticalSection, GetCurrentProcessId, GetModuleFileNameW, GetShortPathNameW, GetModuleFileNameA, DebugActiveProcess, GetShortPathNameA > USER32.dll: GetDesktopWindow, MoveWindow, SetPropA, EnumThreadWindows, GetPropA, GetMessageA, BeginPaint, EndPaint, KillTimer, GetAsyncKeyState, GetSystemMetrics, SetTimer, SetWindowTextA, GetDlgItem, CreateDialogIndirectParamA, ShowWindow, UpdateWindow, LoadStringA, LoadStringW, FindWindowA, WaitForInputIdle, DestroyWindow, MessageBoxA, InSendMessage, UnpackDDElParam, FreeDDElParam, DefWindowProcA, LoadCursorA, RegisterClassW, CreateWindowExW, RegisterClassA, CreateWindowExA, GetWindowThreadProcessId, SendMessageA, PeekMessageA, TranslateMessage, DispatchMessageA, EnumWindows, IsWindowUnicode, PackDDElParam, PostMessageW, PostMessageA, IsWindow, SendMessageW > GDI32.dll: DeleteDC, RealizePalette, SelectPalette, CreateDCA, CreatePalette, DeleteObject, BitBlt, SelectObject, CreateCompatibleDC, CreateDIBitmap ( 0 exports ) Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=a91d222a5c426ff90532f1bde53e4e55 packers: Armadillo packers: Armadillo |
|
22.04.2008, 14:49
| #7 |
| | Brauche dringend Hilfe! Bitte noch die beiden anderen Dateien überprüfen und das Ergebnis posten, damit wir die optimale Bereinigung durchführen können. mfg Cleriker |
|
22.04.2008, 15:14
| #8 |
| > MalwareDB  | Brauche dringend Hilfe! Mal abkürz Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen!) - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
|
22.04.2008, 15:38
| #9 | |
| |  Brauche dringend Hilfe!Zitat:
So hab alles wie dus haben wolltest Compofix Logfile ComboFix 08-04-20.5 - Home 2008-04-22 16:23:07.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.571 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Home\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006 C:\Temp\1cb C:\Temp\1cb\syscheck.log C:\WA6P C:\WINDOWS\pskt.ini C:\WINDOWS\system32\awtrRIcY.dll C:\WINDOWS\system32\cvnbywfr.dll C:\WINDOWS\system32\gPYIknnn.ini C:\WINDOWS\system32\gPYIknnn.ini2 C:\WINDOWS\system32\ipxhwqwu.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mprivfoj.dll C:\WINDOWS\system32\nnnkIYPg.dll C:\WINDOWS\system32\pac.txt C:\WINDOWS\system32\rfwybnvc.ini C:\WINDOWS\system32\stera.job C:\WINDOWS\system32\tuvUOFwu.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_FOPN ((((((((((((((((((((((( Dateien erstellt von 2008-03-22 bis 2008-04-22 )))))))))))))))))))))))))))))) . 2008-04-21 18:42 . 2008-04-21 18:39 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2008-04-21 18:39 . 2008-04-21 20:10 <DIR> d-------- C:\Dokumente und Einstellungen\Home\.housecall6.6 2008-04-21 17:23 . 2008-04-22 16:20 109,761 --a------ C:\WINDOWS\BMd7f3f610.xml 2008-04-21 16:17 . 2008-04-21 16:17 <DIR> d-------- C:\WINDOWS\system32\xcsDd01 2008-04-21 16:17 . 2008-04-21 16:18 <DIR> d-------- C:\WINDOWS\system32\wTmp 2008-04-21 16:17 . 2008-04-21 16:17 <DIR> d-------- C:\WINDOWS\system32\le2 2008-04-21 16:17 . 2008-04-21 16:17 <DIR> d-------- C:\WINDOWS\system32\IBn 2008-04-21 16:17 . 2008-04-21 16:17 <DIR> d-------- C:\Temp\berDrv11 2008-04-21 16:17 . 2008-04-22 16:23 <DIR> d-------- C:\Temp 2008-04-19 10:32 . 2008-04-19 10:32 <DIR> d-------- C:\Dokumente und Einstellungen\Family\Anwendungsdaten\Jane s Hotel Family Hero 2008-04-19 10:31 . 2008-04-20 15:48 <DIR> d-------- C:\Programme\JanesHotelFamilyHero_at 2008-04-17 16:20 . 2008-04-17 16:20 <DIR> d-------- C:\Dokumente und Einstellungen\Family\Anwendungsdaten\Home Sweet Home 2008-04-17 16:09 . 2008-04-20 15:49 <DIR> d-------- C:\Programme\HomeSweetHome_at 2 Datei(en) . 774,144 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-22 13:21 --------- d-----w C:\Programme\Steam 2008-04-20 11:56 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-04-17 13:54 0 ----a-w C:\Programme\temp01 2008-04-17 13:49 --------- d-----w C:\Programme\bfgclient 2008-04-17 13:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BigFishGamesCache 2007-08-14 09:58 774,144 ----a-w C:\Programme\RngInterstitial.dll 2007-03-17 07:44 5 --sha-w C:\WINDOWS\system32\fffdcf_g.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "H/PC Connection Agent"="C:\PROGRA~1\MICROS~3\wcescomm.exe" [2005-11-15 20:14 1204224] "PMCRemote"="" [] "PMCLoader"="C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe" [2007-07-26 13:28 105544] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 15:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 15:00 455168] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 15:01 67584] "RTHDCPL"="RTHDCPL.EXE" [2006-05-18 14:27 16207872 C:\WINDOWS\RTHDCPL.exe] "nwiz"="nwiz.exe" [2006-10-06 16:38 1617920 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-06 16:38 86016] "DetectorApp"="C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 07:15 102400] "EULA"="C:\APPS\PB_TB\EULALauncher.exe" [2006-10-26 14:36 18944] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-06-08 13:31 29696 C:\WINDOWS\KHALMNPR.Exe] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-06 16:38 7700480] "Arcor Online"="" [] "LifeCam"="C:\Programme\Microsoft LifeCam\LifeExp.exe" [2007-05-17 23:45 279912] "VX1000"="C:\WINDOWS\vVX1000.exe" [2007-04-10 23:46 709992] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 15:00 15360] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtrRIcY] awtrRIcY.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm "msacm.mpegacm"= mpegacm.acm "msacm.ulmp3acm"= ulmp3acm.acm [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^OFFICE One Clock v6.5.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OFFICE One Clock v6.5.lnk backup=C:\WINDOWS\pss\OFFICE One Clock v6.5.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^OFFICE One Notes v6.5.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OFFICE One Notes v6.5.lnk backup=C:\WINDOWS\pss\OFFICE One Notes v6.5.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] --a------ 2006-07-26 14:48 3305472 C:\Programme\BearShare\BearShare.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2006-11-12 12:48 157592 C:\Programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X5100 Series] --a------ 2003-03-04 14:54 86099 C:\Programme\Lexmark X5100 Series\lxbabmgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 18:21 1694208 C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher] --a------ 2007-08-02 16:30 3096576 C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector] --a------ 2007-09-28 03:17 443968 C:\Programme\Picasa2\PicasaMediaDetector.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2006-01-18 14:05 19417640 C:\APPS\skype\phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] --a------ 2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2008-03-28 13:12 1271032 C:\Programme\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra------ 2006-03-30 17:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\BearShare\\BearShare.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "C:\\Programme\\Steam\\steamapps\\dada_ffm08\\counter-strike\\hl.exe"= "C:\\Programme\\Steam\\steamapps\\dada_ffm08\\condition zero\\hl.exe"= "C:\\Programme\\Steam\\steamapps\\dada_ffm08\\condition zero deleted scenes\\hl.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\WINDOWS\\system32\\LEXPPS.EXE"= "C:\\Programme\\Steam\\steamapps\\dada_ffm07\\counter-strike\\hl.exe"= "C:\\Programme\\Steam\\steamapps\\dada_ffm07\\condition zero\\hl.exe"= "C:\\APPS\\skype\\phone\\Skype.exe"= "C:\\Programme\\Steam\\steamapps\\dada_ffm07\\condition zero deleted scenes\\hl.exe"= "C:\\Programme\\Steam\\Steam.exe"= "C:\\Programme\\Microsoft LifeCam\\LifeCam.exe"= "C:\\Programme\\Microsoft LifeCam\\LifeExp.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\Watchnet Multi Client\\MultiNet.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R2 MSCamSvc;MSCamSvc;"C:\Programme\Microsoft LifeCam\MSCamS32.exe" [2007-05-17 23:45] S3 Ltn_stk7070P;PCTV based TV tuner device;C:\WINDOWS\system32\DRIVERS\Ltn_stk7070P.sys [2007-06-14 15:41] S3 Ltn_stkrc;PCTV Infrared Receiver;C:\WINDOWS\system32\DRIVERS\Ltn_stkrc.sys [2007-06-13 20:30] S3 VX1000;VX-1000;C:\WINDOWS\system32\DRIVERS\VX1000.sys [2007-04-10 23:46] . Inhalt des "geplante Tasks" Ordners "2008-04-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-22 16:28:41 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 246 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\Programme\Logitech\SetPoint\lgscroll.dll . ------------------------ Other Running Processes ------------------------ . C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\Logitech\SetPoint\KHALMNPR.exe C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe C:\WINDOWS\ehome\ehrecvr.exe C:\WINDOWS\ehome\ehSched.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ehome\ehmsas.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-04-22 16:32:02 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-22 14:31:58 14 Verzeichnis(se), 211,698,421,760 Bytes frei 21 Verzeichnis(se), 213,032,628,224 Bytes frei 210 --- E O F --- 2008-04-11 16:56:44 Und das neue HijackThis Logfile Logfile of HijackThis v1.99.1 Scan saved at 16:33:14, on 22.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe C:\WINDOWS\vVX1000.exe C:\PROGRA~1\MICROS~3\wcescomm.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Microsoft LifeCam\MSCamS32.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Home\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-onlein.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DetectorApp] C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe O4 - HKLM\..\Run: [EULA] C:\APPS\PB_TB\EULALauncher.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe" O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe" O4 - HKCU\..\Run: [PMCLoader] C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe -checktasks O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=8&key=IESTART O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://C:\Programme\Cake Mania\Images\stg_drm.ocx O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Programme\Turbo Pizza\Images\armhelper.ocx O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: awtrRIcY - awtrRIcY.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe Danke noch mal für eure Unterstützung |
|
22.04.2008, 16:23
| #10 |
| > MalwareDB | Brauche dringend Hilfe! Java Verabschiede Dich bitte von Bearshare. Auch der Messenger Plus, den Du wohl deinstalliert hast, solltest Du nicht mehr nutzen. Er ist kein offizielles Produkt von Microsoft und beinhaltet Spyware. Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter File::
C:\WINDOWS\BMd7f3f610.xml
C:\WINDOWS\system32\fffdcf_g.dll
Folder::
C:\WINDOWS\system32\xcsDd01
C:\WINDOWS\system32\wTmp
C:\WINDOWS\system32\le2
C:\WINDOWS\system32\IBn
C:\Temp\berDrv11
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtrRIcY]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann |
|
22.04.2008, 16:55
| #11 | |
| | Brauche dringend Hilfe!Zitat:
Danke sehr! Aber wenn ich den oben genannten Vorgang (Nr.5) mache geht das genau wie vorhin los der fragt ob ich das programm ausführen möchte dann ich ja dann macht der das gleiche wie ganz am anfang ist das richtig so? dann war mein bildschirm mal blau und hab dann son beeeepn die ganze zeit hab dann pc ausgemacht und neu gestartet richtig so? |
|
22.04.2008, 16:59
| #12 | |
| > MalwareDB | Brauche dringend Hilfe!Zitat:
 |
|
22.04.2008, 17:31
| #13 | |
| | Brauche dringend Hilfe!Zitat:
ComboFix 08-04-20.5 - Home 2008-04-22 18:26:37.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.632 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Home\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML C:\Dokumente und Einstellungen\Family\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML C:\Dokumente und Einstellungen\Home_2\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML C:\Dokumente und Einstellungen\niro\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML . ---- Previous Run ------- . C:\Temp\berDrv11 C:\Temp\berDrv11\fxpNbu.log C:\WINDOWS\BMd7f3f610.xml C:\WINDOWS\system32\fffdcf_g.dll C:\WINDOWS\system32\IBn C:\WINDOWS\system32\le2 C:\WINDOWS\system32\wTmp C:\WINDOWS\system32\xcsDd01 C:\WINDOWS\system32\xcsDd01\xcsDd011065.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-03-22 bis 2008-04-22 )))))))))))))))))))))))))))))) . 2008-04-21 18:42 . 2008-04-21 18:39 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2008-04-21 18:39 . 2008-04-21 20:10 <DIR> d-------- C:\Dokumente und Einstellungen\Home\.housecall6.6 2008-04-21 16:17 . 2008-04-22 17:38 <DIR> d-------- C:\Temp 2008-04-19 10:32 . 2008-04-19 10:32 <DIR> d-------- C:\Dokumente und Einstellungen\Family\Anwendungsdaten\Jane s Hotel Family Hero 2008-04-19 10:31 . 2008-04-20 15:48 <DIR> d-------- C:\Programme\JanesHotelFamilyHero_at 2008-04-17 16:20 . 2008-04-17 16:20 <DIR> d-------- C:\Dokumente und Einstellungen\Family\Anwendungsdaten\Home Sweet Home 2008-04-17 16:09 . 2008-04-20 15:49 <DIR> d-------- C:\Programme\HomeSweetHome_at 2 Datei(en) . 774,144 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-22 15:57 --------- d-----w C:\Programme\Steam 2008-04-22 15:31 --------- d-----w C:\Programme\MSN Messenger 2008-04-20 11:56 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-04-17 13:54 0 ----a-w C:\Programme\temp01 2008-04-17 13:49 --------- d-----w C:\Programme\bfgclient 2008-04-17 13:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BigFishGamesCache 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll 2008-02-20 05:33 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-02-15 09:07 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe 2008-02-14 20:17 114,688 ----a-w C:\WINDOWS\system32\netlogun.exe 2007-08-14 09:58 774,144 ----a-w C:\Programme\RngInterstitial.dll . ((((((((((((((((((((((((((((( snapshot@2008-04-22_16.31.43.56 ))))))))))))))))))))))))))))))))))))))))) . - 2008-04-22 14:28:09 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-04-22 15:40:50 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-04-22 15:40:56 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5d4.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "H/PC Connection Agent"="C:\PROGRA~1\MICROS~3\wcescomm.exe" [2005-11-15 20:14 1204224] "PMCRemote"="" [] "PMCLoader"="C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe" [2007-07-26 13:28 105544] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 15:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 15:00 455168] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 15:01 67584] "RTHDCPL"="RTHDCPL.EXE" [2006-05-18 14:27 16207872 C:\WINDOWS\RTHDCPL.exe] "nwiz"="nwiz.exe" [2006-10-06 16:38 1617920 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-06 16:38 86016] "DetectorApp"="C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 07:15 102400] "EULA"="C:\APPS\PB_TB\EULALauncher.exe" [2006-10-26 14:36 18944] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-06-08 13:31 29696 C:\WINDOWS\KHALMNPR.Exe] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-06 16:38 7700480] "Arcor Online"="" [] "LifeCam"="C:\Programme\Microsoft LifeCam\LifeExp.exe" [2007-05-17 23:45 279912] "VX1000"="C:\WINDOWS\vVX1000.exe" [2007-04-10 23:46 709992] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 15:00 15360] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\KEM.exe [2007-01-15 23:07:11 581632] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtrRIcY] awtrRIcY.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm "msacm.mpegacm"= mpegacm.acm "msacm.ulmp3acm"= ulmp3acm.acm [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^OFFICE One Clock v6.5.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OFFICE One Clock v6.5.lnk backup=C:\WINDOWS\pss\OFFICE One Clock v6.5.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^OFFICE One Notes v6.5.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OFFICE One Notes v6.5.lnk backup=C:\WINDOWS\pss\OFFICE One Notes v6.5.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] C:\Programme\BearShare\BearShare.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2006-11-12 12:48 157592 C:\Programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X5100 Series] --a------ 2003-03-04 14:54 86099 C:\Programme\Lexmark X5100 Series\lxbabmgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 18:21 1694208 C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher] --a------ 2007-08-02 16:30 3096576 C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector] --a------ 2007-09-28 03:17 443968 C:\Programme\Picasa2\PicasaMediaDetector.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2006-01-18 14:05 19417640 C:\APPS\skype\phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] --a------ 2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2008-03-28 13:12 1271032 C:\Programme\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra------ 2006-03-30 17:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "C:\\Programme\\Steam\\steamapps\\dada_ffm08\\counter-strike\\hl.exe"= "C:\\Programme\\Steam\\steamapps\\dada_ffm08\\condition zero\\hl.exe"= "C:\\Programme\\Steam\\steamapps\\dada_ffm08\\condition zero deleted scenes\\hl.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\WINDOWS\\system32\\LEXPPS.EXE"= "C:\\Programme\\Steam\\steamapps\\dada_ffm07\\counter-strike\\hl.exe"= "C:\\Programme\\Steam\\steamapps\\dada_ffm07\\condition zero\\hl.exe"= "C:\\APPS\\skype\\phone\\Skype.exe"= "C:\\Programme\\Steam\\steamapps\\dada_ffm07\\condition zero deleted scenes\\hl.exe"= "C:\\Programme\\Steam\\Steam.exe"= "C:\\Programme\\Microsoft LifeCam\\LifeCam.exe"= "C:\\Programme\\Microsoft LifeCam\\LifeExp.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\Watchnet Multi Client\\MultiNet.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R2 MSCamSvc;MSCamSvc;"C:\Programme\Microsoft LifeCam\MSCamS32.exe" [2007-05-17 23:45] S3 Ltn_stk7070P;PCTV based TV tuner device;C:\WINDOWS\system32\DRIVERS\Ltn_stk7070P.sys [2007-06-14 15:41] S3 Ltn_stkrc;PCTV Infrared Receiver;C:\WINDOWS\system32\DRIVERS\Ltn_stkrc.sys [2007-06-13 20:30] S3 VX1000;VX-1000;C:\WINDOWS\system32\DRIVERS\VX1000.sys [2007-04-10 23:46] *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners "2008-04-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-22 18:28:48 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-22 18:29:35 ComboFix-quarantined-files.txt 2008-04-22 16:29:29 ComboFix2.txt 2008-04-22 14:32:03 14 Verzeichnis(se), 212,957,741,056 Bytes frei 21 Verzeichnis(se), 212,951,150,592 Bytes frei 186 --- E O F --- 2008-04-11 16:56:44 |
|
22.04.2008, 17:43
| #15 | |
| | Brauche dringend Hilfe!Zitat:
Geändert von adler_2008 (22.04.2008 um 17:43 Uhr) Grund: augen auf:P |
|
| Themen zu Brauche dringend Hilfe! |
| antivirus, avast, avast!, bitte um hilfe, desktop, dll, dringend, einstellungen, excel, explorer, google, hijack, hijackthis, internet, internet explorer, keine ahnung, logfile, löschen, nvidia, performance, programme, rundll, software, solution, system, trojaner, uleadburninghelper, windows, windows xp |
Linear-Darstellung
