|
Log-Analyse und Auswertung: Bitte um HiJackThis Logfile auswertungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.04.2008, 11:33 | #1 |
| Bitte um HiJackThis Logfile auswertung Moinsen, Nach Wochenlangen Problemen mit dem IE-Explorer (ständige PopUps) und Meldungen von Antivir das ein Trojaner Gen oder so ähnlich gefunden wurde, der aber nicht entfernt werden kann (zeigt sich darin das Antivir ihn immer wieder findet) dachte ich das ihr mir vielleicht helfen könnt. Da ich keine Ahnung von HJT hab, kann ich es selber nicht auswerten und versteh unter dieser Log nur Bahnhof Daher dachte ich könnte mir maybe einer Helfen und mir sagen, was ich tun soll, bzw. wo das Problem liegt Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:14:49, on 27.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\QuickTime\QTTask.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Logitech\Harmony Remote\HarmonyClient.exe C:\Programme\Logitech\Harmony Remote\HarmonyClient.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://trojaner-board.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://trojaner-board.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://trojaner-board.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://trojaner-board.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://trojaner-board.de R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL O2 - BHO: (no name) - {3743293F-E8D7-4EBB-A2E2-668FEEAACB79} - (no file) O2 - BHO: (no name) - {47EDA10A-290A-4480-AE39-AD657C28F794} - (no file) O2 - BHO: (no name) - {6C622D52-0612-414B-A063-105A614D396F} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {C47A9554-195A-4769-9B13-04F15B450A39} - (no file) O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - (no file) O2 - BHO: (no name) - {E552EEFC-DE97-45D4-BA1A-F534A1B4A579} - (no file) O2 - BHO: (no name) - {EF502FE6-7AD7-476D-B3BE-CE43BC4F35DA} - (no file) O2 - BHO: (no name) - {F14BB1E6-64C7-43E0-A87D-09A985B6FAE4} - (no file) O3 - Toolbar: (no name) - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - (no file) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [1&1 EasyLogin] C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Video Add-on\isfmntr.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Logitech Harmony Remote V5.lnk = C:\Programme\Logitech\Harmony Remote\HarmonyClient.exe O4 - Global Startup: Logitech Harmony-Fernbedienung.lnk = C:\Programme\Logitech\Harmony Remote\HarmonyClient.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000 O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - (no file) O9 - Extra 'Tools' menuitem: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - (no file) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - K:\Muster\Sonstiges\Icq Lite\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - K:Muster\Sonstiges\Icq Lite\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Muster\Eigene Dateien\1CQ6\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Muster\Eigene Dateien\1CQ6\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4961/mcfscan.cab O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS1\Services\Tcpip\..\{0FB5A781-45FB-4FCD-BA4D-DE80006D2893}: NameServer = 0.0.0.0 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS3\Services\Tcpip\..\{0FB5A781-45FB-4FCD-BA4D-DE80006D2893}: NameServer = 0.0.0.0 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS4\Services\Tcpip\..\{0FB5A781-45FB-4FCD-BA4D-DE80006D2893}: NameServer = 0.0.0.0 O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS5\Services\Tcpip\..\{0FB5A781-45FB-4FCD-BA4D-DE80006D2893}: NameServer = 0.0.0.0 O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS6\Services\Tcpip\..\{0FB5A781-45FB-4FCD-BA4D-DE80006D2893}: NameServer = 0.0.0.0 O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS7\Services\Tcpip\..\{0FB5A781-45FB-4FCD-BA4D-DE80006D2893}: NameServer = 0.0.0.0 O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS8\Services\Tcpip\..\{0FB5A781-45FB-4FCD-BA4D-DE80006D2893}: NameServer = 0.0.0.0 O17 - HKLM\System\CS9\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS9\Services\Tcpip\..\{0FB5A781-45FB-4FCD-BA4D-DE80006D2893}: NameServer = 0.0.0.0 O17 - HKLM\System\CS10\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS10\Services\Tcpip\..\{0FB5A781-45FB-4FCD-BA4D-DE80006D2893}: NameServer = 0.0.0.0 O17 - HKLM\System\CS11\Services\Tcpip\Parameters: NameServer = 85.255.116.137 85.255.112.8 O17 - HKLM\System\CS11\Services\Tcpip\..\{0FB5A781-45FB-4FCD-BA4D-DE80006D2893}: NameServer = 85.255.116.137,85.255.112.8 O17 - HKLM\System\CS12\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS12\Services\Tcpip\..\{0FB5A781-45FB-4FCD-BA4D-DE80006D2893}: NameServer = 0.0.0.0 O17 - HKLM\System\CS13\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS14\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS15\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS16\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS17\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS18\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS19\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CS20\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.70 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: efcaaxy - efcaaxy.dll (file missing) O20 - Winlogon Notify: jkkkklk - jkkkklk.dll (file missing) O20 - Winlogon Notify: mljji - C:\WINDOWS\system32\mljji.dll (file missing) O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing) O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 16457 bytes |
27.04.2008, 12:17 | #2 |
| Bitte um HiJackThis Logfile auswertung So ein schlimmes Log habe ich noch nie gesehen.
__________________Du bist für dich und andere eine RIESEN Gefahr. PC vom Netz und formatieren, Windows neu installieren. |
27.04.2008, 12:42 | #3 | |
/// AVZ-Toolkit Guru | Bitte um HiJackThis Logfile auswertung Na na... so schlimm ist es nun auch wieder nicht.
__________________Die sicherste Methode wäre es den Rechner neuaufzusetzten! Dies ist aber nicht zwingend erforderlich. 1) Deinstalliere über die Systemsteuerung MyWebSearch und alle anderen Fake Programme und Toolbars! 2) Folge dieser Anleitung. Schritte 1 und 2 durchführen. (1.Suche - 2.Bereinigung) Wiederhole diese Schritte so oft bis nichts mehr gefunden wird! Danach führe dieses Tool im abgesicherten Modus aus. 3) Folge bitte dieser Anleitung. 4) DNS-Einträge entfernen: Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) -Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop. -installiere das Tool und achte darauf das "Run fixit" aktiviert ist. -klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!) -achte nun auf die Hinweise die gegeben werden {mfg an [Gc]Sunny} Fixe nun mit HijackThis folgende Einträge im Logfile (falls vorhanden): Zitat:
6) Mache einen letzten Maleware-Check mit Malewarebytes. 7) Poste ein frisches HJT log und alle entstandenen Berichte/logFiles!! 8) Ändere nach der Bereinigung alle Passwörter und Zugans-Accounts!!
__________________ |
27.04.2008, 23:04 | #4 |
| Bitte um HiJackThis Logfile auswertung Alles gemacht.. hier die LOG-Files Virtumundobegone [04/27/2008, 21:54:46] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Claudia\Eigene Dateien\Downloads\VirtumundoBeGone.exe" ) [04/27/2008, 21:54:54] - Detected System Information: [04/27/2008, 21:54:54] - Windows Version: 5.1.2600, Service Pack 2 [04/27/2008, 21:54:54] - Current Username: Administrator (Admin) [04/27/2008, 21:54:54] - Windows is in SAFE mode with Networking. [04/27/2008, 21:54:54] - Searching for Browser Helper Objects: [04/27/2008, 21:54:54] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader) [04/27/2008, 21:54:54] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [04/27/2008, 21:54:54] - Finished Searching Browser Helper Objects [04/27/2008, 21:54:54] - Finishing up... [04/27/2008, 21:54:54] - Nothing found! Exiting... Anti-Malware Malwarebytes' Anti-Malware 1.11 Datenbank Version: 690 Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|) Objekte gescannt: 201149 Scan Dauer: 1 hour(s), 15 minute(s), 39 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 14 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 38 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{1e0de227-5ce4-4ea3-ab0c-8b03e1aa76bc} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Online Add-on (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Audio-Video Enhance (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Leon-Maria\Eigene Dateien\S0n5t1g35\CONTERSTRIKE\Hackz\RoyalHack v1.0d\Public-1d.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\Programme\Uninstall Fun Web Products.dll.vir (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE.vir (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL.vir (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249268.scr (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249269.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249276.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249277.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249278.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249279.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249280.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249281.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249282.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249283.SCR (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249284.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249285.DLL (Adware.MyWeb.FunWeb) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249286.EXE (Adware.MyWeb.FunWeb) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249287.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249288.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249289.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249291.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249292.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249293.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249294.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249296.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249297.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249298.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249299.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249300.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249301.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249302.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP563\A0249303.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP565\A0249949.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP565\A0249950.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP565\A0249951.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP566\A0250000.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP566\A0250001.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1CC24EE3-6149-44AA-B0F4-D8BF1DF28234}\RP566\A0250003.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully. HIJACKTHIS Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:59:50, on 27.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\OpenOffice.org 2.2\program\soffice.exe C:\Programme\OpenOffice.org 2.2\program\soffice.BIN C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe -- End of file - 2809 bytes Schon einmal lieben Dank, für die Bemühungen :aplaus: Gruß shame |
27.04.2008, 23:12 | #5 | |
/// AVZ-Toolkit Guru | Bitte um HiJackThis Logfile auswertung Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden. Zitat:
Ich kann in keinem Fall für die Sicherheit/Vertrauenswürdigkeit deines Systems garantieren! Wer sich solchen Müll saugt und ausführt muss sich über die Folgen nicht wundern... Dein Rechner ist kompromitiert worden und kann möglicherweise Ferngesteuert werden! Es wäre am besten wenn du ihn neuaufsetzten würdest! Anleitung gibts im FAQ-Bereich. Poste bitte noch das SmitfraudFix log!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
28.04.2008, 17:56 | #6 |
| Bitte um HiJackThis Logfile auswertung So. Habe nun alles nochmal mit Deaktivierter Systemwiederherstellung gemacht. Aufgefallen ist mir das er diesmal bei dem Maleware Check mit Malwarebytes' Anti-Malware keine Treffer hatte. Aber hier die ganzen Logs.. ComboFix ComboFix 08-04-26.5 - *** 2008-04-28 16:14:52.3 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-28 )))))))))))))))))))))))))))))) . 2008-04-27 22:40 . 2008-04-27 22:41 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-04-27 22:40 . 2008-04-27 22:40 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2008-04-27 22:40 . 2008-04-27 22:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-04-27 22:12 . 2008-04-27 22:16 <DIR> d-------- C:\fixwareout 2008-04-27 22:04 . 2008-04-24 08:10 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-04-27 22:04 . 2008-04-23 22:14 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-04-27 22:04 . 2008-04-23 22:14 82,944 --a------ C:\WINDOWS\system32\404Fix.exe 2008-04-27 21:46 . 2008-04-27 21:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback 2008-04-27 12:14 . 2008-04-27 12:14 <DIR> d-------- C:\Programme\Trend Micro 2008-04-24 18:11 . 2008-04-24 18:14 <DIR> d-------- C:\Programme\Total Video Converter 2008-04-24 17:37 . 2008-04-24 17:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio 2008-04-24 17:36 . 2008-04-24 17:36 <DIR> d-------- C:\Programme\Riva 2008-04-24 16:41 . 2008-04-24 16:41 <DIR> d-------- C:\Dokumente und Einstellungen***\Anwendungsdaten\Teleca 2008-04-24 16:39 . 2008-04-24 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sony Ericsson 2008-04-17 22:29 . 2006-02-20 18:59 85,408 -ra------ C:\WINDOWS\system32\drivers\w810mgmt.sys 2008-04-17 22:29 . 2006-02-20 18:59 83,344 -ra------ C:\WINDOWS\system32\drivers\w810obex.sys 2008-04-17 22:28 . 2006-02-20 18:59 94,064 -ra------ C:\WINDOWS\system32\drivers\w810mdm.sys 2008-04-17 22:28 . 2006-02-20 18:59 58,288 -ra------ C:\WINDOWS\system32\drivers\w810bus.sys 2008-04-17 22:28 . 2006-02-20 18:59 8,336 -ra------ C:\WINDOWS\system32\drivers\w810mdfl.sys 2008-04-17 22:28 . 2006-02-20 18:59 6,176 -ra------ C:\WINDOWS\system32\drivers\w810cmnt.sys 2008-04-17 22:28 . 2006-02-20 18:59 6,176 -ra------ C:\WINDOWS\system32\drivers\w810cm.sys 2008-04-17 22:28 . 2006-02-20 18:59 5,808 -ra------ C:\WINDOWS\system32\drivers\w810whnt.sys 2008-04-17 22:28 . 2006-02-20 18:59 5,808 -ra------ C:\WINDOWS\system32\drivers\w810wh.sys 2008-04-17 22:27 . 2008-04-17 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Teleca 2008-04-17 22:27 . 2008-04-17 22:27 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sony Ericsson 2008-04-17 22:25 . 2008-04-17 22:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Documents 2008-04-17 22:24 . 2008-04-17 22:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared 2008-04-17 22:24 . 2008-04-17 22:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca 2008-04-09 18:50 . 2005-09-07 16:42 96,224 --a------ C:\WINDOWS\system32\drivers\w800mdm.sys 2008-04-09 18:50 . 2005-09-07 16:42 87,792 --a------ C:\WINDOWS\system32\drivers\w800mgmt.sys 2008-04-09 18:50 . 2005-09-07 16:42 85,664 --a------ C:\WINDOWS\system32\drivers\w800obex.sys 2008-04-09 18:50 . 2005-09-07 16:42 9,264 --a------ C:\WINDOWS\system32\drivers\w800mdfl.sys 2008-04-09 18:50 . 2005-09-07 16:42 6,144 --a------ C:\WINDOWS\system32\drivers\w800cmnt.sys 2008-04-09 18:50 . 2005-09-07 16:42 6,144 --a------ C:\WINDOWS\system32\drivers\w800cm.sys 2008-04-09 18:46 . 2005-06-13 10:03 60,768 --a------ C:\WINDOWS\system32\drivers\w800bus.sys 2008-04-09 18:46 . 2005-06-13 10:03 5,744 --a------ C:\WINDOWS\system32\drivers\w800whnt.sys 2008-04-09 18:46 . 2005-06-13 10:03 5,744 --a------ C:\WINDOWS\system32\drivers\w800wh.sys 2008-04-08 19:24 . 2008-04-28 16:06 <DIR> d-------- C:\Programme\Far 2008-04-08 18:01 . 2008-04-08 18:01 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-04-08 18:01 . 2008-04-08 18:01 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf 2008-04-03 17:38 . 2008-04-03 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sony 2008-04-03 17:38 . 2008-04-03 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony 2008-03-31 15:35 . 2008-03-31 15:36 <DIR> d-------- C:\Programme\AV Vcs 6.0 2008-03-31 15:33 . 2008-03-31 15:33 <DIR> d-------- C:\Programme\Siber Systems 2008-03-30 17:15 . 2008-03-30 17:15 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-03-30 17:12 . 2008-03-30 17:12 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-03-29 21:38 . 2008-03-31 15:36 <DIR> d-------- C:\Programme\PDFzuWord Professional 2008-03-29 12:32 . 2008-03-29 12:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RoboForm 2008-03-28 21:13 . 2008-03-28 21:13 1,419,232 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll 2008-03-28 21:13 . 2008-03-28 21:13 13,352 --a------ C:\WINDOWS\system32\drivers\ggflt.sys 2008-03-28 13:56 . 2008-03-28 14:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online 5 Datei(en) . 10,221,775 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-27 22:07 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2 2008-04-27 20:05 4,242 ----a-w C:\WINDOWS\system32\tmp.reg 2008-04-27 19:43 --------- d-----w C:\Programme\Google 2008-04-27 19:25 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-04-27 19:25 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\BOM 2008-04-27 19:23 --------- d-----w C:\Programme\MAGIX 2008-04-27 19:23 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared 2008-04-27 19:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2008-04-27 00:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Software rule flag owns 2008-04-26 20:12 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\BitTorrent 2008-04-26 16:13 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\uTorrent 2008-04-26 14:59 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-04-26 14:59 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-04-24 14:40 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2 2008-04-21 20:15 --------- d-----w C:\Programme\a-squared Free 2008-04-17 20:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson 2008-04-17 20:24 --------- d-----w C:\Programme\Sony Ericsson 2008-04-16 20:19 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype 2008-04-16 18:52 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM 2008-04-14 20:10 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype 2008-04-14 20:02 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM 2008-04-11 19:27 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2 2008-04-01 19:13 --------- d-----w C:\Programme\Graffiti Studio 2.0 2008-03-31 18:20 --------- d-----w C:\Programme\Counter-Strike Source 2008-03-28 19:13 20,520 ----a-w C:\WINDOWS\system32\drivers\ggsemc.sys 2008-03-27 14:28 --------- d-----w C:\Programme\Canon 2008-03-27 14:28 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\CD-LabelPrint 2008-03-27 14:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM 2008-03-26 18:26 278,984 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys 2008-03-23 17:46 --------- d-----w C:\Programme\Java 2008-03-22 13:09 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer 2008-03-22 12:04 --------- d-----w C:\Programme\Burn4Free Toolbar 2008-03-22 11:54 --------- d-----w C:\Programme\Burn4Free 2008-03-21 16:39 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire 2008-03-21 16:35 --------- d-----w C:\Programme\Xfire 2008-03-20 10:10 --------- d-----w C:\Programme\FRITZ!Box Monitor 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-19 21:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-03-19 21:22 --------- d-----w C:\Programme\FRITZ!DSL 2008-03-19 21:20 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ! 2008-03-19 11:21 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire 2008-03-19 09:43 --------- d-----w C:\Programme\DAEMON Tools Lite 2008-03-19 06:48 --------- d-----w C:\Programme\Internet Download Manager 2008-03-19 06:44 --------- d-----w C:\Programme\Windows Defender 2008-03-18 07:43 --------- d-----w C:\Programme\1&1 2008-03-18 07:43 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\1&1 2008-03-17 21:21 --------- d-----w C:\Programme\Avira 2008-03-17 21:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-03-17 20:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee 2008-03-17 20:52 --------- d-----w C:\Programme\Gemeinsame Dateien\aol 2008-03-17 20:48 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\McAfee 2008-03-17 20:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor 2008-03-17 20:45 --------- d-----w C:\Programme\QuickTime 2008-03-17 20:45 --------- d-----w C:\Programme\LimeWire 2008-03-17 20:45 --------- d-----w C:\Programme\LG PC Suite 2 2008-03-17 20:45 --------- d-----w C:\Programme\DivX 2008-03-17 20:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL 2008-03-17 20:44 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AOL 2008-03-15 09:08 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\DMCache 2008-03-15 09:06 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\IDM 2008-03-13 23:06 41,296 ----a-w C:\WINDOWS\system32\xfcodec.dll 2008-03-11 14:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Thraex Software 2008-03-11 10:37 --------- d-----w C:\Programme\SmartFTP Client 2008-03-11 10:37 --------- d-----w C:\Programme\Silkroad 2008-03-11 10:37 --------- d-----w C:\Programme\FLV Player 2008-03-11 10:37 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\DNA 2008-03-11 10:36 --------- d-----w C:\Programme\Skype 2008-03-11 10:36 --------- d-----w C:\Programme\LG PC Suite 2(2) 2008-03-11 10:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2008-03-11 10:36 --------- d-----w C:\Programme\Eighth Wonder 2008-03-11 10:36 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield 2008-03-11 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-03-11 07:22 --------- d-----w C:\Programme\CyberLink 2008-03-09 20:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom 2008-03-08 12:53 --------- d-----w C:\Programme\BitTorrent 2008-03-07 17:21 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\SmartFTP 2008-03-07 17:14 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla 2008-03-06 21:53 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-11 18:18 232,046 ----a-w C:\WINDOWS\Burn4Free_Toolbar_Uninstaller_1390.exe 2008-01-24 20:12 16 ---ha-w C:\Programme\mxfilerelatedcache.mxc2 2007-12-06 20:08 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-06-08 19:06 30,457,616 ----a-w C:\Programme\avg75avwt_472a1024.exe 2007-06-08 18:51 129,216 ----a-w C:\Programme\Security_and_Privacy_Complete_3.1.7_DE.zip 2007-03-13 16:41 471 ----a-w C:\Programme\INSTALL.LOG 2006-12-25 13:40 1,949,384 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ppviewer.exe 2006-10-21 13:06 2,465,840 ----a-w C:\Dokumente und Einstellungen\***\xfire_installer_22463.exe 2007-06-05 18:32 1,585,499 --sh--w C:\WINDOWS\system32\ijjlm.bak1 2007-06-05 18:32 1,590,696 --sh--w C:\WINDOWS\system32\ijjlm.bak2 2007-06-05 20:01 1,400,352 --sh--w C:\WINDOWS\system32\ijjlm.ini2 2007-02-21 20:28 997,365 --sh--w C:\WINDOWS\system32\jlkkj.bak2 2007-03-01 20:23 998,460 --sh--w C:\WINDOWS\system32\jlkkj.ini2 . ------- Sigcheck ------- 2004-08-04 14:00 546816 caef653d55cc8d7a173e4e63bc58d7f2 C:\WINDOWS\system32\winlogon.exe 2004-08-04 14:00 546816 caef653d55cc8d7a173e4e63bc58d7f2 C:\WINDOWS\system32\dllcache\winlogon.exe 2004-08-04 14:00 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\VistaMizer\old\winlogon.exe 2005-03-02 20:11 2059264 ae8364004bbfd70461d2ef34888d3360 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe 2006-12-19 20:43 2061696 d3767e1a7e6674ce671a8a8254945c29 C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntkrnlpa.exe 2007-02-28 18:06 2061696 9b9ca27ad315c02b71510238574894b2 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe 2007-02-28 18:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe 2007-02-28 18:02 2317184 9b6246c48ff3cabf423bef069460a0c8 C:\WINDOWS\system32\ntkrnlpa.exe 2007-02-28 18:02 2317184 9b6246c48ff3cabf423bef069460a0c8 C:\WINDOWS\system32\dllcache\ntkrnlpa.exe 2007-02-28 18:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\VistaMizer\old\ntkrnlpa.exe 2005-03-02 20:11 2181888 eb5538a452e0e99169e2b6cdb62ff9d2 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe 2006-12-19 20:43 2184320 00c476049fecf1d3a05c783015b9b518 C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntoskrnl.exe 2007-02-28 18:06 2184448 e1de7a10d46959560c3b617227d95c19 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe 2007-02-28 18:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe 2007-02-28 18:02 2439936 48bb1706a56c6bb5f66b4727d8ea089b C:\WINDOWS\system32\ntoskrnl.exe 2007-02-28 18:02 2439936 48bb1706a56c6bb5f66b4727d8ea089b C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2007-02-28 18:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\VistaMizer\old\ntoskrnl.exe 2007-06-13 15:21 1554944 14b0b1999fca97a232465246e5ce3f10 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2007-06-13 15:21 1554944 14b0b1999fca97a232465246e5ce3f10 C:\WINDOWS\system32\dllcache\explorer.exe 2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\VistaMizer\old\explorer.exe 2004-08-04 14:00 25088 99203e789da6e756ea34a8f836f4e99e C:\WINDOWS\system32\ctfmon.exe 2004-08-04 14:00 25088 99203e789da6e756ea34a8f836f4e99e C:\WINDOWS\system32\dllcache\ctfmon.exe 2004-08-04 14:00 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\VistaMizer\old\ctfmon.exe . ((((((((((((((((((((((((((((( snapshot@2008-04-27_21.39.56,45 ))))))))))))))))))))))))))))))))))))))))) . - 2008-04-27 19:16:50 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-04-28 12:15:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 25088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "MSVideo"= CSvidcap.dll "vidc.yv12"= yv12vfw.dll "VIDC.XFR1"= xfcodec.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OpenOffice.org 2.2.lnk] path=C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Amazing3DAquariumWallpaper] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] --a------ 2008-02-22 23:09 587568 C:\Programme\BitTorrent\bittorrent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] K:\ICQ6\ICQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] K:\***\Sonstiges\Icq Lite\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Sniffer] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kav] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress] --a------ 2008-02-22 23:09 587568 C:\Programme\BitTorrent\bittorrent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "AVP"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MyWebSearch Email Plugin"=C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "nwiz"=nwiz.exe /install "SoundMan"=SOUNDMAN.EXE "ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "{1290A33C-85F5-4164-A1BE-7DD299D4986A}"=C:\Programme\CyberLink\PowerBackup\PBKScheduler.exe "HostManager"=C:\Programme\Gemeinsame Dateien\AOL\1150448565\ee\AOLSoftware.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\BitTorrent\\bittorrent.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Counter-Strike Source\\hl2.exe"= "C:\\Programme\\Java\\jre1.5.0_11\\bin\\javaw.exe"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"= "C:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"= "C:\\Dokumente und Einstellungen\\***\\Eigene Dateien\\1CQ6\\ICQ6\\ICQ.exe"= "C:\\Programme\\DNA\\btdna.exe"= "C:\\Programme\\EA GAMES\\Battlefield 1942\\BF1942.exe"= "C:\\Programme\\Logitech\\Harmony Remote\\PatchHelper.exe"= "C:\\PacSteamT\\SteamApps\\sham3tw0\\counter-strike source\\hl2.exe"= "C:\\PacSteamT\\SteamApps\\shametw0\\counter-strike source\\hl2.exe"= "C:\\Dokumente und Einstellungen\\***\\Eigene Dateien\\S0n5t1g35\\CONTERSTRIKE\\CS 1.6\\Counter-Strike\\hl.exe"= "C:\\Programme\\Xfire\\xfire.exe"= "C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\extra1\\bin\\Settlers6.exe"= "C:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"= "C:\\PacSteamT\\SteamApps\\shametwo\\counter-strike source\\hl2.exe"= "C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\autorun.exe . Inhalt des "geplante Tasks" Ordners "2008-04-28 12:36:23 C:\WINDOWS\Tasks\MP Scheduled Scan.job" - C:\Programme\Windows Defender\MpCmdRun.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-28 16:16:21 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-28 16:17:52 ComboFix-quarantined-files.txt 2008-04-28 14:17:44 ComboFix2.txt 2008-04-27 19:40:11 24 Verzeichnis(se), 95,021,522,944 Bytes frei 29 Verzeichnis(se), 94,994,075,648 Bytes frei 281 --- E O F --- 2008-04-25 05:42:14 Virtumundobegone [04/28/2008, 16:30:14] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\VirtumundoBeGone.exe" ) [04/28/2008, 16:30:22] - Detected System Information: [04/28/2008, 16:30:22] - Windows Version: 5.1.2600, Service Pack 2 [04/28/2008, 16:30:22] - Current Username: Administrator (Admin) [04/28/2008, 16:30:22] - Windows is in SAFE mode with Networking. [04/28/2008, 16:30:22] - Searching for Browser Helper Objects: [04/28/2008, 16:30:22] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader) [04/28/2008, 16:30:22] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [04/28/2008, 16:30:22] - Finished Searching Browser Helper Objects [04/28/2008, 16:30:22] - Finishing up... [04/28/2008, 16:30:22] - Nothing found! Exiting... |
28.04.2008, 17:57 | #7 |
| Bitte um HiJackThis Logfile auswertung Teil 2 Paste nicht in 1 Post Smittfraudfix SmitFraudFix v2.319 Scan done at 16:41:12,73, 28.04.2008 Run from C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning not selected. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Fixwayout Username "Administrator" - 28.04.2008 16:31:25 [Fixwareout edited 9/01/2007] ~~~~~ Prerun check System was rebooted successfully. ~~~~~ Postrun check HKLM\SOFTWARE\~\Winlogon\ "System"="" .... .... ~~~~~ Misc files. .... ~~~~~ Checking for older varients. .... ~~~~~ Current runs (hklm hkcu "run" Keys Only) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" .... Hosts file was reset, If you use a custom hosts file please replace it... ~~~~~ End report ~~~~~ Malwarebytes Anti-Malware Malwarebytes' Anti-Malware 1.11 Datenbank Version: 690 Scan Art: Komplett Scan (C:\|) Objekte gescannt: 173107 Scan Dauer: 58 minute(s), 17 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) Und zu guter letzt, das HJT Logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:09:40, on 28.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Far\Far.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe -- End of file - 3077 bytes |
28.04.2008, 19:15 | #8 |
/// AVZ-Toolkit Guru | Bitte um HiJackThis Logfile auswertung Joar, Augenscheinlich ist der Rechner nun sauber. Ich würde noch einen eScan/MWAV machen. Aber vertrauen würde ich der Kiste auf keinen Fall!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
28.04.2008, 21:50 | #9 |
| Bitte um HiJackThis Logfile auswertung Danke erstmal für die hervorragende Hilfe, aber eine Frage müsstest du mir bitte noch beantworten was ist ein escan bzw. ein MWAV? Kann man solchen Kisten überhaupt vertrauen Gruß Shame |
28.04.2008, 22:00 | #10 |
/// AVZ-Toolkit Guru | Bitte um HiJackThis Logfile auswertung Wenn man sie halbwegs respektvoll behandelt dann jedenfalls ein bischen.. http://www.trojaner-board.de/50508-anleitung-escan.html Und saug' dir nie wieder so einen Müll!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
28.04.2008, 22:26 | #11 |
| Bitte um HiJackThis Logfile auswertung Nie wieder werd ich mir das antun So hab den Escan drüberlaufen lassen, kan nur die log nicht öffnen xD Wenn ich auf die find.bat datei drücke kommt kurz dieses schwarze Fenster und ist sofort wieder weg. Aber er hat 60216 gescannte Objekte 8 kritische Objekte 0 desinfizierte Objekte 0 gelöschte Objekte 0 umbenannten Objekte Zahl der Fehler: 198 Hm, hört sich aber nicht so toll an |
29.04.2008, 08:27 | #12 | |
/// AVZ-Toolkit Guru | Bitte um HiJackThis Logfile auswertungZitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
29.04.2008, 19:30 | #13 |
| Bitte um HiJackThis Logfile auswertung Ich kann das nicht öffnen Und bat dateien kann man hier nicht hochladen.. |
30.04.2008, 11:17 | #14 |
/// AVZ-Toolkit Guru | Bitte um HiJackThis Logfile auswertung =) Nein. Ich meinte das original log von MWAV. Sollte sich unter C:\ finden lassen..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
30.04.2008, 16:25 | #15 |
| Bitte um HiJackThis Logfile auswertung Achso =) Da der Log zu groß für 1 bzw. 10Post ist, und auch zu groß zum hochladen im ForumAnhang musste ich den log bei rapidshare hochladen, hoffe das ist nicht so schlim http://rapidshare.com/files/111526129/MWAV.log.html |
Themen zu Bitte um HiJackThis Logfile auswertung |
add-on, adobe, antivir, application, askbar, auswerten, avira, bho, canon, defender, downloader, drivers, einstellungen, email, google, helfen, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, immer wieder, internet, internet explorer, keine ahnung, logfile, magix, monitor, object, rundll, shockwave, software, symantec, system, trojaner, urlsearchhook, windows, windows defender, windows xp |