| |
| |||||||
Log-Analyse und Auswertung: Spyware Problem!!!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.05.2008, 14:52
| #3 |
| |  Spyware Problem!!!! so...
__________________erst mal ein ganz großes danke für deine hilfe!!! ich hab nicht alle scans gemacht...hatte keinezeit dazu... aber ich geb dir von jedem scan den ich gemacht hab. blacklight Code:
ATTFilter 05/20/08 14:01:23 [Info]: BlackLight Engine 1.0.70 initialized
05/20/08 14:01:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/20/08 14:01:23 [Note]: 7019 4
05/20/08 14:01:23 [Note]: 7005 0
05/20/08 14:01:27 [Note]: 7006 0
05/20/08 14:01:27 [Note]: 7011 3824
05/20/08 14:01:27 [Note]: 7035 0
05/20/08 14:01:27 [Note]: 7026 0
05/20/08 14:01:27 [Note]: 7026 0
05/20/08 14:01:30 [Note]: FSRAW library version 1.7.1024
05/20/08 14:09:34 [Note]: 7007 0
Code:
ATTFilter ComboFix 08-05-19.4 - Administrator 2008-05-20 14:19:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1444 [GMT 2:00]
ausgeführt von:: C:\jonas\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\dvsycbec.ini
C:\WINDOWS\system32\gQqsCJjl.ini
C:\WINDOWS\system32\gQqsCJjl.ini2
C:\WINDOWS\system32\gtornyhu.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nsotxanr.ini
C:\WINDOWS\system32\qavntlff.ini
C:\WINDOWS\system32\VGOqAJjl.ini
C:\WINDOWS\system32\VGOqAJjl.ini2
C:\WINDOWS\system32\wvGjmnnn.ini
C:\WINDOWS\system32\wvGjmnnn.ini2
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-20 bis 2008-05-20 ))))))))))))))))))))))))))))))
.
2008-05-20 14:05 . 2008-05-20 14:12 2,520 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-20 13:57 . 2008-05-20 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lexware
2008-05-20 12:24 . 2008-05-20 12:24 <DIR> d-------- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\Lexware
2008-05-20 12:23 . 2008-01-28 12:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Jonas\Vorlagen
2008-05-20 12:23 . 2008-01-28 12:19 <DIR> dr------- C:\Dokumente und Einstellungen\Jonas\Startmen
2008-05-20 12:23 . 2008-01-28 12:19 <DIR> d--h----- C:\Dokumente und Einstellungen\Jonas\Netzwerkumgebung
2008-05-20 12:23 . 2008-05-20 13:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen
2008-05-20 12:23 . 2008-05-20 12:23 <DIR> dr------- C:\Dokumente und Einstellungen\Jonas\Favoriten
2008-05-20 12:23 . 2008-05-20 13:31 <DIR> dr------- C:\Dokumente und Einstellungen\Jonas\Eigene Dateien
2008-05-20 12:23 . 2008-01-28 12:19 <DIR> d--h----- C:\Dokumente und Einstellungen\Jonas\Druckumgebung
2008-05-20 12:23 . 2008-05-20 12:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten
2008-05-20 12:23 . 2008-05-20 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\Jonas
2008-05-20 12:23 . 2008-05-20 14:18 1,024 --ah----- C:\Dokumente und Einstellungen\Jonas\ntuser.dat.LOG
2008-05-20 09:34 . 2008-05-20 09:34 <DIR> d-------- C:\A. SCHNEIDENBACH
2008-05-19 15:04 . 2008-05-19 15:04 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-05-19 13:08 . 2008-05-19 13:08 <DIR> d-------- C:\Programme\Avira
2008-05-19 13:08 . 2008-05-19 13:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-19 07:57 . 2008-05-19 07:57 90,752 --a------ C:\WINDOWS\system32\rnaxtosn.dll
2008-05-16 13:47 . 2008-05-16 13:47 91,776 --------- C:\WINDOWS\system32\ffltnvaq.dll
2008-05-16 12:39 . 2008-05-19 12:59 318 --a------ C:\WINDOWS\wininit.ini
2008-05-16 11:54 . 2008-05-16 11:54 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-16 11:54 . 2008-05-16 12:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-16 10:54 . 2008-05-16 10:54 193 --a------ C:\WINDOWS\system32\bugsConfig.cfg
2008-05-16 10:36 . 2008-05-16 10:36 <DIR> d-------- C:\!KillBox
2008-05-16 10:06 . 2008-05-20 14:17 <DIR> d-------- C:\jonas
2008-05-16 07:30 . 2008-05-16 07:30 91,264 --a------ C:\WINDOWS\system32\cebcysvd.dll
2008-05-16 07:29 . 2008-05-16 07:29 <DIR> d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\TmpRecentIcons
2008-05-16 07:29 . 2008-05-20 07:27 0 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-15 15:26 . 2008-05-16 10:48 160,256 --a------ C:\WINDOWS\system32\blackster.scr
2008-05-15 15:26 . 2008-05-15 03:48 135,168 --a------ C:\WINDOWS\epfg.exe
2008-05-15 15:26 . 2008-05-15 03:49 81,920 --a------ C:\WINDOWS\oadkxrts.exe
2008-05-15 10:45 . 2008-05-15 10:49 <DIR> d-------- C:\Temp
2008-05-08 11:30 . 2008-05-08 11:30 <DIR> d-------- C:\Programme\IGC
2008-05-08 11:30 . 2008-05-08 11:48 <DIR> d-------- C:\Dokumente und Einstellungen\Andreas\IGC
2008-05-08 11:30 . 2003-05-28 12:19 245,408 -r------- C:\WINDOWS\system32\unicows.dll
2008-05-08 10:55 . 2008-05-08 10:55 1,115,704 --a------ C:\WINDOWS\system32\O2CPlayer.OCX
2008-05-08 10:52 . 2008-05-08 10:52 <DIR> d-------- C:\WINDOWS\planTEK
2008-05-08 10:52 . 2008-05-08 10:55 <DIR> d-------- C:\Programme\ArCon
2008-05-08 10:52 . 1996-01-12 01:00 722,192 --a------ C:\WINDOWS\system32\VB40032.DLL
2008-05-08 10:52 . 1998-06-24 01:00 525,352 --a------ C:\WINDOWS\system32\DBGRID32.OCX
2008-05-08 10:52 . 2001-04-06 12:42 323,584 --a------ C:\WINDOWS\system32\AcShlExt.dll
2008-05-08 10:52 . 2000-05-22 01:00 244,416 --a------ C:\WINDOWS\system32\MSFLXGRD.OCX
2008-05-08 10:52 . 1995-09-24 12:02 243,472 --a------ C:\WINDOWS\system32\vbar2232.dll
2008-05-08 10:52 . 1998-06-24 01:00 200,496 --a------ C:\WINDOWS\system32\DBLIST32.OCX
2008-05-08 10:52 . 1998-06-24 01:00 164,144 --a------ C:\WINDOWS\system32\COMCT232.OCX
2008-05-08 10:52 . 2000-05-22 01:00 140,488 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2008-05-08 10:52 . 1997-02-26 01:00 99,134 --a------ C:\WINDOWS\system32\VB5DE.DLL
2008-05-06 14:54 . 2008-05-06 14:55 <DIR> d-------- C:\Programme\Google
2008-05-06 14:54 . 2008-05-20 09:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 12:11 --------- d-----w C:\Programme\OPTIGEM1
2008-05-09 07:12 --------- d-----w C:\Programme\FreePDF_XP
2008-05-08 09:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-06 14:03 --------- d-----w C:\Programme\Profi cash
2008-03-28 07:31 --------- d-----w C:\Programme\Grips
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 09:20 --------- d-----w C:\Programme\SoftLevel
2008-03-20 09:15 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SoftLevel
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4F2194FF-4E9C-4948-A5FB-E5D7A05AAB9E}]
C:\WINDOWS\system32\pmnlmkHX.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5753B631-0FBA-4425-A481-8A9BAA143122}]
C:\WINDOWS\system32\ljJCsqQg.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BED9844F-9E6B-4399-868F-941040738630}]
C:\WINDOWS\system32\ljJAqOGV.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E26A3A-80E0-4467-B116-4F0DC4441C4A}]
C:\WINDOWS\fvowketqxfo.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F24B1126-27A6-4FF4-B6FF-421DC14C31E2}]
C:\WINDOWS\system32\nnnmjGvw.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{755F70ED-8112-4AEA-B77B-E11296C79DA7}"= "C:\WINDOWS\pvnsmfor.dll" [ ]
[HKEY_CLASSES_ROOT\clsid\{755f70ed-8112-4aea-b77b-e11296c79da7}]
[HKEY_CLASSES_ROOT\pvnsmfor.1]
[HKEY_CLASSES_ROOT\TypeLib\{4DF01EBE-8007-450D-811C-2E1DD5923664}]
[HKEY_CLASSES_ROOT\pvnsmfor]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2003-04-29 14:55 90112]
"LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 14:59 532776]
"AsusStartupHelp"="C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe" [2006-11-15 08:25 363008]
"VTTimer"="VTTimer.exe" [2006-08-04 01:53 53248 C:\WINDOWS\system32\VTTimer.exe]
"S3Trayp"="S3trayp.exe" [2006-07-11 13:33 176128 C:\WINDOWS\system32\S3Trayp.exe]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-01-06 18:33 131584]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"vspdfprsrv.exe"="C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe" [2006-05-04 07:58 998912]
"1ca9684a"="C:\WINDOWS\system32\rnaxtosn.dll" [2008-05-19 07:57 90752]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{4F2194FF-4E9C-4948-A5FB-E5D7A05AAB9E}"= C:\WINDOWS\system32\pmnlmkHX.dll [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vbksrofa"= {79692599-6B4E-4C05-8926-F592B74C09BD} - C:\WINDOWS\vbksrofa.dll [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlmkHX]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Cwr85.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jjJ62.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mhH88.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mmc28.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ojo33.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\uaP33.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yeT22.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yyy14.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\SoftLevel\\BonusWWS\\BonusWWS.exe"=
"C:\\Programme\\SoftLevel\\BonusWWS\\SIUS.EXE"=
R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2006-09-12 21:43]
S0 Cwr85;Cwr85;C:\WINDOWS\system32\Drivers\Cwr85.sys []
S0 jjJ62;jjJ62;C:\WINDOWS\system32\Drivers\jjJ62.sys []
S0 mhH88;mhH88;C:\WINDOWS\system32\Drivers\mhH88.sys []
S0 Mmc28;Mmc28;C:\WINDOWS\system32\Drivers\Mmc28.sys []
S0 Ojo33;Ojo33;C:\WINDOWS\system32\Drivers\Ojo33.sys []
S0 uaP33;uaP33;C:\WINDOWS\system32\Drivers\uaP33.sys []
S0 yeT22;yeT22;C:\WINDOWS\system32\Drivers\yeT22.sys []
S0 Yyy14;Yyy14;C:\WINDOWS\system32\Drivers\Yyy14.sys []
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2007-11-08 04:20]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 14:22:53
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\NavLogon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-20 14:27:36 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-20 12:27:32
11 Verzeichnis(se), 151,085,846,528 Bytes frei
13 Verzeichnis(se), 151,120,134,144 Bytes frei
196 --- E O F --- 2008-05-14 06:01:19
__________________ |
| Themen zu Spyware Problem!!!! |
| adobe, antivir, antivirus, avg, avira, bho, danger, dateien, desktop, expert pdf, google, hijack, hkus\s-1-5-18, internet, lexware, microsoft, object, privacy protection, problem, programme, rundll, server, software, spyware, symantec, system, windows, windows xp, winlogon |
Baum-Darstellung