Ständige Werbung im BrowserFenster

Imantau · 31.05.2008, 10:53

Hallo,
wie der Titel schon sagt,kriege ich in meinem Browser(FireFox) Werbung wenn ich z.B. auf Neuer Tab klicke.Dort ist z.b. angeboten SpyWare zeugs runterzuladen etc.
hier ist mein HJT LogFile:
Logfile of HijackThis v1.97.7
Scan saved at 11:50:23, on 31.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\Programme\Acer\Acer eConsole\MediaSync.exe
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
C:\Programme\Ascentive\ActiveSpeed\AS.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\dokumente und einstellungen\acer\lokale einstellungen\anwendungsdaten\gfizl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Acer\Acer eConsole\MediaServerService.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Acer TV-FM\Kernel\TV\CLCapSvc.exe
C:\Programme\Acer TV-FM\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Acer TV-FM\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\Dokumente und Einstellungen\Acer\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {c900b400-cdfe-11d3-976a-00e02913a9e0} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Programme\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [webHancer Agent] C:\Programme\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [ActiveSpeed] C:\Programme\Ascentive\ActiveSpeed\AS.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [gfizl] c:\dokumente und einstellungen\acer\lokale einstellungen\anwendungsdaten\gfizl.exe gfizl
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCxdm451YYDE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: In Blog veröffentlichen (HKLM)
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15-3.cab
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176124472515
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hoffe mir kann jmd. Helfen.

Danke!

Mellosun · 31.05.2008, 11:53

Hallo Imantau,

deine Version von HijackThis ist total veraltet!

Erstelle ein neues Log mit der aktuellen Version!

Hijackthis

Gruß Mello

Imantau · 31.05.2008, 11:58

Gesagt-Getan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:57:50, on 31.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\Programme\Acer\Acer eConsole\MediaSync.exe
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
C:\Programme\Ascentive\ActiveSpeed\AS.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\dokumente und einstellungen\acer\lokale einstellungen\anwendungsdaten\gfizl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Acer\Acer eConsole\MediaServerService.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Acer TV-FM\Kernel\TV\CLCapSvc.exe
C:\Programme\Acer TV-FM\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Acer TV-FM\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Acer\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {c900b400-cdfe-11d3-976a-00e02913a9e0} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Programme\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [webHancer Agent] C:\Programme\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [ActiveSpeed] C:\Programme\Ascentive\ActiveSpeed\AS.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [gfizl] c:\dokumente und einstellungen\acer\lokale einstellungen\anwendungsdaten\gfizl.exe gfizl
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZCxdm451YYDE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...1.0.0.15-3.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1176124472515
O22 - SharedTaskScheduler: equiparant - {25b7d2fd-4f71-46d1-801a-7de323e4ec82} - (no file)
O23 - Service: Acer Media Server - Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CompiCleanNT5 Server (CCNTSVR) - Unknown owner - C:\Programme\CompiCleanNT5\CCNTSVR.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer TV-FM\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer TV-FM\Kernel\TV\CLSched.exe
O23 - Service: FireDaemon Service: CoD2 (CoD2) - Unknown owner - C:\Programme\FireDaemon\FireDaemon.exe (file missing)
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer TV-FM\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: FrontLine Drivers Auto Removal (v2) (sfrem02) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem02.exe

--
End of file - 9905 bytes

Mellosun · 31.05.2008, 12:06

Lasse Bitte folgende Dateien Online Auswerten:

Code:

ATTFilter

C:\dokumente und einstellungen\acer\lokale einstellungen\anwendungsdaten\gfizl.exe
C:\Programme\webHancer\Programs\whagent.exe

Links zu Virustotal und Jotti findest du in meiner SIG! Da steht auch, wie du alle Dateien sichtbar machen kannst!

Gruß Mello

Imantau · 31.05.2008, 13:10

Sooo...
Das ist der Inhalt den ich von beiden Diensten gekriegt habe:

Datei: gfizl.exe
Auslastung: 0% 100%
Status: VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme: -

Bit9 rapportiert: {BIT9_THREAT}

Avast Win32:Roodro gefunden
Avast 4.8.1195.0 Win32:Roodro
CAT-QuickHeal 9.50 (Suspicious) - DNAScan
GData 2.0.7306.1023 Win32:Roodro

weitere Informationen
File size: 323584 bytes
MD5...: 8561977fa5ddc1a7da483eb9918ab2fd
SHA1..: 78a32fcea20e38eb057bf43a83bfbedbe74dabd4
SHA256: c5f877ceec9d19e5f24fff3b32584c3a2ebc8035667ae293ced0232b948bead5
SHA512: 48bab51943d08c771c2cc6f40eab2ad91e9b5dac11196b2d354ac3c39e87ad40
f7563a1909be48f41f9d65c886c1e659fe7dd59e71afc4f4cc4bcb33ca353fcd
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403f4d
timedatestamp.....: 0x441a97b9 (Fri Mar 17 11:04:25 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
stTCTdT 0x1000 0x470a1 0x48000 7.98 eee3291f9d727178dc977a7b360e5f58
CXiAf 0x49000 0xc64 0x1000 4.60 5b2a5b6a8dcc0bf9a398b4fc199eb146
cDcaAfy 0x4a000 0x2896 0x3000 6.52 3b14fcb6d2bcbba3fa22c824ab96f132
hREii 0x4d000 0x1618 0x2000 5.56 121b9e8e639f93bfe7bc9345934eba00

( 11 imports )
> KERNEL32.dll: lstrcpynA, ClearCommBreak, GetFileAttributesExA, GetTempPathW, LCMapStringA, FreeLibrary, ReadFileScatter, RemoveDirectoryW, GetCPInfo, GetDiskFreeSpaceW, GetConsoleMode, EnumSystemCodePagesA, GetVersionExA, VirtualProtect, GlobalAddAtomA, ExitProcess, GetCommandLineA, GetEnvironmentVariableW
> USER32.dll: SubtractRect, ActivateKeyboardLayout, LoadStringA, FindWindowW, GetClipboardOwner, GetWindowRgn, GetMenuState, CopyIcon, CreateWindowExA, SetMessageQueue, PostThreadMessageW, CreatePopupMenu, GetMenuCheckMarkDimensions, UnregisterClassA, mouse_event
> GDI32.dll: GetTextMetricsW, GetPixelFormat, SelectPalette, PathToRegion, SetRectRgn, CloseFigure, StartDocW, CopyEnhMetaFileA, GetSystemPaletteEntries, EqualRgn, LineDDA, StartDocA, SetEnhMetaFileBits, GetRegionData, RemoveFontResourceW, IntersectClipRect, GetDIBits, GetSystemPaletteUse, ChoosePixelFormat
> comdlg32.dll: ChooseColorA
> ADVAPI32.dll: OpenServiceA, CreateServiceA, LockServiceDatabase, OpenThreadToken, CryptSetKeyParam, CryptExportKey, InitiateSystemShutdownW, AddAccessDeniedAce, IsTextUnicode, SetThreadToken, SetSecurityDescriptorSacl, SetKernelObjectSecurity, RegCreateKeyW, GetSecurityDescriptorSacl
> SHELL32.dll: SHGetSpecialFolderPathW, Shell_NotifyIconW, DragFinish, SHLoadInProc
> ole32.dll: CoGetInterfaceAndReleaseStream, CreateOleAdviseHolder, ProgIDFromCLSID, StringFromGUID2, CoLockObjectExternal, CreateBindCtx
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_GetIconSize, _TrackMouseEvent, CreateStatusWindowW
> SHLWAPI.dll: PathRemoveFileSpecA, SHRegQueryUSValueW, SHSetThreadRef, UrlGetPartW, AssocQueryKeyW, SHSetValueA, StrFormatKBSizeW, PathIsRelativeW, StrChrIW, PathIsDirectoryEmptyW, SHSetValueW, PathUnquoteSpacesA
> SETUPAPI.dll: SetupDiEnumDriverInfoA, SetupDiOpenDevRegKey, SetupGetStringFieldA, SetupDiGetClassDevsW, SetupDiGetClassDescriptionW

Das oberere war die erste datei.
Jetzt kommt der Webhancer:

AntiVir 7.8.0.25 2008.05.30 ADSPY/Webhancer.P
AVG 7.5.0.516 2008.05.30 Adware Generic2.IKL
BitDefender 7.2 2008.05.31 Spyware.Webhancer.AE
Ikarus T3.1.1.26.0 2008.05.31not-a-virus:AdWare.Win32.WebHancer.390
Kaspersky 7.0.0.1252008.05.31not-a-virus:AdWare.Win32.WebHancer.e
Symantec 10 2008.05.31 Trackware.Webhancer

der rest war das gleiche

weitere Informationen
File size: 565248 bytes
MD5...: 542a0dfe88e34245788a1968ef83b7ec
SHA1..: a2351376b95be120f58c51dd147734e4c12efebf
SHA256: b6f4950db73c70ddcf0562c1e8b8fc26b377e8fb8d7e9a53baada836d643e7b9
SHA512: cb4afc48999fe3f3bbdc4c1197e96353448cf6db011da08b7315cbea9e39fabf
79e00be2498e9b0f4a4e3258de5b5af2a82cea2d07111deb184adda00425b22f
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4486b1
timedatestamp.....: 0x467fd675 (Mon Jun 25 14:51:33 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x638a2 0x64000 6.63 8f9cb5a047440f6cf67cf40bdd1b43d7
.rdata 0x65000 0x162b6 0x17000 4.49 ed00c50e3c3db947f66062cdbb7fa562
.data 0x7c000 0xfbe4 0xd000 4.87 894eb4e002723668fc8c6dafcf060cb6
.rsrc 0x8c000 0x85c 0x1000 4.03 9b253ebc09aa6bcff4326bae72e3a138

( 7 imports )
> WS2_32.dll: -, WSCEnumProtocols, WSCDeinstallProvider, -, -, -, -, -, -, -
> WININET.dll: InternetOpenA, InternetConnectA, InternetCloseHandle, HttpOpenRequestA, InternetSetOptionA, HttpSendRequestA, HttpQueryInfoA, InternetReadFile, InternetGetConnectedState, InternetCrackUrlA, InternetCanonicalizeUrlA
> KERNEL32.dll: SetFilePointer, InterlockedExchange, InitializeCriticalSection, QueryPerformanceCounter, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, CreateEventA, CloseHandle, SetEvent, GetProcAddress, LoadLibraryA, FreeLibrary, Sleep, WaitForSingleObject, TerminateThread, CreateThread, WaitForMultipleObjects, GetTickCount, GetVersionExA, GetCurrentProcess, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, OpenFile, CreateProcessA, ReleaseMutex, CreateMutexA, SetStdHandle, ReleaseSemaphore, CreateSemaphoreA, GetLastError, SetLastError, MultiByteToWideChar, GetModuleHandleA, GetModuleFileNameA, WritePrivateProfileStringA, GetPrivateProfileStringA, FreeEnvironmentStringsA, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, HeapSize, GetOEMCP, GetACP, GetCPInfo, GetConsoleMode, GetConsoleCP, WideCharToMultiByte, InterlockedDecrement, GetCurrentThreadId, InterlockedIncrement, TlsFree, TlsSetValue, TlsAlloc, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, GetLocaleInfoW, SetEndOfFile, ReadFile, PulseEvent, TlsGetValue, GetStdHandle, WriteFile, ExitProcess, HeapReAlloc, LocalFree, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, VirtualFree, HeapFree, HeapAlloc, ExitThread, ResumeThread, RtlUnwind, RaiseException, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetSystemTimeAsFileTime, DeleteFileA, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, GetCommandLineA, GetProcessHeap, GetStartupInfoA, GetCurrentProcessId, HeapDestroy, HeapCreate
> USER32.dll: MessageBoxA, SendMessageA, RegisterClassA, CreateWindowExA, DestroyWindow, UnregisterClassA, PostQuitMessage, DefWindowProcA, PostMessageA, FindWindowA, FindWindowExA, SendMessageTimeoutA, GetMessageA, TranslateMessage, DispatchMessageA, PostThreadMessageA, RegisterWindowMessageA, GetSystemMetrics
> ADVAPI32.dll: RegCreateKeyA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey
> ole32.dll: CoLoadLibrary, CoInitialize, CoFreeLibrary, CoCreateInstance, OleRun, CoInitializeEx, CoMarshalInterThreadInterfaceInStream, CoGetInterfaceAndReleaseStream, CoUninitialize
> OLEAUT32.dll: -, -, -

( 0 exports )
Prevx info: WHAGENT.EXE - Prevx

Imantau · 31.05.2008, 13:21

also ist die zweite datei wie es aussieht Spyware wie geh ich jetzt dagegen vor?

Mellosun · 31.05.2008, 13:47

OK, dann schauen wir mal:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Dann bitte Malwarebytes laufen lassen und alles entfernen lassen was gefunden wird!

Poste die Logs nach der Bereinigung sowie ein frisches HijackThis Log!

Gruß Mello

Imantau · 31.05.2008, 14:10

ComboFix 08-05-29.1 - Acer 2008-05-31 14:54:39.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1466 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Acer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\Dokumente und Einstellungen\Acer\Eigene Dateien\internetgamebox.lnk
c:\Dokumente und Einstellungen\Acer\Lokale Einstellungen\Anwendungsdaten\gfizl.dat
C:\Dokumente und Einstellungen\Acer\Lokale Einstellungen\Anwendungsdaten\gfizl.exe
C:\Dokumente und Einstellungen\Acer\Lokale Einstellungen\Anwendungsdaten\gfizl_nav.dat
c:\Dokumente und Einstellungen\Acer\Lokale Einstellungen\Anwendungsdaten\gfizl_navps.dat
C:\Programme\webhancer
C:\Programme\webhancer\Programs\license.txt
C:\Programme\webhancer\Programs\readme.txt
C:\Programme\webhancer\Programs\sporder.dll
C:\Programme\webhancer\Programs\whagent.exe
C:\Programme\webhancer\Programs\whagent.ini
C:\Programme\webhancer\Programs\whiehlpr.dll
C:\Programme\webhancer\Programs\whinstaller.exe
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\NDNuninstall7_48.exe
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\adssite-remove.exe
C:\WINDOWS\system32\FB58297E8D.dll
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\mbgmzfnsin.dat
C:\WINDOWS\system32\mbgmzfnsin.exe
C:\WINDOWS\system32\mbgmzfnsin_nav.dat
C:\WINDOWS\system32\mbgmzfnsin_navps.dat
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\nwzihz.dat
C:\WINDOWS\system32\nwzihz_nav.dat
C:\WINDOWS\system32\nwzihz_navps.dat

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-31 ))))))))))))))))))))))))))))))
.

2008-05-30 17:53 . 2008-05-31 11:30 <DIR> d-------- C:\Programme\CoD Admin Assistant 2
2008-05-28 22:09 . 2008-05-28 22:09 <DIR> d-------- C:\vcs5BGEffects
2008-05-28 22:08 . 2008-05-28 22:14 <DIR> d-------- C:\Programme\AV Vcs 6.0
2008-05-28 16:02 . 2008-05-29 15:43 <DIR> d-------- C:\Programme\Thoosje Sidebar V2.3
2008-05-28 16:02 . 2008-05-28 16:02 <DIR> d-------- C:\Programme\glass2k
2008-05-28 13:36 . 2008-05-28 13:36 8,294,454 --a------ C:\WINDOWS\startup.bmp
2008-05-28 13:36 . 2007-02-28 18:02 2,138,624 --a------ C:\WINDOWS\system32\ntoskrnl.exe.zottel
2008-05-28 13:36 . 2007-02-28 18:02 2,018,304 --a------ C:\WINDOWS\system32\ntkrnlpa.exe.zottel
2008-05-28 13:32 . 2008-05-28 13:32 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-05-24 21:58 . 2008-05-24 23:20 <DIR> d-------- C:\Programme\Free FLV Converter
2008-05-24 21:58 . 2007-06-19 01:22 364,544 --a------ C:\WINDOWS\system32\PropertyGrid.ocx
2008-05-24 21:58 . 2008-05-15 11:30 208,896 --a------ C:\WINDOWS\system32\TubeFinder.exe
2008-05-24 21:58 . 2005-10-13 15:42 208,500 --a------ C:\WINDOWS\system32\ReyXpBasics.tlb
2008-05-24 21:58 . 1998-07-13 01:00 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2008-05-24 21:58 . 2000-10-01 21:00 119,568 --a------ C:\WINDOWS\system32\VB6FR.DLL
2008-05-24 21:58 . 2000-07-15 07:00 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2008-05-24 21:58 . 2004-03-09 02:00 84,512 --a------ C:\WINDOWS\system32\PICCLP32.OCX
2008-05-24 21:58 . 1998-07-12 21:00 32,768 --a------ C:\WINDOWS\system32\CMDLGFR.DLL
2008-05-24 21:58 . 2005-09-28 03:31 24,576 --a------ C:\WINDOWS\system32\ControlSubX.ocx
2008-05-24 21:58 . 1998-07-13 02:00 9,728 --a------ C:\WINDOWS\system32\PCCLPFR.DLL
2008-05-21 23:27 . 2008-05-21 23:27 <DIR> d-------- C:\Programme\Free WMA to MP3 Converter
2008-05-21 22:29 . 2008-05-21 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\MAGIX
2008-05-21 22:29 . 2008-05-21 22:29 28 --a------ C:\WINDOWS\Robota.INI
2008-05-21 22:27 . 2008-05-28 16:06 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-05-21 22:27 . 2008-05-21 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-05-21 22:27 . 2007-12-04 14:20 700,416 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-05-21 22:27 . 2007-04-27 09:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-05-21 22:27 . 2008-05-21 22:28 6,768 --a------ C:\WINDOWS\mgxoschk.ini
2008-05-21 22:23 . 2008-05-21 22:23 <DIR> d-------- C:\Programme\Audacity
2008-05-21 21:55 . 2008-05-21 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YoGen
2008-05-17 11:39 . 2008-05-17 11:39 <DIR> d-------- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\MSNInstaller
2008-05-16 19:14 . 2008-05-16 19:14 <DIR> d-------- C:\Programme\Windows Live Favorites
2008-05-16 19:06 . 2008-05-17 17:01 <DIR> d-------- C:\Programme\Windows Live
2008-05-15 17:20 . 2008-05-15 17:20 <DIR> d-------- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Samsung
2008-05-15 17:18 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-05-15 17:17 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-05-15 17:12 . 2008-05-15 17:18 <DIR> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-05-15 17:12 . 2007-05-02 11:11 109,704 --a------ C:\WINDOWS\system32\drivers\ss_mdm.sys
2008-05-15 17:12 . 2007-05-02 11:11 83,592 --a------ C:\WINDOWS\system32\drivers\ss_bus.sys
2008-05-15 17:12 . 2007-05-02 11:11 15,112 --a------ C:\WINDOWS\system32\drivers\ss_mdfl.sys
2008-05-15 17:12 . 2007-05-02 11:11 12,424 --a------ C:\WINDOWS\system32\drivers\ss_whnt.sys
2008-05-15 17:12 . 2007-05-02 11:11 12,424 --a------ C:\WINDOWS\system32\drivers\ss_wh.sys
2008-05-15 17:12 . 2007-05-02 11:11 12,424 --a------ C:\WINDOWS\system32\drivers\ss_cmnt.sys
2008-05-15 17:12 . 2007-05-02 11:11 12,424 --a------ C:\WINDOWS\system32\drivers\ss_cm.sys
2008-05-15 17:12 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-05-14 21:57 . 2008-05-14 21:57 410 --a------ C:\WINDOWS\MagicTranslator.ini
2008-05-12 18:52 . 2008-05-12 21:35 <DIR> d-------- C:\Programme\PaintStar
2008-05-12 18:51 . 2008-05-12 18:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Protexis
2008-05-11 11:32 . 2008-05-11 11:32 <DIR> d-------- C:\Programme\FileZilla FTP Client
2008-05-11 11:32 . 2008-05-21 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\FileZilla
2008-05-10 23:06 . 2003-01-30 06:04 1,500,160 --a------ C:\WINDOWS\system32\cc3260mt.dll
2008-05-10 23:06 . 2003-01-30 06:04 685,056 --a------ C:\WINDOWS\system32\rtl60.bpl
2008-05-10 23:06 . 2004-09-28 19:25 478,208 --a------ C:\WINDOWS\system32\radevcl.bpl
2008-05-10 23:06 . 2004-09-23 16:19 437,248 --a------ C:\WINDOWS\system32\VirtualTreeViewC6.bpl
2008-05-10 23:06 . 2004-08-06 13:49 265,785 --a------ C:\WINDOWS\system32\pixomatic.dll
2008-05-10 23:06 . 2002-02-01 07:00 254,464 --a------ C:\WINDOWS\system32\dbrtl60.bpl
2008-05-10 23:06 . 2004-10-18 14:04 161,280 --a------ C:\WINDOWS\system32\fmod.dll
2008-05-10 23:06 . 2004-09-23 16:19 110,592 --a------ C:\WINDOWS\system32\ThemeManagerC6.bpl
2008-05-10 15:48 . 2008-05-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\Acer\.p3t-applet
2008-05-05 07:08 . 2008-05-05 07:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-05-05 07:08 . 2008-05-05 07:08 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-05-01 12:15 . 2008-05-01 12:15 <DIR> d-------- C:\Dokumente und Einstellungen\CoD\Anwendungsdaten\WinPatrol
2008-05-01 12:15 . 2008-05-04 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\CoD\Anwendungsdaten\ATI
2008-05-01 12:14 . 2007-03-10 13:42 <DIR> d--h----- C:\Dokumente und Einstellungen\CoD\Vorlagen
2008-05-01 12:14 . 2007-03-10 13:27 <DIR> dr------- C:\Dokumente und Einstellungen\CoD\Startmenü
2008-05-01 12:14 . 2007-03-10 13:27 <DIR> d--h----- C:\Dokumente und Einstellungen\CoD\Netzwerkumgebung
2008-05-01 12:14 . 2008-05-31 14:55 <DIR> d--h----- C:\Dokumente und Einstellungen\CoD\Lokale Einstellungen
2008-05-01 12:14 . 2008-05-01 12:15 <DIR> d---s---- C:\Dokumente und Einstellungen\CoD\Favoriten
2008-05-01 12:14 . 2008-05-01 12:15 <DIR> d---s---- C:\Dokumente und Einstellungen\CoD\Eigene Dateien
2008-05-01 12:14 . 2007-03-10 13:27 <DIR> d--h----- C:\Dokumente und Einstellungen\CoD\Druckumgebung
2008-05-01 12:14 . 2008-05-01 12:15 <DIR> dr-h----- C:\Dokumente und Einstellungen\CoD\Anwendungsdaten
2008-05-01 12:14 . 2008-05-01 12:14 <DIR> d-------- C:\Dokumente und Einstellungen\CoD
2008-04-30 18:07 . 2008-04-30 18:07 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2008-04-30 18:07 . 2008-04-30 18:07 <DIR> d-------- C:\Programme\AGEIA Technologies
2008-04-30 16:56 . 2008-05-30 16:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-30 16:56 . 2008-04-30 16:56 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-24 22:01 . 2008-04-24 22:01 <DIR> d-------- C:\Programme\The Mugs Clan
2008-04-24 20:52 . 2008-04-25 14:01 <DIR> d-------- C:\Programme\Unlocker
2008-04-23 22:29 . 2008-04-23 22:29 <DIR> d---s---- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-04-17 16:42 . 2008-04-17 16:42 <DIR> d-------- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Ambient Design
2008-04-17 16:37 . 2008-04-17 16:37 <DIR> d-------- C:\Programme\Ambient Design
2008-04-16 14:13 . 2008-04-16 14:13 <DIR> d-------- C:\Logs
2008-04-16 13:54 . 2008-04-16 13:54 <DIR> d-------- C:\Programme\MobMapUpdater
2008-04-15 21:34 . 2007-05-31 14:14 782,336 -ra------ C:\WINDOWS\system32\tmp10F.tmp
2008-04-13 01:55 . 2008-04-13 01:55 42 --a------ C:\realmlist.wtf
2008-04-13 01:14 . 2008-05-18 13:32 <DIR> d-------- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\WoV
2008-04-12 16:00 . 2008-04-12 16:00 <DIR> d-------- C:\Programme\Lavalys
2008-04-12 15:41 . 2008-04-12 15:41 <DIR> d-------- C:\Programme\AVIConverter
2008-04-09 17:52 . 2008-04-09 18:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-04-06 16:45 . 2008-05-03 18:56 <DIR> d-------- C:\Programme\1C
2008-04-06 14:35 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-04-06 14:35 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2008-04-06 14:35 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-04-06 14:35 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2008-04-06 14:35 . 2008-03-05 16:03 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
2008-04-06 14:35 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-04-06 14:35 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2008-04-06 14:35 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2008-04-06 14:35 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-04-06 14:35 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-04-05 19:40 . 2008-04-05 19:42 <DIR> d-------- C:\Programme\Umschalter
2008-04-04 16:56 . 2008-05-03 18:40 22,328 --a------ C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PnkBstrK.sys
2008-04-04 16:55 . 2008-05-03 18:39 674,600 --a------ C:\WINDOWS\system32\pbsvc.exe
2008-04-02 13:47 . 2008-04-02 16:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-04-02 00:47 . 2008-04-02 00:47 <DIR> d--h----- C:\WINDOWS\PIF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-31 09:31 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-30 15:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-30 14:05 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-05-30 13:38 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-29 20:17 --------- d-----w C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\teamspeak2
2008-05-29 11:31 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-28 19:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Screaming Bee
2008-05-28 19:10 --------- d-----w C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Screaming Bee
2008-05-26 19:08 --------- d-----w C:\Programme\Animake
2008-05-21 19:20 --------- d-----w C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Vso
2008-05-21 19:14 --------- d-----w C:\Programme\Opera
2008-05-16 17:14 --------- d-----w C:\Programme\Windows Live Toolbar
2008-05-16 17:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-05-15 15:12 --------- d-----w C:\Programme\Samsung
2008-05-05 05:08 --------- d-----w C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\ATI
2008-05-04 21:09 --------- d-----w C:\Programme\ATI Technologies
2008-05-04 20:50 --------- d-----w C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Activision
2008-05-03 16:39 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-04-30 16:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-23 16:19 --------- d-----w C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\uTorrent
2008-04-23 16:04 --------- d-----w C:\Programme\ICQLite
2008-04-15 19:34 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-04-15 19:34 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-04-11 17:01 --------- d-----w C:\Programme\WinSysClean 2006
2008-04-06 12:41 --------- d-----w C:\Programme\GameSpy Arcade
2008-04-02 13:27 --------- d-----w C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\GetRightToGo
2008-03-31 14:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-03-29 06:21 2,873,856 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-03-29 05:19 9,801,728 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-03-29 04:40 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-03-29 04:05 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-03-29 04:04 299,008 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-03-29 03:56 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-03-29 03:56 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-03-29 03:55 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-03-29 03:55 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-03-29 03:55 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-03-29 03:54 536,576 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-03-29 03:52 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-03-29 03:43 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-03-29 03:39 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-03-29 03:36 1,765,120 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-03-29 03:24 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-03-29 03:23 5,439,488 ----a-w C:\WINDOWS\system32\atioglxx.dll
2008-03-29 03:21 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-03-29 03:19 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-03-29 03:18 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2008-03-29 03:12 520,192 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2008-03-28 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-26 11:59 294,912 ----a-w C:\WINDOWS\system32\msctf.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-01 09:17 587,776 ----a-w C:\WINDOWS\WLXPGSS.SCR
2007-08-17 16:40 457 ----a-w C:\Programme\INSTALL.LOG
2007-04-11 12:37 92,064 ----a-w C:\Dokumente und Einstellungen\Acer\mqdmmdm.sys
2007-04-11 12:37 9,232 ----a-w C:\Dokumente und Einstellungen\Acer\mqdmmdfl.sys
2007-04-11 12:37 79,328 ----a-w C:\Dokumente und Einstellungen\Acer\mqdmserd.sys
2007-04-11 12:37 66,656 ----a-w C:\Dokumente und Einstellungen\Acer\mqdmbus.sys
2007-04-11 12:37 6,208 ----a-w C:\Dokumente und Einstellungen\Acer\mqdmcmnt.sys
2007-04-11 12:37 5,936 ----a-w C:\Dokumente und Einstellungen\Acer\mqdmwhnt.sys
2007-04-11 12:37 4,048 ----a-w C:\Dokumente und Einstellungen\Acer\mqdmcr.sys
2007-04-11 12:37 25,600 ----a-w C:\Dokumente und Einstellungen\Acer\usbsermptxp.sys
2007-04-11 12:37 22,768 ----a-w C:\Dokumente und Einstellungen\Acer\usbsermpt.sys
2007-03-10 14:29 138,220 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-09-28 17:57 6,275,816 ----a-w C:\Programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
2007-09-28 17:57 6,275,816 ----a-w C:\Programme\opera\program\plugins\ScorchPDFWrapper.dll
2007-09-14 19:04 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

Imantau · 31.05.2008, 14:12

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2007-04-04 15:14 208946]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1825792]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2007-11-10 10:21 3142236]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 17:42 90112 C:\WINDOWS\soundman.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-23 19:26 262401]
"AspireService"="C:\Programme\Acer\Acer eMode Management\AspireService.exe" [2006-06-09 13:24 110592]
"MediaSync"="C:\Programme\Acer\Acer eConsole\MediaSync.exe" [2006-05-04 15:55 425984]
"WinPatrol"="C:\Programme\BillP Studios\WinPatrol\winpatrol.exe" [2007-02-12 10:17 267840]
"ActiveSpeed"="C:\Programme\Ascentive\ActiveSpeed\AS.exe" [2007-08-08 16:31 1949696]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 10:54 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv32"= C:\WINDOWS\system32\ir32_32.dll
"vidc.iv31"= C:\WINDOWS\system32\ir32_32.dll
"vidc.VSPX"= vspxvfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"C:\\Programme\\Acer TV-FM\\PowerCinema.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=

[HKLM\~\Services\\_common\\RWVoice.exe"=]
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\Magentic\\bin\\MgImp.exe"=
"C:\\Programme\\Magentic\\bin\\Magentic.exe"=
"C:\\Programme\\Magentic\\bin\\MgApp.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\1C\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold\\Stronghold.exe"=
"H:\\steam\\SteamApps\\common\\red orchestra\\System\\RedOrchestra.exe"=
"H:\\steam\\SteamApps\\belinea777\\dark messiah might and magic dedicated server\\srcds.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.321\\Russian\\setup.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.321\\Russian\\setup.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"H:\\Spiele\\World of Warcraft\\Repair.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1644:UDP"= 1644:UDP:UDP-Port
"28960:UDP"= 28960:UDP:COD2
"20800:UDP"= 20800:UDP:COD
"20810:UDP"= 20810:UDP:COD2

R0 sfdrv02;FrontLine Environment Driver (v2);C:\WINDOWS\system32\drivers\sfdrv02.sys [2006-09-11 13:57]
R0 sfsync05;FrontLine Synchronization Driver (v5);C:\WINDOWS\system32\drivers\sfsync05.sys [2006-08-11 18:09]
R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 12:53]
S2 CoD2;FireDaemon Service: CoD2;C:\Programme\FireDaemon\FireDaemon.exe []
S2 sfrem02;FrontLine Drivers Auto Removal (v2);C:\WINDOWS\system32\sfrem02.exe svc []
S3 CCNTSVR;CompiCleanNT5 Server;C:\Programme\CompiCleanNT5\CCNTSVR.exe []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe []
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 08:14]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys []
S3 Smport;Smport;C:\Programme\Telephone VOX recorder ÌÐ3 Pro\Smport.sys []
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2007-05-02 11:11]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2007-05-02 11:11]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2007-05-02 11:11]
S4 FreezeScreenSaver;FreezeScreenSaver;C:\WINDOWS\system32\FreezeScreenSaver.exe [2005-09-29 15:55]
S4 TDslMgrService;DSL-Manager;"C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-05-30 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-05-28 10:56:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-05-31 11:59:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-31 14:55:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-31 14:57:55
ComboFix-quarantined-files.txt 2008-05-31 12:57:00

19 Verzeichnis(se), 43,655,028,736 Bytes frei
23 Verzeichnis(se), 43,645,685,760 Bytes frei

326 --- E O F --- 2008-05-28 15:01:42

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:17, on 31.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\Programme\Acer\Acer eConsole\MediaSync.exe
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
C:\Programme\Ascentive\ActiveSpeed\AS.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Acer\Acer eConsole\MediaServerService.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Acer TV-FM\Kernel\TV\CLCapSvc.exe
C:\Programme\Acer TV-FM\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Acer TV-FM\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Acer\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Programme\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [ActiveSpeed] C:\Programme\Ascentive\ActiveSpeed\AS.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZCxdm451YYDE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...1.0.0.15-3.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1176124472515
O23 - Service: Acer Media Server - Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CompiCleanNT5 Server (CCNTSVR) - Unknown owner - C:\Programme\CompiCleanNT5\CCNTSVR.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer TV-FM\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer TV-FM\Kernel\TV\CLSched.exe
O23 - Service: FireDaemon Service: CoD2 (CoD2) - Unknown owner - C:\Programme\FireDaemon\FireDaemon.exe (file missing)
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer TV-FM\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: FrontLine Drivers Auto Removal (v2) (sfrem02) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem02.exe

--
End of file - 8970 bytes

Ständige Werbung im BrowserFenster

Log-Analyse und Auswertung: Ständige Werbung im BrowserFenster