|
Log-Analyse und Auswertung: Werbepopups-HJT logfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.06.2008, 08:37 | #1 |
| Werbepopups-HJT logfile Habe mir vermutlich von einem weiterführenden Link der stern.xde - seite was geholt! Habe danach kasperski - online- scanner und bitdefender über den rechner laufen lassen. Konnte die log-files aber nicht speichern, da der Rechner vorher eingefroren ist. Habe dann SmitFraudFix (unter Anleitung vom Trojanerboard) ausgeführt (auch im abgesicherten Modus). Hat das Problem aber nicht behoben. Hier nun mein Logfile (mit einem tiiieefen Einblick in meinen Rechner) von Hjt. Ich würde mich sehr freuen, wenn mir jemand mit meinem Problem helfen kann: Was habe ich mir (alles) eingefangen? Und wie kann ich es wieder los werden? Vielen Dank schonmal im Vorraus! PS: Ich sehe hier im Logfile einige Sachen, von denen ich geglaubt habe, sie bereits vor ewigkeiten gelöscht zu haben, sogar mit nem reg-cleaner....hmmmm.... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:58:41, on 03.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Program Files\Aspire Arcade\PCMService.exe C:\Programme\CRW\shwicon.exe C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE C:\Programme\D-Tools\daemon.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programme\lg_fwupdate\fwupdate.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\ncntpkdm.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\DOKUME~1\XXX\EIGENE~1\WNSXS~1\spoolsv.exe C:\Programme\Common Files\s?stem32\n?pdb.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/ O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe" O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019" O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [{91-16-6F-F0-DW}] C:\windows\system32\jownw64p.exe DWramFF O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\ncntpkdm.exe DWramFF O4 - HKLM\..\Run: [{f2e70e87-e62a-84eb-4edf-08f9de8453fd}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll" DllInit O4 - HKLM\..\Run: [2629165f] rundll32.exe "C:\WINDOWS\system32\bbjvelkl.dll",b O4 - HKLM\..\Run: [BM251a25c3] Rundll32.exe "C:\WINDOWS\system32\dskmmygx.dll",s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Oece] "C:\DOKUME~1\XXX\EIGENE~1\WNSXS~1\spoolsv.exe" -vt yazb O4 - HKCU\..\Run: [Voksroi] "C:\Programme\Common Files\s?stem32\n?pdb.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: SchleppNetz.lnk = C:\Programme\SchleppNetz\SchleppNetz.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntpkdm.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - h**p://appldnld.m7z.net/content.info.apple.com/iTunes4/WW/win/019-0312.20050111.MmVrT/iTunesSetup.exe O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 9759 bytes |
03.06.2008, 13:32 | #2 |
| Werbepopups-HJT logfile so...habe jetzt counterspy im abgesicherten modus laufen lassen. Hat 18 trojaner gefunden. als ich dann auf result clicke.......nichts.....wo nichts is, kann auch nichts gelöscht werden. Ich weiß nicht, was ich jetzt noch machen soll ohne hilfe. Wenigstens weiß ich, daß einer der trojaner Trojan.BHO.Gen. heißt. Kann mir, reiner anwender...., denn jemand helfen, bitte?
__________________ |
03.06.2008, 13:47 | #3 |
| Werbepopups-HJT logfile hi,
__________________hmm, eigentlich wäre neu aufsetzten angebracht... Das sieht nicht gut aus... Bevor ich mir einen abbreche: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:Ein Leitfaden und Tutorium zur Nutzung von ComboFix Danach bitte ein neues HJ-Log und das Log von Combofix... chris
__________________ |
03.06.2008, 13:57 | #4 |
| Werbepopups-HJT logfile Bin jetzt im normalen Modus nochmal in counterspy "reingeganen", und habe dort zumindest in der history einen "logfile?" gefunden. Es tut mir übrigens leid, wenn ich dadurch meine posts so lang mache, ich weiß aber nicht, wie ich diese fenster erstellen kann...vielleicht kann mir da auch jmd. helfen...-übrigens-überall wo xxx steht, stand mein name.... Also hier die history: Scan History Details Start Date: 03.06.2008 12:23:55 End Date: 03.06.2008 14:02:38 Total Time: 98 Min 43 Sec Detected security risks ClickSpring.PuritySCAN Adware (General) more information... Details: PurityScan is an ad supported program that scans the user's Internet Explorer files, including browser cache, cookies and history for pornographic/adult related words and allows the user to delete them. Status: Ignored Files detected C:\Dokumente und Einstellungen\xxx\Eigene Dateien\W?nSxS\spoolsv.exe C:\Programme\Common Files\s?stem32\n?pdb.exe C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO Zenotecnico Adware (General) more information... Details: Zenotecnico is a program used to display pop-up advertisements based upon user browsing habits. Status: Ignored Files detected C:\WINDOWS\system32\msnav32.ax C:\WINDOWS\system32\zxdnt3d.cfg Command Service Adware (General) more information... Details: Command Service is an adware application that opens pop-ups and displays various types of advertising on the user's desktop while browsing web pages. Status: Ignored Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES Yazzle Components Misc (General) more information... Details: Yazzle Components includes software that is used by multiple applications from Clickspring, LLC, the authors of Yazzle applications such as Yazzle Sudoku, Cowabanga and Snowball Wars. Status: Ignored Files detected C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\yazzsnet.exe ClickSpring.Oinadserver Browser Plug-in more information... Details: ClickSpring.Oinadserver is an adware browser plug-in that is typically installed without user knowledge or consent and that generates unwanted pop-up advertising on the desktop. Status: Ignored Files detected C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\outerinfo.ico C:\PROGRAMME\OUTERINFO\FF\chrome.manifest C:\PROGRAMME\OUTERINFO\FF\components\OuterinfoAds.xpt C:\PROGRAMME\OUTERINFO\FF\install.rdf C:\PROGRAMME\OUTERINFO C:\PROGRAMME\OUTERINFO\FF C:\PROGRAMME\OUTERINFO\FF\COMPONENTS WaveRevenue-McBoo Trojan Downloader more information... Status: Ignored Files detected C:\WINDOWS\mrofinu1000106.exe Adware.Agent.gen Adware (General) more information... Status: Ignored Files detected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender\Desktop\Quarantine\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll Cookie: Tracking Cookies Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs. Status: Ignored Cookies detected c:\dokumente und einstellungen\xxx\cookies\xxx@247realmedia[1].txt c:\dokumente und einstellungen\xxx\cookies\xxx@2o7[1].txt c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[1].txt c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[2].txt c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[3].txt c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[4].txt c:\dokumente und einstellungen\\cookies\xxx@ad.yieldmanager[5].txt c:\dokumente und einstellungen\xxx\cookies\xxx@adrevolver[2].txt c:\dokumente und einstellungen\xxx\cookies\xxx@advertising[2].txt c:\dokumente und einstellungen\xxx\cookies\xxx@apmebf[2].txt c:\dokumente und einstellungen\xxx\cookies\xxx@atdmt[2].txt c:\dokumente und einstellungen\xxx\cookies\xxx@atdmt[3].txt c:\dokumente und einstellungen\xxx\cookies\xxx@banner.joylandcasino[2].txt c:\dokumente und einstellungen\xxx\cookies\xxx@clickbank[1].txt c:\dokumente und einstellungen\xxx\cookies\xxx@doubleclick[1].txt c:\dokumente und einstellungen\xxxa\cookies\xxx@doubleclick[2].txt c:\dokumente und einstellungen\xxx\cookies\xxx@emjcd[2].txt c:\dokumente und einstellungen\xxx\cookies\xxx@joylandcasino[1].txt c:\dokumente und einstellungen\xxx\cookies\xxx@mediaplex[1].txt c:\dokumente und einstellungen\xxx\cookies\xxx@mediaplex[2].txt c:\dokumente und einstellungen\xxx\cookies\xxx@shareit[1].txt c:\dokumente und einstellungen\xxx\cookies\xxx@statcounter[2].txt c:\dokumente und einstellungen\xxx\cookies\xxx@statcounter[3].txt c:\dokumente und einstellungen\xxx\cookies\xxx@tradedoubler[1].txt c:\dokumente und einstellungen\xxx\cookies\xxx@w*w.bigfishgames[2].txt c:\dokumente und einstellungen\xxx\cookies\xxx@zedo[2].txt AntiSpywareMaster Rogue Security Program more information... Status: Ignored Files detected C:\PROGRAMME\ANTISPYWAREMASTER\asm.exe C:\PROGRAMME\ANTISPYWAREMASTER Trojan.BHO.Gen Trojan more information... Status: Ignored Files detected c:\WINDOWS\system32\ijs.dll |
03.06.2008, 14:03 | #5 |
| Werbepopups-HJT logfile sorry, da hat sich was überschnitten. Also combofix....alles Klar, mach ich sofort! Danke schonmal! |
03.06.2008, 14:03 | #6 |
| Werbepopups-HJT logfile Hi, bitte wie unten angegeben verfahren, dann sehen wir weiter... Einige Sachen sind bereit in Quarantäne von Bitdefender, andere sind noch aktiv... chris
__________________ --> Werbepopups-HJT logfile |
03.06.2008, 15:35 | #7 |
| Werbepopups-HJT logfile Hallo Chris4you und Andere, Combofix ist fertig: Hier ist der logfile: P.S.: Dieser lange post ist mir sehr unangenehm, weiß aber nicht, wie ich dieses "Fenster" hinbekomme....also entschuldigung bitte für den langen post. ComboFix 08-06-01.6 - xxx2008-06-03 15:10:36.1 - FAT32x86 ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt C:\Dokumente und Einstellungen\xxx\Eigene Dateien\WNSXS~1 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\WNSXS~1\W?nSxS\ C:\Programme\AntiSpywareMaster C:\Programme\AntiSpywareMaster\asm.exe C:\Programme\outerinfo C:\Programme\outerinfo\FF\chrome.manifest C:\Programme\outerinfo\FF\components\OuterinfoAds.xpt C:\Programme\outerinfo\FF\install.rdf C:\Temp\1cb C:\Temp\1cb\syscheck.log C:\Temp\vtmp2 C:\Temp\vtmp2\ktnv33.log C:\WINDOWS\BM251a25c3.xml C:\WINDOWS\cookies.ini C:\WINDOWS\pskt.ini C:\WINDOWS\system32\bbjvelkl.dll C:\WINDOWS\system32\dskmmygx.dll C:\WINDOWS\system32\fPWyJkkj.ini C:\WINDOWS\system32\fPWyJkkj.ini2 C:\WINDOWS\system32\jkkJyWPf.dll C:\WINDOWS\system32\lklevjbb.ini C:\WINDOWS\system32\mlJCTLfd.dll C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\msnav32.ax C:\WINDOWS\system32\nwbyosom.exe C:\WINDOWS\system32\pac.txt C:\WINDOWS\system32\verjjyol.dll C:\WINDOWS\system32\vtUnnoll.dll C:\WINDOWS\system32\xkkjkxbd.ini C:\WINDOWS\system32\zxdnt3d.cfg . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_CMDSERVICE -------\Legacy_NETWORK_MONITOR ((((((((((((((((((((((( Dateien erstellt von 2008-05-03 bis 2008-06-03 )))))))))))))))))))))))))))))) . 2008-06-03 12:23 . 2008-06-03 12:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sunbelt Software 2008-06-03 12:23 . 2008-06-03 14:20 104 --a------ C:\WINDOWS\system32\SBRC.dat 2008-06-03 11:53 . 2008-06-03 11:53 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys 2008-06-03 11:52 . 2008-06-03 11:52 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sunbelt Software 2008-06-03 11:51 . 2008-06-03 11:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software 2008-06-03 11:50 . 2008-06-03 11:50 <DIR> d-------- C:\Programme\Sunbelt Software 2008-06-03 08:57 . 2008-06-03 08:57 <DIR> d-------- C:\Programme\Trend Micro 2008-06-03 08:55 . 2008-06-03 08:55 812,344 --a------ C:\Programme\HJTInstall.exe 2008-06-03 08:40 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-06-03 08:40 . 2003-10-01 15:10 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-06-03 08:40 . 2003-10-01 15:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust 2008-06-03 08:40 . 2003-10-01 14:54 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-06-03 08:40 . 2003-01-21 03:00 13,095,560 -ra------ C:\Dokumente und Einstellungen\Administrator\MpSetup.exe 2008-06-03 08:39 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-06-03 08:39 . 2003-10-01 14:54 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-06-03 08:39 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-06-03 08:39 . 2003-10-01 15:10 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-06-03 08:39 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-06-03 08:39 . 2008-06-03 08:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-06-03 08:29 . 2008-06-03 08:45 4,484 --a------ C:\WINDOWS\system32\tmp.reg 2008-06-03 08:28 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-06-03 08:28 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-06-03 08:28 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-06-03 08:28 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-06-03 08:28 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe 2008-06-03 08:28 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-06-03 08:28 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-06-03 08:28 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-06-02 23:48 . 2008-06-02 23:48 <DIR> d-------- C:\WINDOWS\BDOSCAN8 2008-06-02 21:32 . 2008-06-02 21:32 401,972 --a------ C:\WINDOWS\system32\g94.exe 2008-06-02 21:32 . 2008-06-02 21:32 63,902 --a------ C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll-uninst.exe 2008-06-02 20:18 . 2008-06-02 20:18 13,502 --a------ C:\WINDOWS\system32\TuneclubIconDE.ico 2008-06-02 20:17 . 2008-06-02 20:17 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-06-02 20:17 . 2008-06-02 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-06-02 20:14 . 2008-06-02 20:14 298,311 --a------ C:\WINDOWS\system32\gside.exe 2008-06-02 20:14 . 2008-06-02 20:14 200,768 --a------ C:\WINDOWS\system32\ncntpkdm.exe 2008-06-02 20:14 . 2008-06-02 20:14 860 --a------ C:\WINDOWS\system32\winpfz33.sys 2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\yW3 2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\vntiho01 2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\hIP5 2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\cA1 2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d--hs---- C:\WINDOWS\bXVuYQ 2008-06-02 19:33 . 2008-06-02 19:33 41,984 --a------ C:\WINDOWS\mrofinu572.exe.tmp 2008-06-02 19:33 . 2008-06-02 19:37 41,984 --a------ C:\WINDOWS\mrofinu572.exe 2008-06-02 19:33 . 2008-06-02 19:33 41,984 --a------ C:\WINDOWS\mrofinu1000106.exe 2008-05-27 20:14 . 2008-05-27 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ABBYY 2008-05-26 23:18 . 2008-05-26 23:18 <DIR> d-------- C:\users 2008-05-26 23:18 . 2008-05-26 23:18 <DIR> d-------- C:\My Games 2008-05-26 23:17 . 2008-05-26 23:17 <DIR> d-------- C:\Programme\RealArcade 2008-05-26 22:37 . 2008-05-26 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\U3 2008-05-26 09:22 . 2008-05-26 09:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-05-26 09:22 . 2008-05-26 09:22 1,409 --a------ C:\WINDOWS\QTFont.for 2008-05-22 21:32 . 2008-05-22 22:55 906,878,050 --a------ C:\Programme\ArcGIS-Desktop9.zip 2008-05-21 18:00 . 2008-05-21 18:00 <DIR> d-------- C:\Programme\FileZilla FTP Client 2008-05-21 17:45 . 2008-05-21 17:45 <DIR> d-------- C:\Programme\ViennaSoft 2008-05-21 17:35 . 2008-05-21 17:35 <DIR> d-------- C:\Programme\Foxit Software 2008-05-21 17:27 . 2008-05-21 17:27 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FileZilla 2008-05-18 22:37 . 2008-05-18 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\JLC's Software 2008-05-18 22:36 . 2008-05-18 22:36 <DIR> d-------- C:\Programme\Internet_TV 2008-05-07 18:41 . 2008-05-07 18:41 165,376 --a------ C:\WINDOWS\system32\drivers\atksgt.sys 2008-05-07 18:41 . 2008-05-07 18:41 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys 2008-05-07 18:40 . 2008-05-07 18:40 <DIR> d-------- C:\Programme\XviD 2008-05-07 17:56 . 2008-05-07 17:56 <DIR> d-------- C:\Programme\Bad Day LA 2008-05-03 11:10 . 2008-05-03 11:10 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Magic Academy . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-29 18:48 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Land Of Runes 2008-04-28 19:49 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\cerasus.media 2008-02-08 19:11 6,633,648 ----a-w C:\Programme\Synaptics Touchpad Driver for Windows 2000 WinXP Version 7.6.5.zip 2008-02-02 13:34 553,687 ----a-w C:\Programme\RegCleaner.exe 2008-02-01 18:54 4,096 --sha-w C:\Programme\Gemeinsame Dateien\Thumbs.db 2008-01-07 21:20 1,878,914 ----a-w C:\Programme\VA.exe 2008-01-07 20:58 8,628 ---ha-w C:\Programme\Gemeinsame Dateien\Fontinfo.GID 2008-01-07 20:32 1,906,516 ----a-w C:\Programme\LA.exe 2007-12-07 11:46 7,948,064 ----a-w C:\Programme\5100_deu_win2k_xpinfu.exe 2007-12-07 11:46 1,145 ----a-w C:\Programme\sfx.log 2007-08-30 17:25 60,544 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-08-10 20:01 6,433,401 ----a-w C:\Programme\Thoosje Sidebar installer.exe 2007-04-22 16:43 180,066 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat 2005-03-19 22:27 2,652,488 ----a-w C:\Programme\SmartInstall_30.exe 2004-05-22 03:36 24,041,480 ----a-w C:\Programme\Golden.Software.Grapher.v4.00.Retail.zip 2004-03-05 19:13 1,760,378 ----a-w C:\Programme\aaw6.exe 2004-03-02 20:37 957,465 ----a-w C:\Programme\wrar320d.exe 2004-02-18 18:29 146,084 ----a-w C:\Programme\SetupSnz100.exe 2004-02-13 20:47 3,773,576 ----a-w C:\Programme\DivXPlayerInstaller.exe 2003-11-08 00:03 176 ----a-w C:\Programme\hpsfx.ini 2003-11-06 07:09 2,206,317 ----a-w C:\Programme\Gemeinsame Dateien\Fontinfo.hlp 2003-01-21 01:00 13,095,560 ----a-r C:\WINDOWS\system32\config\systemprofile\MpSetup.exe 2003-01-21 01:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\xxx\MpSetup.exe 2003-01-21 01:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\Default User\MpSetup.exe 1996-04-09 20:47 766 ----a-w C:\Programme\Gemeinsame Dateien\Will.ico 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{63b7168f-63ac-9dfa-b343-beef7a469006}] C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208] "PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 16:21 1449984] "PowerBar"="" [] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04 139264] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [] "ATIModeChange"="Ati2mdxx.exe" [2003-09-12 02:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 21:10 335872] "SoundMan"="SOUNDMAN.EXE" [2003-07-12 11:53 54784 C:\WINDOWS\SOUNDMAN.EXE] "AGRSMMSG"="AGRSMMSG.exe" [2003-08-29 05:10 88267 C:\WINDOWS\AGRSMMSG.exe] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-08-29 06:01 110592] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-08-29 06:01 618496] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe" [2003-08-19 17:23 32873] "PCMService"="C:\Program Files\Aspire Arcade\PCMService.exe" [2003-09-29 16:03 73728] "ShowIcon_Chander_CRW Series Driver v1.17r019"="C:\Programme\CRW\shwicon.exe" [2003-01-09 00:05 73728] "LManager"="C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE" [2003-10-18 13:27 352256] "DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2003-10-02 02:20 81920] "Corel Reminder"="" [] "PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.exe" [2006-06-15 12:36 229376] "LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2007-04-12 00:08 249856] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-04 00:05 185896] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24 286720] "BDAgent"="C:\Programme\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632] "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016] "{91-16-6F-F0-DW}"="C:\windows\system32\jownw64p.exe" [ ] "{f2e70e87-e62a-84eb-4edf-08f9de8453fd}"="C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll" [ ] "SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864] "ExploreUpdSched"="C:\WINDOWS\system32\ncntpkdm.exe" [2008-06-02 20:14 200768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=sockspy.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "msacm.l3acm"= l3codecp.acm "VIDC.IV41"= ir41_32.dll "vidc.yv12"= yv12vfw.dll "msacm.divxa32"= DivXa32.acm [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Proximotron\\Proxomitron.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\groove.exe"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015 "1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016 "500:UDP"= 500:UDP:160.45.252.0/255.255.255.0,172.24.0.0/255.255.255.0:Enabled:IKE-500 "4500:UDP"= 4500:UDP:160.45.252.0/255.255.255.0,172.24.0.0/255.255.255.0:Enabled:IKE-4500 R0 pnpshark;pnpshark;C:\WINDOWS\system32\DRIVERS\pnpshark.sys [2003-10-02 03:16] R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-06-03 11:53] R0 st3shark;st3shark;C:\WINDOWS\system32\DRIVERS\st3shark.sys [2003-09-27 14:37] R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys [] S3 iMSPCLOj;iMSPCLOj;C:\DOKUME~1\xxx\LOKALE~1\Temp\iMSPCLOj.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{187f9730-dfb4-11db-9bee-00042379bcce}] \Shell\AutoRun\command - H:\wd_windows_tools\setup.exe *Newly Created Service* - SBAPIFS . Inhalt des "geplante Tasks" Ordners "2008-06-03 14:08:28 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE "2008-05-31 13:05:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\Programme\Stardock\ObjectDock\DockShellHook.dll . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\MPAPI\MPAPI3S.EXE C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Sunbelt Software\CounterSpy\CounterSpy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-03 16:18:24 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-03 14:16:06 28 Verzeichnis(se), 7,781,416,960 Bytes frei 39 Verzeichnis(se), 9,629,941,760 Bytes frei 255 --- E O F --- 2008-05-27 22:59:33 |
03.06.2008, 15:47 | #8 |
| Werbepopups-HJT logfile Und hier der Hjt - Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:43:32, on 03.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Program Files\Aspire Arcade\PCMService.exe C:\Programme\CRW\shwicon.exe C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE C:\Programme\D-Tools\daemon.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programme\lg_fwupdate\fwupdate.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\WINDOWS\system32\ncntpkdm.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: gooochi browser optimizer - {63b7168f-63ac-9dfa-b343-beef7a469006} - C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (file missing) O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe" O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019" O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [{91-16-6F-F0-DW}] C:\windows\system32\jownw64p.exe DWramFF O4 - HKLM\..\Run: [{f2e70e87-e62a-84eb-4edf-08f9de8453fd}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll" DllInit O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: SchleppNetz.lnk = C:\Programme\SchleppNetz\SchleppNetz.exe O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntpkdm.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - h**p://appldnld.m7z.net/content.info.apple.com/iTunes4/WW/win/019-0312.20050111.MmVrT/iTunesSetup.exe O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 10036 bytes |
03.06.2008, 16:32 | #9 | |
| Werbepopups-HJT logfile Hi, Du solltest unbedingt neu aufsetzten, da ev. ein Rootkit lief/läuft (WINPFZ33.SYS -> WINPFZ37.SYS, Prevx), das hier nur um Backups zu machen! Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste jeweils das komplette Ergebniss mit Filename! Falls eines der Files nicht erkannt wurde, aus dem Avengerscript rausnehmen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|{91-16-6F-F0-DW} HKLM\Software\Microsoft\Windows\CurrentVersion\Run|{f2e70e87-e62a-84eb-4edf-08f9de8453fd} Files to delete: C:\WINDOWS\system32\VCCLSID.exe->prüfen! C:\WINDOWS\system32\g94.exe ->prüfen! C:\WINDOWS\system32\Process.exe ->prüfen, ev. http://www.bleepingcomputer.com/startups/process.exe-7200.html C:\WINDOWS\system32\WS2Fix.exe ->prüfen! C:\WINDOWS\system32\gside.exe C:\WINDOWS\system32\ncntpkdm.exe C:\WINDOWS\system32\winpfz33.sys -> ev. Rootkit:http://www.prevx.com/filenames/821472523572207814-0/WINPFZ33.SYS.html C:\WINDOWS\mrofinu572.exe.tmp C:\WINDOWS\mrofinu572.exe -> http://www.prevx.com/filenames/2960187510749633932-0/MROFINU572.EXE.html C:\WINDOWS\mrofinu1000106.exe C:\WINDOWS\QTFont.qfn C:\WINDOWS\QTFont.for C:\WINDOWS\system32\tmp.reg C:\windows\system32\jownw64p.exe ->http://spywarefiles.prevx.com/RREJHI044624981/JOWNW64P.EXE.html C:\Programme\SchleppNetz\SchleppNetz.exe Folders to delete: C:\WINDOWS\bXVuYQ C:\WINDOWS\system32\yW3 C:\WINDOWS\system32\vntiho01 C:\WINDOWS\system32\hIP5 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O2 - BHO: gooochi browser optimizer - {63b7168f-63ac-9dfa-b343-beef7a469006} - C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (file missing) O4 - HKLM\..\Run: [{91-16-6F-F0-DW}] C:\windows\system32\jownw64p.exe DWramFF O4 - HKLM\..\Run: [{f2e70e87-e62a-84eb-4edf-08f9de8453fd}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll" DllInit O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe http://www.trojaner-board.de/51187-a...i-malware.html Und poste ein neues HJ-Log... Chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
03.06.2008, 16:53 | #10 |
| Werbepopups-HJT logfile C:\WINDOWS\system32\ncntpkdm.exe: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.06.03 - AntiVir 7.8.0.26 2008.06.03 TR/Downloader.Gen Authentium 5.1.0.4 2008.06.02 - Avast 4.8.1195.0 2008.06.03 Win32:ZenoSearch AVG 7.5.0.516 2008.06.03 Adware Generic3.FYV BitDefender 7.2 2008.06.03 - CAT-QuickHeal 9.50 2008.06.03 AdWare.ZenoSearch.bh (Not a Virus) ClamAV None 2008.06.03 - DrWeb 4.44.0.09170 2008.06.03 Adware.Hotbot.origin eSafe 7.0.15.0 2008.06.02 - eTrust-Vet 31.4.5845 2008.06.03 - Ewido 4.0 2008.06.03 - F-Prot 4.4.4.56 2008.06.02 W32/ZenoSearch.B.gen!Eldorado F-Secure 6.70.13260.0 2008.06.03 - Fortinet 3.14.0.0 2008.06.03 - GData 2.0.7306.1023 2008.06.03 Win32:ZenoSearch Ikarus T3.1.1.26.0 2008.06.03 - Kaspersky 7.0.0.125 2008.06.03 not-a-virus:AdWare.Win32.ZenoSearch.bh McAfee 5308 2008.06.02 potentially unwanted program Adware-Zeno Microsoft 1.3604 2008.06.03 Adware:Win32/ZenoSearch NOD32v2 3155 2008.06.03 - Norman 5.80.02 2008.06.03 - Panda 9.0.0.4 2008.06.03 Suspicious file Prevx1 V2 2008.06.03 Adware Rising 20.47.12.00 2008.06.03 - Sophos 4.29.0 2008.06.03 - Sunbelt 3.0.1143.1 2008.06.03 - Symantec 10 2008.06.03 Adware.ZenoSearch TheHacker 6.2.92.332 2008.06.03 - VBA32 3.12.6.7 2008.06.03 - VirusBuster 4.3.26:9 2008.06.03 - Webwasher-Gateway 6.6.2 2008.06.03 Trojan.Downloader.Gen weitere Informationen File size: 200768 bytes MD5...: cc82a10b705b5483aa76b6e6a4402e15 SHA1..: a07dd580608b83a2ebc71c9545e69f905f3cea90 SHA256: 154641c486b7779d1a1644daf46e27adc6494d0930f87efff656a7ed16d86e11 SHA512: 651cc4c9295d6e11febe451d73616436b2d15c3b252b727a02cdc22043af0e3d f7b10a8a66bd7de3bbbded96908f1b235a2b89f24f684ea9b0cf6cb1708272ff PEiD..: Armadillo v1.71 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x418868 timedatestamp.....: 0x484424a6 (Mon Jun 02 16:49:42 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1b2b5 0x1c000 6.12 e708533ed378f3a60ad67b1629188580 .rdata 0x1d000 0x8652 0x9000 4.97 6d45b3369feaa34acdd8f0f352abc4a3 .data 0x26000 0x7478 0x5000 5.77 17943aa93211a336d2f2d239c880b732 .rsrc 0x2e000 0x5840 0x6000 3.37 0ea04674e9a8622d8f3b2a7e36e60e4d ( 10 imports ) > WININET.dll: InternetGetLastResponseInfoA, InternetOpenUrlA, InternetOpenA, InternetReadFile > MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, _XcptFilter, _exit, __1type_info@@UAE@XZ, _onexit, __dllonexit, _purecall, strlen, toupper, exit, strrchr, memset, _stricmp, _setmbcp, __CxxFrameHandler, _mbscmp, rand, _ftol, srand, time, atoi, memcpy, _CxxThrowException > KERNEL32.dll: GetTickCount, GetCurrentThreadId, lstrlenA, Sleep, CreateFileA, GetProcAddress, LoadLibraryA, FreeLibrary, lstrcmpiA, CreateMutexA, GetSystemDirectoryA, lstrlenW, GetLastError, WaitForSingleObject, OpenProcess, SetLastError, WideCharToMultiByte, HeapFree, HeapAlloc, DeleteFileA, lstrcmpA, MoveFileA, GetFileAttributesA, GetModuleHandleA, GetStartupInfoA, TerminateProcess, GetVolumeInformationA, MultiByteToWideChar, GetFullPathNameA, LocalFree, lstrcpyA, GetModuleFileNameA, WriteFile, CloseHandle > USER32.dll: OffsetRect, ClientToScreen, SetTimer, GetClientRect, GetWindowRect, SetForegroundWindow, AttachThreadInput, GetSystemMetrics, KillTimer, GetWindowThreadProcessId, PostMessageA, EnumWindows, GetWindowTextLengthA, GetWindowTextA, IsWindow, GetForegroundWindow, EnableWindow, SetWindowTextA > GDI32.dll: CreateFontA > ADVAPI32.dll: RegDeleteKeyA, RegQueryValueExA, RegCreateKeyExA, RegDeleteValueA, RegSetValueExA, RegCloseKey, RegOpenKeyExA > SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA > ole32.dll: CoUninitialize, CoCreateInstance, OleRun > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, - ( 0 exports ) Prevx info: 07220188.EXE - Prevx C:\WINDOWS\system32\winpfz33.sys: Datei winpfz33.sys empfangen 2008.06.03 17:48:05 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.06.03 - AntiVir 7.8.0.26 2008.06.03 - Authentium 5.1.0.4 2008.06.02 - Avast 4.8.1195.0 2008.06.03 - AVG 7.5.0.516 2008.06.03 - BitDefender 7.2 2008.06.03 - CAT-QuickHeal 9.50 2008.06.03 - ClamAV 0.92.1 2008.06.03 - DrWeb 4.44.0.09170 2008.06.03 - eSafe 7.0.15.0 2008.06.02 - eTrust-Vet 31.4.5845 2008.06.03 - Ewido 4.0 2008.06.03 - F-Prot 4.4.4.56 2008.06.02 - F-Secure 6.70.13260.0 2008.06.03 - Fortinet 3.14.0.0 2008.06.03 - GData 2.0.7306.1023 2008.06.03 - Ikarus T3.1.1.26.0 2008.06.03 - Kaspersky 7.0.0.125 2008.06.03 - McAfee 5308 2008.06.02 - Microsoft 1.3604 2008.06.03 - NOD32v2 3155 2008.06.03 - Norman 5.80.02 2008.06.03 - Panda 9.0.0.4 2008.06.03 - Prevx1 V2 2008.06.03 - Rising 20.47.12.00 2008.06.03 - Sophos 4.29.0 2008.06.03 - Sunbelt 3.0.1143.1 2008.06.03 - Symantec 10 2008.06.03 - TheHacker 6.2.92.332 2008.06.03 - VBA32 3.12.6.7 2008.06.03 - VirusBuster 4.3.26:9 2008.06.03 - Webwasher-Gateway 6.6.2 2008.06.03 - weitere Informationen File size: 860 bytes MD5...: b60ba2f7748533ac88a8aabdd1b1b93f SHA1..: 54101471562b20246334df9c2d1cbabb2df2da1a SHA256: f01ae0e5e888a2b9f659f1182edd1045b477a359bfa217caccacbbd778b76f1b SHA512: aa4efb9146803751767a3c15aa332b78905507546c4abeb52c68691b93ef88a0 49a28bc50e6cf11816d67ad857dd3d7bcd8f29cc20b67b03d0eda58840c2a5dc PEiD..: - PEInfo: - Datei VCCLSID.exe empfangen 2008.06.03 17:50:40 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 2/32 (6.25%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.06.03 - AntiVir 7.8.0.26 2008.06.03 - Authentium 5.1.0.4 2008.06.02 - Avast 4.8.1195.0 2008.06.03 - AVG 7.5.0.516 2008.06.03 - BitDefender 7.2 2008.06.03 - CAT-QuickHeal 9.50 2008.06.03 - ClamAV 0.92.1 2008.06.03 - DrWeb 4.44.0.09170 2008.06.03 - eSafe 7.0.15.0 2008.06.02 Win32.Womble eTrust-Vet 31.4.5845 2008.06.03 - Ewido 4.0 2008.06.03 - F-Prot 4.4.4.56 2008.06.02 - F-Secure 6.70.13260.0 2008.06.03 - Fortinet 3.14.0.0 2008.06.03 - GData 2.0.7306.1023 2008.06.03 - Ikarus T3.1.1.26.0 2008.06.03 - Kaspersky 7.0.0.125 2008.06.03 - McAfee 5308 2008.06.02 - Microsoft 1.3604 2008.06.03 - NOD32v2 3155 2008.06.03 - Norman 5.80.02 2008.06.03 - Panda 9.0.0.4 2008.06.03 Suspicious file Prevx1 V2 2008.06.03 - Rising 20.47.12.00 2008.06.03 - Sophos 4.29.0 2008.06.03 - Sunbelt 3.0.1143.1 2008.06.03 - Symantec 10 2008.06.03 - TheHacker 6.2.92.332 2008.06.03 - VBA32 3.12.6.7 2008.06.03 - VirusBuster 4.3.26:9 2008.06.03 - Webwasher-Gateway 6.6.2 2008.06.03 - weitere Informationen File size: 289144 bytes MD5...: d726e152e257a1ab819f88312ec69620 SHA1..: 5de83d9f463c2f18b3cf9755478c5a07d3f186e8 SHA256: cb77f0a6f0ecddc4f8737e26d2330e66c8d1b8e9bb0854522aeb03976e27730c SHA512: 9a7ef38a105a30e1130f0032f719296863f3fc5c276c293d0ce0482350f4ebd9 172eb798a3a4a58e1cf14fbdf94b66efc6148435a8a7c4a880f6a0b982422465 PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x450650 timedatestamp.....: 0x46df2c1e (Wed Sep 05 22:22:22 2007) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x3d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x3e000 0x13000 0x12800 7.91 ded91bb367b8c714f0f8808722f70d42 .rsrc 0x51000 0x1000 0x400 3.38 b1d489daf295a391f6fe0e6d6f8f4e45 ( 4 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess > ADVAPI32.DLL: RegCloseKey > msvcrt.dll: _iob > SHELL32.DLL: ShellExecuteA ( 0 exports ) packers (Kaspersky): UPX packers (F-Prot): UPX |
03.06.2008, 17:02 | #11 |
| Werbepopups-HJT logfile C:\WINDOWS\system32\g94.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.06.03 - AntiVir 7.8.0.26 2008.06.03 DR/Agent.byy Authentium 5.1.0.4 2008.06.02 - Avast 4.8.1195.0 2008.06.03 Win32:Rootkit-gen AVG 7.5.0.516 2008.06.03 - BitDefender 7.2 2008.06.03 MemScan:Adware.Rotator.B CAT-QuickHeal 9.50 2008.06.03 - ClamAV 0.92.1 2008.06.03 Adware.Agent-2080 DrWeb 4.44.0.09170 2008.06.03 - eSafe 7.0.15.0 2008.06.02 - eTrust-Vet 31.4.5845 2008.06.03 - Ewido 4.0 2008.06.03 - F-Prot 4.4.4.56 2008.06.02 - F-Secure 6.70.13260.0 2008.06.03 - Fortinet 3.14.0.0 2008.06.03 Adware/Vapsup.0408 GData 2.0.7306.1023 2008.06.03 - Ikarus T3.1.1.26.0 2008.06.03 - Kaspersky 7.0.0.125 2008.06.03 not-a-virus:AdWare.Win32.Agent.byy McAfee 5308 2008.06.02 - Microsoft 1.3604 2008.06.03 - NOD32v2 3155 2008.06.03 Win32/Adware.GooochiBiz Norman 5.80.02 2008.06.03 - Panda 9.0.0.4 2008.06.03 - Prevx1 V2 2008.06.03 - Rising 20.47.12.00 2008.06.03 AdWare.Win32.Rotator.a Sophos 4.29.0 2008.06.03 Troj/BHODLL-H Sunbelt 3.0.1143.1 2008.06.03 - Symantec 10 2008.06.03 - TheHacker 6.2.92.332 2008.06.03 - VBA32 3.12.6.7 2008.06.03 AdWare.Win32.Agent.byy VirusBuster 4.3.26:9 2008.06.03 - Webwasher-Gateway 6.6.2 2008.06.03 Trojan.Dropper.Agent.byy weitere Informationen File size: 401972 bytes MD5...: 976b8dd6f5ecba702d07dbe8e3958622 SHA1..: d58f173d497e715e26ce069c27f11715b63ea22d SHA256: 28e5bb4d96d28139b3397f80dcfc08aa55b5985a09452d776f08ddcbf4fc17f9 SHA512: 592044df7a8b361ef0db7eb793d35d3da489c048bc64b85df1e7ac2a1f64adaa b5aa2fedc1cf2daa718bc6da85ff12876886d42ee44fda9e545fefd8e2aa72fc PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x403225 timedatestamp.....: 0x47acc8b2 (Fri Feb 08 21:25:06 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5934 0x5a00 6.46 663546ac41801daf2dc51f560ec05a56 .rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75 .data 0x9000 0x1af98 0x400 4.70 f0511f18783910813a0de0de02bc1206 .ndata 0x24000 0xc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x30000 0x6c8 0x800 2.91 45197172dd9457c3c73ddd577483e4cd ( 8 imports ) > KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA > USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow > GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject > SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation > ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA > COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create > ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA C:\WINDOWS\system32\Process.exe -> prüfen, kann von SiRi sein Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.06.03 Win-AppCare/PrcViewer.53248 AntiVir 7.8.0.26 2008.06.03 - Authentium 5.1.0.4 2008.06.02 - Avast 4.8.1195.0 2008.06.03 - AVG 7.5.0.516 2008.06.03 - BitDefender 7.2 2008.06.03 - CAT-QuickHeal 9.50 2008.06.02 - ClamAV 0.92.1 2008.06.03 - DrWeb 4.44.0.09170 2008.06.03 Tool.Prockill eSafe 7.0.15.0 2008.06.02 - eTrust-Vet 31.4.5845 2008.06.03 - Ewido 4.0 2008.06.03 - F-Prot 4.4.4.56 2008.06.02 - F-Secure 6.70.13260.0 2008.06.03 - Fortinet 3.14.0.0 2008.06.03 Misc/PrcViewer GData 2.0.7306.1023 2008.06.03 - Ikarus T3.1.1.26.0 2008.06.03 - Kaspersky 7.0.0.125 2008.06.03 - McAfee 5308 2008.06.02 potentially unwanted program PrcViewer Microsoft 1.3604 2008.06.03 - NOD32v2 3154 2008.06.03 Win32/PrcView Norman 5.80.02 2008.06.02 - Panda 9.0.0.4 2008.06.02 Application/Processor Prevx1 V2 2008.06.03 - Rising 20.47.12.00 2008.06.03 - Sophos 4.29.0 2008.06.03 - Sunbelt 3.0.1143.1 2008.06.03 - Symantec 10 2008.06.03 - TheHacker 6.2.92.332 2008.06.03 Aplicacion/Processor.20 VBA32 3.12.6.7 2008.06.03 - VirusBuster 4.3.26:9 2008.06.02 - Webwasher-Gateway 6.6.2 2008.06.03 - weitere Informationen File size: 53248 bytes MD5...: 7397f6ee4a9601a123b645c0cd428017 SHA1..: 890368473ecbc404dcd42ff0c6c38397102f59c0 SHA256: 5aaf73ef89f0efab963abb170bc9b7cd7d4d5bd7a691cd83137b4cc39cd120de SHA512: 8c9f85b64d8c1c43a11e654609d357fffdada311422cc02e5efbf1243b4d35fc 20f4a58b1a663f85717d8a626c3db8f59af62d7044ed02974cd3d2b107f08784 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x402b42 timedatestamp.....: 0x3edf2cf1 (Thu Jun 05 11:43:45 2003) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x7bea 0x8000 6.52 c01fadec01aae81015745dad0ecda107 .rdata 0x9000 0x1dfc 0x2000 5.10 e5217bccc8786d801b7a78bb7cce029c .data 0xb000 0x1fc8 0x1000 2.67 5ba738a705a45c4209cbffe7469d458a .rsrc 0xd000 0x3c0 0x1000 0.99 0967ff97890b79a40016a44e82666655 ( 3 imports ) > KERNEL32.dll: GetLastError, GetProcessAffinityMask, OpenProcess, Sleep, TerminateProcess, WaitForSingleObject, SetPriorityClass, lstrcmpiA, HeapFree, ResumeThread, SuspendThread, GetVersionExA, WideCharToMultiByte, HeapAlloc, CloseHandle, GlobalFree, GlobalAlloc, FileTimeToSystemTime, SystemTimeToFileTime, GetSystemTime, LocalFree, FormatMessageA, HeapSize, RtlUnwind, LCMapStringW, LCMapStringA, VirtualQuery, GetSystemInfo, SetProcessAffinityMask, LoadLibraryA, GetProcAddress, FreeLibrary, GetProcessHeap, GetCurrentProcess, ExitProcess, GetModuleHandleA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, GetACP, GetOEMCP, GetCPInfo, FlushFileBuffers, SetFilePointer, GetLocaleInfoA, VirtualProtect, SetStdHandle > USER32.dll: CloseDesktop, EnumDesktopWindows, GetWindowThreadProcessId, PostMessageA, OpenDesktopA > ADVAPI32.dll: LookupAccountSidA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, GetTokenInformation C:\WINDOWS\system32\WS2Fix.exe -> prüfen, kann von Smithfraudfix sein: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - Win32.Womble eTrust-Vet - - - Ewido - - - F-Prot - - - F-Secure - - - Fortinet - - - GData - - - Ikarus - - - Kaspersky - - - McAfee - - - Microsoft - - - NOD32v2 - - - Norman - - - Panda - - - Prevx1 - - - Rising - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - - weitere Informationen MD5: 49b5595b1824bea6d850e0ed08b53e43 SHA1: 5e2b90a2e34bb130b76517890877cb273f5f37b2 SHA256: 8d38a9bf06dbfa27be241d8d342e6d4116a5b70ac79fc67623616485967a0a02 SHA512: bfa8156a8a2c19c885412a92958102fc03cc3a7a20a56fb6baa41c76978258301848dc10af611caec1272970df4f7c853d18f9cd665dc041150a62427c9e15db |
03.06.2008, 17:13 | #12 |
| Werbepopups-HJT logfile Die letzten 3: C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll-uninst.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.06.03 - AntiVir 7.8.0.26 2008.06.03 - Authentium 5.1.0.4 2008.06.02 - Avast 4.8.1195.0 2008.06.03 - AVG 7.5.0.516 2008.06.03 - BitDefender 7.2 2008.06.03 - CAT-QuickHeal 9.50 2008.06.02 - ClamAV 0.92.1 2008.06.03 - DrWeb 4.44.0.09170 2008.06.03 - eSafe 7.0.15.0 2008.06.02 - eTrust-Vet 31.4.5845 2008.06.03 - Ewido 4.0 2008.06.03 - F-Prot 4.4.4.56 2008.06.02 - F-Secure 6.70.13260.0 2008.06.03 - Fortinet 3.14.0.0 2008.06.03 Adware/Vapsup.0408 GData 2.0.7306.1023 2008.06.03 - Ikarus T3.1.1.26.0 2008.06.03 Win32.SuspectCrc Kaspersky 7.0.0.125 2008.06.03 - McAfee 5308 2008.06.02 - Microsoft 1.3604 2008.06.03 - NOD32v2 3154 2008.06.03 - Norman 5.80.02 2008.06.02 - Panda 9.0.0.4 2008.06.03 - Prevx1 V2 2008.06.03 Cloaked Malware Rising 20.47.12.00 2008.06.03 - Sophos 4.29.0 2008.06.03 - Sunbelt 3.0.1143.1 2008.06.03 - Symantec 10 2008.06.03 - TheHacker 6.2.92.332 2008.06.03 - VBA32 3.12.6.7 2008.06.03 - VirusBuster 4.3.26:9 2008.06.02 - Webwasher-Gateway 6.6.2 2008.06.03 - weitere Informationen File size: 63902 bytes MD5...: 4e8fb6d6305b5c37a3e59629f3af5746 SHA1..: 8b62ac339182bf5d06c9baf4335abe64d9590eae SHA256: 0446ddbeb530ba8c7f63f8de85b945e0b83299d7fa2ab708648ea1280dc5442c SHA512: 84d4d6d14d5bba2396c1dfa27819f5481f63e2a215cd740b3aae652184f91b36 a01a9f61d16c27e86b5c1efe36d2dc709196db7be6c69c5d707c021d3697c8b9 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x403225 timedatestamp.....: 0x47acc8b2 (Fri Feb 08 21:25:06 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5934 0x5a00 6.46 663546ac41801daf2dc51f560ec05a56 .rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75 .data 0x9000 0x1af98 0x400 4.70 f0511f18783910813a0de0de02bc1206 .ndata 0x24000 0xc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x30000 0x6c8 0x800 2.76 7aa1e07300cf82d1881606e8a7e9d1c3 ( 8 imports ) > KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA > USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow > GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject > SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation > ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA > COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create > ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 0 exports ) Prevx info: {AF986DE3-588D-76C1-B366-87E88A841018}.DLL - Prevx C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll kann ich nicht finden.....??? C:\Programme\SchleppNetz\SchleppNetz.exe versteckte Datei??? Kann ich beim hochladen nicht finden..... Schleppnetz hab ich für das WG-Netzwerk gebraucht, da ich homeedition habe und nur begrenzte "Netzwerkecomputerplätze" hatte, und da auch noch ein Mac dabei war. Dachte, es wäre ein vertrauenswürdiges tool....Ist aber eigentlich deinstalliert...??? |
03.06.2008, 17:30 | #13 |
| Werbepopups-HJT logfile Hier der logfile von avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not open file "C:\WINDOWS\system32\VCCLSID.exe->prüfen!" Deletion of file "C:\WINDOWS\system32\VCCLSID.exe->prüfen!" failed! Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID) --> an object cannot have this name Error: could not open file "C:\WINDOWS\system32\g94.exe ->prüfen!" Deletion of file "C:\WINDOWS\system32\g94.exe ->prüfen!" failed! Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID) --> an object cannot have this name Error: could not open file "C:\WINDOWS\system32\Process.exe ->prüfen, ev. h**p://www.bleepingcomputer.com/startups/process.exe-7200.html" Deletion of file "C:\WINDOWS\system32\Process.exe ->prüfen, ev. h**p://www.bleepingcomputer.com/startups/process.exe-7200.html" failed! Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID) --> an object cannot have this name Error: could not open file "C:\WINDOWS\system32\WS2Fix.exe ->prüfen!" Deletion of file "C:\WINDOWS\system32\WS2Fix.exe ->prüfen!" failed! Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID) --> an object cannot have this name File "C:\WINDOWS\system32\gside.exe" deleted successfully. File "C:\WINDOWS\system32\ncntpkdm.exe" deleted successfully. Error: could not open file "C:\WINDOWS\system32\winpfz33.sys -> ev. Rootkit:h**p://www.prevx.com/filenames/821472523572207814-0/WINPFZ33.SYS.html" Deletion of file "C:\WINDOWS\system32\winpfz33.sys -> ev. Rootkit:h**p://www.prevx.com/filenames/821472523572207814-0/WINPFZ33.SYS.html" failed! Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID) --> an object cannot have this name File "C:\WINDOWS\mrofinu572.exe.tmp" deleted successfully. Error: could not open file "C:\WINDOWS\mrofinu572.exe -> h**p://www.prevx.com/filenames/2960187510749633932-0/MROFINU572.EXE.html" Deletion of file "C:\WINDOWS\mrofinu572.exe -> h**p://www.prevx.com/filenames/2960187510749633932-0/MROFINU572.EXE.html" failed! Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID) --> an object cannot have this name File "C:\WINDOWS\mrofinu1000106.exe" deleted successfully. File "C:\WINDOWS\QTFont.qfn" deleted successfully. File "C:\WINDOWS\QTFont.for" deleted successfully. File "C:\WINDOWS\system32\tmp.reg" deleted successfully. Error: could not open file "C:\windows\system32\jownw64p.exe ->h**p://spywarefiles.prevx.com/RREJHI044624981/JOWNW64P.EXE.html" Deletion of file "C:\windows\system32\jownw64p.exe ->h**p://spywarefiles.prevx.com/RREJHI044624981/JOWNW64P.EXE.html" failed! Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID) --> an object cannot have this name Error: could not open file "C:\Programme\SchleppNetz\SchleppNetz.exe" Deletion of file "C:\Programme\SchleppNetz\SchleppNetz.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Folder "C:\WINDOWS\bXVuYQ" deleted successfully. Folder "C:\WINDOWS\system32\yW3" deleted successfully. Folder "C:\WINDOWS\system32\vntiho01" deleted successfully. Folder "C:\WINDOWS\system32\hIP5" deleted successfully. Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|{91-16-6F-F0-DW}" deleted successfully. Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|{f2e70e87-e62a-84eb-4edf-08f9de8453fd}" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
03.06.2008, 17:44 | #14 |
| Werbepopups-HJT logfile Hijackthis.fixen: Folgende Einträge sind gefixt: O2 - BHO: gooochi browser optimizer - {63b7168f-63ac-9dfa-b343-beef7a469006} - C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (file missing) O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe Die anderen Beiden waren nach dem scan nicht mehr da. Jetzt noch antimaleware und dann poste ich nochmal ein Hjt-log |
03.06.2008, 18:24 | #15 |
| Werbepopups-HJT logfile Hier logfile von Malwarebytes antimalware: Malwarebytes' Anti-Malware 1.14 Datenbank Version: 818 19:21:56 03.06.2008 mbam-log-6-3-2008 (19-21-56).txt Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 116114 Scan Dauer: 32 minute(s), 42 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 9 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 19 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{1e404d48-670a-4085-a6a0-d195793ddd33} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{9f593aac-ca4c-4a41-a7ff-a00812192d61} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{749ec66f-a838-4b38-b8e5-e65d905fff74} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{1e404d48-670a-4085-a6a0-d195793ddd33} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gooochi (Adware.Vapsup) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions\{59a40ac9-e67d-4155-b31d-4b7330fcd2d6} (Adware.PurityScan) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\mrofinu572.exe (Trojan.DownLoader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll-uninst.exe (Adware.Vapsup) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender\Desktop\Quarantine\jownw64p.exe (Adware.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender\Desktop\Quarantine\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (Adware.Vapsup) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP585\A0102343.exe (Trojan.DownLoader) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP589\A0102851.exe (Adware.ClickSpring) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP589\A0102853.dll (Adware.ClickSpring) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102864.exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102874.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102875.exe (Trojan.LowZones) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102877.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102893.exe (Adware.PurityScan) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102955.exe (Trojan.DownLoader) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\Programme\AntiSpywareMaster\asm.exe.vir (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\mlJCTLfd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\nwbyosom.exe.vir (Trojan.LowZones) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\vtUnnoll.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\winpfz33.sys (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\zxdnt3d.cfg (Malware.Trace) -> Quarantined and deleted successfully. |
Themen zu Werbepopups-HJT logfile |
.dll, abgesicherten modus, ad-aware, adobe, defender, desktop, dll, eingefroren, excel, explorer, firefox, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, launch, log-files, logfile, mozilla, mozilla firefox, problem, rundll, scan, senden, server, software, system, toolbars, virus, windows, windows xp |