|
Plagegeister aller Art und deren Bekämpfung: Navipromo nicht vollständig entfernt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.06.2008, 16:59 | #1 |
| Navipromo nicht vollständig entfernt? Liebe Leute, meine Tochter hat vor einigen Tagen die "Internet Game Box" heruntergeladen und prompt ihren PC mit einem Trojaner infiziert. Es handelt sich vermutlich um Navipromo. Die Internet Game Box ist zwischenzeitlich deinstalliert, der Trojaner sorgte aber weiterhin dafür, dass im Webbrowser ständig neue Werbefenster aufsprangen. Bevor ich einige Logfiles hier poste, beschreibe ich zunächst mal zusammenfassend meine bisherigen Aktionen: Mit AntiVir und Spybot durchgeführte Scans ergaben keinen Fund. Mit Navilog1 habe ich dann ein Logfile erstellt und darin die für Navipromo typischen Dateien gefunden (z.B. ***_navps.dat). Den Ratschlägen hier im Forum folgend installierte ich anschließend Malwarebytes' Anti-Malware. Die damit gefundenen infizierten Objekte habe ich beseitigt. Das Problem mit den aufspringenden Werbefenstern ist seitdem nicht mehr aufgetreten, aber der Trojaner scheint noch in Resten vorhanden zu sein. So stehen im Ordner c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten noch drei Dateien, die den vom Trojaner erzeugten Zufallsnamen tragen: scuqycmom.dat, scuqycmom.exe und scuqymom_navps.dat. Die exe-Datei lässt sich nicht löschen und auch mit dem Steganos Shredder nicht vernichten. Die DAT-Dateien lassen sich zwar löschen oder vernichten, erscheinen aber nach ein paar Sekunden wieder. Ferner liegt im Ordner c:\WINDOWS\Prefetch die Datei SCUQYCMOM.EXE-174EF4CB.pf. Ich habe sie noch nicht zu löschen versucht, habe aber auch keine Ahnung, was Sinn und Zweck dieser Datei ist. Meine Frage an die Experten ist nun: Besteht weiterer Handlungsbedarf? Oder kann ich das Trojaner-Problem als erledigt betrachten? So ganz wohl ist mir zumindest nicht, wenn da noch Restdateien dieses Trojaners herumliegen. Ich bedanke mich schon mal für Eure Hilfe! Und jetzt poste ich noch die bisher erstellen Logfiles: Das gestern (vor dem Einsatz von Malwarebytes' Anti-Malware) mit Navilog1 erstellte Logfile ist: ------------------------- Search Navipromo version 3.5.8 began on 07.06.2008 at 21:32:49,98 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "***" Updated on 06.06.2008 at 18h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Search done in normal mode Favorit *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***a\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net No file found *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * Files found : scuqycmom.exe found ! scuqycmom.dat found ! scuqycmom_nav.dat found ! scuqycmom_navps.dat found ! *** Search files *** *** Search specific Registry keys *** HKEY_CURRENT_USER\Software\Lanconfig found ! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : scuqycmom.dat found ! scuqycmom_nav.dat found ! scuqycmom_navps.dat found ! 3)Certificates Search : Egroup certificate found ! Electronic-Group certificate found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 07.06.2008 at 21:38:20,20 *** -------------------------------- Nach dem Scan mit Anti-Malware ergibt Navilog1 nun folgendes Logfile: ---------------------------- Search Navipromo version 3.5.8 began on 08.06.2008 at 14:15:32,34 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "Katja" Updated on 06.06.2008 at 18h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Search done in normal mode Favorit *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net No file found *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * Files found : scuqycmom.exe found ! scuqycmom.dat found ! scuqycmom_navps.dat found ! *** Search files *** *** Search specific Registry keys *** HKEY_CURRENT_USER\Software\Lanconfig found ! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : scuqycmom.dat found ! scuqycmom_navps.dat found ! 3)Certificates Search : Egroup certificate found ! Electronic-Group certificate found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 08.06.2008 at 14:21:32,03 *** ---------------------------- Ein Scan mit Malwarebytes' Anti-Malware ergibt keinen Treffer mehr. Hier der Bericht: ------------------ Malwarebytes' Anti-Malware 1.15 Datenbank Version: 839 17:49:29 08.06.2008 mbam-log-6-8-2008 (17-49-29).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 112073 Scan Dauer: 40 minute(s), 44 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) ------------------------------ Trotzdem sind die oben genannten vier Dateien in den Ordnern "Anwendungsdaten" und WINDOWS\Prefetch noch vorhanden. Was empfehlt ihr mir zu tun? Besten Dank! Ich weiß eure Hilfe sehr zu schätzen! Und sollte ich zu viel Unverständliches geschrieben haben, bitte ich um Nachsicht - es ist mein erster Beitrag hier im Forum... Uwe |
08.06.2008, 18:29 | #2 |
| Navipromo nicht vollständig entfernt? Hi,
__________________bitte ein HJ-Log (s. Link in Signatur) im abgesicherten Modus (F8 beim Booten) erstellen und posten, mal sehen ob HJ ihn anzeigen kann... Blind löschen möchte ich nicht, gute vorarbeit! chris
__________________ |
08.06.2008, 20:27 | #3 |
| Navipromo nicht vollständig entfernt? Hallo Chris,
__________________danke, dass Du Dich meines Problems annimmst! Habe einen Scan mit HijackThis erstellt. Aus irgendeinem Grund hat aber der Start im abgesicherten Modus nicht geklappt. Das Drücken von F8 hatte keinerlei Auswirkungen (dumme Frage: kann das mit der kabellosen Tastatur zusammenhängen?). Hier der HJ-Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:17:27, on 08.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\WDBtnMgr.exe C:\Programme\WDC\SetIcon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe D:\Programme\iTunes\iTunes7\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe D:\Programme\wcescomm.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\PROGRA~1\rapimgr.exe C:\WINDOWS\system32\wuauclt.exe C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe C:\Programme\WinTV\Ir.exe C:\Programme\FinePixViewer\QuickDCF.exe D:\Programme\iFinger\iFinger.exe C:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\OpenOffice.org 2.4\program\soffice.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\OpenOffice.org 2.4\program\soffice.BIN D:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - D:\Programme\iFinger\iFingerBHO.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SAFEHOME HotKeys] "D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe" O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunes7\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Programme\Spyware Cleaner\SpywareCleaner.Exe" /boot O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\wcescomm.exe" O4 - HKCU\..\Run: [Vidalia] "S:\Programme\Tor\Vidalia Bundle\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [scuqycmom] c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe scuqycmom O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: iFinger.lnk = D:\Programme\iFinger\iFinger.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Privoxy.lnk = S:\Programme\Tor\Vidalia Bundle\Privoxy\privoxy.exe O4 - Global Startup: RtlWake.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.LionElectronics.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094588922794 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132517923218 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe O23 - Service: Retrospect Helper - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\rthlpsvc.exe O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe -- End of file - 10796 bytes Uwe |
09.06.2008, 06:40 | #4 |
| Navipromo nicht vollständig entfernt? Hi, hast Du eine kabelgebundene Tastatur zur Verfügung? HJ-kann das Teil nur im abgesicherten Modus erkennen... Trotzdem habe ich was gefunden: c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe Bitte ersetzte die XXX durch den richtigen Pfad und lass die Exe online prüfen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste die Ergebnisse markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan Code:
ATTFilter c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe DSS Download dss zum Desktop (http://www.techsupportforum.com/sect...eckard/dss.exe) Doppelklick dss.exe Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (09.06.2008 um 07:15 Uhr) |
09.06.2008, 22:54 | #5 |
| Navipromo nicht vollständig entfernt? Hallo Chris, mit kabelgebundener Tastatur konnte ich den PC im abgesicherten Modus starten. Merkwürdigerweise scheint HJ aber nichts gefunden zu haben: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:11:59, on 09.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE D:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SAFEHOME HotKeys] "D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe" O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunes7\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Programme\Spyware Cleaner\SpywareCleaner.Exe" /boot O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\wcescomm.exe" O4 - HKCU\..\Run: [Vidalia] "S:\Programme\Tor\Vidalia Bundle\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [scuqycmom] c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe scuqycmom O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: iFinger.lnk = D:\Programme\iFinger\iFinger.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Privoxy.lnk = S:\Programme\Tor\Vidalia Bundle\Privoxy\privoxy.exe O4 - Global Startup: RtlWake.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.LionElectronics.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094588922794 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132517923218 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe O23 - Service: Retrospect Helper - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\rthlpsvc.exe O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe -- End of file - 8962 bytes Bearshare war übrigens schon deinstalliert. Ein paar Reste waren noch im ursprünglichen Ordner vorhanden; habe ich alle entfernt. Warum HJ hier trotzdem noch einen Eintrag findet, ist mir schleierhaft. Die Datei c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe habe ich von Virustotal analysieren lassen. Hier das Ergebnis: Code:
ATTFilter MD5: bc9d70b94b83bb39c2fe1c3fa679fc68 First received: 2008.06.09 18:33:38 (CET) Datum 2008.06.09 18:33:38 (CET) [<1D] Ergebnisse 1/33 Permalink: analisis/e6776a3c99b471eaf53d2f9c71719ebd DSS läuft gerade. Das Ergebnis poste ich anschließend... Viele Grüße Uwe |
09.06.2008, 23:16 | #6 |
| Navipromo nicht vollständig entfernt? Hallo Chris, nun das Ergebnis des DSS: Unter main.txt steht: Code:
ATTFilter Deckard's System Scanner v20071014.68 Run by XBenutzerX on 2008-06-09 23:50:38 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 18: 2008-06-09 21:50:49 UTC - RP684 - Deckard's System Scanner Restore Point 17: 2008-06-08 10:11:24 UTC - RP683 - Entfernt Die Sims - Megastar 16: 2008-06-08 09:16:12 UTC - RP682 - Software Distribution Service 3.0 15: 2008-06-07 16:29:06 UTC - RP681 - PhysProf wird entfernt 14: 2008-06-06 22:09:21 UTC - RP680 - Spybot-S&D Spyware removal -- First Restore Point -- 1: 2008-05-26 21:35:46 UTC - RP667 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. Percentage of Memory in Use: 79% (more than 75%). Total Physical Memory: 256 MiB (512 MiB recommended). -- HijackThis (run as XBenutzerX.exe) ----------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:52:31, on 09.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\WDBtnMgr.exe C:\Programme\WDC\SetIcon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe D:\Programme\iTunes\iTunes7\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe D:\Programme\wcescomm.exe D:\PROGRA~1\rapimgr.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe C:\Programme\WinTV\Ir.exe C:\Programme\FinePixViewer\QuickDCF.exe D:\Programme\iFinger\iFinger.exe C:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\OpenOffice.org 2.4\program\soffice.exe C:\Programme\OpenOffice.org 2.4\program\soffice.BIN C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\XBenutzerX\Desktop\dss.exe D:\PROGRA~1\HIJACK~1\XBenutzerX.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - D:\Programme\iFinger\iFingerBHO.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SAFEHOME HotKeys] "D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe" O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunes7\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Programme\Spyware Cleaner\SpywareCleaner.Exe" /boot O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\wcescomm.exe" O4 - HKCU\..\Run: [Vidalia] "S:\Programme\Tor\Vidalia Bundle\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [scuqycmom] c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe scuqycmom O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: iFinger.lnk = D:\Programme\iFinger\iFinger.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Privoxy.lnk = S:\Programme\Tor\Vidalia Bundle\Privoxy\privoxy.exe O4 - Global Startup: RtlWake.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.LionElectronics.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094588922794 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132517923218 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe O23 - Service: Retrospect Helper - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\rthlpsvc.exe O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe -- End of file - 10854 bytes -- File Associations ----------------------------------------------------------- .cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%* .cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%* .reg - regfile - shell\open\command - regedit.exe "%1" %* .scr - scrfile - shell\open\command - "%1" %* -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R0 BsStor (InCD Storage Helper Driver) - c:\windows\system32\drivers\bsstor.sys <Not Verified; B.H.A Co.,Ltd.; > R1 cdrbsdrv - c:\windows\system32\drivers\cdrbsdrv.sys <Not Verified; B.H.A Corporation; B's Recorder GOLD7> R1 SSHDRV5C - c:\windows\system32\drivers\sshdrv5c.sys R2 BsUDF (InCD UDF Driver) - c:\windows\system32\drivers\bsudf.sys <Not Verified; ahead software; UDF File System Driver (WindowsXP)> R3 HCWBT8XX (Hauppauge WinTV 848/9 WDM Video Driver) - c:\windows\system32\drivers\hcwbt8xx.sys <Not Verified; Hauppauge Computer Works; WinTV WDM Driver> R3 USB28xxBGA (Cinergy EM28xx Capture) - c:\windows\system32\drivers\embda.sys <Not Verified; eMPIA Technology, Inc.; USB 28xx Device> R3 USB28xxOEM (Cinergy EM28xx OEM Filter) - c:\windows\system32\drivers\emoem.sys <Not Verified; eMPIA Technology, Inc.; USB 28xx Device> S3 catchme - c:\dokume~1\XBenutzerX\lokale~1\temp\catchme.sys (file missing) S3 jatmlano - c:\dokume~1\XBenutzerX\lokale~1\temp\jatmlano.sys (file missing) S3 rtl8180 (Belkin 11Mbps Wireless Desktop Network Card Driver) - c:\windows\system32\drivers\bel6001.sys <Not Verified; Belkin Corporation; Belkin 11Mbps Wireless Desktop Network Card> S3 SjyPkt - c:\windows\system32\drivers\sjypkt.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver> S3 ssm_bus (Samsung Mobile USB Device II 1.0 driver (WDM)) - c:\windows\system32\drivers\ssm_bus.sys <Not Verified; MCCI; Samsung Mobile USB Device II 1.0> S3 ssm_mdm (Samsung Mobile USB Port II 1.0 Drivers) - c:\windows\system32\drivers\ssm_mdm.sys <Not Verified; MCCI; Samsung Mobile USB Modem II 1.0> -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (AntiVir Scheduler) - c:\programme\antivir personaledition classic\sched.exe <Not Verified; Avira GmbH; AntiVir Workstation> R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service> R2 RetroLauncher (Retrospect Launcher) - c:\progra~1\dantz\retros~1\retrorun.exe <Not Verified; Dantz Development Corporation; Retrospect> R2 RetroWDSvc (Retrospect WD Service) - c:\progra~1\dantz\retros~1\wdsvc.exe <Not Verified; Dantz Development Corporation; Retrospect> S2 Retrospect Helper - "c:\progra~1\dantz\retros~1\rthlpsvc.exe" <Not Verified; Dantz Development Corporation; Retrospect> -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Scheduled Tasks ------------------------------------------------------------- 2008-05-24 12:06:41 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job 2005-01-16 22:36:27 348 --a------ C:\WINDOWS\Tasks\Symantec NetDetect.job -- Files created between 2008-05-09 and 2008-06-09 ----------------------------- 2008-06-08 12:01:50 0 d-------- C:\WINDOWS\Prefetch 2008-06-08 11:50:24 0 d-------- C:\WINDOWS\l2schemas 2008-06-08 11:50:23 0 d-------- C:\WINDOWS\system32\de 2008-06-07 21:30:50 0 d-------- C:\Programme\Navilog1 2008-06-02 19:00:54 0 d-------- C:\WINDOWS\system32\NtmsData 2008-06-01 19:58:57 691545 --a------ C:\WINDOWS\unins000.exe 2008-06-01 19:58:57 2548 --a------ C:\WINDOWS\unins000.dat 2008-05-25 15:03:59 0 d-------- C:\Programme\OpenOffice.org 2.4 2008-05-24 12:25:45 0 d-------- C:\Programme\iPod 2008-05-24 12:21:59 0 d-------- C:\Programme\QuickTime 2008-05-16 20:52:09 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll -- Find3M Report --------------------------------------------------------------- 2008-06-09 22:47:10 0 d-------- C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\OpenOffice.org2 2008-06-08 22:46:17 0 d-------- C:\Programme\Mozilla Thunderbird 2008-06-08 12:38:26 0 d-------- C:\Programme\Maxis 2008-06-08 12:05:05 391348 --a----c- C:\WINDOWS\system32\perfh007.dat 2008-06-08 12:05:04 63700 --a----c- C:\WINDOWS\system32\perfc007.dat 2008-06-08 12:01:26 0 d-------- C:\Programme\Messenger 2008-06-08 11:50:22 0 d-------- C:\Programme\Movie Maker 2008-06-08 11:44:32 0 d-------- C:\Programme\Windows NT 2008-06-07 22:01:08 0 d-------- C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\Malwarebytes 2008-06-07 18:29:21 0 d-------- C:\Programme\Gemeinsame Dateien\Borland Shared 2008-06-01 20:59:02 0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-05-25 17:20:19 0 d-------- C:\Programme\OpenOffice.org 2.3 2008-05-25 17:17:34 0 d-------- C:\Programme\Java 2008-05-24 12:06:39 0 d-------- C:\Programme\Apple Software Update 2008-05-17 21:25:24 0 d-------- C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\U3 2008-05-12 23:27:54 0 d-------- C:\Programme\FinePixViewer 2008-05-09 15:34:43 0 d-------- C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\Opera 2008-05-09 15:34:07 0 d-------- C:\Programme\PhysProf 2008-05-09 15:34:02 0 d-------- C:\Programme\Real 2008-05-09 15:31:44 20 --a------ C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\anzds 2008-05-09 15:31:41 89 --a------ C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\p6demopfad -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [14.05.2003 07:20 C:\WINDOWS\SOUNDMAN.EXE] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [25.11.2003 22:10] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 10:50] "InCD"="C:\Programme\Ahead\InCD\InCD.exe" [12.09.2002 19:13] "zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [18.03.2004 10:33] "Logitech Utility"="Logi_MwX.Exe" [07.11.2003 11:50 C:\WINDOWS\LOGI_MWX.EXE] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 05:25] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [20.10.2004 07:41] "WD Button Manager"="WDBtnMgr.exe" [08.11.2005 22:28 C:\WINDOWS\system32\WDBtnMgr.exe] "Seticons"="\Programme\WDC\SetIcon.exe" [28.04.2004 15:02] "BearShare"="D:\Programme\BearShare\BearShare.exe" [] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [04.05.2008 17:50] "REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [04.02.2002 23:32] "SAFEHOME HotKeys"="D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe" [21.03.2007 18:59] "TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [25.08.2006 07:53] "iconcache"="" [] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [28.03.2008 23:37] "iTunesHelper"="D:\Programme\iTunes\iTunes7\iTunesHelper.exe" [30.03.2008 10:36] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22] "Start WingMan Profiler"="" [] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [14.04.2008 04:22] "Spyware Cleaner"="C:\Programme\Spyware Cleaner\SpywareCleaner.exe" [] "H/PC Connection Agent"="D:\Programme\wcescomm.exe" [15.11.2005 21:14] "Vidalia"="S:\Programme\Tor\Vidalia Bundle\Vidalia\vidalia.exe" [] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 11:43] "scuqycmom"="c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe" [06.06.2008 16:35] C:\Dokumente und Einstellungen\XBenutzerX\Startmen\Programme\Autostart\ Microsoft-Indexerstellung.lnk - C:\Programme\Microsoft Office\Office\FINDFAST.EXE [14.12.1996] Office-Start.lnk - C:\Programme\Microsoft Office\Office\OSA.EXE [14.12.1996] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] C:\WINDOWS\System32\dimsntfy.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] eapsvcs eaphost dot3svc dot3svc HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs napagent hkmsvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{812c6cb2-2444-11dd-8f5d-000d61b00bf8}] AutoRun\command- G:\LaunchU3.exe -a -- End of Deckard's System Scanner: finished at 2008-06-09 23:56:04 ------------ |
09.06.2008, 23:18 | #7 |
| Navipromo nicht vollständig entfernt? Und unter extra.txt steht: Code:
ATTFilter Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Home Edition (build 2600) SP 3.0 Architecture: X86; Language: German CPU 0: AMD Athlon(tm) XP 2400+ Percentage of Memory in Use: 80% Physical Memory (total/avail): 255.48 MiB / 48.61 MiB Pagefile Memory (total/avail): 618.32 MiB / 234.78 MiB Virtual Memory (total/avail): 2047.88 MiB / 1922.61 MiB A: is Removable (No Media) C: is Fixed (NTFS) - 14.65 GiB total, 3.7 GiB free. D: is Fixed (NTFS) - 59.87 GiB total, 20.42 GiB free. E: is CDROM (No Media) F: is CDROM (No Media) \\.\PHYSICALDRIVE0 - WDC WD800BB-00DKA0 - 74.53 GiB - 2 partitions \PARTITION0 (bootable) - Installierbares Dateisystem - 14.65 GiB - C: \PARTITION1 - Erweitert mit Int 13 (erweitert) - 59.87 GiB - D: -- Security Center ------------------------------------------------------------- AUOptions is scheduled to auto-install. -- Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users APPDATA=C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten CLASSPATH=.;C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip CLIENTNAME=Console CommonProgramFiles=C:\Programme\Gemeinsame Dateien COMPUTERNAME=PC-XBenutzerX ComSpec=C:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Dokumente und Einstellungen\XBenutzerX INCLUDE=D:\Programme\watcom-1.3\h;D:\Programme\watcom-1.3\h\nt;D:\Programme\watcom-1.3\maple\include KMP_DUPLICATE_LIB_OK=TRUE lib=C:\Programme\SQLXML 3.0\bin\ LOGONSERVER=\\PC-XBenutzerX NUMBER_OF_PROCESSORS=1 OS=Windows_NT Path=D:\Programme\watcom-1.3\binnt;D:\Programme\watcom-1.3\binw;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;D:\PROGRA~1\Borland\Delphi6\Bin;D:\PROGRA~1\Borland\Delphi6\Projects\Bpl;C:\Programme\QuickTime\QTSystem\ PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0801 ProgramFiles=C:\Programme PROMPT=$P$G QTJAVA=C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOKUME~1\XBenutzerX\LOKALE~1\Temp TMP=C:\DOKUME~1\XBenutzerX\LOKALE~1\Temp USERDOMAIN=PC-XBenutzerX USERNAME=XBenutzerX USERPROFILE=C:\Dokumente und Einstellungen\XBenutzerX WATCOM=D:\Programme\watcom-1.3 windir=C:\WINDOWS -- User Profiles --------------------------------------------------------------- XBenutzerX (admin) Administrator (new local, admin) -- Add/Remove Programs --------------------------------------------------------- --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Ad-Aware SE Personal --> C:\PROGRA~1\Lavasoft\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\INSTALL.LOG Adobe Acrobat 5.0 --> C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll" Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe aerosoft's - MyTraffic 2004 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{671A18C5-3182-4359-B1DA-986DB9C22A8C}\setup.exe" -uninst aerosoft's - Scenery Germany 1 - FS2004 --> "C:\Programme\Microsoft Games\Flight Simulator 9\uninstall_scenery_germany_1.exe" Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543} Apple Software Update --> MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F} ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean ATI HydraVision --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}\setup.exe" Avira AntiVir Personal – Free Antivirus --> C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE Belkin Wireless Network Monitor Utility and Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B41F5ED6-4D67-4FAA-B787-D5DF1DD0EC80}\setup.exe" -l0x7 REMOVE Borland Delphi 6 --> MsiExec.exe /I{B7886D87-ADA4-46A0-8A8D-02AB16B9F95A} Celestia 1.4.1 --> "D:\Programme\Celestia\unins000.exe" Condor: The Competition Soaring Simulator 1.1.2 --> D:\Programme\Condor\uninst.exe Die Sims 2 --> D:\Programme\EA Games\Die Sims 2\EAUninstall.exe DivX --> D:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Player --> D:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DynaGeo 2.6e --> D:\Programme\DynaGeo\unins000.exe Eagle Lander 3D V2 --> MsiExec.exe /I{0D2FB198-D23B-4E7E-9A4C-B7486F5A8C06} eReader --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ED8BB1CA-535A-408D-85C9-ED1986D2B85E}\setup.exe" EXAM --> C:\WINDOWS\IsUn0407.exe -fD:\Programme\B_Peters\EXAM\Uninst.isu Favorit --> "c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe" -uninstall FinePixViewer Resource --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B44529FF-501E-47CD-A06D-223C161BE058}\SETUP.EXE" -l0x7 FinePixViewer Ver.5.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{24ED4D80-8294-11D5-96CD-0040266301AD}\SETUP.EXE" -l0x7 Fritz und Fertig --> MsiExec.exe /X{917C79E9-9E4E-11D6-B27C-0003FFFFFFFC} FUJIFILM USB Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5490882C-6961-11D5-BAE5-00E0188E010B}\SETUP.EXE" Genius Physik (remove only) --> D:\Programme\Cornelsen\Genius Physik\Uninstall.exe Google Earth --> MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72} Google Toolbar for Internet Explorer --> regsvr32 /u /s "c:\programme\google\googletoolbar1.dll" Grand Theft Auto San Andreas --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{086BADF8-9B1F-4E89-B207-2EDA520972D6}\setup.exe" -l0x7 -removeonly Grand Theft Auto Vice City --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4B35F00C-E63D-40DC-9839-DF15A33EAC46}\Setup.exe" -l0x7 Hörverstehen Découvertes 4 Série verte --> C:\WINDOWS\IsUn0407.exe -fd:\heureka\HVTNDV4\Uninst.isu Hauppauge WinTV Infrared Remote --> C:\PROGRA~1\WinTV\UNir32.EXE C:\PROGRA~1\WinTV\ir32.LOG Hauppauge WinTV Radio --> C:\PROGRA~1\WinTV\UNrad32.EXE C:\PROGRA~1\WinTV\RADIO32.LOG Hauppauge WinTV2000 --> C:\PROGRA~1\WinTV\UNTV32.EXE C:\PROGRA~1\WinTV\WINTV2K.LOG HijackThis 2.0.2 --> "d:\Programme\HijackThis\HijackThis.exe" /uninstall Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" ICQ Toolbar --> regsvr32 /u /s "C:\Programme\ICQToolbar\toolbaru.dll" ICQ6 --> "C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly iFinger --> D:\PROGRA~1\iFinger\UNWISE.EXE D:\PROGRA~1\iFinger\INSTALL.LOG ImageMixer VCD2 LE for FinePix --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B093990A-AAF2-44AC-9216-14BB7A2189B6}\SETUP.EXE" -l0x7 InCD (Ahead Software) --> C:\WINDOWS\NuNInst.exe /UNINSTALL Indiana Jack --> D:\Programme\Blimb Entertainment\Indiana Jack\setup.exe -uninstall InterActual Player --> C:\Program Files\InterActual\InterActual Player\inuninst.exe InterVideo WinDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C1939820-A945-11D4-86F6-0001031E5712}\setup.exe" REMOVEALL iTunes --> MsiExec.exe /I{585776BC-4BD6-4BD2-A19A-1D6CB44A403B} J2SE Runtime Environment 5.0 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150020} J2SE Runtime Environment 5.0 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050} J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060} Java 2 Runtime Environment, SE v1.4.2_01 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142010} Java 2 Runtime Environment, SE v1.4.2_06 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142060} Java(TM) 6 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020} Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Java(TM) 6 Update 4 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040} Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} Java(TM) SE Runtime Environment 6 Update 1 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010} LiveReg (Symantec Corporation) --> C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\VcSetup.exe /REMOVE LiveUpdate 2.5 (Symantec Corporation) --> C:\Programme\Symantec\LiveUpdate\LSETUP.EXE /U Logitech Desktop Messenger --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}\setup.exe" -l0x7 UNINSTALL Logitech iTouch Software --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{036AA4D4-6D32-11D4-9875-00105ACE7734}\Setup.exe" -l0x7 UNINSTALL Logitech MouseWare 9.79 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5809E7CF-4DCF-11D4-9875-00105ACE7734}\setup.exe" -l0x7 -l0007 UNINSTALL Logitech Resource Center --> C:\PROGRA~1\Logitech\RESOUR~1\rem\UNWISE.EXE C:\PROGRA~1\Logitech\RESOUR~1\rem\INSTALL.LOG LONDON TAXI --> D:\XP-Spiele\LondonTaxi\uninstall.exe Macromedia Flash Player 8 --> C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe Macromedia Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log Malwarebytes' Anti-Malware --> "d:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Maple 10 --> "D:\Programme\Maple 10\Uninstall_Maple 10\Uninstall Maple 10.exe" MathType 5 --> "D:\Programme\MathType\Setup.exe" -R Microsoft ActiveSync 4.0 --> MsiExec.exe /I{B208806F-A231-4FA0-AB3F-5C1B8979223E} Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf Microsoft Flight Simulator 2000 --> "D:\Programme\Microsoft Games\FS2000\UNINSTAL.EXE" /runtemp /uninstall Microsoft Flight Simulator 2004 - Das Jahrhundert der Luftfahrt --> "D:\Programme\Microsoft Games\FS2004\UNINSTAL.EXE" /runtemp /addremove Microsoft Office 97, Professional Edition --> C:\Programme\Microsoft Office\Office\Setup\Acme.exe /w Off97Pro.STF Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7} Mozilla Firefox (2.0.0.14) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe Mozilla Thunderbird (2.0.0.14) --> C:\Programme\Mozilla Thunderbird\uninstall\helper.exe Navilog1 3.5.8 --> "C:\Programme\Navilog1\unins000.exe" Nero - Burning Rom --> MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0} NoCoZwo --> C:\WINDOWS\iun506.exe D:\Programme\NoCoZwo\irunin.ini OpenOffice.org 2.4 --> MsiExec.exe /I{46008F4B-A8C3-4282-ACE3-73821F860911} PhotoFiltre --> "D:\Programme\PhotoFiltre\Uninst.exe" Privoxy 3.0.6 --> "S:\Programme\Tor\Vidalia Bundle\Uninstall.exe" QuickTime --> MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD} RAW FILE CONVERTER LE --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D680C913-5955-469D-9D88-C1940F7506D6}\SETUP.EXE" -l0x7 RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 Realtek AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE Remove Vista Customization Pack v3 --> c:\windows\vcp_save\runme.bat Retrospect 6.5 --> MsiExec.exe /I{73B69C5C-87D6-471E-B695-0BD736C4B644} RollerCoaster Tycoon 3 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\Setup.exe" -l0x7 Samsung Mobile USB Modem Software --> C:\WINDOWS\system32\Samsung\SSM_Uninstall.exe Samsung PC Studio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -l0x7 -removeonly Samsung PC Studio 3 USB Driver Installer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -l0x7 -removeonly SDI Managaer --> D:\Programme\SDI Manager\uninstall.exe Security Update for CAPICOM (KB931906) --> MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A} Security Update for CAPICOM (KB931906) --> MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A} Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Software Tycoon - Der Spielemanager --> C:\WINDOWS\unin0407.exe -fd:\XP-Spiele\SoftwareTycoon\DeIsL1.isu -cd:\XP-Spiele\SoftwareTycoon\_ISREG32.DLL Space Station Manager 1.2.1 TRIAL --> "D:\Programme\Space Station Manager\unins000.exe" Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins001.exe" Spybot - Search & Destroy 1.5.2.20 --> "C:\WINDOWS\unins000.exe" SQLXML 3.0 SP3 --> MsiExec.exe /I{19ABFD8F-CB86-4965-9282-047FC27084F1} Steganos Safe Home 2007 --> D:\Programme\Steganos Safe Home\uninstall.exe Stellarium 0.7.1 --> "D:\Programme\Stellarium\unins000.exe" SWAT 4 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{8E1CCF20-9E12-4824-BD59-7AD9E0486DD8} uninstall TerraTec Home Cinema --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63B9BAB5-F36A-4A3B-9E5C-68A7F212BFB9}\setup.exe" -l0x7 Tor 0.1.2.16 --> "S:\Programme\Tor\Vidalia Bundle\Uninstall.exe" TVgenial 4.04 --> D:\Programme\TVgenial\Uninstall.exe Vidalia 0.0.13 --> "S:\Programme\Tor\Vidalia Bundle\Uninstall.exe" Viewpoint Media Player --> C:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u VTPlus32 für WinTV (German) --> C:\PROGRA~1\vtplus\UNVTplus.exe C:\PROGRA~1\vtplus\VTPlus.LOG WD Media Center Driver --> MsiExec.exe /X{3F70FB44-FD00-4ED2-9154-661AA9DB0B28} Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WingMan Software --> MsiExec.exe /X{435673AB-6821-416D-806A-E477DFA60A42} WinRAR --> C:\Programme\WinRAR\uninstall.exe WinZip --> "C:\Programme\WinZip\WINZIP32.EXE" /uninstall XP-Spiele Pacman Space --> D:\XP-Spiele\PacmanSpace\SXUNINST.EXE Zune Desktop Theme --> MsiExec.exe /X{7E20EFE6-E604-48C6-8B39-BA4742F2CDB4} -- Application Event Log ------------------------------------------------------- Event Record #/Type21325 / Error Event Submitted/Written: 06/09/2008 11:52:46 PM Event ID/Source: 11 / crypt32 Event Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Event Record #/Type21286 / Warning Event Submitted/Written: 06/08/2008 11:52:45 AM Event ID/Source: 63 / WinMgmt Event Description: Ein Anbieter, HiPerfCooker_v1, wurde im WMI-Namespace, Root\WMI, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden. Event Record #/Type21279 / Warning Event Submitted/Written: 06/07/2008 11:50:26 PM Event ID/Source: 4113 / Avira AntiVir Event Description: GEN/PwdZIPC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SpywareCleaner3.zip Event Record #/Type21277 / Warning Event Submitted/Written: 06/07/2008 07:01:51 PM Event ID/Source: 4113 / Avira AntiVir Event Description: GEN/PwdZIPC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SpywareCleaner3.zip Event Record #/Type21250 / Error Event Submitted/Written: 06/05/2008 10:13:06 PM Event ID/Source: 1000 / Application Error Event Description: Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.3156, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000. Das medienspezifische Ereignis für [explorer.exe!ws!] wird verarbeitet. -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type94540 / Error Event Submitted/Written: 06/09/2008 10:44:44 PM Event ID/Source: 7001 / Service Control Manager Event Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058 Event Record #/Type94516 / Error Event Submitted/Written: 06/09/2008 10:24:53 PM Event ID/Source: 7001 / Service Control Manager Event Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058 Event Record #/Type94492 / Error Event Submitted/Written: 06/09/2008 10:16:06 PM Event ID/Source: 7001 / Service Control Manager Event Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058 Event Record #/Type94487 / Error Event Submitted/Written: 06/09/2008 10:14:56 PM Event ID/Source: 10005 / DCOM Event Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Event Record #/Type94486 / Error Event Submitted/Written: 06/09/2008 10:14:17 PM Event ID/Source: 10005 / DCOM Event Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} -- End of Deckard's System Scanner: finished at 2008-06-09 23:56:04 ------------ Vermutlich kann ich mich frühestens morgen abend wieder einloggen... Viele Grüße Uwe |
10.06.2008, 08:29 | #8 | |
| Navipromo nicht vollständig entfernt? Hi, DU hattest/hast einen Backdoor auf dem Rechner! Achtung! c:\dokume~1\XBenutzerX\lokale~1\temp\jatmlano.sys Ist ein Backdoor (soll gelöscht sein!) Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BearShare Files to delete: c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.dat c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqymom_navps.dat c:\WINDOWS\Prefetch\SCUQYCMOM.EXE-174EF4CB.pf D:\Programme\BearShare\BearShare.exe c:\dokume~1\XBenutzerX\lokale~1\temp\jatmlano.sys Folders to delete: D:\Programme\BearShare 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O4 - HKCU\..\Run: [scuqycmom] c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe scuqycmom
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
10.06.2008, 08:51 | #9 |
| Navipromo nicht vollständig entfernt? Uff, irgendeine Idee, was der Backdoor so alles anrichten kann? Heute abend werde ich Deine ausführlichen Anweisungen ausführen, wenn ich wieder am befallenen PC sitze. Herzlichen Dank für die Unterstützung!! Uwe |
10.06.2008, 16:12 | #10 |
| Navipromo nicht vollständig entfernt? Hi, bitte daran denken, den Spybot komplett deaktivieren (Teatimer), da er sonst die Bereinigung verhindert. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
10.06.2008, 21:25 | #11 |
| Navipromo nicht vollständig entfernt? Hallo Chris, nach dem Start des PC war von dem Backdoor jatmlano.sys nichts zu sehen - weder im ursprünglichen Pfad noch sonstwo auf dem Rechner. Den Test mit VirusTotal konnte ich also nicht durchführen. Das, was Avenger finden konnte, wurde gelöscht. Hier das Protokoll: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe" deleted successfully. File "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.dat" deleted successfully. Error: file "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqymom_navps.dat" not found! Deletion of file "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqymom_navps.dat" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "c:\WINDOWS\Prefetch\SCUQYCMOM.EXE-174EF4CB.pf" deleted successfully. Error: could not open file "D:\Programme\BearShare\BearShare.exe" Deletion of file "D:\Programme\BearShare\BearShare.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: file "c:\dokume~1\XXX\lokale~1\temp\jatmlano.sys" not found! Deletion of file "c:\dokume~1\XXX\lokale~1\temp\jatmlano.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "D:\Programme\BearShare" not found! Deletion of folder "D:\Programme\BearShare" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BearShare" deleted successfully. Completed script processing. ******************* Finished! Terminate. Uwe |
10.06.2008, 22:04 | #12 |
| Navipromo nicht vollständig entfernt? Nochmal hallo, den Hijack-Fix der genannten Einträge habe ich durchgeführt. Außerdem habe ich noch einen zweiten Avenger-Durchlauf gestartet. Wegen eines Schreibfehlers konnte nämlich im ersten Durchgang die Datei scuqycmom_navps.dat nicht entfernt werden. Das habe ich jetzt nachgeholt. Hier das Protokoll: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\scuqycmom_navps.dat" deleted successfully. Completed script processing. ******************* Finished! Terminate. Herzlichen Dank für Deine professionelle Hilfe! Uwe |
11.06.2008, 06:28 | #13 |
| Navipromo nicht vollständig entfernt? Hi, xx ist immer noch als Treiber eingetragen, wir lasse den Eintrag von combofix löschen... Code:
ATTFilter Driver:: c:\dokume~1\XXX\lokale~1\temp\jatmlano.sys 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe. Damit wird Combofix neu gestartet und führt das Script aus 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Falls sich dann nichts neues eingeschlichen hat, sollte es das gewesen sein... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
11.06.2008, 08:54 | #14 |
| Navipromo nicht vollständig entfernt? Hi, beim Script ist mir ein Fehler unterlaufen, wir müssen den Treibereintrag löschen... (die Datei ist ja schon weg...) Daher: Code:
ATTFilter Driver:: jatmlano
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
16.06.2008, 19:26 | #15 |
| Navipromo nicht vollständig entfernt? Hallo Chris, war ein paar Tage unterwegs, konnte erst jetzt wieder an den Rechner.... Hier die Log-Datei: Code:
ATTFilter ComboFix 08-06-15.4 - XXX 2008-06-16 19:50:40.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.78 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\XXX\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\Cfx32.lic C:\WINDOWS\system32\cfx32.ocx C:\WINDOWS\system32\sysdm.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-05-16 bis 2008-06-16 )))))))))))))))))))))))))))))) . 2008-06-10 21:51 . 2008-04-14 17:58 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-10 21:51 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys 2008-06-09 23:50 . 2008-06-09 23:50 <DIR> d-------- C:\Deckard 2008-06-09 21:40 . 2004-02-19 16:10 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS 2008-06-09 21:40 . 2004-02-19 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-06-09 21:40 . 2004-02-19 15:59 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-06-09 21:40 . 2004-02-19 15:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-06-09 21:40 . 2008-06-16 19:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-06-09 21:40 . 2004-02-19 16:10 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-06-09 21:40 . 2004-02-19 16:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-06-09 21:40 . 2004-02-19 15:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-06-09 21:40 . 2004-02-19 16:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-06-09 21:40 . 2008-06-09 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-06-08 11:50 . 2008-06-08 11:50 <DIR> d-------- C:\WINDOWS\system32\de 2008-06-08 11:50 . 2008-06-08 11:50 <DIR> d-------- C:\WINDOWS\l2schemas 2008-06-08 11:13 . 2008-04-14 04:22 276,992 --------- C:\WINDOWS\system32\wmphoto.dll 2008-06-08 11:12 . 2008-04-14 04:22 712,704 --------- C:\WINDOWS\system32\windowscodecs.dll 2008-06-08 11:12 . 2008-04-14 04:22 346,112 --------- C:\WINDOWS\system32\windowscodecsext.dll 2008-06-08 11:12 . 2008-04-14 04:22 69,120 --------- C:\WINDOWS\system32\wlanapi.dll 2008-06-08 11:12 . 2008-04-14 04:22 53,248 --------- C:\WINDOWS\system32\tsgqec.dll 2008-06-08 11:12 . 2008-04-14 04:22 50,688 --------- C:\WINDOWS\system32\tspkg.dll 2008-06-08 11:10 . 2008-04-14 04:22 1,306,624 --------- C:\WINDOWS\system32\msxml6.dll 2008-06-08 11:10 . 2008-04-14 04:22 1,306,624 -----c--- C:\WINDOWS\system32\dllcache\msxml6.dll 2008-06-08 11:10 . 2008-04-14 04:22 397,312 --------- C:\WINDOWS\system32\mmcex.dll 2008-06-08 11:10 . 2008-04-14 04:22 184,320 --------- C:\WINDOWS\system32\microsoft.managementconsole.dll 2008-06-08 11:10 . 2008-04-14 04:22 155,136 --------- C:\WINDOWS\system32\mssha.dll 2008-06-08 11:10 . 2008-04-14 04:22 106,496 --------- C:\WINDOWS\system32\mmcfxcommon.dll 2008-06-08 11:10 . 2008-04-14 03:57 93,184 --------- C:\WINDOWS\system32\msxml6r.dll 2008-06-08 11:10 . 2008-04-14 03:57 93,184 -----c--- C:\WINDOWS\system32\dllcache\msxml6r.dll 2008-06-08 11:10 . 2008-04-14 03:56 81,408 --------- C:\WINDOWS\system32\msshavmsg.dll 2008-06-08 11:10 . 2008-04-14 04:22 33,792 --------- C:\WINDOWS\system32\mmcperf.exe 2008-06-08 11:08 . 2008-04-14 04:22 651,264 --------- C:\WINDOWS\system32\dot3ui.dll 2008-06-08 10:05 . 2008-06-16 19:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-06-08 10:05 . 2008-06-08 10:05 1,409 --a------ C:\WINDOWS\QTFont.for 2008-06-07 22:01 . 2008-06-07 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes 2008-06-07 22:01 . 2008-06-07 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-07 22:01 . 2008-06-05 16:04 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-07 22:01 . 2008-06-05 16:04 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-07 21:30 . 2008-06-08 14:21 <DIR> d-------- C:\Programme\Navilog1 2008-06-02 19:00 . 2008-06-02 19:01 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-06-01 19:58 . 2008-06-01 19:56 691,545 --a------ C:\WINDOWS\unins000.exe 2008-06-01 19:58 . 2008-06-01 19:58 2,548 --a------ C:\WINDOWS\unins000.dat 2008-05-25 15:03 . 2008-06-01 20:51 <DIR> d-------- C:\Programme\OpenOffice.org 2.4 2008-05-24 12:25 . 2008-05-24 12:25 <DIR> d-------- C:\Programme\iPod 2008-05-24 12:21 . 2008-05-24 12:23 <DIR> d-------- C:\Programme\QuickTime 2008-05-17 21:07 . 2008-05-17 21:25 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\U3 2008-05-16 20:52 . 2008-05-28 19:34 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-16 17:24 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\OpenOffice.org2 2008-06-12 17:18 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-06-08 10:38 --------- d-----w C:\Programme\Maxis 2008-06-07 16:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Borland Shared 2008-06-01 18:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-06-01 18:50 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-06-01 18:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-05-25 15:20 --------- d-----w C:\Programme\OpenOffice.org 2.3 2008-05-25 15:17 --------- d-----w C:\Programme\Java 2008-05-24 10:06 --------- d-----w C:\Programme\Apple Software Update 2008-05-12 21:27 --------- d-----w C:\Programme\FinePixViewer 2008-05-09 13:34 --------- d-----w C:\Programme\Real 2008-05-09 13:34 --------- d-----w C:\Programme\PhysProf 2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2008-05-04 19:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-04-14 05:53 11,264 ------w C:\WINDOWS\system32\spnpinst.exe 2008-04-14 05:52 989,696 ----a-w C:\WINDOWS\system32\setupapi.dll 2008-04-14 05:52 425,472 ----a-w C:\WINDOWS\system32\licdll.dll 2008-04-14 02:36 1,804 ----a-w C:\WINDOWS\system32\dcache.bin 2008-04-14 02:25 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe 2008-04-14 02:22 99,840 ----a-w C:\WINDOWS\system32\scardsvr.exe 2008-04-14 02:21 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll 2008-04-14 02:21 76,288 ----a-w C:\WINDOWS\system32\uniime.dll 2008-04-14 02:21 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll 2008-04-14 02:21 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll 2008-04-14 02:21 5,632 ----a-w C:\WINDOWS\system32\wmi.dll 2008-04-14 02:00 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-04-14 02:00 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe 2008-04-14 01:59 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll 2008-04-14 01:56 51,712 ----a-w C:\WINDOWS\system32\inetres.dll 2008-04-14 01:55 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll 2008-04-14 01:54 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll 2008-04-14 01:53 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys 2008-04-14 01:52 68,096 ----a-w C:\WINDOWS\system32\browselc.dll 2008-04-14 01:50 103,424 ----a-w C:\WINDOWS\system32\dpcdll.dll 2008-04-13 18:44 17,664 ----a-w C:\WINDOWS\system32\watchdog.sys 2008-04-13 18:40 438,784 ----a-w C:\WINDOWS\system32\xpob2res.dll 2008-04-13 18:36 2,981,888 ----a-w C:\WINDOWS\system32\xpsp2res.dll 2008-04-13 18:35 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll 2008-04-13 18:35 199,680 ----a-w C:\WINDOWS\system32\xpsp1res.dll 2008-04-13 18:31 7,424 ----a-w C:\WINDOWS\system32\kd1394.dll 2008-04-13 18:30 61,440 ----a-w C:\WINDOWS\system32\msvcrt40.dll 2008-04-13 17:37 208,384 ----a-w C:\WINDOWS\system32\rsaenh.dll 2008-04-13 17:37 138,752 ----a-w C:\WINDOWS\system32\dssenh.dll 2008-04-13 17:26 12,288 ----a-w C:\WINDOWS\system32\odbcp32r.dll 2008-04-13 17:26 12,288 ----a-w C:\WINDOWS\system32\mscpx32r.dll 2008-04-13 17:21 733,696 ----a-w C:\WINDOWS\system32\qedwipes.dll 2008-04-13 16:48 1,647,616 ----a-w C:\WINDOWS\system32\winbrand.dll 2008-04-13 16:45 216,064 ----a-w C:\WINDOWS\system32\moricons.dll 2008-04-13 16:23 48,128 ----a-w C:\WINDOWS\system32\msprivs.dll 2008-04-13 15:39 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360] "Start WingMan Profiler"="" [] "Spyware Cleaner"="C:\Programme\Spyware Cleaner\SpywareCleaner.exe" [ ] "H/PC Connection Agent"="D:\Programme\wcescomm.exe" [2005-11-15 21:14 1204224] "Vidalia"="S:\Programme\Tor\Vidalia Bundle\Vidalia\vidalia.exe" [ ] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2003-05-14 07:20 55296 C:\WINDOWS\SOUNDMAN.EXE] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-11-25 22:10 335872] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2002-09-12 19:13 1101824] "zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 10:33 892928] "Logitech Utility"="Logi_MwX.Exe" [2003-11-07 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-10-20 07:41 180269] "WD Button Manager"="WDBtnMgr.exe" [2005-11-08 22:28 331776 C:\WINDOWS\system32\WDBtnMgr.exe] "Seticons"="\Programme\WDC\SetIcon.exe" [2004-04-28 15:02 42496] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-04 17:50 262401] "REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 23:32 53248] "SAFEHOME HotKeys"="D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe" [2007-03-21 18:59 25088] "TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2006-08-25 07:53 1028096] "iconcache"="" [] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="D:\Programme\iTunes\iTunes7\iTunesHelper.exe" [2008-03-30 10:36 267048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360] C:\Dokumente und Einstellungen\XXX\Startmen\Programme\Autostart\ Microsoft-Indexerstellung.lnk - C:\Programme\Microsoft Office\Office\FINDFAST.EXE [1996-12-14 111376] Office-Start.lnk - C:\Programme\Microsoft Office\Office\OSA.EXE [1996-12-14 51984] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ AutoStart IR.lnk - C:\Programme\WinTV\Ir.exe [2007-02-19 14:24:53 106551] Exif Launcher.lnk - C:\Programme\FinePixViewer\QuickDCF.exe [2006-02-11 22:24:53 282624] iFinger.lnk - D:\Programme\iFinger\iFinger.exe [2006-02-06 18:47:12 912896] Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2004-04-20 20:36:38 169472] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\dpnsvr.exe"= "D:\\Programme\\Microsoft Games\\FS2004\\fs9.exe"= "D:\Programme\rapimgr.exe"= D:\Programme\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "D:\Programme\wcescomm.exe"= D:\Programme\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "D:\Programme\WCESMgr.exe"= D:\Programme\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "D:\\Programme\\Maple 10\\jre\\bin\\maple.exe"= "D:\\Programme\\Maple 10\\jre\\bin\\java.exe"= "D:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "D:\\Programme\\iTunes\\iTunes7\\iTunes.exe"= "C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"= "C:\\WINDOWS\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-05-04 17:50] R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\system32\DRIVERS\bsstor.sys [2002-06-06 01:07] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-05-04 17:50] R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];C:\WINDOWS\system32\drivers\Sleen15.sys [2007-02-21 14:33] R1 SSHDRV5C;SSHDRV5C;C:\WINDOWS\system32\drivers\SSHDRV5C.sys [2005-09-29 16:15] R2 BsUDF;InCD UDF Driver;C:\WINDOWS\system32\drivers\BsUDF.sys [2002-09-13 14:35] R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2002-11-22 18:57] R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;C:\WINDOWS\system32\drivers\HCWBT8XX.sys [2006-01-25 17:14] R3 USB28xxBGA;Cinergy EM28xx Capture;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-08-17 16:17] R3 USB28xxOEM;Cinergy EM28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-08-17 16:16] S3 jatmlano;jatmlano;C:\DOKUME~1\XXX\LOKALE~1\Temp\jatmlano.sys [] S3 rtl8180;Belkin 11Mbps Wireless Desktop Network Card Driver;C:\WINDOWS\system32\DRIVERS\Bel6001.sys [2003-07-10 11:06] S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 08:57] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{812c6cb2-2444-11dd-8f5d-000d61b00bf8}] \Shell\AutoRun\command - G:\LaunchU3.exe -a . Inhalt des "geplante Tasks" Ordners "2008-05-24 10:06:41 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2005-01-16 20:36:27 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2008-06-16 19:53:05 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2008-06-16 19:57:50 ComboFix-quarantined-files.txt 2008-06-16 17:57:33 13 Verzeichnis(se), 3,710,763,008 Bytes frei 15 Verzeichnis(se), 3,775,246,336 Bytes frei 220 --- E O F --- 2008-06-10 21:29:08 Uwe |
Themen zu Navipromo nicht vollständig entfernt? |
antivir, continue, einstellungen, entfernt?, exe-datei, explorer, frage, generic, handel, helper, infiziert., infizierte, internet, internet explorer, keine ahnung, löschen, malwarebytes, navipromo, nicht zu löschen, ordner, prefetch, problem, programme, prozesse, registrierungsschlüssel, registry, sekunden, software, trojaner, warning, werbefenster, windows, windows xp |