|
Plagegeister aller Art und deren Bekämpfung: Ungewollte Fenster öffnen sich; Int.-ExplorerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.07.2008, 11:32 | #1 |
| Ungewollte Fenster öffnen sich; Int.-Explorer Hallo, ich bin neu hier im Forum und habe folgendes Problem: Sobald ich mich Internet befinde öffnen sich seit kurzer Zeit ungewollte Fenster die irgend welche Art von Werbung enthalten. Gestern war eine teuschend echte Microsoft Windows Seite die auf Viren hinwies. Auch dies war aber nur Werbung. Ich habe keine Ahnung wo ich mir dies gengelt habe und geschweige denn wie ich diese lästigen Fenster wieder loswerde. Vielen Dank schon einmal jetzt. Ich hoffe der Anhang ist so OK. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:14:24, on 14.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\FreePDF\FreePDFA.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\dokumente und einstellungen\andy\lokale einstellungen\anwendungsdaten\uwekwcw.exe C:\WINDOWS\system32\CTSvcCDA.EXE C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\system32\svchost.exe c:\programme\antivir personaledition classic\avcenter.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MA18HW1F\HiJackThis[1].exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.thiel-heizoel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66" O4 - HKLM\..\Run: [2pt60206] C:\WINDOWS\system32\2pt60206.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKCU\..\Run: [uwekwcw] c:\dokumente und einstellungen\andy\lokale einstellungen\anwendungsdaten\uwekwcw.exe uwekwcw O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoCAD LT-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.15\AMVConverter\grab.html O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.15\MediaManager\grab.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- End of file - 8822 bytes Vielen Dank. Ich hoffe auf Hilfe Gruß Andy |
14.07.2008, 17:28 | #2 |
| Ungewollte Fenster öffnen sich; Int.-Explorer Hallo und
__________________lass bitte diese Dateien C:\WINDOWS\system32\2pt60206.exe c:\dokumente und einstellungen\andy\lokale einstellungen\anwendungsdaten\uwekwcw.exe hier Virustotal, hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Deaktiviere bitte vorübergehend den Hintergrundwächter (Guard) deines Antivirenprogramms. Dann lade dir bitte Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Das ist ein Fehlalarm und kann ignoriert werden. MFG
__________________ |
15.07.2008, 22:41 | #3 |
| Ungewollte Fenster öffnen sich; Int.-Explorer Hallo Nochdigger,
__________________danke für Deine Antwort. Ich habe versucht so gut es geht die Anleitung von Dir auszuführen. Die erste Datei konnte ich aber nicht finden. Ich Du kommst damit weiter und kannst mir helfen. Danke schon einmal vorab. Gruss Dechniker Datei: uwekwcw.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - Bit9 rapportiert: {BIT9_THREAT} A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Heur.W32 gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Keine Viren gefunden Dr.Web Trojan.Packed.562 gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Ikarus Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Sophos Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Updated on 27.06.2008 at 23h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Search done in normal mode *** Searching for installed Software *** Favorit *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Andy\anwend~1" *** *** Search folders in "C:\DOKUME~1\Andi\anwend~1" *** *** Search folders in "C:\DOKUME~1\ANNA-M~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\ELISAB~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\Simone\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\Andi\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\Simone\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Andy\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\Andi\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\ANNA-M~1\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\ELISAB~1\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\Simone\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net No file found *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" * Suspicious Files : uwekwcw.exe found ! uwekwcw.dat found ! uwekwcw_nav.dat found ! uwekwcw_navps.dat found ! * Scan in "C:\DOKUME~1\Andi\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\Simone\lokale~1\anwend~1" * *** Search files *** C:\WINDOWS\system32\nvs2.inf found ! *** Search specific Registry keys *** HKEY_CURRENT_USER\Software\Lanconfig found ! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" : uwekwcw.dat found ! uwekwcw_nav.dat found ! uwekwcw_navps.dat found ! * In "C:\DOKUME~1\Andi\lokale~1\anwend~1" : * In "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" : * In "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" : * In "C:\DOKUME~1\Simone\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate found ! Electronic-Group certificate found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 15.07.2008 at 23:35:52,23 *** |
16.07.2008, 04:27 | #4 |
| Ungewollte Fenster öffnen sich; Int.-Explorer Moin lass bitte Navilog mit der Option 2 laufen
Anschließend lass bitte Malwarebytes dein System bereinigen, lass alles löschen was gefunden wird. Poste bitte die Logs von Antimalware, Navilog sowie ein frisches HijackThis Log. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
16.07.2008, 20:13 | #5 |
| Ungewollte Fenster öffnen sich; Int.-Explorer Hallo, wieder einmal vielen Dank für die bisherige Hilfe. Hier die angeforderten Berichte: 1) Navilog Navipromo Removal version 3.6.0 started on 16.07.2008 at 20:50:16,03 Fix running from C:\Programme\navilog1 Actual User Account : "Andy" Updated on 27.06.2008 at 23h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Automatic removal with Catchme and GNS results Cleanning stage done on Reboot *** fsbl1.txt not found *** (Check that Catchme found nothing in Search Mode) *** Deleting with Backups GenericNaviSearch results *** * Deletion in "C:\WINDOWS\System32" * * Deletion in "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" * Other Deletions : uwekwcw.exe found ! Copy uwekwcw.exe done ! uwekwcw.exe deleted ! uwekwcw.dat found ! Copy uwekwcw.dat done ! uwekwcw.dat deleted ! uwekwcw_nav.dat found ! Copy uwekwcw_nav.dat done ! uwekwcw_nav.dat deleted ! uwekwcw_navps.dat found ! Copy uwekwcw_navps.dat done ! uwekwcw_navps.dat deleted ! * Deletion in "C:\DOKUME~1\Andi\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\Simone\lokale~1\anwend~1" * *** Deleting folders in "C:\WINDOWS" *** *** Deleting folders in "C:\Programme" *** *** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Andy\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\Andi\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ANNA-M~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ELISAB~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\Simone\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\Andi\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\Simone\lokale~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Andy\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\Andi\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\ANNA-M~1\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\ELISAB~1\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\Simone\startm~1\progra~1" *** *** Deleting files *** C:\WINDOWS\system32\nvs2.inf deleted ! *** Deleting temporary files *** Cleaning of C:\WINDOWS\Temp done ! Cleaning of C:\Dokumente und Einstellungen\Andy\lokale~1\Temp done ! *** Complementary Search *** (Search specific files) 1)Deletion with backups new Instant Access files: 2)Heuristic search and deletion with backups : * In "C:\WINDOWS\system32" * * In "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" * * In "C:\DOKUME~1\Andi\lokale~1\anwend~1" * * In "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" * * In "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" * * In "C:\DOKUME~1\Simone\lokale~1\anwend~1" * *** Copy Registry to Safebackup folder *** Backing up Registry done ! *** Cleaning Registry *** Registry cleaned *** Certificates *** Egroup Certificate deleted ! Electronic-Group Certificate deleted ! OOO-Favorit Certificate deleted ! Sunny-Day-Design-Ltd Certificate not found ! *** Cleaning stage complete on 16.07.2008 at 20:53:25,76 *** 2) Malwarebytes' Malwarebytes' Anti-Malware 1.20 Datenbank Version: 960 Windows 5.1.2600 Service Pack 2 21:05:17 16.07.2008 mbam-log-7-16-2008 (21-04-48).txt Scan Art: Schnell Scan Objekte gescannt: 48679 Scan Dauer: 5 minute(s), 34 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 11 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7e66936c-fea0-4984-ad26-7b6661ac5b2e} (Adware.Hotbar) -> No action taken. HKEY_CLASSES_ROOT\Interface\{175816a5-219e-4079-b2f9-53c501c409ba} (Adware.Hotbar) -> No action taken. HKEY_CLASSES_ROOT\Interface\{1c1793e0-1034-4cac-837d-aa545f6961bf} (Adware.Hotbar) -> No action taken. HKEY_CLASSES_ROOT\Interface\{5d16197a-1eaa-45af-b29a-69f1aa055e87} (Adware.Hotbar) -> No action taken. HKEY_CLASSES_ROOT\Interface\{8a61a950-c325-4f44-ba64-273180ff3464} (Adware.Hotbar) -> No action taken. HKEY_CLASSES_ROOT\Interface\{b53d4cd4-406d-43cc-8244-7893d72236dd} (Adware.Hotbar) -> No action taken. HKEY_CLASSES_ROOT\Interface\{b671426c-5c1a-48ac-9652-bc9402b1c404} (Adware.Hotbar) -> No action taken. HKEY_CLASSES_ROOT\Interface\{b9bb3219-f84c-4060-966b-4a1e73e24226} (Adware.Hotbar) -> No action taken. HKEY_CLASSES_ROOT\Interface\{f786cb18-3809-4e49-bc99-9a66da47db8b} (Adware.Hotbar) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{71efe583-62fe-4419-9918-ca3b683f7b36} (Adware.Hotbar) -> No action taken. HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> No action taken. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\ide21201.vxd (Adware.Winad) -> No action taken. C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temp\cd1D.tmp (Heuristics.Malware) -> No action taken. C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temp\cd1D.tmp.exe (Heuristics.Malware) -> No action take 3)Hijackthis Log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:06:48, on 16.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTSvcCDA.EXE C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\NOTEPAD.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\FreePDF\FreePDFA.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MA18HW1F\HiJackThis[1].exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.thiel-heizoel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66" O4 - HKLM\..\Run: [2pt60206] C:\WINDOWS\system32\2pt60206.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoCAD LT-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.15\AMVConverter\grab.html O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.15\MediaManager\grab.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- End of file - 8561 bytes Vielen Dank, Wie geht es weiter? Sollte hiermit alles erledigt sein? Gruß Dechniker |
16.07.2008, 20:52 | #6 | |
| Ungewollte Fenster öffnen sich; Int.-Explorer Hallo hast du alles gefundene mit Malwarebytes löschen lassen? Lade dir bitte Avenger herunter Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete: C:\WINDOWS\system32\2pt60206.exe 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Zitat:
Erstelle bitte eine Übersicht mit der Filelist Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp MFG
__________________ --> Ungewollte Fenster öffnen sich; Int.-Explorer |
20.07.2008, 20:48 | #7 |
| Ungewollte Fenster öffnen sich; Int.-Explorer Hallo, vielen Dank für die Rückmeldung, Ich muss schon sagen. Ich schlacker nur noch mit den Ohren. Ich kann bei alle dem was ich hier mache schon lange nicht mehr folgen. Es beeindruckt mich aber, dass es Experten gibt die sich hier auskennen. Vielleicht kannst Du mir beim nächsten mal kurze Info geben, was wir hier gemacht haben. Vielen Dank auf jeden Fall. Gruss Dechniker hier das Ergebniss von Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\2pt60206.exe" not found! Deletion of file "C:\WINDOWS\system32\2pt60206.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Verzeichnis von C:\ 20.07.2008 21:32 502.849.536 hiberfil.sys 20.07.2008 21:32 754.974.720 pagefile.sys 20.07.2008 21:32 1.304 avenger.txt 16.07.2008 20:53 3.631 cleannavi.txt 15.07.2008 23:35 3.554 fixnavi.txt 04.06.2008 18:12 4.652 ffastun.ffa 04.06.2008 18:12 319.488 ffastun.ffo 04.06.2008 18:12 1.482.752 ffastun.ffl 04.06.2008 18:12 3.403.776 ffastun0.ffx Verzeichnis von C:\WINDOWS\system32 20.07.2008 21:33 13.646 wpa.dbl 04.06.2008 18:12 20.740 FFASTLOG.TXT 30.05.2008 01:35 17.486.968 MRT.exe 07.05.2008 07:14 1.293.312 quartz.dll 23.04.2008 22:16 3.591.680 mshtml.dll 23.04.2008 06:16 233.472 webcheck.dll 23.04.2008 06:16 826.368 wininet.dll Verzeichnis von C:\WINDOWS\Prefetch 20.07.2008 21:35 11.232 FIND.EXE-0EC32F1E.pf 20.07.2008 21:35 11.952 CMD.EXE-087B4001.pf 20.07.2008 21:35 16.652 VERCLSID.EXE-3667BD89.pf 20.07.2008 21:34 24.642 WUAUCLT.EXE-399A8E72.pf 20.07.2008 21:34 30.558 AVWSC.EXE-2F6C3C95.pf 20.07.2008 21:34 80.176 SVCHOST.EXE-3530F672.pf 20.07.2008 21:34 1.171.184 NTOSBOOT-B00DFAAD.pf 20.07.2008 21:29 14.446 AVENGER.EXE-01AAD49F.pf 20.07.2008 21:28 51.800 JUCHECK.EXE-0645AA51.pf 20.07.2008 21:28 8.992 JAVA.EXE-0967259C.pf 20.07.2008 21:27 33.242 SCHED.EXE-236A886F.pf 20.07.2008 21:27 36.720 AVGNT.EXE-36CA4640.pf 20.07.2008 21:27 22.206 REGSVR32.EXE-25EEFE2F.pf 20.07.2008 21:27 50.002 AVGUARD.EXE-3490B18B.pf 20.07.2008 21:27 105.892 UPDATE.EXE-13D57D76.pf 20.07.2008 21:27 51.698 UPDATE.EXE-34D6E0CD.pf 20.07.2008 21:24 55.316 AVNOTIFY.EXE-22AE9451.pf 20.07.2008 10:19 52.518 LOGONUI.EXE-0AF22957.pf 20.07.2008 10:16 18.096 E_S10RN2.EXE-38983110.pf 20.07.2008 10:16 17.302 E_S10MT2.EXE-0E680929.pf 20.07.2008 10:16 43.092 E_DPPE03.EXE-14897805.pf 20.07.2008 10:14 64.062 ACRORD32.EXE-153330F0.pf 20.07.2008 10:13 81.222 IEXPLORE.EXE-2CA9778D.pf 20.07.2008 10:13 20.936 BWS.EXE-06F0B641.pf 20.07.2008 10:13 19.906 BCLIENT.DLL-1EDBBF2C.pf 20.07.2008 00:39 62.344 ACRORD32INFO.EXE-19D979CC.pf 20.07.2008 00:33 38.920 WINWORD.EXE-0AEA99D4.pf 20.07.2008 00:31 18.454 FSCAPTURE.EXE-0A1C6927.pf 20.07.2008 00:28 70.170 PDFCREATOR.EXE-372C0D54.pf 20.07.2008 00:28 30.382 PDFSPO~1.EXE-311A8C48.pf 20.07.2008 00:27 12.174 RUNDLL32.EXE-268BFF96.pf 20.07.2008 00:00 64.956 EXPLORER.EXE-082F38A9.pf 19.07.2008 23:59 7.508 LOGON.SCR-151EFAEA.pf 19.07.2008 23:58 28.500 RUNDLL32.EXE-17BD4855.pf 19.07.2008 23:55 74.920 ACSTART16.EXE-0687143C.pf 19.07.2008 23:55 28.074 WINSTART.EXE-0965B79A.pf 19.07.2008 23:54 26.448 REALPLAY.EXE-39F79CBD.pf 19.07.2008 23:54 16.554 TFSWCTRL.EXE-360FB39A.pf 19.07.2008 23:54 17.748 NVMIXERTRAY.EXE-1AD37042.pf 19.07.2008 23:54 8.820 E_S4I0S2.EXE-33C7D25E.pf 19.07.2008 23:54 9.672 QTTASK.EXE-2D7EEF34.pf 19.07.2008 23:54 63.674 WMIPRVSE.EXE-28F301A9.pf 19.07.2008 23:54 69.848 USERINIT.EXE-30B18140.pf 19.07.2008 23:54 25.860 RUNDLL32.EXE-1340EF7F.pf 19.07.2008 23:54 48.994 WGATRAY.EXE-0ED38BED.pf 19.07.2008 23:54 6.728 NEROCHECK.EXE-092C6DFA.pf 19.07.2008 23:51 484.700 Layout.ini 19.07.2008 21:19 21.816 PPTVIEW.EXE-11A5695A.pf 19.07.2008 15:46 272.014 HELPSVC.EXE-2878DDA2.pf 19.07.2008 15:43 69.082 DFRGNTFS.EXE-269967DF.pf 19.07.2008 15:42 17.642 DEFRAG.EXE-273F131E.pf 16.07.2008 21:11 15.798 NOTEPAD.EXE-336351A9.pf 16.07.2008 21:06 22.596 HIJACKTHIS[1].EXE-20FF1AAC.pf 16.07.2008 21:05 13.116 REGEDIT.EXE-1B606482.pf 16.07.2008 20:57 37.532 MBAM.EXE-11D8BBD8.pf 16.07.2008 20:56 17.872 MBAM-SETUP[1].TMP-21F65322.pf 16.07.2008 20:56 14.754 MBAM-SETUP[1].EXE-07B7E42A.pf 16.07.2008 20:53 26.878 MSMSGS.EXE-32066BA5.pf 16.07.2008 20:53 14.778 FREEPDFA.EXE-248EE6AA.pf 16.07.2008 20:53 13.760 NOTEPAD.EXE-189578DA.pf 16.07.2008 20:53 3.156 GNC.EXE-0A17326C.pf 16.07.2008 20:53 3.156 GNC.EXE-166794FD.pf 16.07.2008 20:53 3.152 GNC.EXE-06AA08F3.pf 16.07.2008 20:53 3.148 GNC.EXE-2CB72EBB.pf 16.07.2008 20:53 4.726 GNC.EXE-08560DC4.pf 16.07.2008 20:53 15.380 ALG.EXE-0F138680.pf 16.07.2008 20:53 67.012 GNC.EXE-298006C5.pf 16.07.2008 20:53 10.706 REG.EXE-0D2A95F7.pf 16.07.2008 20:53 94.304 FINDSTR.EXE-0CA6274B.pf 16.07.2008 20:53 4.218 OEM2ANSI.EXE-04B221CA.pf 16.07.2008 20:51 11.152 SHUTDOWN.EXE-12DAD820.pf 16.07.2008 20:50 16.654 CHKNTFS.EXE-31921D64.pf 16.07.2008 20:50 6.728 GETPATHS.EXE-10B311CA.pf 16.07.2008 20:49 15.228 IS-LTR14.TMP-378D7D91.pf 16.07.2008 20:49 17.702 NAVILOG1[1].EXE-022DC2A0.pf 16.07.2008 20:46 46.248 AVCENTER.EXE-37584419.pf 16.07.2008 20:46 14.548 PREUPD.EXE-358AA1C1.pf 15.07.2008 23:35 11.188 SORT.EXE-194AE83C.pf 15.07.2008 23:35 11.092 ATTRIB.EXE-39EAFB02.pf 15.07.2008 23:35 10.846 CATCHME.EXE-0B06868A.pf 15.07.2008 23:26 14.128 IS-T2U1I.TMP-20EDB4A0.pf 13.07.2008 22:55 18.514 DRWTSN32.EXE-2B4B52AC.pf 13.07.2008 22:55 49.506 DWWIN.EXE-30875ADC.pf 13.07.2008 22:55 42.756 IEDW.EXE-2D047874.pf 13.07.2008 18:47 34.000 EXCEL.EXE-0D2E9C6C.pf 13.07.2008 18:31 68.890 TASKMGR.EXE-20256C55.pf 13.07.2008 18:22 26.870 FLASHUTIL9B.EXE-2D0B142A.pf 13.07.2008 18:22 22.834 ADOBEUPDATER.EXE-370FC314.pf 13.07.2008 14:21 15.760 _IU14D2N.TMP-10ABD50F.pf 13.07.2008 14:21 29.752 UNINS000.EXE-27BD0516.pf 13.07.2008 14:18 64.346 AU_.EXE-301454F1.pf 13.07.2008 14:18 23.792 UNINST.EXE-09058D08.pf 13.07.2008 14:12 43.742 GUARDGUI.EXE-1BD45C30.pf 13.07.2008 14:12 27.204 RUNDLL32.EXE-13404D23.pf 13.07.2008 14:03 47.200 AVSCAN.EXE-05AECC0E.pf 13.07.2008 13:01 36.290 SPYWARE-SECURE_TRIAL.EXE-1E8D003F.pf 13.07.2008 13:00 14.504 SPYWARESECURE_TRIAL_SETUP[1].-33FD1D1E.pf 12.07.2008 16:17 17.774 RUNDLL32.EXE-12E27DD0.pf 27.06.2008 22:18 18.194 ACLAUNCHER.EXE-022B14D6.pf 27.06.2008 22:16 12.162 RUNDLL32.EXE-451FC2C0.pf 27.06.2008 22:15 48.490 ADSKCLEANUP.0001-171B225A.pf 27.06.2008 22:12 26.022 OQQWASA.EXE-231EAFFE.pf 27.06.2008 22:11 19.726 DUMPREP.EXE-1B46F901.pf 27.06.2008 21:08 14.186 SETUP.EXE-393E66AE.pf 27.06.2008 20:29 34.368 WINHLP32.EXE-2C18E975.pf 27.06.2008 20:25 72.474 COMPONENTLAUNCHER.EXE-2010721B.pf 27.06.2008 20:16 36.174 MAPSOURCE.EXE-2660B940.pf 27.06.2008 20:14 15.578 RUNDLL32.EXE-1E56DF28.pf 27.06.2008 20:12 24.556 UNLOCKWIZARD.EXE-048C510B.pf 27.06.2008 19:34 28.408 MSIEXEC.EXE-2F8A8CAE.pf 27.06.2008 19:02 51.274 NTVDM.EXE-1A10A423.pf 27.06.2008 10:11 28.358 CSC.EXE-01730C27.pf 27.06.2008 10:11 9.166 CVTRES.EXE-2329DCD5.pf 27.06.2008 10:10 5.534 ADSKSCSRV.EXE-162256D2.pf 27.06.2008 10:09 63.266 ACAD.EXE-076CD3F5.pf 26.06.2008 23:11 16.376 RUNDLL32.EXE-35045D5F.pf 26.06.2008 22:27 29.370 BPP5.EXE-08B22113.pf 25.06.2008 22:11 35.392 THLRDKHU.EXE-2F41313D.pf 25.06.2008 22:11 32.054 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf 25.06.2008 22:11 5.854 APDPROXY.EXE-0BCD8D9C.pf 25.06.2008 14:19 71.036 MSIMN.EXE-0B61806C.pf 25.06.2008 13:23 39.854 CRAZYCRASHRACING.EXE-173DFCC4.pf 25.06.2008 13:23 79.154 UPDATE.EXE-2B393FC9.pf 14.06.2008 13:09 20.866 I_VIEW32.EXE-0B6C3BA4.pf Verzeichnis von C:\WINDOWS 20.07.2008 21:34 1.374.385 WindowsUpdate.log 20.07.2008 21:33 50 wiaservc.log 20.07.2008 21:33 159 wiadebug.log 20.07.2008 21:33 0 0.log 20.07.2008 21:32 2.048 bootstat.dat 20.07.2008 21:31 32.634 SchedLgU.Txt 27.06.2008 20:15 1.015.314 setupapi.log 25.06.2008 13:24 160.902 iis6.log 25.06.2008 13:24 341.853 comsetup.log 25.06.2008 13:24 207.880 ntdtcsetup.log 25.06.2008 13:24 1.374 imsins.log 25.06.2008 13:24 55.605 ocmsn.log 25.06.2008 13:24 388.125 tsoc.log 25.06.2008 13:24 8.132 KB951376-v2.log 25.06.2008 13:24 484.161 ocgen.log 25.06.2008 13:24 50.620 msgsocm.log 25.06.2008 13:24 1.006.947 FaxSetup.log 13.06.2008 00:23 1.374 imsins.BAK 13.06.2008 00:23 17.815 KB950759-IE7.log 13.06.2008 00:23 110.943 updspapi.log 13.06.2008 00:21 11.782 KB951698.log 13.06.2008 00:21 8.107 KB950762.log 13.06.2008 00:21 6.326 KB950760.log 13.06.2008 00:21 7.730 KB951376.log 07.06.2008 16:47 49 NeroDigital.ini 04.06.2008 18:47 12.862 EPISMG00.SWB 27.05.2008 22:56 10.383 KB932823-v3.log 14.05.2008 10:58 13.593 KB950749.log 12.04.2008 10:51 14.314 KB948881.log Verzeichnis von C:\WINDOWS\tasks 20.07.2008 21:32 6 SA.DAT 04.08.2004 14:00 65 desktop.ini Verzeichnis von C:\WINDOWS\temp 20.07.2008 21:33 409 WGANotify.settings 20.07.2008 21:33 255 WGAErrLog.txt 20.07.2008 10:19 64 DSPF.tmp 20.07.2008 10:16 39.376 DSP13.tmp 20.07.2008 10:16 304.060 DSP12.tmp Verzeichnis von C:\DOKUME~1\Andy\LOKALE~1\Temp 20.07.2008 21:35 134.213 filelist.txt 20.07.2008 21:33 16.384 ~DF718F.tmp 20.07.2008 21:28 2.387 jusched.log 20.07.2008 21:22 16.384 ~DFD0FD.tmp 20.07.2008 10:11 16.384 ~DFB810.tmp 20.07.2008 00:02 16.384 ~DFBD7A.tmp 19.07.2008 23:54 16.384 ~DF1281.tmp 19.07.2008 20:56 16.384 ~DFD184.tmp 19.07.2008 15:07 16.384 ~DFA9BC.tmp 16.07.2008 20:53 16.384 ~DF3FEA.tmp 27.12.2007 21:32 19.456 ~WRL3469.tmp 24.05.2006 19:10 455.600 _is20C.exe |
20.07.2008, 22:16 | #8 |
| Ungewollte Fenster öffnen sich; Int.-Explorer Hallo wende bitte nun den CCleaner an. Lade dir Blacklight und scanne dein System ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe poste anschließend das Log. Lass dein System online prüfen z.B. hier Free Virus Scan - Kaspersky Lab BitDefender Online Scanner - Free Online Virus Scan berichte bitte ob Funde gemacht wurden und wie sich dein System verhält. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
21.07.2008, 22:03 | #9 |
| Ungewollte Fenster öffnen sich; Int.-Explorer Hallo, hier die aktuellen Logs: Bei Blacklight : No hidden items found! Kaspersky:. ------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7 REPORT Monday, July 21, 2008 Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600) Kaspersky Online Scanner 7 version: 7.0.25.0 Program database last update: Monday, July 21, 2008 16:39:56 Records in database: 981105 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: A:\ C:\ D:\ E:\ F:\ Scan statistics: Files scanned: 70499 Threat name: 6 Infected objects: 6 Suspicious objects: 0 Duration of the scan: 01:17:54 File name / Threat name / Threats count C:\Programme\Navilog1\reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f 1 C:\temp\MediaGateway.exe Infected: not-a-virus:AdWare.Win32.WinAD.bj 1 C:\WINDOWS\NDNuninstall6_90.exe Infected: not-a-virus:AdWare.Win32.NewDotNet.e 1 C:\WINDOWS\system32\45707aef.ini Infected: not-a-virus:AdWare.Win32.Sahat.ao 1 C:\WINDOWS\system32\7tribpk2.dll Infected: not-a-virus:AdWare.Win32.Sahat.be 1 C:\WINDOWS\system32\joele29_WinAdCtlInstPack.exe Infected: not-a-virus:AdWare.Win32.WinAD.b 1 The selected area was scanned. Soweit ich das beurteilen kann läuft das System ganz normal. Vielen Dank Gruss Dechniker |
Themen zu Ungewollte Fenster öffnen sich; Int.-Explorer |
adobe, antivir, avg, avira, bho, content.ie5, downloader, drivers, einstellungen, explorer, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, keine ahnung, mp3, photoshop, problem, rundll, software, system, unknown file in winsock lsp, usb, viren, werbung, windows, windows xp |