|
Plagegeister aller Art und deren Bekämpfung: Help Trojaner! yayxuvSM.dll - TR/Monderb.322304.1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.07.2008, 11:49 | #1 |
| Help Trojaner! yayxuvSM.dll - TR/Monderb.322304.1 Hallo Leute! Hab wie andere auch das "Monderb" Problem AntiVIR meldet bei mir: ...system32\yayxuvSM.dll TR/Monderb.322304.1 Habe ihn mir mit einem NO-CD Crack eingefangen (ich weiss mein Fehler, dachte ich hätte alles unter Kontrolle ^^ ) hatte zuerst gröbere Probleme, unter "Start" zeigte es mir keine Programme mehr an und in der Task Leiste stand Virus Alert, dies habe ich mit SmitFraudFix bereinigen können. Dachte alles wäre in Ordnung doch Heute kam eben diese Monderb meldung. Meine HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 20:51:00, on 14.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gigabyte\Gigabyte GN-WPKG Wireless PCI Adapter SoftAP\Installer\WINXP\RaConfig2500.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Dokumente und Einstellungen\Keuffer\Desktop\HijackThis.exe O2 - BHO: (no name) - {0D94FB9D-4F4D-4349-9679-DC52AA857238} - C:\WINDOWS\system32\yayxuvSM.dll O2 - BHO: (no name) - {106827D3-2E72-401A-B9E2-849A518128DA} - (no file) O2 - BHO: (no name) - {1B44E59C-165C-4EE2-B3CD-4DFD348BE123} - C:\WINDOWS\system32\jkkHAsPg.dll O2 - BHO: {0641e4af-cf7a-5cf8-0ce4-32cb81857a32} - {23a75818-bc23-4ec0-8fc5-a7fcfa4e1460} - C:\WINDOWS\system32\tofaub.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe " O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [c8b9a077] rundll32.exe "C:\WINDOWS\system32\spqtwowm.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: GN-WPKG Utility.lnk = C:\Programme\Gigabyte\Gigabyte GN-WPKG Wireless PCI Adapter SoftAP\Installer\WINXP\RaConfig2500.exe O4 - Global Startup: Sta-Ap.lnk = C:\Programme\Gigabyte\Gigabyte GN-WPKG Wireless PCI Adapter SoftAP\Installer\WINXP\RaConfig2500.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://80.25.119.24/activex/AMC.cab O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://marinacam1.cortn.org/activex/AMC.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: jkkHAsPg - C:\WINDOWS\SYSTEM32\jkkHAsPg.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe oke braucht ihr sonst noch Infos? Vielen Dank schon mal! Greef |
15.07.2008, 15:20 | #2 |
Administrator > Competence Manager | Help Trojaner! yayxuvSM.dll - TR/Monderb.322304.1 Hallo Greef und
__________________Malwarebytes' Anti-Malware
ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ |
18.07.2008, 00:49 | #3 |
| Help Trojaner! yayxuvSM.dll - TR/Monderb.322304.1 Malwarebytes' Anti-Malware 1.20
__________________Datenbank Version: 962 Windows 5.1.2600 Service Pack 2 01:48:22 18.07.2008 mbam-log-7-18-2008 (01-48-22).txt Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 105849 Scan Dauer: 27 minute(s), 49 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 2 Infizierte Registrierungsschlüssel: 16 Infizierte Registrierungswerte: 2 Infizierte Datei Objekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 14 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\WINDOWS\system32\yayxuvSM.dll (Trojan.Vundo) -> Unloaded module successfully. C:\WINDOWS\system32\jkkHAsPg.dll (Trojan.Vundo) -> Unloaded module successfully. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3d6c868e-672f-44d1-bcc6-e3e7f4cb3066} (Trojan.Vundo) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{3d6c868e-672f-44d1-bcc6-e3e7f4cb3066} (Trojan.Vundo) -> Delete on reboot. HKEY_CLASSES_ROOT\Interface\{a0696d00-805a-477b-837f-b562ad2d3958} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d433f624-1206-47da-b9cc-d8b4ae966441} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{2350cb91-b3d4-4eba-88b0-7a7835faf248} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{c8af0809-c652-446a-94fa-6d1f3d195d2f} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{dd6da1dd-c8cf-470c-910e-498b13d90c6d} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{1b44e59c-165c-4ee2-b3cd-4dfd348be123} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1b44e59c-165c-4ee2-b3cd-4dfd348be123} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhaspg (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\sqvgnrpx.bvdb (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\sqvgnrpx.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\c8b9a077 (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1b44e59c-165c-4ee2-b3cd-4dfd348be123} (Trojan.Vundo) -> Delete on reboot. Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\yayxuvsm -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\yayxuvsm -> Delete on reboot. Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\yayxuvSM.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\MSvuxyay.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\MSvuxyay.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\kneblcdu.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\udclbenk.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lhsaepnd.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\dnpeashl.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\spqtwowm.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mwowtqps.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\eqex.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jkkHAsPg.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\khfFWmnL.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\gpefaowr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Keuffer\results.txt (Malware.Trace) -> Quarantined and deleted successfully. |
18.07.2008, 01:21 | #4 |
| Help Trojaner! yayxuvSM.dll - TR/Monderb.322304.1 so hier noch die ComboFix. habe nun soviel ich weis alle Punkte durchgeführt! Schon mal vielen dank! ComboFix 08-07-15.4 - Keuffer 2008-07-18 2:12:24.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1550 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Keuffer\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\Downloaded Program Files\setup.inf C:\WINDOWS\system32\bgeyyu.dll C:\WINDOWS\system32\gcfyvcjy.dll C:\WINDOWS\system32\gharuw.dll C:\WINDOWS\system32\jkkHAsPg.dll C:\WINDOWS\system32\lksixeby.ini C:\WINDOWS\system32\mkrpwfet.dll C:\WINDOWS\system32\MSvuxyay.ini C:\WINDOWS\system32\MSvuxyay.ini2 C:\WINDOWS\system32\oonanncp.dll C:\WINDOWS\system32\tofaub.dll C:\WINDOWS\system32\yayxuvSM.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-06-18 bis 2008-07-18 )))))))))))))))))))))))))))))) . 2008-07-18 01:59 . 2008-07-18 01:59 <DIR> d-------- C:\Programme\CCleaner 2008-07-18 01:17 . 2008-07-18 01:17 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-18 01:17 . 2008-07-18 01:17 <DIR> d-------- C:\Dokumente und Einstellungen\Keuffer\Anwendungsdaten\Malwarebytes 2008-07-18 01:17 . 2008-07-18 01:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-18 01:17 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-18 01:17 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-18 01:11 . 2008-07-18 01:11 135 --a------ C:\WINDOWS\wininit.ini 2008-07-13 20:24 . 2008-07-18 00:28 2,640 --a------ C:\WINDOWS\system32\tmp.reg 2008-07-13 20:14 . 2008-07-13 20:14 <DIR> d-------- C:\Programme\Mythicsoft 2008-07-13 19:17 . 2007-10-12 22:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-07-13 19:17 . 2007-10-12 05:35 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-07-13 19:17 . 2007-10-12 05:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-07-13 19:17 . 2007-10-12 05:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-07-13 19:17 . 2007-10-12 05:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-07-13 19:17 . 2007-10-12 05:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-07-13 19:17 . 2008-07-13 19:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-07-13 19:17 . 2008-07-13 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-07-13 18:29 . 2008-07-13 18:29 <DIR> d-------- C:\Programme\Microsoft Games 2008-07-07 20:39 . 2008-07-18 01:58 <DIR> d-------- C:\Dokumente und Einstellungen\Keuffer\Anwendungsdaten\skypePM 2008-07-07 20:39 . 2008-07-07 20:39 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat 2008-07-07 20:38 . 2008-07-07 20:38 <DIR> d-------- C:\Programme\Skype 2008-07-07 20:38 . 2008-07-07 20:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-07-07 20:38 . 2008-07-18 01:59 <DIR> d-------- C:\Dokumente und Einstellungen\Keuffer\Anwendungsdaten\Skype 2008-06-24 23:05 . 2008-06-24 23:05 <DIR> d-------- C:\Dokumente und Einstellungen\Keuffer\dwhelper 2008-06-20 00:00 . 2008-06-20 00:00 <DIR> d-------- C:\Dokumente und Einstellungen\Keuffer\Anwendungsdaten\DivX 2008-06-19 23:59 . 2008-06-19 23:59 <DIR> d-------- C:\Programme\DivX 2008-06-19 23:50 . 2008-06-19 23:50 0 --a------ C:\WINDOWS\nsreg.dat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-18 00:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-07-13 01:39 --------- d-----w C:\Programme\PokerStars 2008-07-07 18:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-06-28 01:31 --------- d-----w C:\Dokumente und Einstellungen\Keuffer\Anwendungsdaten\LimeWire 2008-06-21 22:13 --------- d-----w C:\Programme\Soulseek 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-05-22 22:22 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-05-22 22:22 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-05-22 22:22 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560] "DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-01-03 15:54 486856] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-05-30 15:54 21718312] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 01:07 8491008] "NVRTCLK"="C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe" [2003-12-30 11:44 24576] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 01:07 81920] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 12:09 63712] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 22:46 262401] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "nwiz"="nwiz.exe" [2007-09-17 01:07 1626112 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"= "C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);C:\WINDOWS\system32\drivers\pe3ah4nc.sys [2007-05-18 21:53] R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);C:\WINDOWS\system32\drivers\ps6ah4nc.sys [2007-05-18 21:52] R0 rseb;rseb;C:\WINDOWS\system32\drivers\rseb.sys [2004-06-01 20:44] S2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);C:\WINDOWS\system32\pr2ah4nc.exe svc [] S3 autorun;autorun;C:\huadio.tmp [] S3 se46bus;Sony Ericsson Device 070 driver (WDM);C:\WINDOWS\system32\DRIVERS\se46bus.sys [2006-11-30 15:11] S3 se46mdfl;Sony Ericsson Device 070 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se46mdfl.sys [2006-11-30 15:11] S3 se46mdm;Sony Ericsson Device 070 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se46mdm.sys [2006-11-30 15:11] S3 se46mgmt;Sony Ericsson Device 070 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se46mgmt.sys [2006-11-30 15:11] S3 se46nd5;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se46nd5.sys [2006-11-30 15:11] S3 se46obex;Sony Ericsson Device 070 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se46obex.sys [2006-11-30 15:11] S3 se46unic;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se46unic.sys [2006-11-30 15:11] . Inhalt des "geplante Tasks" Ordners "2008-06-27 21:46:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . - - - - ORPHANS REMOVED - - - - BHO-{1B44E59C-165C-4EE2-B3CD-4DFD348BE123} - (no file) BHO-{58c59f61-7112-47e9-897f-db818592f464} - (no file) BHO-{88D1755C-DB0E-41F4-AF83-AD2E5EFE68EA} - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-18 02:14:44 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\autorun] "ImagePath"="\??\C:\huadio.tmp" . ------------------------ Other Running Processes ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-18 2:17:41 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-18 00:16:38 6 Verzeichnis(se), 163,115,847,680 Bytes frei 8 Verzeichnis(se), 163,090,694,144 Bytes frei 156 --- E O F --- 2008-07-12 13:19:24 |
Themen zu Help Trojaner! yayxuvSM.dll - TR/Monderb.322304.1 |
adobe, alert, avira, bho, desktop, downloader, drivers, einstellungen, excel, explorer, fehler, firefox, gigabyte, help, hijack, hijackthis, hijackthis log, internet, internet explorer, keine programme, monderb, mozilla, mozilla firefox, photoshop, rundll, toolbars, trojaner, virus, virus alert, windows, windows xp |