|
Plagegeister aller Art und deren Bekämpfung: Online Banking ProblemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.07.2008, 15:42 | #1 |
| Online Banking Problem Hallo, nach login auf den Dresdnerbank-Seiten werden TANs abgefragt. Die habe ich natürlich nicht eingegeben und die Bank angerufen. Der Zugang ist erst einmal gesperrt, aber ich finde die Ursache nicht. Nach wie vor kommt diese Seite über den Explorer- egal wie ich mich einlogge. Mozilla zeigt mir sofort an, dass mein Zugang gesperrt ist. Ich habe AntiVir, Norton, Spybot, Spyware Doctor, Ewido Antispyware und viele Tools online, offline, im abgesichtertern Modus und teilweise von BootCD (auf einem anderen Rechner erstellt) laufen lassen. Diese Programme finden alle nichts. Zusätzlich habe ich manuell alle BHOs im Explorer, auf der Festplatte und in der Registry gelöscht. Ferner habe ich alle nicht zuordbaren Prozesse und Dienste beendet. Mein HijackThis-Logfile sieht so aus: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:31:14, on 20.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\Programme\Windows Media Player\WMPNetwk.exe C:\WINDOWS\System32\alg.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Hitman Pro\hitmanpro2.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Hitman Pro\downloads\ewido_micro.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Programme\Windows Media Connect 2\wmccfg.exe" /StartQuiet O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programme\Trend Micro\HijackThis\HijackThis.exe /startupscan O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120077196109 O17 - HKLM\System\CCS\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe -- End of file - 5776 bytes WAS KANN ICH NOCH VERSUCHEN??? Ist eine Neuformatierung und -installation unumgänglich? |
20.07.2008, 16:44 | #2 |
| Online Banking Problem COMOFIX hat folgendes Log erstellt:
__________________ComboFix 08-07-19.1 - Björn Walde 2008-07-20 17:15:27.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Björn Walde\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\msvcsv60.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780} -------\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780} ((((((((((((((((((((((( Dateien erstellt von 2008-06-20 bis 2008-07-20 )))))))))))))))))))))))))))))) . 2008-07-20 14:59 . 2008-07-20 15:29 <DIR> d-------- C:\Programme\Spyware Doctor 2008-07-20 14:59 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-07-20 14:59 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-07-20 14:59 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-07-20 14:59 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-07-20 14:57 . 2008-07-20 14:59 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-07-20 14:57 . 2008-07-20 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-07-20 10:29 . 2008-07-20 10:30 <DIR> d-------- C:\Programme\BHODemon 2 2008-07-19 12:23 . 2001-06-29 19:40 29,696 --a------ C:\WINDOWS\system32\flcss.exe 2008-07-18 16:17 . 2008-07-18 16:17 <DIR> d-------- C:\Programme\Trend Micro 2008-07-17 07:51 . 2008-07-17 07:51 0 --a------ C:\WINDOWS\nsreg.dat 2008-07-16 23:32 . 2008-07-16 23:32 62 --a------ C:\WINDOWS\ViewNX.INI 2008-07-16 15:42 . 2008-07-16 23:31 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT 2008-07-16 15:41 . 2008-07-16 15:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\muvee Technologies 2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Programme\Nikon 2008-07-16 15:40 . 2008-07-16 15:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon 2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15 2008-07-16 15:40 . 2008-07-16 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon 2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp 2008-07-16 15:40 . 2008-07-16 23:27 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT 2008-07-13 18:05 . 2008-07-13 18:04 24,885 --a------ C:\1netgear.cfg 2008-07-13 10:26 . 2008-07-20 17:09 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-07-13 10:22 . 2008-07-13 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx 2008-07-13 10:08 . 2008-07-13 10:08 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy 2008-07-13 10:08 . 2008-07-20 17:08 <DIR> d-------- C:\Programme\Hitman Pro 2008-07-11 16:26 . 2008-04-09 16:48 143,880 --a------ C:\WINDOWS\system32\drivers\mausbms.sys 2008-07-11 16:24 . 2008-07-11 16:24 <DIR> d-------- C:\Programme\M-Audio 2008-07-10 20:33 . 2007-11-14 16:20 20,936 --a------ C:\WINDOWS\system32\drivers\usb22ldr.sys 2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys 2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys 2008-06-29 09:48 . 2008-06-09 09:48 124,800 --a------ C:\WINDOWS\system32\drivers\TCNear.sys 2008-06-29 09:48 . 2008-06-09 09:48 106,496 --a------ C:\WINDOWS\system32\TCNearAsio.dll 2008-06-29 09:48 . 2008-06-09 09:48 20,864 --a------ C:\WINDOWS\system32\drivers\TCNearAudio.sys 2008-06-29 09:48 . 2008-06-09 09:48 20,480 --a------ C:\WINDOWS\system32\drivers\TCNearMidi.sys 2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll 2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys 2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys 2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-20 12:56 --------- d-----w C:\Programme\Lavasoft 2008-07-20 12:51 --------- d-----w C:\Programme\GetRight 2008-07-20 08:17 --------- d-----w C:\Programme\Winamp 2008-07-17 19:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-07-17 19:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-07-16 13:40 106,496 ----a-w C:\WINDOWS\system32\ATL71.DLL 2008-07-13 16:08 --------- d-----w C:\Programme\Hewlett-Packard 2008-07-11 14:26 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-29 07:47 --------- d-----w C:\Programme\TC Electronic 2008-06-29 06:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995 2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-18 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy 2008-06-18 17:56 --------- d-----w C:\Programme\PACE Anti-Piracy 2008-06-18 17:54 --------- d-----w C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy 2008-06-18 17:53 --------- d-----w C:\Programme\Sonnox 2008-06-18 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonnox Oxford 2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-10 11:02 163,840 ----a-w C:\WINDOWS\system32\EioPal.dll 2008-06-09 16:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2008-06-05 09:00 54,256 ----a-w C:\WINDOWS\system32\drivers\iLokDrvr.sys 2008-05-28 18:47 --------- d-----w C:\Programme\Java 2008-05-28 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2008-05-28 14:00 --------- d-----w C:\Programme\Sun 2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll 2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll 2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll 2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll 2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe 2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe 2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288] "HijackThis startup scan"="C:\Programme\Trend Micro\HijackThis\HijackThis.exe" [2008-07-18 16:17 396288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-16 17:15 221184] "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 21:00 1005386] "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 21:00 118784] "Windows Media Connect 2"="C:\Programme\Windows Media Connect 2\wmccfg.exe" [2006-10-18 22:58 8704] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:18 266497] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784] "nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="NvMCTray.dll" [2006-08-11 21:43 86016 C:\WINDOWS\system32\nvmctray.dll] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "NoConfigPage"= 0 (0x0) "NoDevMgrPage"= 0 (0x0) "NoFileSysPage"= 0 (0x0) "NoVirtMemPage"= 0 (0x0) "DisableChangePassword"= 0 (0x0) "NoFolderOptions"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system] "NoDispAppearancePage"= 0 (0x0) "NoDispScrSavPage"= 0 (0x0) "NoDispSettingsPage"= 0 (0x0) "NoConfigPage"= 0 (0x0) "NoDevMgrPage"= 0 (0x0) "NoFileSysPage"= 0 (0x0) "NoVirtMemPage"= 0 (0x0) "DisableChangePassword"= 0 (0x0) "NoFolderOptions"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoClose"= 0 (0x0) "NoFind"= 0 (0x0) "NoRun"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.CLBR"= P1001Dex.ax "VIDC.MJPG"= Pvmjpg30.dll "VIDC.PIM1"= pclepim1.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 relog_ap [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Drive Icons [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] --a------ 2006-09-14 07:55 61440 D:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] --a------ 2008-07-18 07:18 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] --a------ 2005-02-16 17:15 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-01-28 19:03 155648 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon] --a------ 2002-04-17 11:42 69632 c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe] --a------ 2007-10-31 11:19 378784 D:\Programme\TomTom HOME 2\HOMERunner.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "GEARSecurity"=2 (0x2) "iPodService"=3 (0x3) "FirebirdServerMAGIXInstance"=3 (0x3) "AdobeActiveFileMonitor5.0"=2 (0x2) "LexBceS"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "D:\\Programme\\Mountain Systems, Inc\\Behringer FCB1010 MIDI PC Editor Utility\\FCB1010.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\messenger\\msmsgs.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015 "1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016 "500:UDP"= 500:UDP:@xpsp2res.dll,-22017 R1 SSHDRV64;SSHDRV64;C:\WINDOWS\System32\drivers\SSHDRV64.sys [2004-02-16 19:08] R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-04-06 22:11] R3 iLokDrvr;iLok;C:\WINDOWS\system32\DRIVERS\iLokDrvr.sys [2008-06-05 11:00] R3 MAUSBMS;Service for M-Audio 2x2 & 4x4 Anniversary Edition;C:\WINDOWS\system32\DRIVERS\mausbms.sys [2008-04-09 16:48] R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20] S3 1e62;1e62;C:\WINDOWS\system32\1e62.sys [] S3 2964;2964;C:\WINDOWS\system32\2964.sys [] S3 3163;3163;C:\WINDOWS\system32\3163.sys [] S3 BCORETH5;BCORETH5 NDIS Protocol Driver;C:\WINDOWS\system32\BCORETH5.SYS [2003-12-10 10:40] S3 dmxfire;DMX6fire WDM Audio;C:\WINDOWS\system32\drivers\dmx6fire.sys [] S3 dmxsens;dmxsens;C:\WINDOWS\system32\drivers\dmxsens.sys [] S3 jfdcd;jfdcd;C:\DOKUME~1\BJRNWA~1\LOKALE~1\Temp\jfdcd.sys [] S3 L6SeaMonkDev;Line 6 Variax USB Service;C:\WINDOWS\system32\Drivers\L6SM.sys [2005-03-21 20:29] S3 MA_CMIDI;M-Audio USB Driver;C:\WINDOWS\system32\drivers\ma_cmidi.sys [] S3 TCNear;TC Near;C:\WINDOWS\system32\Drivers\TCNear.sys [2008-06-09 09:48] S3 TCNearAudio;TC Near Audio;C:\WINDOWS\system32\drivers\TCNearAudio.sys [2008-06-09 09:48] S3 TCNearMidi;TC Near MIDI;C:\WINDOWS\system32\drivers\TCNearMidi.sys [2008-06-09 09:48] S3 TPP200;USB Storage Adapter V2 (TPP);C:\WINDOWS\system32\DRIVERS\TPP200.SYS [2002-06-24 11:20] S3 USB22LDR;M-Audio USB MIDISPORT 2x2 Loader;C:\WINDOWS\system32\drivers\usb22ldr.sys [2007-11-14 16:20] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - HKLM-RunServices-SchedulingAgent - C:\WINDOWS\system32\mstask.exe MSConfigStartUp-Deskup - C:\Programme\Iomega\DriveIcons\deskup.exe MSConfigStartUp-iTunesHelper - C:\Programme\iTunes\iTunesHelper.exe MSConfigStartUp-PinnacleDriverCheck - C:\WINDOWS\system32\\PSDrvCheck.exe MSConfigStartUp-TkBellExe - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe MSConfigStartUp-zzzHPSETUP - F:\Setup.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-20 17:19:28 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2] "ImagePath"="\"\"" . ------------------------ Other Running Processes ------------------------ . C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\UAService7.exe C:\Programme\Windows Media Player\wmpnetwk.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-20 17:23:31 - machine was rebooted [Bj”rn Walde] ComboFix-quarantined-files.txt 2008-07-20 15:23:27 Pre-Run: 13 Verzeichnis(se), 27,235,381,248 Bytes frei Post-Run: 15 Verzeichnis(se), 27,162,865,664 Bytes frei 241 --- E O F --- 2008-07-18 14:17:31 Combofix hat folgende Dateien in Quarantäne gestellt: 2003-02-13 15:45 29184 --a--c--- C:\Qoobox\Quarantine\C\WINDOWS\system32\MSINET.oca.vir 2008-07-16 15:08 32 --a--c--- C:\Qoobox\Quarantine\C\WINDOWS\system32\msvcsv60.dll.vir 2008-07-20 17:17 1458 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}.reg.dat 2008-07-20 17:17 2588 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}.reg.dat 2008-07-20 17:17 54 --a------ C:\Qoobox\Quarantine\catchme.log 2008-07-20 17:23 143 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-RunServices-SchedulingAgent.reg.dat 2008-07-20 17:23 526 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-zzzHPSETUP.reg.dat 2008-07-20 17:23 604 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-Deskup.reg.dat 2008-07-20 17:23 604 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-iTunesHelper.reg.dat 2008-07-20 17:23 606 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-PinnacleDriverCheck.reg.dat 2008-07-20 17:23 662 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-TkBellExe.reg.dat |
23.07.2008, 09:21 | #3 |
| Online Banking Problem Hallo, ich bin kein Experte, aber ich hatte das gleiche Problem und behandle es derzeit im Thread: h++p://w*w.trojaner-board.de/56544-arbeitsspeicher-win32-mebroot-trojaner-erbitte-hilfe.html
__________________ |
29.07.2008, 10:32 | #4 |
| Online Banking Problem Danke für den Tipp. Mittlerweile wurde mir hier geholfen und ich bin wieder clean: h**p://w*w.trojaner-board.de/56369-hartnaeckiges-explorerverhalten-trojaner.html |
Themen zu Online Banking Problem |
ad-aware, antispyware, antivir, antivirus, avira, dll, festplatte, firefox, gesperrt, google, hijack, hitman pro, hkus\s-1-5-18, internet, internet explorer, mozilla, mozilla firefox, nvidia, problem, prozesse, registry, rundll, security, software, spyware, system, urlsearchhook, windows, windows xp, windows xp sp3, xp sp3 |