| |
| |||||||
Log-Analyse und Auswertung: Brauche Hilfe beim auswerten von HijackthisWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
28.07.2008, 18:16
| #1 |
 |  Brauche Hilfe beim auswerten von Hijackthis Hi, ich habe mir heute einen trojaner oder Virus eingefangen. Ich habe einen neuen laptop von acer mit windows vista. Als ich Online war ging auf einmal ein fenster auf udn mein desktophintergrund hat sich geändert. Dort ist jetzt alles blau und es steht da" Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer." Es ist wie gesagt ein Hintergrundbild. Im normal modus von Vista kann ich es auch nicht ändern weil unter anpassendie auswahl desktophintergrund einfach nicht angezeigt wird. Ich hab schon einige viren und spyware programm durchlaufen lassen aber alles ohne erfolg. Ich konnte bis jetzt von diesem Board nur entnehmen das man mit HijackThis arbeiten kann. aber wieder das funzt weiß ich leider nicht. deswegen bräuchte. |
|
28.07.2008, 18:38
| #2 |
  | Brauche Hilfe beim auswerten von Hijackthis Hallo
__________________lies die Anleitung zu HijackThis und erstelle bitte ein Logfile (editiere alle persönlichen Dinge sowie aktive Links heraus http --> zu hxxp ändern) und lies bitte auch die Anleitung zu Malwarebytes. Lass Malwarebytes suchen aber bitte noch nix löschen. MFG
__________________ |
|
28.07.2008, 19:10
| #3 |
| | Brauche Hilfe beim auswerten von Hijackthis Also die HijackThis logfile hab ich schon
__________________Doch das von Malwarebytes kann dauern. Da der Laptop total langsam ist. Oder ist es auch ok wenn ich es im abgesicherten modus laufen lasse? hijackthis logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:52:18, on 28.07.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\McAfee.com\Agent\mcagent.exe C:\Program Files\SiteAdvisor\6261\SiteAdv.exe C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe C:\Acer\Empowering Technology\eAudio\eAudio.exe C:\Windows\BR040286.exe C:\Users\Julian\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe C:\Program Files\Apoint2K\Apoint.exe D:\Programme\iTunes\iTunesHelper.exe C:\Windows\System32\lphcvdaj0erd7.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Users\Julian\Program Files\DNA\btdna.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Windows\System32\spool\drivers\w32x86\3\E_FATICEE.EXE C:\Windows\ehome\ehmsas.exe C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE C:\Program Files\Apoint2K\ApMsgFwd.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe D:\Programme\Firefox\firefox.exe C:\Windows\explorer.exe C:\Windows\system32\rundll32.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [ALaunch] C:\Acer\ALaunch\AlaunchClient.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [BisonInst0402] C:\Windows\BR040286.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe" O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [lphcvdaj0erd7] C:\Windows\system32\lphcvdaj0erd7.exe O4 - HKLM\..\Run: [SMrhcrdaj0erd7] C:\Program Files\rhcrdaj0erd7\rhcrdaj0erd7.exe O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\qoMdBsqO.dll,#1 O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\Julian\Program Files\DNA\btdna.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [EPSON Stylus DX8400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE /FU "C:\Windows\TEMP\E_S6E2.tmp" /EF "HKCU" O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Julian\AppData\Local\Temp\tuvUMCuV.dll,c O4 - HKCU\..\Run: [8cddd471] rundll32.exe "C:\Users\Julian\AppData\Local\Temp\nvrmqwqj.dll",b O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Julian\AppData\Local\Temp\byxYqOFU.dll,#1 O4 - HKCU\..\Run: [lphcvdaj0erd7] C:\Windows\system32\lphcvdaj0erd7.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Empowering Technology Launcher.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan\McShield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 11087 bytes Vieln Dank schonmal für die Hilfe. |
|
28.07.2008, 19:23
| #4 |
| | Brauche Hilfe beim auswerten von Hijackthis ach nochwas. wenn ich den laptop normal hochfahre dann öffnet sich nach einiger zeit einfenster und da steht drin :" die script-datei "c:/users/julian/appdata/local/temp/.tt6ac3.temp.vbs" wurde nicht gefunden."  |
|
28.07.2008, 19:29
| #5 | ||
| | Brauche Hilfe beim auswerten von Hijackthis Hallo Zitat:
Zitat:
MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist   http://www.vivaconagua.org/ |
|
28.07.2008, 19:56
| #6 |
| | Brauche Hilfe beim auswerten von Hijackthis kann ich das RunScanner auch im abgesicherten modus laufen lassen? Weil wenn er durchgelaufen ist, dann kann ich die logfile nicht speicher. da öffnet sich kein fenster wo ich es speichern kann wenn ich auf save logfile...oder mach ich was falsch? |
|
28.07.2008, 20:47
| #7 |
| | Brauche Hilfe beim auswerten von Hijackthis Hier ist die Malwarebytes log file Code:
ATTFilter Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1001
Windows 6.0.6001 Service Pack 1
21:45:22 28.07.2008
mbam-log-7-28-2008 (21-45-16).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 146532
Laufzeit: 15 minute(s), 6 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 10
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 11
Infizierte Dateien: 12
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\rhcrdaj0erd7 (Rogue.Multiple) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e6cfcf29-e855-420d-9a72-5b69f0f93746} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcvdaj0erd7 (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcvdaj0erd7 (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcrdaj0erd7 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\backupwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
C:\Users\Julian\AppData\Roaming\rhcrdaj0erd7 (Rogue.Multiple) -> No action taken.
C:\Users\Julian\AppData\Roaming\rhcrdaj0erd7\Quarantine (Rogue.Multiple) -> No action taken.
C:\Users\Julian\AppData\Roaming\rhcrdaj0erd7\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Users\Julian\AppData\Roaming\rhcrdaj0erd7\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Users\Julian\AppData\Roaming\rhcrdaj0erd7\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Users\Julian\AppData\Roaming\rhcrdaj0erd7\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Users\Julian\AppData\Roaming\rhcrdaj0erd7\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Users\Julian\AppData\Roaming\rhcrdaj0erd7\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Users\Julian\AppData\Roaming\rhcrdaj0erd7\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Users\Julian\AppData\Roaming\rhcrdaj0erd7\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Users\Julian\AppData\Roaming\rhcrdaj0erd7\Quarantine\Packages (Rogue.Multiple) -> No action taken.
Infizierte Dateien:
C:\Acer\AcerReg\PAREG\INSTALLREG.EXE (Adware.Agent) -> No action taken.
C:\Users\Julian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IKXFMQ6B\ico[1] (Trojan.Vundo) -> No action taken.
C:\Users\Julian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\X9LF5S0H\favicon[1].ico (Trojan.Vundo) -> No action taken.
C:\Users\Julian\AppData\Local\Temp\fccywwTl.dll (Trojan.Vundo) -> No action taken.
C:\Users\Julian\AppData\Local\Temp\ljJCsqpm.dll (Trojan.Vundo) -> No action taken.
C:\Users\Julian\AppData\Local\Temp\tmp0001a237 (Trojan.Vundo) -> No action taken.
C:\Users\Julian\AppData\Local\Temp\tmp00047c9e (Trojan.Vundo) -> No action taken.
C:\Users\Julian\AppData\Local\Temp\tmp000a475b (Trojan.Vundo) -> No action taken.
C:\Users\Julian\AppData\Local\Temp\vtUlKaAt.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\lphcvdaj0erd7.exe (Trojan.FakeAlert) -> No action taken.
C:\Windows\System32\phcvdaj0erd7.bmp (Trojan.FakeAlert) -> No action taken.
C:\Users\Julian\AppData\Local\Temp\s1265.php (Trojan.FakeAlert) -> No action taken.
|
|
28.07.2008, 21:01
| #8 |
| | Brauche Hilfe beim auswerten von Hijackthis so und hier ist jetzt die RunScanner Log file hoffe du kannst mir immer noch helfen  Code:
ATTFilter Runscanner logfile http://www.runscanner.net
* = signed file
- = file not found
000 General info
----------------
Computer name : JULIAN
Creation time : 28.07.2008 21:52:46
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.6001.18000
OS : Windows Vista (TM) Home Premium
OS Build : 6001
OS SP : Service Pack 1
RunScanner Version : 1.6.3.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\Windows
001 Running processes
---------------------
* c:\acer\empowering technology\edatasecurity\x86\edsloader.exe (Egis Incorporated)
* c:\acer\empowering technology\edatasecurity\x86\edsservice.exe (Egis Incorporated)
c:\acer\empowering technology\elock\service\elockserv.exe (Acer Inc.)
c:\acer\empowering technology\acer.empowering.framework.supervisor.exe (Acer Inc.)
c:\acer\empowering technology\enet\enet service.exe (Acer Inc.)
c:\acer\empowering technology\enet\enmtray.exe (Acer Inc.)
c:\acer\empowering technology\epower\epower_dmc.exe (Acer Inc.)
c:\acer\alaunch\alaunchsvc.exe
* c:\program files\apoint2k\apoint.exe (Alps Electric Co., Ltd.)
* c:\program files\apoint2k\apntex.exe (Alps Electric Co., Ltd.)
* c:\windows\system32\services.exe (Microsoft Corporation)
* c:\program files\apoint2k\apmsgfwd.exe (Alps Electric Co., Ltd.)
c:\acer\mobility center\mobilityservice.exe
* c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe (Apple Inc.)
* c:\windows\system32\taskeng.exe (Microsoft Corporation)
* c:\windows\system32\taskeng.exe (Microsoft Corporation)
c:\program files\bonjour\mdnsresponder.exe (Apple Inc.)
* c:\windows\system32\csrss.exe (Microsoft Corporation)
* c:\windows\system32\csrss.exe (Microsoft Corporation)
* c:\windows\system32\conime.exe (Microsoft Corporation)
c:\program files\acer arcade deluxe\play movie\pmvservice.exe (CyberLink Corp.)
* c:\windows\system32\dwm.exe (Microsoft Corporation)
c:\acer\empowering technology\erecovery\eragent.exe (Acer Inc.)
c:\acer\empowering technology\erecovery\erecoveryservice.exe (Acer Inc.)
* c:\windows\rthdvcpl.exe (Realtek Semiconductor)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\program files\ipod\bin\ipodservice.exe (Apple Inc.)
* d:\programme\itunes\ituneshelper.exe (Apple Inc.)
* c:\program files\launch manager\lmanager.exe (Dritek System Inc.)
* c:\windows\system32\lsass.exe (Microsoft Corporation)
* c:\windows\system32\lsm.exe (Microsoft Corporation)
c:\program files\common files\lightscribe\lssrvc.exe (Hewlett-Packard Company)
* c:\program files\mcafee\msk\msksrver.exe (McAfee, Inc.)
* c:\program files\mcafee.com\agent\mcagent.exe (McAfee, Inc.)
* c:\progra~1\common~1\mcafee\mna\mcnasvc.exe (McAfee, Inc.)
* c:\program files\mcafee\mpf\mpfsrv.exe (McAfee, Inc.)
* c:\progra~1\common~1\mcafee\mcproxy\mcproxy.exe (McAfee, Inc.)
* c:\progra~1\mcafee\msc\mcmscsvc.exe (McAfee, Inc.)
* c:\progra~1\mcafee\msc\mcuimgr.exe (McAfee, Inc.)
* c:\windows\system32\searchfilterhost.exe (Microsoft Corporation)
* c:\windows\system32\searchprotocolhost.exe (Microsoft Corporation)
* c:\windows\system32\searchindexer.exe (Microsoft Corporation)
* c:\windows\system32\slsvc.exe (Microsoft Corporation)
* c:\windows\system32\drivers\xaudio.exe (Conexant Systems, Inc.)
c:\acer\empowering technology\eaudio\eaudio.exe (CyberLink)
* c:\program files\mcafee\virusscan\mcshield.exe (McAfee, Inc.)
* d:\programme\spyware doctor\pctsauxs.exe (PC Tools)
* d:\programme\spyware doctor\pctssvc.exe (PC Tools)
* d:\programme\spyware doctor\pctstray.exe (PC Tools)
c:\program files\quicktime\qttask.exe (Apple Inc.)
c:\users\julian\appdata\local\temp\rtkbtmnt.exe (Realtek Semiconductor Corp.)
c:\program files\cyberlink\shared files\richvideo.exe
* c:\users\julian\desktop\runscanner.exe (Runscanner.net)
* c:\program files\siteadvisor\6261\saservice.exe
c:\acer\empowering technology\esettings\service\capuserv.exe
* c:\windows\system32\wbem\unsecapp.exe (Microsoft Corporation)
* c:\program files\siteadvisor\6261\siteadv.exe
* c:\windows\system32\spoolsv.exe (Microsoft Corporation)
c:\windows\br040286.exe (Bison Inc.)
* c:\program files\windows defender\msascui.exe (Microsoft Corporation)
* C:\Windows\system32\audiodg.exe (Microsoft Corporation)
* c:\windows\system32\smss.exe (Microsoft Corporation)
* c:\windows\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\explorer.exe (Microsoft Corporation)
* c:\windows\system32\rundll32.exe (Microsoft Corporation)
* c:\windows\system32\rundll32.exe (Microsoft Corporation)
* c:\windows\system32\wininit.exe (Microsoft Corporation)
* c:\windows\system32\wbem\wmiprvse.exe (Microsoft Corporation)
* c:\windows\system32\wbem\wmiprvse.exe (Microsoft Corporation)
c:\acer\empowering technology\epower\epowersvc.exe (acer)
002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
- c:\acer\acertour\reminder.exe
- c:\acer\alaunch\alaunchclient.exe
* c:\program files\common files\apple\mobile device support\bin\applesyncnotifier.exe (Apple Inc.)
c:\windows\br040286.exe (Bison Inc.)
c:\acer\empowering technology\eaudio\eaudio.exe (CyberLink)
* c:\acer\empowering technology\edatasecurity\x86\edsloader.exe (Egis Incorporated)
* d:\programme\spyware doctor\pctstray.exe (PC Tools)
* d:\programme\itunes\ituneshelper.exe (Apple Inc.)
* c:\progra~1\launch~1\lmanager.exe (Dritek System Inc.)
* c:\program files\mcafee.com\agent\mcagent.exe (McAfee, Inc.)
c:\program files\acer arcade deluxe\play movie\pmvservice.exe (CyberLink Corp.)
c:\program files\quicktime\qttask.exe (Apple Inc.)
* c:\program files\siteadvisor\6261\siteadv.exe
c:\program files\acer\wr_popup\warreg_popup.exe (Acer Incorporated)
005 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
----------------------------------------------------------------
* c:\acer\empowe~1\eaplau~1.exe (Acer Inc.)
006 %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup
-------------------------------------------------------------------
* c:\acer\empowe~1\eaplau~1.exe (Acer Inc.)
010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
c:\acer\alaunch\alaunchsvc.exe (ALaunch Service)
* c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe (Apple Mobile Device)
c:\program files\bonjour\mdnsresponder.exe (Bonjour-Dienst)
c:\program files\cyberlink\shared files\richvideo.exe (Cyberlink RichVideo Service(CRVS))
* c:\acer\empowering technology\edatasecurity\x86\edsservice.exe (eDataSecurity Service)
c:\acer\empowering technology\elock\service\elockserv.exe (eLock Service)
c:\acer\empowering technology\enet\enet service.exe (eNet Service)
c:\acer\empowering technology\epower\epowersvc.exe (ePower Service)
c:\acer\empowering technology\erecovery\erecoveryservice.exe (eRecovery Service)
c:\acer\empowering technology\esettings\service\capuserv.exe (eSettings Service)
c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe (FLEXnet Licensing Service)
* c:\program files\ipod\bin\ipodservice.exe (iPod-Dienst)
c:\program files\common files\lightscribe\lssrvc.exe (LightScribeService Direct Disc Labeling Service)
* c:\program files\mcafee\msk\msksrver.exe (McAfee Anti-Spam Service)
* c:\progra~1\common~1\mcafee\mna\mcnasvc.exe (McAfee Network Agent)
* c:\program files\mcafee\mpf\mpfsrv.exe (McAfee Personal Firewall Service)
* c:\progra~1\common~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service)
* c:\program files\mcafee\virusscan\mcshield.exe (McAfee Real-time Scanner)
* c:\progra~1\mcafee\viruss~1\mcods.exe (McAfee Scanner)
* c:\progra~1\mcafee\msc\mcmscsvc.exe (McAfee Services)
* c:\progra~1\mcafee\viruss~1\mcsysmon.exe (McAfee SystemGuards)
c:\acer\mobility center\mobilityservice.exe (MobilityService)
* c:\program files\nero\nero 7\nero backitup\nbservice.exe (NBService)
* c:\program files\common files\ahead\lib\nmindexingservice.exe (NMIndexingService)
* d:\programme\spyware doctor\pctsauxs.exe (PC Tools Auxiliary Service)
* d:\programme\spyware doctor\pctssvc.exe (PC Tools Security Service)
* c:\program files\siteadvisor\6261\saservice.exe (SiteAdvisor-Dienst)
011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
* c:\program files\acer arcade deluxe\play movie\000.fcl ({49DE1C67-83F8-4102-99E0-C16DCC7EEC796})
* C:\Windows\system32\drivers\bisonc07.sys (Acer Crystal Eye webcam)
* C:\Windows\system32\drivers\apfiltr.sys (Alps Pointing-device Filter Driver)
C:\Windows\system32\drivers\atksgt.sys (atksgt)
* c:\progra~1\launch~1\dportio.sys (Dritek General Port I/O)
* C:\Windows\system32\drivers\dkbfltr.sys (Dritek Keyboard Filter Driver)
* C:\Windows\system32\drivers\ikfilesec.sys (File Security Driver)
* C:\Windows\system32\drivers\gearaspiwdm.sys (GEARAspiWDM)
* c:\acer\empowering technology\erecovery\int15.sys (int15)
- c:\windows\system32\drivers\ipinip.sys (IP in IP Tunnel Driver)
- c:\windows\system32\drivers\nwlnkflt.sys (IPX Traffic Filter Driver)
- c:\windows\system32\drivers\nwlnkfwd.sys (IPX Traffic Forwarder Driver)
C:\Windows\system32\drivers\lirsgt.sys (lirsgt)
* C:\Windows\system32\drivers\mfeavfk.sys (McAfee Inc. mfeavfk)
* C:\Windows\system32\drivers\mfebopk.sys (McAfee Inc. mfebopk)
* C:\Windows\system32\drivers\mfehidk.sys (McAfee Inc. mfehidk)
* C:\Windows\system32\drivers\mferkdk.sys (McAfee Inc. mferkdk)
* C:\Windows\system32\drivers\mfesmfk.sys (McAfee Inc. mfesmfk)
* C:\Windows\system32\drivers\mpfp.sys (MPFP)
* C:\Windows\system32\drivers\psdfilter.sys (PSDFilter)
* C:\Windows\system32\drivers\psdnserv.sys (PSDNServ)
* C:\Windows\system32\drivers\psdvdisk.sys (PSDVdisk)
* C:\Windows\system32\drivers\rtkvhda.sys (Service for Realtek HD Audio (WDM))
* C:\Windows\system32\drivers\iksysflt.sys (System Filter Driver)
* C:\Windows\system32\drivers\iksyssec.sys (System Security Driver)
C:\Windows\system32\drivers\ntidrvr.sys (Upper Class Filter Driver)
031 HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
-------------------------------------------
c:\program files\common files\microsoft shared\information retrieval\msitss.dll (Microsoft Corporation) {0A9007C0-4076-11D3-8789-0000F8105754}
* c:\program files\siteadvisor\6261\siteadv.dll {3A5DC592-7723-4EAA-9EE6-AF4222BCF879}
032 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
-----------------------------------------------------------------------------------
- rdpclip
041 HKLM-HKCU\Software\Microsoft\Internet Explorer\Toolbar
----------------------------------------------------------
* c:\acer\empowering technology\edatasecurity\x86\edstoolbar.dll (Egis Incorporated.) {5CBE3B7C-1E47-477e-A7DD-396DB0476E29}
* c:\program files\siteadvisor\6261\siteadv.dll {0BF43445-2F28-4351-9252-17FE6E806AA0}
042 HKLM\Software\Microsoft\Internet Explorer\Extensions
--------------------------------------------------------
GUID / CLSID not found {2670000A-7350-4f3c-8081-5663EE0C6C49}
* d:\programme\icq6\icq.exe (ICQ, Inc.) {E59EB121-F339-4851-A3BA-FE49C35617C2}
GUID / CLSID not found {92780B25-18CC-41C8-B9BE-3C9C571A8263}
GUID / CLSID not found {77BF5300-1474-4EC7-9980-D32B190E9B07}
044 HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
------------------------------------------------------------------
* c:\acer\empowering technology\edatasecurity\x86\edstoolbar.dll (Egis Incorporated.) {5CBE3B7C-1E47-477E-A7DD-396DB0476E29}
052 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
----------------------------------------------------------------------------------
GUID / CLSID not found {02478D38-C3F9-4efb-9B51-7695ECA05670}
* c:\progra~1\mcafee\msk\mcapbho.dll {377C180E-6F0E-4D4C-980F-F45BD3D40CF4}
* c:\program files\siteadvisor\6261\siteadv.dll {089FD14D-132B-48FC-8861-0048AE113215}
- d:\programme\skype\toolbars\internet explorer\skypeieplugin.dll {22BF413B-C6D2-4d91-82A9-A0F997BA588C}
* c:\program files\mcafee\virusscan\scriptsn.dll (McAfee, Inc.) {7DB2D5A0-7241-4E79-B68D-6309F01C5231}
061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
---------------------------------------------------------------------------------
* c:\acer\empowering technology\edatasecurity\x86\psdprotect.dll (Egis Incorporated) {30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}
- epm-po.dll {2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0}
* d:\programme\itunes\itunesminiplayer.dll (Apple Inc.) {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}
* c:\program files\nero\nero 7\nero coverdesigner\coveredextension.dll (Nero AG) {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}
* c:\program files\common files\ahead\lib\nerodigitalext.dll (Nero AG) {B327765E-D724-4347-8B16-78AE18552FC3}
* c:\program files\common files\ahead\lib\nerodigitalext.dll (Nero AG) {7F1CF152-04F8-453A-B34C-E609530A9DC8}
d:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
------------------------------------------------------------
* c:\program files\common files\ahead\lib\nerodigitalext.dll (Nero AG) {7D4D6379-F301-4311-BEBA-E26EB0561882}
c:\program files\common files\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
073 %windir%\Tasks
------------------
McDefragTask.job : c:\progra~1\mcafee\mqc\qcconsol.exe (McAfee, Inc.)
McQcTask.job : c:\progra~1\mcafee\mqc\qcconsol.exe (McAfee, Inc.)
100 Internet Explorer settings
------------------------------
Default_Page_URL HKLM : http://de.intl.acer.yahoo.com
Start Page HKCU : http://www.msn.com/
Start Page HKLM : http://de.intl.acer.yahoo.com
107 HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5
---------------------------------------------------------------------------------
c:\program files\bonjour\mdnsnsp.dll (Apple Inc.)
173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
* c:\program files\nero\nero 7\nero coverdesigner\coveredextension.dll (Nero AG) {73FCA462-9BD5-4065-A73F-A8E5F6904EF7}
* c:\acer\empowering technology\edatasecurity\x86\edsshellext.dll (Egis Incorporated.) {29FF7AB0-BE34-4992-A30B-53A9D86EE239}
* c:\progra~1\mcafee\viruss~1\mcctxmnu.dll (McAfee, Inc.) {01576F39-90DE-4D6E-A068-5B20C22BAAEE}
* c:\program files\nero\nero 7\nero backitup\nbshell.dll (Nero AG)
d:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
-------------------------------------------------------
* c:\program files\nero\nero 7\nero coverdesigner\coveredextension.dll (Nero AG) {73FCA462-9BD5-4065-A73F-A8E5F6904EF7}
* c:\acer\empowering technology\edatasecurity\x86\edsshellext.dll (Egis Incorporated.) {29FF7AB0-BE34-4992-A30B-53A9D86EE239}
* c:\progra~1\mcafee\viruss~1\mcctxmnu.dll (McAfee, Inc.) {01576F39-90DE-4D6E-A068-5B20C22BAAEE}
* c:\program files\nero\nero 7\nero backitup\nbshell.dll (Nero AG)
d:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
* c:\program files\malwarebytes' anti-malware\mbamext.dll (Malwarebytes Corporation) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
------------------------------------------------------------
* c:\program files\malwarebytes' anti-malware\mbamext.dll (Malwarebytes Corporation) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
* c:\program files\malwarebytes' anti-malware\mbamext.dll (Malwarebytes Corporation) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
* c:\progra~1\mcafee\viruss~1\mcctxmnu.dll (McAfee, Inc.) {01576F39-90DE-4D6E-A068-5B20C22BAAEE}
* c:\progra~1\mcafee\viruss~1\mcctxmnu.dll (McAfee, Inc.) {01576F39-90DE-4D6E-A068-5B20C22BAAEE}
* c:\program files\nero\nero 7\nero backitup\nbshell.dll (Nero AG)
* c:\program files\nero\nero 7\nero backitup\nbshell.dll (Nero AG)
d:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
d:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
---------------------------------------------------------------
* c:\acer\empowering technology\edatasecurity\x86\edsshellext.dll (Egis Incorporated.) {29FF7AB0-BE34-4992-A30B-53A9D86EE239}
d:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
-------------------------------------------------------
* c:\program files\common files\ahead\lib\nerodigitalext.dll (Nero AG) NeroDigitalExt.NeroDigitalColumnHandler
c:\program files\common files\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info
241 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
---------------------------------------------------------------------------------------
* c:\acer\empowering technology\edatasecurity\x86\psdprotect.dll (Egis Incorporated) {30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}
|
|
28.07.2008, 21:16
| #9 |
| > MalwareDB | Brauche Hilfe beim auswerten von Hijackthis Ich würde ergänzen zu nochdigger (hallo  ) gerne ein Combofix Log sehen wollen tun.  ComboFix
Wichtige Hinweise:
Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
28.07.2008, 21:26
| #10 |
| | Brauche Hilfe beim auswerten von Hijackthis ok hier ist die combofix log Code:
ATTFilter ComboFix 08-07-28.1 - Julian 2008-07-28 22:21:25.1 - NTFSx86 NETWORK
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.2560 [GMT 2:00]
ausgeführt von:: C:\Users\Julian\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Users\Julian\AppData\Roaming\.#
.
((((((((((((((((((((((( Dateien erstellt von 2008-06-28 bis 2008-07-28 ))))))))))))))))))))))))))))))
.
Keine neuen Dateien erstellt in diesem Zeitraum
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-28 20:18 --------- d---a-w C:\PROGRA~2\TEMP
2008-07-28 16:13 --------- d-----w C:\Users\Julian\AppData\Roaming\Malwarebytes
2008-07-28 16:13 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-07-28 16:13 --------- d-----w C:\PROGRA~2\Malwarebytes
2008-07-28 15:53 --------- d-----w C:\Users\Julian\AppData\Roaming\DNA
2008-07-28 15:52 --------- d-----w C:\Program Files\Trend Micro
2008-07-28 13:56 --------- d-----w C:\PROGRA~2\WindowsSearch
2008-07-28 12:59 --------- d-----w C:\Users\Julian\AppData\Roaming\PC Tools
2008-07-28 12:53 --------- d-----w C:\Program Files\McAfee
2008-07-28 12:50 --------- d-----w C:\Users\Julian\AppData\Roaming\BitTorrent
2008-07-28 11:43 --------- d-----w C:\Users\Julian\AppData\Roaming\Ahead
2008-07-28 09:28 --------- d-----w C:\PROGRA~2\FLEXnet
2008-07-28 09:24 --------- d-----w C:\Program Files\Common Files\Adobe
2008-07-28 09:13 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
2008-07-27 20:15 103,518 ----a-w C:\Users\Julian\AppData\Roaming\nvModes.dat
2008-07-27 10:22 --------- d-----w C:\Users\Julian\AppData\Roaming\Atari
2008-07-27 10:18 --------- d-----w C:\Users\Julian\AppData\Roaming\Leadertech
2008-07-27 10:18 --------- d-----w C:\Program Files\Common Files\PocketSoft
2008-07-27 10:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-23 18:09 38,472 ----a-w C:\Windows\system32\drivers\mbamswissarmy.sys
2008-07-23 18:09 17,144 ----a-w C:\Windows\system32\drivers\mbam.sys
2008-07-23 12:09 --------- d-----w C:\PROGRA~2\EPSON
2008-07-23 10:19 --------- d-----w C:\PROGRA~2\Microsoft Help
2008-07-21 23:10 --------- d-----w C:\Users\Julian\AppData\Roaming\Skype
2008-07-21 22:04 --------- d-----w C:\Users\Julian\AppData\Roaming\skypePM
2008-07-21 21:43 --------- d-----w C:\Program Files\Common Files\Blizzard Entertainment
2008-07-21 21:06 --------- d-----w C:\Program Files\Zattoo
2008-07-21 19:56 --------- d-----w C:\PROGRA~2\maxdome
2008-07-21 19:49 --------- d-----w C:\Program Files\Premiere
2008-07-21 19:41 --------- d-----w C:\Program Files\CyberLink
2008-07-21 19:41 --------- d-----w C:\PROGRA~2\CyberLink
2008-07-19 20:47 --------- d-----w C:\Program Files\Acer GameZone
2008-07-19 15:51 271,360 ----a-w C:\Windows\system32\drivers\atksgt.sys
2008-07-19 15:51 18,048 ----a-w C:\Windows\system32\drivers\lirsgt.sys
2008-07-16 16:25 --------- d-----w C:\Users\Julian\AppData\Roaming\vlc
2008-07-14 16:22 --------- d-----w C:\Users\Julian\AppData\Roaming\Big Fish Games
2008-07-14 15:42 --------- d-----w C:\PROGRA~2\Arcade Lab
2008-07-14 15:21 --------- d-----w C:\Users\Julian\AppData\Roaming\FloodLightGames
2008-07-13 17:32 --------- d-----w C:\PROGRA~2\LightScribe
2008-07-13 17:30 --------- d-----w C:\PROGRA~2\Sandlot Games
2008-07-13 17:28 --------- d-----w C:\PROGRA~2\Ahead
2008-07-13 17:27 --------- d-----w C:\Program Files\Common Files\Ahead
2008-07-13 17:26 --------- d-----w C:\Program Files\Nero
2008-07-13 17:26 --------- d-----w C:\PROGRA~2\Nero
2008-07-13 16:50 --------- d-----w C:\Program Files\Common Files\Sandlot Shared
2008-07-13 16:36 --------- d-----w C:\PROGRA~2\Trymedia
2008-07-13 14:45 --------- d-----w C:\Program Files\SiteAdvisor
2008-07-12 11:54 --------- d-----w C:\Users\Julian\AppData\Roaming\ICQ
2008-07-11 13:37 --------- d-----w C:\Program Files\iPod
2008-07-11 13:37 --------- d-----w C:\Program Files\Bonjour
2008-07-11 13:36 --------- d-----w C:\Program Files\QuickTime
2008-07-11 13:36 --------- d-----w C:\Program Files\Apple Software Update
2008-07-11 13:36 --------- d-----w C:\PROGRA~2\Apple Computer
2008-07-11 13:35 --------- d-----w C:\Program Files\Common Files\Apple
2008-07-11 13:35 --------- d-----w C:\PROGRA~2\Apple
2008-07-11 13:23 --------- d-----w C:\Program Files\DNA
2008-07-11 07:31 --------- d-----w C:\Program Files\Windows Mail
2008-07-09 21:56 --------- d-----w C:\Users\Julian\AppData\Roaming\CyberLink
2008-07-09 21:55 --------- d-----w C:\Users\Julian\AppData\Roaming\DivX
2008-07-05 12:13 --------- d-----w C:\PROGRA~2\JollyBear
2008-07-05 11:51 --------- d-----w C:\Users\Julian\AppData\Roaming\Gaijin Ent
2008-07-03 19:27 0 ---ha-w C:\Windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2008-07-02 20:10 --------- d-----w C:\Users\Julian\AppData\Roaming\Apple Computer
2008-07-02 20:10 --------- d-----w C:\PROGRA~2\QuickTime
2008-07-02 18:22 0 ---ha-w C:\Windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-06-28 23:09 --------- d-----w C:\Program Files\MSXML 4.0
2008-06-28 20:31 --------- d-----w C:\Program Files\Common Files\PX Storage Engine
2008-06-28 20:09 56 ---ha-w C:\Users\All Users\ezsidmv.dat
2008-06-28 20:09 56 ---ha-w C:\PROGRA~2\ezsidmv.dat
2008-06-28 20:07 --------- d-----w C:\Program Files\Skype
2008-06-28 20:06 --------- d-----w C:\Program Files\Common Files\Skype
2008-06-28 20:06 --------- d-----w C:\PROGRA~2\Skype
2008-06-28 17:33 --------- d-----w C:\Users\Julian\AppData\Roaming\SiteAdvisor
2008-06-28 17:33 --------- d-----w C:\Program Files\Acer
2008-06-28 17:30 --------- d-sh--w C:\Program Files\Gemeinsame Dateien
2008-06-28 17:30 --------- d-sh--w C:\PROGRA~2\Vorlagen
2008-06-28 17:30 --------- d-sh--w C:\PROGRA~2\Startmenü
2008-06-28 17:30 --------- d-sh--w C:\PROGRA~2\Favoriten
2008-06-28 17:30 --------- d-sh--w C:\PROGRA~2\Dokumente
2008-06-28 17:30 --------- d-sh--w C:\PROGRA~2\Anwendungsdaten
2008-06-26 03:29 801,280 ----a-w C:\Windows\System32\NaturalLanguage6.dll
2008-06-26 01:45 2,644,480 ----a-w C:\Windows\System32\NlsLexicons0009.dll
2008-06-26 01:45 12,240,896 ----a-w C:\Windows\System32\NlsLexicons0007.dll
2008-06-10 19:22 81,288 ----a-w C:\Windows\system32\drivers\iksyssec.sys
2008-06-02 13:19 66,952 ----a-w C:\Windows\system32\drivers\iksysflt.sys
2008-06-02 13:19 42,376 ----a-w C:\Windows\system32\drivers\ikfilesec.sys
2008-06-02 13:19 29,576 ----a-w C:\Windows\system32\drivers\kcom.sys
2008-05-30 23:22 823,296 ----a-w C:\Windows\System32\divx_xx0c.dll
2008-05-30 23:22 823,296 ----a-w C:\Windows\System32\divx_xx07.dll
2008-05-30 23:22 815,104 ----a-w C:\Windows\System32\divx_xx0a.dll
2008-05-30 23:22 802,816 ----a-w C:\Windows\System32\divx_xx11.dll
2008-05-30 23:22 683,520 ----a-w C:\Windows\System32\DivX.dll
2008-05-30 23:22 593,920 ----a-w C:\Windows\System32\dpuGUI11.dll
2008-05-30 23:22 57,344 ----a-w C:\Windows\System32\dpv11.dll
2008-05-30 23:22 53,248 ----a-w C:\Windows\System32\dpuGUI10.dll
2008-05-30 23:22 344,064 ----a-w C:\Windows\System32\dpus11.dll
2008-05-30 23:22 294,912 ----a-w C:\Windows\System32\dpu11.dll
2008-05-30 23:22 294,912 ----a-w C:\Windows\System32\dpu10.dll
2008-05-27 05:21 1,582,592 ----a-w C:\Windows\System32\tquery.dll
2008-05-27 05:21 1,418,240 ----a-w C:\Windows\System32\mssrch.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-01-03 02:00 39472 --a------ C:\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mcagent_exe"="C:\Program Files\McAfee.com\Agent\mcagent.exe" [2007-08-03 22:33 582992]
"SiteAdvisor"="C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" [2007-08-24 23:57 36640]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-03-05 15:15 525360]
"eAudio"="C:\Acer\Empowering Technology\eAudio\eAudio.exe" [2007-10-10 06:41 1286144]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-03-08 04:38 40048]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-12-05 12:18 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-12-05 12:18 8534560]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-12-05 12:18 81920]
"BisonInst0402"="C:\Windows\BR040286.exe" [2007-05-08 20:48 53248]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2007-10-17 07:57 768520]
"PlayMovie"="C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe" [2008-01-22 11:14 200704]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2007-07-21 12:18 159744]
"WarReg_PopUp"="C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe" [2008-01-29 09:03 303104]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"AppleSyncNotifier"="C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 09:47 116040]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2008-07-10 10:51 289064]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"RtHDVCpl"="RtHDVCpl.exe" [2007-12-05 05:31 4710400 C:\Windows\RtHDVCpl.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2008-04-03 18:23:49 535336]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{B85DCA3E-6512-43A2-BEE6-E805B0B616C2}"= Profile=Private|Profile=Public|C:\Program Files\Common Files\Mcafee\MNA\McNaSvc.exe:McAfee Network Agent
"{F323AAB3-7D92-409D-A682-EE53B7A22336}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{D6760355-F6C8-4F08-8CC9-2BA45A54954A}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{5A2F9BB5-B60A-493A-A47E-F31CE977710D}"= C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe
"{A1C952DB-615F-4BB1-A6A4-0D594EEB10C4}"= C:\Program Files\Acer Arcade Deluxe\VideoMagician\VideoMagician.exe:VideoMagician
"{B501C151-4ACE-4EB1-95A9-323A87664AD3}"= C:\Program Files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:HomeMedia
"{CDA041B1-F8CE-4F23-9CF7-0B4C47F39413}"= C:\Program Files\Acer Arcade Deluxe\DV Wizard\DV Wizard.exe:DV Wizard
"{012BBF5D-A61F-4CBD-91B6-491AAB165638}"= C:\Program Files\Acer Arcade Deluxe\DVDivine\DVDivine.exe:DVDivine
"{A481D92E-4DDD-4948-AAF7-76CBE886120A}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PlayMovie.exe:Play Movie
"{3527AF20-7A22-4228-8683-9C99FB458DD8}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe:Play Movie Resident Program
"TCP Query User{A5921299-67FD-418F-AD8E-1AB4DF39DE99}D:\\programme\\icq6\\icq.exe"= UDP:D:\programme\icq6\icq.exe:ICQ Library
"UDP Query User{B752DC41-33EF-410B-A952-1887066EAB2B}D:\\programme\\icq6\\icq.exe"= TCP:D:\programme\icq6\icq.exe:ICQ Library
"{689C1AAB-1459-43C3-823C-2D774A47C2E5}"= D:\Programme\Skype\Phone\Skype.exe:Skype
"{9F048B4B-7C37-4429-8A6D-6858807A20A2}"= UDP:C:\Program Files\DNA\btdna.exe:DNA
"{E0E72FAD-3014-49D3-8FCD-E31D289D037E}"= TCP:C:\Program Files\DNA\btdna.exe:DNA
"TCP Query User{ACBD4C73-A659-4135-BCF4-78CE9A418985}D:\\programme\\bittorrent\\bittorrent.exe"= UDP:D:\programme\bittorrent\bittorrent.exe:bittorrent
"UDP Query User{DC02EADB-BBC7-49B8-83C1-5EB24F412429}D:\\programme\\bittorrent\\bittorrent.exe"= TCP:D:\programme\bittorrent\bittorrent.exe:bittorrent
"{76FD5472-FC09-46CE-AAE9-C34F9B467327}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{341D8FB7-91B8-4D29-B6F7-1861379CFF59}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{B18470EB-9BE1-4349-90C3-594192FAEA69}"= UDP:D:\Programme\iTunes\iTunes.exe:iTunes
"{24FF8CA6-35F5-4817-8FA5-371802B39E62}"= TCP:D:\Programme\iTunes\iTunes.exe:iTunes
"TCP Query User{54912078-0F10-4C42-97D3-8E020286A6B7}C:\\users\\julian\\program files\\dna\\btdna.exe"= UDP:C:\users\julian\program files\dna\btdna.exe:btdna.exe
"UDP Query User{C3E83AA7-3EEA-476C-B0E9-C8E2D5BE2315}C:\\users\\julian\\program files\\dna\\btdna.exe"= TCP:C:\users\julian\program files\dna\btdna.exe:btdna.exe
"TCP Query User{F17D4FE3-DC7E-4FB3-B0E0-A41D3872B940}D:\\programme\\soulseek\\slsk.exe"= UDP:D:\programme\soulseek\slsk.exe:SoulSeek
"UDP Query User{3EB7AC25-DFE8-4DEE-B9DA-EA578FBA591A}D:\\programme\\soulseek\\slsk.exe"= TCP:D:\programme\soulseek\slsk.exe:SoulSeek
"TCP Query User{7F19CF62-2202-4DEC-BDA2-FFB71D8BF7B4}C:\\program files\\zattoo\\zattood.exe"= UDP:C:\program files\zattoo\zattood.exe:zattood
"UDP Query User{E4A2D692-F6F2-42E2-8CAA-264AEACFB440}C:\\program files\\zattoo\\zattood.exe"= TCP:C:\program files\zattoo\zattood.exe:zattood
"TCP Query User{DBB18F0E-1464-4B7E-B62C-165CFFD9A871}C:\\program files\\zattoo\\zattoo.exe"= UDP:C:\program files\zattoo\zattoo.exe:
"UDP Query User{2E1862C2-BABA-465E-9E11-7F032B526518}C:\\program files\\zattoo\\zattoo.exe"= TCP:C:\program files\zattoo\zattoo.exe:
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Acer\\Empowering Technology\\eDataSecurity\\x86\\eDSfsu.exe"= C:\Acer\Empowering Technology\eDataSecurity\x86\eDSfsu.exe:*:Enabled:eDSfsu
"C:\\Acer\\Empowering Technology\\eDataSecurity\\x86\\encryption.exe"= C:\Acer\Empowering Technology\eDataSecurity\x86\encryption.exe:*:Enabled:encryption
"C:\\Acer\\Empowering Technology\\eDataSecurity\\x86\\decryption.exe"= C:\Acer\Empowering Technology\eDataSecurity\x86\decryption.exe:*:Enabled:decryption
"C:\\Acer\\Empowering Technology\\eDataSecurity\\x86\\eDSMgr.exe"= C:\Acer\Empowering Technology\eDataSecurity\x86\eDSMgr.exe:*:Enabled:eDSMgr
"C:\\Acer\\Empowering Technology\\eDataSecurity\\x86\\eDStbmngr.exe"= C:\Acer\Empowering Technology\eDataSecurity\x86\eDStbmngr.exe:*:Enabled:eDStbmngr
"C:\\Acer\\Empowering Technology\\eDataSecurity\\x64\\eDSfsu.exe"= C:\Acer\Empowering Technology\eDataSecurity\x64\eDSfsu.exe:*:Enabled:eDSfsu
"C:\\Acer\\Empowering Technology\\eDataSecurity\\x64\\encryption.exe"= C:\Acer\Empowering Technology\eDataSecurity\x64\encryption.exe:*:Enabled:encryption
"C:\\Acer\\Empowering Technology\\eDataSecurity\\x64\\decryption.exe"= C:\Acer\Empowering Technology\eDataSecurity\x64\decryption.exe:*:Enabled:decryption
"C:\\Acer\\Empowering Technology\\eDataSecurity\\x64\\eDSMgr.exe"= C:\Acer\Empowering Technology\eDataSecurity\x64\eDSMgr.exe:*:Enabled:eDSMgr
"C:\\Acer\\Empowering Technology\\eDataSecurity\\x64\\eDStbmngr.exe"= C:\Acer\Empowering Technology\eDataSecurity\x64\eDStbmngr.exe:*:Enabled:eDStbmngr
"D:\\Programme\\Bittorrent\\bittorrent.exe"= D:\Programme\Bittorrent\bittorrent.exe:*:Enabled:BitTorrent
R3 enecir;ENE CIR Receiver;C:\Windows\system32\DRIVERS\enecir.sys [2007-05-16 14:47]
S2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl [2008-01-04 17:15]
S2 ALaunchService;ALaunch Service;C:\Acer\ALaunch\ALaunchSvc.exe [2007-09-19 14:41]
S4 ErrDev;Microsoft Hardware Error Device Driver;C:\Windows\system32\drivers\errdev.sys [2008-01-21 04:23]
S4 MegaSR;MegaSR;C:\Windows\system32\drivers\megasr.sys [2008-01-21 04:23]
*Newly Created Service* - CATCHME
*Newly Created Service* - ECACHE
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-ALaunch - C:\Acer\ALaunch\AlaunchClient.exe
HKLM-Run-Acer Tour Reminder - C:\Acer\AcerTour\Reminder.exe
HKLM-Run-eRecoveryService - (no file)
.
------- Zusätzlicher Scan -------
.
R0 -: HKLM-Main,Start Page = hxxp://de.intl.acer.yahoo.com
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-28 22:24:05
Windows 6.0.6001 Service Pack 1 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-28 22:25:14
ComboFix-quarantined-files.txt 2008-07-28 20:24:59
Pre-Run: Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Post-Run: 18 Verzeichnis(se), 117,627,633,664 Bytes frei
228 --- E O F --- 2008-07-28 08:50:06
|
|
28.07.2008, 21:27
| #11 |
| | Brauche Hilfe beim auswerten von Hijackthis und hier ist die neue HJT log file Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:27:03, on 28.07.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Safe mode with network support Running processes: D:\Programme\Firefox\firefox.exe c:\PROGRA~1\mcafee.com\agent\mcagent.exe c:\PROGRA~1\mcafee\msc\mcuimgr.exe C:\Windows\Explorer.exe C:\Windows\system32\notepad.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing) O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [BisonInst0402] C:\Windows\BR040286.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe" O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Empowering Technology Launcher.lnk = ? O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan\McShield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 7980 bytes |
|
28.07.2008, 22:00
| #12 |
| > MalwareDB | Brauche Hilfe beim auswerten von Hijackthis Führe einen Online Scan mit Kaspersky (bitte im Internet Explorer) aus. Poste das Logfile dann hier.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
28.07.2008, 22:08
| #13 |
| | Brauche Hilfe beim auswerten von Hijackthis ist es ok wenn ich das alles im abgesicherten modus machen? |
|
28.07.2008, 22:32
| #14 |
| > MalwareDB | Brauche Hilfe beim auswerten von Hijackthis Im abgesicherten Modus hast Du keine Interntverbindung. Da klappt der Scan nicht. Also im normalen Modus machen.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
28.07.2008, 22:47
| #15 |
| | Brauche Hilfe beim auswerten von Hijackthis das hier ist erstmal der log der wichtigen dateien von kaspersky. der komplette folgt gleich. Code:
ATTFilter -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 28. Juli 2008 23:42:54
Betriebssystem: Microsoft Windows Vista Home Edition, Service Pack 1 (Build 6001)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 28/07/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1017477
-------------------------------------------------------------------------------
Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja
Untersuchungsobjekt - Kritische Objekte:
C:\Windows
C:\Users\Julian\AppData\Local\Temp\
Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 50528
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:15:51
Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Windows\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT{3a539869-6a70-11db-887c-d362bd253390}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT{3a539869-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT{3a539869-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT{3a539865-6a70-11db-887c-d362bd253390}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT{3a539865-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT{3a539865-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\edb.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\COMPONENTS Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\COMPONENTS.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\COMPONENTS.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\DEFAULT.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\DEFAULT.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\RegBack\COMPONENTS Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\RegBack\DEFAULT Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\RegBack\SAM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\RegBack\SECURITY Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\RegBack\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\RegBack\SYSTEM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SAM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SAM.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SAM.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SECURITY.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SECURITY.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SOFTWARE.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SOFTWARE.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SYSTEM.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SYSTEM.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.0.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.1.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.2.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.blf Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\Scm\SCM.EVM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Logs\WMITracing.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\Windows\System32\WDI\LogFiles\WdiContextLog.etl.003 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wfp\wfpdiag.etl Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Application.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\DFS Replication.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\HardwareEvents.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Internet Explorer.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Key Management Service.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Media Center.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-International%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\ODiag.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\OSession.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Security.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Setup.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\System.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\Temp\mcmsc_V0VShQwkhXjpoOE Das Objekt ist gesperrt übersprungen
C:\Users\Julian\AppData\Local\Temp\etilqs_OPlJcghNf6Btz3Sd5a6P Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
|
|
| Themen zu Brauche Hilfe beim auswerten von Hijackthis |
| acer, antivirus, auf einmal, auswerten, blau, brauche hilfe, clean, computer, detected, hijack, hijackthi, hijackthis, install, laptop, neue, nicht angezeigt, online, programm, remover, spyware, trojaner, viren, virus, warning, warning! spyware, windows, ändern |
Linear-Darstellung
