Hi,

nicht gut!
Länge Null hatte ich noch nie, manipulierte ja, aber gelöschte...

Hoster.zip
http://www.funkytoad.com/content/view/13/
Lade die Datei "HostsXpert" auspacken und führe zuerst ein Backup
des aktullen Hostsfiles durch. Danach "Restore MS Hosts".
Neu booten, Hostfile nochmals kontrolliern und Internet ausprobieren.
Falls das Internet nichtmehr läuft, altes Hostfile ("Restore") zurückholen
und den Inhalt vom Hostsfile posten (ggf. packen).

Hast Du einen Optimierer (z.B. FasterFox) bei Firefox laufen lassen?

chris

Wie gesagt, FIreFox ist frisch instaliert und ohne iwelche Zusätze. Das Umleiten ist aber nervig ohne Ende und immernoch vorhanden

Ich probiere nun mal deinen rat aus

mfg croe

Backup machen hat funktioniert aber restoring nicht. Da kam ein Error: Can not create file C:\WINDOWS\system32\drivers\ETC\hosts

mfg croe

Hi,

prüfe ob das File schreibgeschützt ist...
mit der rechten Maustaste daufklicken ->Eigenschaften, Häkchen bei Schreibgeschützt entfernen...

chris

Ist nicht schreibgeschützt. Trotzdem geht es nicht.

@Chris

Meinen armen Thread einfach entführen! Wie kannst du es wagen!





@croe
Die hosts-Datei ist bei Home-Versionen von XP teilweise schreibgeschützt.

Was passiert denn wenn du die Datei einfach per Doppelklick aufrufen möchtest? Eigentlich sollte dir dann eine Auswahl von Programmen angezeigt werden. Wähle da Editor aus und sag uns was in der Textdatei steht.

lg myrtille

Da steht:
Nichts.


mfg croe

Hi,
ok, dann versuchen wir mal alle Möglichkeitne auszuschließen:
Bitte CCleaner durchlaufen lassen.
Blacklight bitte durchlaufen lassen.

Dann Malwarebytes nochmal durchlaufen lassen (vorher bitte updaten) und das Ergebnis hier posten.
Danach noch ein DSS Log erstellen.

lg myrtille

Firefox geht!

Google werde ich nicht mehr umgeleitet!

und hier die Logs:

Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 985
Windows 5.1.2600 Service Pack 2

13:53:48 03.08.2008
mbam-log-8-3-2008 (13-53-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 278654
Laufzeit: 2 hour(s), 50 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{E6F8F12A-66C5-45E7-8E89-8ECF9AB1469A}\RP633\A0132091.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E6F8F12A-66C5-45E7-8E89-8ECF9AB1469A}\RP633\A0132092.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E6F8F12A-66C5-45E7-8E89-8ECF9AB1469A}\RP633\A0132093.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E6F8F12A-66C5-45E7-8E89-8ECF9AB1469A}\RP633\A0132094.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clbdll.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\clbdriver.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
         

DSS:

Code: Alles auswählenAufklappen

ATTFilter

Deckard's System Scanner v20071014.68
Run by Damned on 2008-08-03 18:44:14
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Damned.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:44:22, on 03.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PsCtrls.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
c:\programme\panda software\panda internet security 2007\firewall\PSHOST.EXE
C:\Programme\Panda Software\Panda Internet Security 2007\PsImSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Panda Software\Panda Internet Security 2007\ApvxdWin.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\NETGEAR\WG311 Wireless Smart Configuration\Utility\NetgearAG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\Programme\Keyboard\Office-Web Center\Panel.exe
C:\Programme\Napster\napster.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Panda Software\Panda Internet Security 2007\WebProxy.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PavBckPT.exe
C:\Programme\QIP 2005 psYNovA-Edition2\qip.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Damned\Desktop\dss.exe
C:\DOKUME~1\Damned\Desktop\Damned.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Alcohol Toolbar Helper - {52D06F97-5511-43FA-8FDA-C481864FD26E} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Alcohol Toolbar - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AS01_Netgear] C:\Programme\NETGEAR\WG311 Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~2\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Keyboard/mouse] "C:\Programme\Keyboard\Office-Web Center\Panel.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "e:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A534FBEE-D3E3-495D-B6D8-05EED08200D7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3387D63-F013-4D6C-A3DC-2356D6CACA60}: NameServer = 192.168.1.99
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda software\panda internet security 2007\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe

--
End of file - 11160 bytes

-- Files created between 2008-07-03 and 2008-08-03 -----------------------------

2008-08-03 10:21:44         0 dr-h----- C:\Dokumente und Einstellungen\Damned\Recent
2008-08-02 14:08:06         0 d-------- C:\Programme\CCleaner
2008-07-31 16:04:05         0 d-------- C:\Dokumente und Einstellungen\Damned\temporary internet files
2008-07-31 10:26:24         0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-31 09:58:55      5716 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-29 15:09:28      7492 --a------ C:\WINDOWS\system32\clbinit.dll
2008-07-28 13:38:31       656 --a------ C:\WINDOWS\unins000.dat
2008-07-15 13:48:05         0 d-------- C:\Programme\Bonjour
2008-07-15 13:47:29         0 d-------- C:\Programme\QuickTime
2008-07-13 22:15:57         0 d-------- C:\Dokumente und Einstellungen\Damned\Application Data
2008-07-13 22:15:57         0 d-------- C:\Dokumente und Einstellungen\Damned\Application Data\Microsoft
2008-07-08 16:25:37         0 d-------- C:\Programme\QIP 2005 psYNovA-Edition2
2008-07-07 17:35:13         0 d-------- C:\Programme\QIP new try


-- Find3M Report ---------------------------------------------------------------

2008-08-03 18:43:09         0 d-------- C:\Dokumente und Einstellungen\Damned\Anwendungsdaten\Mozilla
2008-08-03 13:06:41       664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-07-31 14:55:55         0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-31 14:46:44         0 d-------- C:\Programme\Symantec
2008-07-31 14:25:29         0 d--h----- C:\Programme\InstallShield Installation Information
2008-07-31 14:25:29         0 d-------- C:\Programme\ArcSoft
2008-07-31 14:24:08         0 d-------- C:\Programme\Gemeinsame Dateien
2008-07-31 14:18:06         0 d-------- C:\Programme\Google
2008-07-31 14:10:39         0 d-------- C:\Programme\Java
2008-07-31 10:26:30         0 d-------- C:\Dokumente und Einstellungen\Damned\Anwendungsdaten\Malwarebytes
2008-07-28 13:38:32     72748 --a------ C:\WINDOWS\unins000.exe <Not Verified; Jordan Russell; >
2008-07-22 18:59:16         0 d-------- C:\Programme\Mozilla Thunderbird
2008-07-22 18:33:24         0 d-------- C:\Programme\Gamers.IRC
2008-07-15 18:09:39         0 d-------- C:\Dokumente und Einstellungen\Damned\Anwendungsdaten\Skype
2008-07-15 13:49:43         0 d-------- C:\Programme\iTunes
2008-07-15 13:49:35         0 d-------- C:\Programme\iPod
2008-07-10 00:12:05         0 d-------- C:\Dokumente und Einstellungen\Damned\Anwendungsdaten\Adobe
2008-07-09 23:31:19     26396 --ah----- C:\WINDOWS\system32\mlfcache.dat
2008-07-08 16:21:14         0 d-------- C:\Programme\QIP 2005 psYNovA-Edition
2008-07-02 16:34:20         0 d-------- C:\Programme\QIP
2008-06-26 14:44:44         0 d-------- C:\Programme\PowerISO
2008-06-10 17:12:23         0 d-------- C:\Programme\Zattoo
2008-06-08 17:29:44         0 d-------- C:\Dokumente und Einstellungen\Damned\Anwendungsdaten\OpenOffice.org2
2008-06-04 22:27:13         0 d-------- C:\Programme\Last.fm
2008-05-10 16:10:44    421618 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-10 16:10:44     76906 --a------ C:\WINDOWS\system32\perfc007.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [15.04.2005 05:01 C:\WINDOWS\SOUNDMAN.EXE]
"Gainward"="C:\WINDOWS\TBPanel.exe" [25.07.2005 10:39]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [20.07.2005 15:07]
"nwiz"="nwiz.exe" [20.07.2005 15:07 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [20.07.2005 15:07]
"AS01_Netgear"="C:\Programme\NETGEAR\WG311 Wireless Smart Configuration\Utility\NetgearAG.exe" [19.12.2003 13:49]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [31.10.2003 19:42]
"APVXDWIN"="C:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.exe" [27.04.2007 20:44]
"SCANINICIO"="C:\Programme\Panda Software\Panda Internet Security 2007\Inicio.exe" [17.04.2007 18:29]
"SmartSync - ScheduleSync"="C:\PROGRA~1\MOBILE~2\SMARTS~1\SCHEDU~1.EXE" [30.03.2006 16:49]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [25.10.2007 17:33]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [25.10.2007 17:37]
"TomTomHOME.exe"="C:\Programme\TomTom HOME 2\HOMERunner.exe" [31.10.2007 11:19]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16]
"Keyboard/mouse"="C:\Programme\Keyboard\Office-Web Center\Panel.exe" [16.10.2006 20:25]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 12:50]
"NapsterShell"="C:\Programme\Napster\napster.exe" [12.01.2007 19:36]
"PWRISOVM.EXE"="C:\Programme\PowerISO\PWRISOVM.EXE" [16.06.2008 10:52]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [10.07.2008 09:47]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [27.05.2008 10:50]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [10.07.2008 10:51]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [23.03.2007 17:35]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [13.10.2004 18:24]
"Steam"="e:\programme\valve\steam\steam.exe" [30.03.2008 13:03]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 14:00]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [01.04.2008 18:35]
"@"="" []

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [23.03.2007 17:35:41]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr] 
avldr.dll 15.02.2007 20:02 50736 C:\WINDOWS\system32\avldr.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\clbdriver.sys]
@="driver"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d0e0e641-fadc-11da-8c7d-806d6172696f}]
AutoRun\command- F:\Setup.exe




-- End of Deckard's System Scanner: finished at 2008-08-03 18:45:12 ------------
         

War es das?

1000Dank myrtille und auch Danke Chris4You :aplaus:

mfg croe

Hi,
Da hab ich mich schön vorführen lassen.
Hast du eigentlich VMWare installiert?

lass bitte noch folgende Datei bei virustotal auswerten:

C:\WINDOWS\system32\clbinit.dll


Was hat Blacklight gefunden?

lg myrtille

@myrtille:
Bitte um Entschuldigung, vielmals!
Isch stehe in Deiner Schuld!
- Äh und wenn, dann betrifft das mit dem Vorführen uns Beide.
chris

Code: Alles auswählenAufklappen

ATTFilter

 Datei clbinit.dll empfangen 2008.08.03 23:30:22 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.7.29.1	2008.08.02	-
AntiVir	7.8.1.15	2008.08.01	-
Authentium	5.1.0.4	2008.08.03	-
Avast	4.8.1195.0	2008.08.03	-
AVG	8.0.0.156	2008.08.02	-
BitDefender	7.2	2008.08.03	-
CAT-QuickHeal	9.50	2008.08.02	-
ClamAV	0.93.1	2008.08.03	-
DrWeb	4.44.0.09170	2008.08.03	-
eSafe	7.0.17.0	2008.08.03	-
eTrust-Vet	31.6.6002	2008.08.02	-
Ewido	4.0	2008.08.03	-
F-Prot	4.4.4.56	2008.08.03	-
F-Secure	7.60.13501.0	2008.08.03	-
Fortinet	3.14.0.0	2008.08.03	-
GData	2.0.7306.1023	2008.08.03	-
Ikarus	T3.1.1.34.0	2008.08.03	-
K7AntiVirus	7.10.402	2008.08.02	-
Kaspersky	7.0.0.125	2008.08.03	-
McAfee	5352	2008.08.01	-
Microsoft	1.3807	2008.08.03	-
NOD32v2	3322	2008.08.03	-
Norman	5.80.02	2008.08.01	-
Panda	9.0.0.4	2008.08.03	-
PCTools	4.4.2.0	2008.08.03	-
Prevx1	V2	2008.08.03	-
Rising	20.55.62.00	2008.08.03	-
Sophos	4.31.0	2008.08.03	-
Sunbelt	3.1.1537.1	2008.08.01	-
Symantec	10	2008.08.03	-
TheHacker	6.2.96.392	2008.08.02	-
TrendMicro	8.700.0.1004	2008.08.01	-
VBA32	3.12.8.2	2008.08.02	-
ViRobot	2008.8.1.1321	2008.08.01	-
VirusBuster	4.5.11.0	2008.08.03	-
Webwasher-Gateway	6.6.2	2008.08.03	-
weitere Informationen
File size: 7492 bytes
MD5...: 8fdb709c13050116aaa0893072dd97f8
SHA1..: 5bf8e14b4b49195b44e27c23f0a80f3ae06f11a3
SHA256: a98547ed4c3b1fe5eb7f6ddc184eb61bcf650cf971d6a4b5704ab5d8a6dd4a79
SHA512: 6c34d9510f7c4446a1411d9e35eb844854118c7fe169f158ff897837c3fd59a0
6fa56abcfd3f0290e05bb353191c3b3957997b77b71aa74ccd9792c3b9cfbdc5
PEiD..: -
PEInfo: -
         

Blacklight:

Code: Alles auswählenAufklappen

ATTFilter

08/03/08 10:25:29 [Info]: BlackLight Engine 1.0.70 initialized
08/03/08 10:25:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/03/08 10:25:29 [Note]: 7019 4
08/03/08 10:25:29 [Note]: 7005 0
08/03/08 10:25:35 [Note]: 7006 0
08/03/08 10:25:35 [Note]: 7011 3656
08/03/08 10:25:35 [Note]: 7035 0
08/03/08 10:25:35 [Note]: 7026 0
08/03/08 10:25:35 [Note]: 7026 0
08/03/08 10:25:37 [Note]: FSRAW library version 1.7.1024
08/03/08 10:28:55 [Info]: Hidden file: c:\WINDOWS\system32\clb.dll
08/03/08 10:28:55 [Note]: 10002 1
08/03/08 10:28:56 [Info]: Hidden file: c:\WINDOWS\system32\clbcatex.dll
08/03/08 10:28:56 [Note]: 10002 1
08/03/08 10:28:56 [Info]: Hidden file: c:\WINDOWS\system32\clbcatq.dll
08/03/08 10:28:56 [Note]: 10002 1
08/03/08 10:28:56 [Info]: Hidden file: c:\WINDOWS\system32\clbdll.dll
08/03/08 10:28:56 [Note]: 10002 1
08/03/08 10:28:56 [Info]: Hidden file: c:\WINDOWS\system32\clbinit.dll
08/03/08 10:28:56 [Note]: 10002 1
08/03/08 10:29:14 [Info]: Hidden file: c:\WINDOWS\system32\drivers\clbdriver.sys
08/03/08 10:29:14 [Note]: 10002 1
08/03/08 10:29:32 [Note]: 2000 1012
08/03/08 10:29:32 [Note]: 2000 1012
08/03/08 10:29:32 [Note]: 2000 1012
08/03/08 10:53:15 [Note]: 7007 0
         

Tut mir Leid, hab Blacklight ganz vergessen zu posten, hab alle Sachen in der Reihnfolge gemacht, die du mir geschrieben hattest myrtille.

Ist denn noch was im argen mit der Datei? 0% klingt mir sehr positiv, als hätte ich diesen Kampf mit meinem PC dank eurer Hilfe gewonnen

mfg croe

Hi,

(oh Gott, ich mische mich schon wieder ein)...
clbdriver.sys ->
http://www.prevx.com/filenames/X111215707812974387-X1/CLBDRIVER.SYS.html

Hast Du den Rootkit jetzt gelöscht oder nicht?
(Für sich alleine scheint die Datei ungefährlich, mit den anderen Zusammen nicht mehr ganz so (wie der Revolver ohne Patrone und Abzug ...)

@myrtille, ich gehe jetzt heia machen...
It's your turn (ich verspreche auch mich nicht mehr einzumischen ;o)

chris

Ich habe absolut keine Ahnung was du meinst, oder wie ich das beheben kann oder ?? Könntest du mir das nochmal in einfachen Worten erklären ^^

mfg croe

Hi,
mach bitte nochmal einen neuen Scan mit Blacklight.

Das Rootkit wurde von MBAM gelöscht.

Zitat:

08/03/08 10:28:55 [Info]: Hidden file: c:\WINDOWS\system32\clb.dll
08/03/08 10:28:55 [Note]: 10002 1
08/03/08 10:28:56 [Info]: Hidden file: c:\WINDOWS\system32\clbcatex.dll
08/03/08 10:28:56 [Note]: 10002 1
08/03/08 10:28:56 [Info]: Hidden file: c:\WINDOWS\system32\clbcatq.dll
08/03/08 10:28:56 [Note]: 10002 1

Das sind legitime Dateien.

Zitat:

[Info]: Hidden file: c:\WINDOWS\system32\clbdll.dll
08/03/08 10:28:56 [Note]: 10002 1
08/03/08 10:28:56 [Info]: Hidden file: c:\WINDOWS\system32\clbinit.dll
08/03/08 10:28:56 [Note]: 10002 1
08/03/08 10:29:14 [Info]: Hidden file: c:\WINDOWS\system32\drivers\clbdriver.sys

Das sind keine legitimen Dateien. Daher würd ich dich bitten die clbinit.dll erstmal in clbinit.dll.vir umzubennen und zu schauen ob sich das auf deinen Rechner auswirkt.
lg myrtille