|
Plagegeister aller Art und deren Bekämpfung: Probleme mit SpywareWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.08.2008, 17:05 | #1 |
| Probleme mit Spyware wie schon gesagt hab ich probleme mit spyware. seit kurzem werden beim surfen immer wieder pop-ups von microsoft geöffnet, die mir sagen das meine system sehr gefährdet ist. vereinzelt kommen auch werde pop-ups. hab auch schon einen log erstellt, komme mit diesem jetzt aber nicht wirklich zuecht. könnt ihr mir helfen wo in dem log genau das/die problem(e) stecken. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:56:41, on 08.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\WLTRAY.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\OSDCtrl.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE C:\Programme\Veoh Networks\Veoh\VeohClient.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\dokumente und einstellungen\mischa\lokale einstellungen\anwendungsdaten\qiueg.exe C:\Programme\Lexmark X125\LEX125SU.exe C:\Dokumente und Einstellungen\Mischa\Eigene Dateien\Winwall\Winwall.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.strivetopower.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [LMgrVolOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSDCtrl.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [EPSON Stylus DX8400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE /FU "C:\WINDOWS\TEMP\E_S123.tmp" /EF "HKCU" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [aaioq] c:\dokumente und einstellungen\mischa\lokale einstellungen\anwendungsdaten\aaioq.exe aaioq O4 - HKCU\..\Run: [qiueg] c:\dokumente und einstellungen\mischa\lokale einstellungen\anwendungsdaten\qiueg.exe qiueg O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Winwall Autostart.lnk = C:\Dokumente und Einstellungen\Mischa\Eigene Dateien\Winwall\Winwall.exe O4 - Global Startup: Lexmark X125 Einstellungsdienstprogramm.lnk = C:\Programme\Lexmark X125\LEX125SU.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Search - ?p=ZNfox000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe |
08.08.2008, 18:02 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit Spyware Hallo
__________________Acker das mal ab: 1.) Folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\dokumente und einstellungen\mischa\lokale einstellungen\anwendungsdaten\qiueg.exe c:\dokumente und einstellungen\mischa\lokale einstellungen\anwendungsdaten\aaioq.exe c:\dokumente und einstellungen\mischa\lokale einstellungen\anwendungsdaten\qiueg.exe 3.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
__________________ |
10.08.2008, 12:21 | #3 |
| Probleme mit Spyware hier endlich die geforderten logs. ich hoffen ihr könnt mir nun weiterhelfen!
__________________qiueg.exe: Code:
ATTFilter Datei qiueg.exe empfangen 2008.08.09 17:01:26 (CET) Ergebnis: 4/35 (11.43%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.9.0 2008.08.08 - AntiVir 7.8.1.19 2008.08.09 - Authentium 5.1.0.4 2008.08.09 - Avast 4.8.1195.0 2008.08.08 - AVG 8.0.0.156 2008.08.08 - BitDefender 7.2 2008.08.09 - CAT-QuickHeal 9.50 2008.08.08 - ClamAV 0.93.1 2008.08.09 - DrWeb 4.44.0.09170 2008.08.09 - eSafe 7.0.17.0 2008.08.07 - eTrust-Vet 31.6.6021 2008.08.08 - Ewido 4.0 2008.08.09 - F-Prot 4.4.4.56 2008.08.08 - Fortinet 3.14.0.0 2008.08.09 - GData 2.0.7306.1023 2008.08.09 - Ikarus T3.1.1.34.0 2008.08.09 Trojan.Win32.Skintrim.B K7AntiVirus 7.10.408 2008.08.09 - Kaspersky 7.0.0.125 2008.08.09 - McAfee 5357 2008.08.08 Skintrim.gen Microsoft 1.3807 2008.08.09 Trojan:Win32/Skintrim.gen!B NOD32v2 3341 2008.08.08 - Norman 5.80.02 2008.08.08 - Panda 9.0.0.4 2008.08.09 Suspicious file PCTools 4.4.2.0 2008.08.09 - Prevx1 V2 2008.08.09 - Rising 20.56.41.00 2008.08.08 - Sophos 4.32.0 2008.08.09 - Sunbelt 3.1.1538.1 2008.08.09 - Symantec 10 2008.08.09 - TheHacker 6.2.96.395 2008.08.08 - TrendMicro 8.700.0.1004 2008.08.08 - VBA32 3.12.8.3 2008.08.09 - ViRobot 2008.8.8.1329 2008.08.08 - VirusBuster 4.5.11.0 2008.08.08 - Webwasher-Gateway 6.6.2 2008.08.09 - weitere Informationen File size: 249856 bytes MD5...: c48135a0f4c04e2ec206e3a39000ff41 SHA1..: 3305d0252202af4b336961c5f65c0e1025e6cbde SHA256: 3a6666b61457c86f9c808896426fb7b1017092ba9e9d554eb258711f887715bf SHA512: 41e4926d7253c1fe0ba3fab75f86fda9ee8417d976fd7cc3882353e33655954e c70d4bef48450cd040ae23d94b2cbbea437d8b27f5028e6ee05b88dac311f916 PEiD..: - PEInfo: PE Structure information antimalware-log: Code:
ATTFilter Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken. Infizierte Dateien: C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085938.scr (Adware.MyWebSearch) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085939.EXE (Adware.MyWebSearch) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085941.DLL (Adware.MyWebSearch) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085943.DLL (Adware.MyWebSearch) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085945.DLL (Adware.MyWebSearch) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085948.SCR (Adware.MyWebSearch) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085950.DLL (Adware.MyWeb.FunWeb) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085951.EXE (Adware.MyWeb.FunWeb) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085952.DLL (Adware.MyWebSearch) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085954.DLL (Adware.MyWebSearch) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085957.DLL (Adware.MyWebSearch) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085959.DLL (Adware.MyWebSearch) -> No action taken. C:\System Volume Information\_restore{51736239-C9CA-461C-9169-76131B14BB37}\RP498\A0085962.EXE (Adware.MyWebSearch) -> No action taken. Code:
ATTFilter ComboFix 08-08-09.03 - Mischa 2008-08-10 12:43:58.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.531 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Mischa\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Mischa\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\FSJN3S9Y\www.broadcaster.com C:\Dokumente und Einstellungen\Mischa\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com C:\Dokumente und Einstellungen\Mischa\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol c:\Dokumente und Einstellungen\Mischa\Lokale Einstellungen\Anwendungsdaten\qiueg.dat C:\Dokumente und Einstellungen\Mischa\Lokale Einstellungen\Anwendungsdaten\qiueg.exe c:\Dokumente und Einstellungen\Mischa\Lokale Einstellungen\Anwendungsdaten\qiueg_nav.dat C:\Dokumente und Einstellungen\Mischa\Lokale Einstellungen\Anwendungsdaten\qiueg_navps.dat . ((((((((((((((((((((((( Dateien erstellt von 2008-07-10 bis 2008-08-10 )))))))))))))))))))))))))))))) . 2008-08-10 12:40 . 2008-08-10 12:40 <DIR> d-------- C:\Programme\CCleaner 2008-08-10 11:10 . 2004-08-04 14:00 15,360 --a--c--- C:\WINDOWS\system32\dllcache\ctfmon.exe.backup 2008-08-10 11:10 . 2004-08-04 14:00 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe.backup 2008-08-09 17:18 . 2008-08-09 17:18 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-09 17:18 . 2008-08-09 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\Mischa\Anwendungsdaten\Malwarebytes 2008-08-09 17:18 . 2008-08-09 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-09 17:18 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-09 17:18 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-08 17:36 . 2008-08-08 17:36 <DIR> d-------- C:\Programme\Trend Micro . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-10 10:52 --------- d-----w C:\Dokumente und Einstellungen\Mischa\Anwendungsdaten\Skype 2008-08-10 10:50 --------- d-----w C:\Programme\PestPatrol 2008-08-10 09:23 --------- d-----w C:\Programme\QuickTime 2008-08-10 09:10 24,064 ----a-w C:\WINDOWS\system32\ctfmon.exe 2008-08-10 08:49 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-09 17:24 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll 2008-08-09 17:24 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll 2008-08-09 17:24 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll 2008-08-09 16:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-07-28 16:06 --------- d-----w C:\Programme\StarMoney 5.0 S-Edition 2008-07-12 10:48 --------- d-----w C:\Programme\DivX 2008-07-10 21:00 --------- d-----w C:\Programme\Trillian 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2006-08-21 14:37 0 ----a-w C:\Dokumente und Einstellungen\Mischa\Anwendungsdaten\wklnhst.dat 2002-01-18 05:52 3,932 ------w C:\Dokumente und Einstellungen\Mischa\Anwendungsdaten\LMLayout.dat . ------- Sigcheck ------- 2008-08-10 11:10 24064 c3a2915c71ae6f225eb906c25ccd29b5 C:\WINDOWS\system32\ctfmon.exe 2008-08-10 11:10 24064 c3a2915c71ae6f225eb906c25ccd29b5 C:\WINDOWS\system32\dllcache\ctfmon.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-05-11 13:20 23395880] "EPSON Stylus DX8400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE" [2007-04-12 08:00 182272] "ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [X] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 21:05 339968] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-09-16 19:12 737369] "LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-03-30 15:29 32768] "HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2005-05-02 14:09 57344] "LMgrVolOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 13:52 204800] "LMgrOSD"="C:\Programme\Launch Manager\OSDCtrl.exe" [2004-10-11 10:47 245760] "Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-04-18 11:41 81920] "CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 14:28 20480] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "PestPatrol Control Center"="C:\Programme\PestPatrol\PPControl.exe" [2004-11-15 11:49 98304] "PPMemCheck"="C:\Programme\PestPatrol\PPMemCheck.exe" [2003-04-19 07:53 148480] "CookiePatrol"="C:\Programme\PestPatrol\CookiePatrol.exe" [2005-01-10 09:35 73728] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 20:46 266497] "SoundMan"="SOUNDMAN.EXE" [2005-03-24 21:20 77824 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-08-10 11:10 24064] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.3ivx"= 3ivxVfWCodec.dll "vidc.divf"= divx412.dll "vidc.div3"= DivXc32.dll "vidc.div4"= DivXc32f.dll "vidc.hfyu"= huffyuv.dll "msacm.divxa32"= DivXa32.acm "msacm.l3radium"= l3codecp.acm [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Trillian\\trillian.exe"= "C:\\games\\Beattle Realms\\Battle_Realms_F.exe"= "C:\\games\\Counter-strike 1.6\\hl.exe"= "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\LMpdpsrv.exe"= "C:\\games\\Empire Earth\\Empire Earth.exe"= "C:\\WINDOWS\\system32\\dplaysvr.exe"= "C:\\Programme\\THQ\\Dawn of War\\W40k.exe"= "C:\\games\\Sacred Underworld\\Gameserver.exe"= "C:\\games\\Sacred Underworld\\sacred.exe"= "C:\\Programme\\Maxis\\SimCity 3000 Deutschland\\Apps\\Updater\\UPDATER.EXE"= "C:\\WINDOWS\\system32\\dpnsvr.exe"= "C:\\Dokumente und Einstellungen\\Mischa\\Eigene Dateien\\My Games\\Disciples 2 Elves\\Discipl2.exe"= "C:\\Dokumente und Einstellungen\\Mischa\\Eigene Dateien\\My Games\\UT2003\\System\\UT2003.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Dokumente und Einstellungen\\Mischa\\Eigene Dateien\\My Games\\Warcraft III\\Warcraft III.exe"= "C:\\Programme\\THQ\\Dawn of War\\W40kWA.exe"= "C:\\Programme\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27] R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-12-15 14:18] S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [] S3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys [2005-10-04 09:24] S3 odysseyIM4;Odyssey Network Agent Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM4.sys [2005-05-18 13:52] S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 18:57] S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 18:58] S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 18:59] . Inhalt des "geplante Tasks" Ordners 2008-06-14 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 14:21] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - HKCU-Run-SpybotSD TeaTimer - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe HKLM-Run-MsgCenterExe - C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe HKLM-Run-QuickTime Task - C:\Programme\QuickTime\qttask.exe Notify-OdysseyClient - (no file) . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Mischa\Anwendungsdaten\Mozilla\Firefox\Profiles\4l9kxgpo.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.gmx.de/ ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-10 12:50:23 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\WLTRYSVC.EXE C:\WINDOWS\system32\BCMWLTRY.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\WLTRAY.EXE C:\Programme\Lexmark X125\LEX125SU.exe C:\Dokumente und Einstellungen\Mischa\Eigene Dateien\Winwall\Winwall.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-10 13:10:10 - PC wurde neu gestartet [Mischa] ComboFix-quarantined-files.txt 2008-08-10 11:10:04 Pre-Run: 16 Verzeichnis(se), 39,816,245,248 Bytes frei Post-Run: 18 Verzeichnis(se), 41,723,207,680 Bytes frei 167 --- E O F --- 2008-07-09 08:05:36 |
10.08.2008, 14:05 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit Spyware Hast Du Malwarebytes nicht angewiesen, die Funde automatisch zu löschen? Hinter jedem Eintrag steht nämlich "no action taken" Deaktiviere auch mal die SWH, durch Schädlingsbefall landen auch Malwaredateien in Wiederherstellungspunkten. Diese sind dann unbrauchbar und sollten gelöscht werden indem man eben die SWH deaktiviert. Werte nochmal sicherheitshalber diese Datei bei Virustotal.com aus und poste die Ergebnisse wie gehabt: Code:
ATTFilter C:\WINDOWS\system32\drivers\Wbutton.sys
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Probleme mit Spyware |
adobe, antivir, avira, bho, browser, c:\windows\temp, control center, drivers, einstellungen, explorer, firefox, helfen, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, launch, log, microsoft, mozilla, mozilla firefox, pdf, plug-in, pop-ups, programme, skype.exe, software, spyware, surfen, system, temp, unknown file in winsock lsp, urlsearchhook, windows, windows xp, windows\temp, wireless lan |