Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


Log-Analyse und Auswertung: Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.08.2008, 20:23   #1
TanteEmma
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Icon23

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


Huhu,
Irgentwie öffnet sich seit ein paar Wochen automatisch der IE und zeigt Werbeanzeigen oder Downloadverlinkungen an. Nach einiger Zeit googlen und Kopfzerbrechen würde ich euch bitten mal mein Log anzuschauen.

Hier:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:15, on 09.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Messenger\msmsgs.exe
E:\ICQ6\ICQ.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\s53Dvr5k.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Adobe Reader\Reader\AcroRd32.exe
C:\WINDOWS\system32\rundll32.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {246FAE60-AAA8-4BAF-A82C-F28C6087A836} - C:\WINDOWS\system32\pmnnLeDw.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\Sxw2VRqK.dll (file missing)
O2 - BHO: (no name) - {FAF222F2-BA99-46F0-8491-D5D6B5A25780} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [IECheck] C:\WINDOWS\IECheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "E:\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5419 bytes


Ich hoffe mir kann jemand helfen

danke x)
die Tante.

Alt 11.08.2008, 10:26   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Cool

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


Hallo und

Acker das hier für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern noch vorhanden) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\s53Dvr5k.exe
2.) DSS
3.) Backlight ausführen, Logfile posten
4.) Malwarebytes Antimalware
5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
Bitte nach der Bereinigung auf SP3 und IE7 aktualisieren!
__________________

__________________
Alt 11.08.2008, 13:04   #3
TanteEmma
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Standard

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


1:

Code:
ATTFilter
 Datei CNl123g4.exe empfangen 2008.08.09 22:25:19 (CET)
Status: Beendet
Ergebnis: 13/35 (37.14%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.8.9.0 	2008.08.08 	Win32/NSAnti.suspicious
AntiVir 	7.8.1.19 	2008.08.09 	TR/Crypt.ULPM.Gen
Authentium 	5.1.0.4 	2008.08.09 	-
Avast 	4.8.1195.0 	2008.08.09 	-
AVG 	8.0.0.156 	2008.08.09 	Clicker.PEK
BitDefender 	7.2 	2008.08.09 	Trojan.Adclicker.HB
CAT-QuickHeal 	9.50 	2008.08.08 	-
ClamAV 	0.93.1 	2008.08.09 	-
DrWeb 	4.44.0.09170 	2008.08.09 	-
eSafe 	7.0.17.0 	2008.08.07 	Suspicious File
eTrust-Vet 	31.6.6019 	2008.08.08 	-
Ewido 	4.0 	2008.08.09 	-
F-Prot 	4.4.4.56 	2008.08.08 	-
Fortinet 	3.14.0.0 	2008.08.09 	-
GData 	2.0.7306.1023 	2008.08.09 	-
Ikarus 	T3.1.1.34.0 	2008.08.09 	Trojan-Downloader.Win32.Agent.vvi
K7AntiVirus 	7.10.408 	2008.08.09 	-
Kaspersky 	7.0.0.125 	2008.08.09 	-
McAfee 	5357 	2008.08.08 	-
Microsoft 	1.3807 	2008.08.09 	-
NOD32v2 	3342 	2008.08.09 	a variant of Win32/TrojanClicker.Agent.NEB
Norman 	5.80.02 	2008.08.08 	-
Panda 	9.0.0.4 	2008.08.09 	Suspicious file
PCTools 	4.4.2.0 	2008.08.09 	-
Prevx1 	V2 	2008.08.09 	Malicious Software
Rising 	20.56.41.00 	2008.08.08 	Trojan.Win32.Undef.jrw
Sophos 	4.32.0 	2008.08.09 	Mal/HckPk-A
Sunbelt 	3.1.1538.1 	2008.08.09 	-
Symantec 	10 	2008.08.09 	-
TheHacker 	6.2.96.395 	2008.08.08 	-
TrendMicro 	8.700.0.1004 	2008.08.08 	PAK_Generic.001
VBA32 	3.12.8.3 	2008.08.09 	-
ViRobot 	2008.8.8.1329 	2008.08.08 	-
VirusBuster 	4.5.11.0 	2008.08.09 	-
Webwasher-Gateway 	6.6.2 	2008.08.09 	Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 80898 bytes
MD5...: aa2ce2a0e0c13ed64fc5f62167ec1a84
SHA1..: 3bb3cc550dbf88aa7b3046f3aec6126bdd944d8c
SHA256: 6be3ec2d1fed855ff72018eb5cc7ef8a1f52ffc22cfe497768d25cb55fa0dec9
SHA512: 98f1f511b91751e1e2059c4bb0faf987dad59ee1b1caaedb8ca96d615f940448
d809b65132afb274403784ee4e5846b7653f93e78b696fa3268cb2c204313bb8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x421129
timedatestamp.....: 0x489d0803 (Sat Aug 09 02:59:15 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xe000 0x14000 0x13400 7.99 09c60e032767f65467645cc55cbcfc5a
.rsrc 0x22000 0x1000 0x400 2.91 19e83e235069a5993bded7a104ddc96c

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> NETAPI32.dll: NetScheduleJobAdd
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: StrChrA
> SHLWAPI.dll: StrDupA
> USER32.dll: wsprintfA
> WININET.dll: InternetOpenA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=A858E67D02DD37743C70012CF5B8E10004847C55


2:

Code:
ATTFilter
Deckard's System Scanner v20071014.68
Run by Phil on 2008-08-11 14:05:26
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
48: 2008-08-11 12:05:32 UTC - RP134 - Deckard's System Scanner Restore Point
47: 2008-08-09 19:00:33 UTC - RP133 - Entfernt Assassin's Creed
46: 2008-08-09 15:48:07 UTC - RP132 - Software Distribution Service 3.0
45: 2008-08-04 15:35:02 UTC - RP131 - Software Distribution Service 3.0
44: 2008-07-18 10:59:57 UTC - RP130 - Systemprüfpunkt


-- First Restore Point -- 
1: 2008-05-12 16:44:29 UTC - RP87 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-08-11 14:07:00
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\s53Dvr5k.exe
C:\Dokumente und Einstellungen\Phil\Desktop\dss.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {246FAE60-AAA8-4BAF-A82C-F28C6087A836} - C:\WINDOWS\system32\pmnnLeDw.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\Sxw2VRqK.dll
O2 - BHO: (no name) - {FAF222F2-BA99-46F0-8491-D5D6B5A25780} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [IECheck] C:\WINDOWS\IECheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "E:\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab Class) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL
O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - C:\WINDOWS\system32\shell32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - C:\WINDOWS\system32\shell32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


--
End of file - 6642 bytes

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R2 ACEDRV07 - c:\windows\system32\drivers\acedrv07.sys <Not Verified; Protect Software GmbH; >
R2 ElbyCDIO (ElbyCDIO Driver) - c:\windows\system32\drivers\elbycdio.sys <Not Verified; Elaborate Bytes AG; CDRTools>
R3 AnyDVD - c:\windows\system32\drivers\anydvd.sys <Not Verified; SlySoft, Inc.; AnyDVD>
R3 ElbyCDFL - c:\windows\system32\drivers\elbycdfl.sys <Not Verified; SlySoft, Inc.; CloneCD>
R3 ElbyDelay - c:\windows\system32\drivers\elbydelay.sys <Not Verified; Elaborate Bytes AG; CDRTools>
R3 TTDVBLCD (TechnoTrend DVB PCI budget Driver) - c:\windows\system32\drivers\ttdvblcd.sys <Not Verified; TechnoTrend AG; TT-DVB PCI budget>

S1 SASKUTIL - c:\programme\superantispyware\saskutil.sys (file missing)
S3 PciCon - f:\pcicon.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 Bonjour Service (Bonjour-Dienst) - c:\programme\bonjour\mdnsresponder.exe <Not Verified; Apple Inc.; Bonjour>

S3 FirebirdServerMAGIXInstance (Firebird Server - MAGIX Instance) - e:\magix\common\database\bin\fbserver.exe <Not Verified; MAGIX®; Firebird SQL Server - MAGIX Edition>
S3 FLEXnet Licensing Service - "c:\programme\gemeinsame dateien\macrovision shared\flexnet publisher\fnplicensingservice.exe" <Not Verified; Macrovision Europe Ltd.; FLEXnet Publisher (32 bit)>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-08-11 14:00:01       354 --a------ C:\WINDOWS\Tasks\At15.job
2008-08-11 14:00:00       354 --a------ C:\WINDOWS\Tasks\At39.job
2008-08-11 13:41:50       322 --ah----- C:\WINDOWS\Tasks\MP Scheduled Scan.job
2008-08-11 13:38:43       354 --a------ C:\WINDOWS\Tasks\At47.job
2008-08-10 22:00:01       354 --a------ C:\WINDOWS\Tasks\At23.job
2008-08-10 21:37:28       354 --a------ C:\WINDOWS\Tasks\At43.job
2008-08-10 18:00:01       354 --a------ C:\WINDOWS\Tasks\At19.job
2008-08-10 17:29:35       354 --a------ C:\WINDOWS\Tasks\At38.job
2008-08-10 17:00:11       354 --a------ C:\WINDOWS\Tasks\At42.job
2008-08-10 17:00:02       354 --a------ C:\WINDOWS\Tasks\At18.job
2008-08-10 16:00:10       354 --a------ C:\WINDOWS\Tasks\At41.job
2008-08-10 16:00:02       354 --a------ C:\WINDOWS\Tasks\At17.job
2008-08-10 15:00:10       354 --a------ C:\WINDOWS\Tasks\At40.job
2008-08-10 15:00:02       354 --a------ C:\WINDOWS\Tasks\At16.job
2008-08-10 13:00:01       354 --a------ C:\WINDOWS\Tasks\At14.job
2008-08-10 12:19:04       354 --a------ C:\WINDOWS\Tasks\At25.job
2008-08-10 00:13:01       354 --a------ C:\WINDOWS\Tasks\At1.job
2008-08-09 23:00:10       354 --a------ C:\WINDOWS\Tasks\At48.job
2008-08-09 23:00:01       354 --a------ C:\WINDOWS\Tasks\At24.job
2008-08-09 21:00:10       354 --a------ C:\WINDOWS\Tasks\At46.job
2008-08-09 21:00:01       354 --a------ C:\WINDOWS\Tasks\At22.job
2008-08-09 20:00:10       354 --a------ C:\WINDOWS\Tasks\At45.job
2008-08-09 20:00:01       354 --a------ C:\WINDOWS\Tasks\At21.job
2008-08-09 19:00:10       354 --a------ C:\WINDOWS\Tasks\At44.job
2008-08-09 19:00:01       354 --a------ C:\WINDOWS\Tasks\At20.job
2008-07-19 01:00:11       354 --a------ C:\WINDOWS\Tasks\At26.job
2008-07-19 01:00:01       354 --a------ C:\WINDOWS\Tasks\At2.job
2008-07-18 02:00:10       354 --a------ C:\WINDOWS\Tasks\At27.job
2008-07-18 02:00:02       354 --a------ C:\WINDOWS\Tasks\At3.job
2008-07-17 22:09:27       354 --a------ C:\WINDOWS\Tasks\At37.job
2008-07-17 22:09:27       354 --a------ C:\WINDOWS\Tasks\At36.job
2008-07-17 22:09:27       354 --a------ C:\WINDOWS\Tasks\At35.job
2008-07-17 22:09:27       354 --a------ C:\WINDOWS\Tasks\At34.job
2008-07-17 22:09:27       354 --a------ C:\WINDOWS\Tasks\At33.job
2008-07-17 22:09:27       354 --a------ C:\WINDOWS\Tasks\At32.job
2008-07-17 22:09:27       354 --a------ C:\WINDOWS\Tasks\At31.job
2008-07-17 22:09:27       354 --a------ C:\WINDOWS\Tasks\At30.job
2008-07-17 22:09:27       354 --a------ C:\WINDOWS\Tasks\At29.job
2008-07-17 22:09:27       354 --a------ C:\WINDOWS\Tasks\At28.job
2008-07-17 21:58:49       354 --a------ C:\WINDOWS\Tasks\At9.job
2008-07-17 21:58:49       354 --a------ C:\WINDOWS\Tasks\At8.job
2008-07-17 21:58:49       354 --a------ C:\WINDOWS\Tasks\At7.job
2008-07-17 21:58:49       354 --a------ C:\WINDOWS\Tasks\At6.job
2008-07-17 21:58:49       354 --a------ C:\WINDOWS\Tasks\At5.job
2008-07-17 21:58:49       354 --a------ C:\WINDOWS\Tasks\At4.job
2008-07-17 21:58:49       354 --a------ C:\WINDOWS\Tasks\At13.job
2008-07-17 21:58:49       354 --a------ C:\WINDOWS\Tasks\At12.job
2008-07-17 21:58:49       354 --a------ C:\WINDOWS\Tasks\At11.job
2008-07-17 21:58:49       354 --a------ C:\WINDOWS\Tasks\At10.job
2008-05-13 11:13:24       276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2008-07-11 and 2008-08-11 -----------------------------

2008-08-09 22:20:19     80898 --a------ C:\WINDOWS\system32\s53Dvr5k.exe
2008-08-09 21:04:05    396288 --a------ C:\HijackThis.exe <Not Verified; Trend Micro Inc.; HijackThis>
2008-08-09 18:19:35     29184 --a------ C:\WINDOWS\system32\Sxw2VRqK.dll <Not Verified; TODO: <Company name>; TODO: <Product name>>
2008-07-17 21:58:48     29760 --a------ C:\WINDOWS\system32\v50vMeTk.exe
2008-07-16 17:00:20         0 d-------- C:\Programme\DivX


-- Find3M Report ---------------------------------------------------------------

2008-07-18 22:13:09         0 d-------- C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\passport_photo
2008-07-18 22:09:42         0 d-------- C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\ProtectDisc
2008-07-16 17:00:22      1394 --a------ C:\WINDOWS\mozver.dat
2008-07-13 14:30:07         0 d-------- C:\Programme\Java
2008-07-12 23:21:16     83571 --a------ C:\WINDOWS\War3Unin.dat
2008-06-15 18:22:52         0 d-------- C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\ICQ
2008-05-29 17:40:27      1080 --a------ C:\WINDOWS\AUTOLNCH.REG
2008-05-22 17:00:22   1868944 --a------ C:\WINDOWS\system32\RSA32_16.DLL
2008-05-20 16:33:42     70505 --a------ C:\WINDOWS\BricoPackUninst.cmd
2008-05-20 16:33:42      5462 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{246FAE60-AAA8-4BAF-A82C-F28C6087A836}]
			C:\WINDOWS\system32\pmnnLeDw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{99C6D1BB-7555-474C-91DA-D8FB62A9CC75}]
09.08.2008 18:19	29184	--a------	C:\WINDOWS\system32\Sxw2VRqK.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FAF222F2-BA99-46F0-8491-D5D6B5A25780}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [19.12.2005 08:52 C:\WINDOWS\RTHDCPL.exe]
"Alcmtr"="ALCMTR.EXE" [03.05.2005 12:43 C:\WINDOWS\Alcmtr.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [10.03.2006 07:38]
"nwiz"="nwiz.exe" [10.03.2006 07:38 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [10.06.2008 04:27]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 12:50]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [10.03.2006 07:38]
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [03.11.2006 11:01]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [03.11.2006 19:20]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IECheck"="C:\WINDOWS\IECheck.exe" [16.01.2008 17:11]
"@"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [13.10.2004 18:24]
"ICQ"="E:\ICQ6\ICQ.exe" [01.04.2008 12:40]

C:\Dokumente und Einstellungen\Phil\Startmen\Programme\Autostart\
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [19.03.2007 00:05:02]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cd03498-f346-11dc-a59f-0017311b45a2}]
AutoRun\command- G:\starter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62aed4f8-2902-11dd-9c43-0017311b45a2}]
AutoRun\command- G:\Autorun.exe




-- End of Deckard's System Scanner: finished at 2008-08-11 14:07:39 ------------
Backlight erstellt irgentwie kein logfile bei mir :-/
__________________
Geändert von TanteEmma (11.08.2008 um 13:17 Uhr)

Alt 11.08.2008, 17:25   #4
TanteEmma
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Standard

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


4:



Code:
ATTFilter
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1040
Windows 5.1.2600 Service Pack 2

18:11:43 11.08.2008
mbam-log-8-11-2008 (18-11-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 148150
Laufzeit: 1 hour(s), 21 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\Sxw2VRqK.dll (Trojan.BHO) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{00476c87-a276-49bf-86bc-ff005732430b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7c4bcd17-bdba-4078-9d8c-8ca8b7eabe77} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\Sxw2VRqK.dll (Trojan.BHO) -> Delete on reboot.
C:\Deckard\System Scanner\backup\DOKUME~1\Phil\LOKALE~1\Temp\setup_526_1_.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Phil\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FUF8HP47\CA5WUTHN (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Phil\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I0J00UA3\hctp[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9697952D-E93F-4B74-9865-E162161C6C6E}\RP97\A0035529.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9697952D-E93F-4B74-9865-E162161C6C6E}\RP130\A0039717.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9697952D-E93F-4B74-9865-E162161C6C6E}\RP132\A0040758.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\s53Dvr5k.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\v50vMeTk.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
Code:
ATTFilter
ComboFix 08-08-10.05 - Phil 2008-08-11 18:30:50.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.663 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Phil\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\smp.bat
C:\WINDOWS\system32\kqasjhkm.ini
C:\WINDOWS\system32\qtgvmyuk.ini
C:\WINDOWS\system32\tvxIPXyb.ini
C:\WINDOWS\system32\tvxIPXyb.ini2
C:\WINDOWS\system32\wDeLnnmp.ini
C:\WINDOWS\system32\wDeLnnmp.ini2

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-11 bis 2008-08-11  ))))))))))))))))))))))))))))))
.

2008-08-11 14:24 . 2008-07-30 20:07	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-11 14:05 . 2008-08-11 14:05	<DIR>	d--------	C:\Deckard
2008-08-09 22:20 . 2008-08-09 20:19	80,898	--a------	C:\WINDOWS\system32\s53Dvr5k.exe
2008-08-09 21:04 . 2008-08-09 21:04	396,288	--a------	C:\HijackThis.exe
2008-08-09 19:00 . 2008-08-09 19:00	<DIR>	d--------	C:\Dokumente und Einstellungen\NetworkService\Eigene Dateien
2008-07-18 22:13 . 2008-07-18 22:13	<DIR>	d--------	C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\passport_photo
2008-07-18 13:00 . 2008-07-18 13:00	<DIR>	d---s----	C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-18 02:07 . 2008-07-18 02:07	268	--ah-----	C:\sqmdata00.sqm
2008-07-18 02:07 . 2008-07-18 02:07	244	--ah-----	C:\sqmnoopt00.sqm
2008-07-17 21:58 . 2008-07-17 21:58	29,760	--a------	C:\WINDOWS\system32\v50vMeTk.exe
2008-07-16 17:00 . 2008-07-16 17:00	<DIR>	d--------	C:\Programme\DivX
2008-07-12 20:44 . 2001-08-17 13:53	3,328	--a------	C:\WINDOWS\system32\drivers\qv2kux.sys
2008-07-12 20:44 . 2001-08-17 13:53	3,328	--a--c---	C:\WINDOWS\system32\dllcache\qv2kux.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-11 13:46	---------	d-----w	C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\ProtectDisc
2008-08-11 12:24	---------	d-----w	C:\Programme\Malwarebytes' Anti-Malware
2008-07-30 18:07	17,144	----a-w	C:\WINDOWS\system32\drivers\mbam.sys
2008-07-15 13:30	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-07-13 12:30	---------	d-----w	C:\Programme\Java
2008-06-15 16:22	---------	d-----w	C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\ICQ
2008-05-20 14:33	70,505	----a-w	C:\WINDOWS\BricoPackUninst.cmd
2008-05-20 14:33	5,462	----a-w	C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-04-07 12:31	852	----a-w	C:\Programme\INSTALL.LOG
.

------- Sigcheck -------

2007-12-07 02:46  671744  273f4b37b80c8d398713a88b788fe59b	C:\WINDOWS\$hf_mig$\KB944533\SP2QFE\wininet.dll
2008-02-16 11:30  671744  6c49192217df0509bc6a576535545529	C:\WINDOWS\$hf_mig$\KB947864\SP2QFE\wininet.dll
2004-08-04 14:00  662016  b1a1da99c4a6ebfd59f86a453bf02f39	C:\WINDOWS\$NtUninstallKB944533$\wininet.dll
2007-12-07 03:06  699392  b2e6c42b738235bcea0edfb566a6f102	C:\WINDOWS\$NtUninstallKB947864$\wininet.dll
2008-02-16 10:59  699392  a372fd352bd83091bd7b875d33cdecbe	C:\WINDOWS\system32\wininet.dll
2008-02-16 10:59  699392  a372fd352bd83091bd7b875d33cdecbe	C:\WINDOWS\system32\dllcache\wininet.dll

2007-06-13 15:21  978944  01a48faef0ffc2e6a0763de98f5ba4a6	C:\WINDOWS\explorer.exe
2007-06-13 15:10  1036288  331ed93570baf3cfe30340298762cd56	C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00  1035264  22fe1be02eadde1632e478e4125639e0	C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21  978944  01a48faef0ffc2e6a0763de98f5ba4a6	C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IECheck"="C:\WINDOWS\IECheck.exe" [2008-01-16 17:11 108544]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ICQ"="E:\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-10 07:38 7557120]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-10 07:38 86016]
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 11:01 319488]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-19 08:52 15797248 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2006-03-10 07:38 1519616 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\kav\\kav7.0\\german\\setup.exe"=
"D:\\cs 1.6\\hl.exe"=
"D:\\Warcraft III Lan\\war3.exe"=
"E:\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-10-28 17:35]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-10-26 15:53]
R3 PAC207;Eye 110;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2006-12-05 11:34]
R3 TTDVBLCD;TechnoTrend DVB PCI budget Driver;C:\WINDOWS\system32\DRIVERS\ttdvblcd.sys [2004-11-08 17:39]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;E:\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 16:18]
S3 PciCon;PciCon;F:\PciCon.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cd03498-f346-11dc-a59f-0017311b45a2}]
\Shell\AutoRun\command - G:\starter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62aed4f8-2902-11dd-9c43-0017311b45a2}]
\Shell\AutoRun\command - G:\Autorun.exe
.
Inhalt des "geplante Tasks" Ordners

2008-05-13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-08-11 C:\WINDOWS\Tasks\MP Scheduled Scan.job
- C:\Programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{246FAE60-AAA8-4BAF-A82C-F28C6087A836} - C:\WINDOWS\system32\pmnnLeDw.dll
BHO-{FAF222F2-BA99-46F0-8491-D5D6B5A25780} - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\Mozilla\Firefox\Profiles\v62llbe1.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-11 18:35:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-11 18:40:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-11 16:40:39

Pre-Run: 10 Verzeichnis(se), 140,650,942,464 Bytes frei
Post-Run: 13 Verzeichnis(se), 141,380,653,056 Bytes frei

140	--- E O F ---	2008-04-09 19:47:10
Geändert von TanteEmma (11.08.2008 um 17:42 Uhr)

Alt 12.08.2008, 12:08   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Icon32

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


Öffnen sich noch Werbefenster?

(1)
Deaktiviere die SWH, durch Schädlingsbefall landen auch Malwaredateien in Wiederherstellungspunkten. Diese sind dann unbrauchbar und sollten gelöscht werden indem man eben die SWH deaktiviert.

(2)
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\s53Dvr5k.exe
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

(3)
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.08.2008, 16:03   #6
TanteEmma
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Reden

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


bis jetzt ist nix mehr passiert... aber ich trau dem braten noch nicht weil oft einfach symstemsounds kommen obwohl ich garnichts mache und sogar nichtmal am pc sitze. trotzdem vielen vielen dank für die hilfe werd' ich machen wenns wirklich wieder passiert.

:aplaus::aplaus::aplaus::aplaus:

Alt 12.08.2008, 17:00   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Ausrufezeichen

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


Acker das mit den drei Punkten was ich heute geschrieben habe bitte trotzdem ab, unabhängig davon ob sich noch Seiten öffnen oder nicht.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.08.2008, 21:35   #8
TanteEmma
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Standard

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


Code:
ATTFilter
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Fri Aug 15 22:32:36 2008

22:32:36: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\s53Dvr5k.exe" not found!
Deletion of file "C:\WINDOWS\system32\s53Dvr5k.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
gibts nimmer die datei scheinbar.


und hier schritt (3)

http://rapidshare.com/files/137598214/listing.txt.html

Alt 16.08.2008, 13:30   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Blinzeln

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


Code:
ATTFilter
Verzeichnis von C:\WINDOWS\Tasks

2008-08-15  22:34                  6 SA.DAT
2008-08-15  22:00               354 At47.job
2008-08-15  22:00               354 At23.job
2008-08-15  21:00               354 At46.job
2008-08-15  21:00               354 At22.job
In den scheduled tasks sind viele solcher At-Jobs - lösch die, das dürften Überreste von Malware sein.

Code:
ATTFilter
C:\WINDOWS\system32\s53Dvr5k.exe.a_a
Ebenfalls löschen.
Ansonsten seh ich da nix mehr.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.08.2008, 21:23   #10
TanteEmma
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Daumen hoch

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


Code:
ATTFilter
2008-08-15  22:34                  6 SA.DAT
kann ich nicht finden
und soll ich alle at s löschen oder nur die aufgelisteten? x)

VIELEN DANK auf jeden fall schonmal. voll toll die Hilfe.

:aplaus:

Alt 17.08.2008, 19:57   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Icon32

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


Lösch nur die AT-Jobs...
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.08.2008, 14:07   #12
TanteEmma
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Standard

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


alle?

da sind knapp 30 oder so. oder nur die aufgelisteten aus dem vorherigen post?

Alt 19.08.2008, 14:54   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Icon31

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


Nein, alle.
Was guckst Du so wo ist das Problem alle at zu löschen? geht sogar mit einem Befehl in einem rutsch

Code:
ATTFilter
del c:\windows\tasks\at*.job
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.08.2008, 16:49   #14
TanteEmma
 
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Standard

Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


ich fand den smile nur lustig... ja ich mein weil du da nur ein paar aufgelistet hast ich dachte der rest wäre wichtig x)

danke habse gelöscht

Antwort

Themen zu Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.
adobe, bho, bonjour, browser, ctfmon.exe, defender, dll, excel, explorer, firefox, google, heulen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, magix, mein log, mozilla, mozilla firefox, pdf, plug-in, programme, rundll, server, software, solution, system, vista, werbeanzeigen, windows, windows defender, windows xp, öffnet, öffnet automatisch


« Probleme im Internet - Virus/Trojaner??!! | ist aller so in ordnung? »


Ähnliche Themen: Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.


  1. Internet-Browser zeigt beim Start automatisch eine Survey-Seite
    Plagegeister aller Art und deren Bekämpfung - 30.12.2013 (3)
  2. Bitte um Hilfe, Ordner öffnet sich automatisch nach jeder neustart
    Log-Analyse und Auswertung - 11.04.2013 (46)
  3. IE öffnet sich automatisch und zeigt Werbung
    Log-Analyse und Auswertung - 23.06.2010 (6)
  4. Internet Explorer öffnet sich automatisch und öffnet Werbeseiten
    Log-Analyse und Auswertung - 18.06.2010 (1)
  5. IE öffnet sich selbst und zeigt nur Werbung
    Log-Analyse und Auswertung - 05.10.2009 (1)
  6. Internet Explorer öffnet automatisch und öffnet Werbung
    Log-Analyse und Auswertung - 28.08.2009 (18)
  7. PC öffnet Programme sehr langsam - Bitte um HiJack-Log Auswertung
    Log-Analyse und Auswertung - 08.02.2009 (12)
  8. Firefox öffnet automatisch Werbefenster HiJack Log bitte prüfen
    Log-Analyse und Auswertung - 28.09.2008 (10)
  9. Bitte um Auswertung der Logfiles, IE öffnet Internetseiten (Werbung usw.)
    Log-Analyse und Auswertung - 11.09.2008 (14)
  10. Browser öffnet automatisch seiten - bitte um auswertung des logs
    Log-Analyse und Auswertung - 30.08.2008 (1)
  11. Internet Explorere öffnet sich automatisch und zeigt Werbungen
    Log-Analyse und Auswertung - 25.06.2008 (5)
  12. Iexplorer öffnet ständig neue Fenster.Bräuchte bitte eine Auswertung meinesHiJackFile
    Log-Analyse und Auswertung - 24.03.2008 (4)
  13. Bitte um HiJackThis Log-Auswertung; IE öffnet immer wieder neu
    Log-Analyse und Auswertung - 23.03.2008 (0)
  14. IE öffnet sich von alleine, bitte um HJT Auswertung
    Log-Analyse und Auswertung - 24.02.2008 (0)
  15. Browser öffnet unerwünschte Seiten-bitte HJT Auswertung
    Log-Analyse und Auswertung - 13.02.2008 (7)
  16. PC ist um 50% langsamer, eScan zeigt 72 Viren, brauche Hilfe bei Auswertung
    Log-Analyse und Auswertung - 15.05.2007 (1)
  17. Browser schliessen automatisch >> bitte um Auswertung von HijackThis & HILFE :-)
    Log-Analyse und Auswertung - 27.09.2006 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. - Huhu, Irgentwie öffnet sich seit ein paar Wochen automatisch der IE und zeigt Werbeanzeigen oder Downloadverlinkungen an. Nach einiger Zeit googlen und Kopfzerbrechen würde ich euch bitten mal mein Log - Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an....
Archiv
Du betrachtest: Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19