Hijacker-Problem

Ithaqua · 27.08.2008, 12:21

Hallo,

ich habe offenbar ein Problem mit einem Hijacker.

Ich fange mal am Anfang an:

Vor einigen Tagen konnte ich plötzlich keine webseiten mehr im Browser öffnen.(Ping auf Server hat allerdings funktioniert, die Verbindung war also wohl ok).

Am nächsten Morgen konnte ich den Browser wieder benutzen, aber der Seitenaufbau war extrem langsam. (diverse speedtests haben einen Upstream von gerade mal 40kbit/s ergeben; habe einen DSL 6000 Anschluss. Der Downstream war normal schnell).

Außerdem wurde ich von google-Suchergebnissen auf merkwürdige Seiten verlinkt.
Die Links begannen alle mit go.google.com/....

Darüber hinaus konnte ich keine website kontaktieren, wo man einschlägig bekannte Reinigunstools findet.

Habe dann mal einige Viren-/Malwarescanner(Spybot, Adaware, AVG) laufen lassen die auch ein paar Sachen gefunden/entfernthaben, aber das eigentlich Problem tritt immer noch auf.

Mein OS: Windows XP SP2.

Hoffentlich kann mir jemand von Euch noch ein paar Tips geben.

Gruß, Ithaqua.

Chris4You · 27.08.2008, 14:26

Hi,

bitte HJ-Log gemäß Signatur erstellen.

chris

Ithaqua · 27.08.2008, 15:22

Hi Chris,

hier ist mein Hijack This - Logfile

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:10:26, on 27.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\winsys2.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\Cherry\KeyMan\KeyMan.exe

C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\Google\Google Updater\GoogleUpdater.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\Programme\Cherry\CDI\cdi.exe

C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe

C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe

C:\Programme\HijackThis\HijackThis.exe



O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm

O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, w*w.cherry.de - C:\Programme\Cherry\CDI\cdi.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



--

End of file - 5524 bytes

Gruß, Ithaqua.

Chris4You · 27.08.2008, 15:34

Hi,

das HJ-Log gibt nichts her, bitte MAM und combofix (für systeminfos):

Malwarebytes Antimalware (MAM).
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

ComboFix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Chris

Ithaqua · 28.08.2008, 11:17

Hi Chris,

hab die beiden logs jetzt fertiggestellt.

MAM-Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.25

Datenbank Version: 1090

Windows 5.1.2600 Service Pack 2



11:31:11 28.08.2008

mbam-log-08-28-2008 (11-31-11).txt



Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)

Durchsuchte Objekte: 108465

Laufzeit: 30 minute(s), 27 second(s)



Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 3

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 9



Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)



Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)



Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.



Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> Quarantined and deleted successfully.



Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)



Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)



Infizierte Dateien:

C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> Delete on reboot.

Das Combofix-log ist ein wenig zu lang fürs forum.
Also erstmal teil 1:

Code:

ATTFilter

ComboFix 08-08-27.05 - **** 2008-08-28 11:44:45.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1564 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt



Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.



((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.



C:\Dokumente und Einstellungen\All Users\Startmenü\UUSEE~1.LNK

C:\Dokumente und Einstellungen\****\Anwendungsdaten\inst.exe

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\DS7ZA8FD\interclick.com

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\DS7ZA8FD\interclick.com\ud.sol

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\DS7ZA8FD\static.youku.com

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\DS7ZA8FD\static.youku.com\v1.0.0235\v\swf\qplayer.swf\youku.sol

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\DS7ZA8FD\static.youku.com\v1.0.0242\v\swf\qplayer.swf\qplayer.sol

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\DS7ZA8FD\static.youku.com\v1.0.0248\v\swf\qplayer.swf\qplayer.sol

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\DS7ZA8FD\static.youku.com\v1.0.0259\v\swf\qplayer.swf\qplayer.sol

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\DS7ZA8FD\static.youku.com\v1.0.0277\v\swf\qplayer.swf\qplayer.sol

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\DS7ZA8FD\v.youku.com

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\DS7ZA8FD\w*w.broadcaster.com

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#static.youku.com

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#static.youku.com\settings.sol

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#v.youku.com

C:\Dokumente und Einstellungen\****\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.broadcaster.com

C:\Dokumente und Einstellungen\****\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\UUSee ÍøÂçµçÊÓ.lnk

C:\Programme\uusee

C:\Programme\uusee\AD\1\000\index_new.html

C:\Programme\uusee\AD\1\000\uue_new.jpg

C:\Programme\uusee\AD\1\001\index_new.html

C:\Programme\uusee\AD\1\001\uue_new.jpg

C:\Programme\uusee\AD\1\cy\cy.html

C:\Programme\uusee\AD\1\dm\dm.html

C:\Programme\uusee\AD\1\dsj\dsj.html

C:\Programme\uusee\AD\1\dst\dst.html

C:\Programme\uusee\AD\1\dy\dy.html

C:\Programme\uusee\AD\1\jk\jk.html

C:\Programme\uusee\AD\1\ty\ty.html

C:\Programme\uusee\AD\1\uu\uu.html

C:\Programme\uusee\AD\1\xyl\xyl.html

C:\Programme\uusee\AD\1\yl\yl.html

C:\Programme\uusee\AD\1\yx\yx.html

C:\Programme\uusee\AD\1\yx\yx1.html

C:\Programme\uusee\AD\1\zx\zx.html

C:\Programme\uusee\AD\2\100\index.html

C:\Programme\uusee\AD\2\200\index.html

C:\Programme\uusee\AD\2\300\index.html

C:\Programme\uusee\AD\UUAD.xml.zip

C:\Programme\uusee\AD\UUAD_Banner_1.html

C:\Programme\uusee\AD\UUAD_Banner_3.html

C:\Programme\uusee\AD\UUAD_Buffering.html

C:\Programme\uusee\AD\UUAD_Buffering.jpg

C:\Programme\uusee\AD\UUAD_TextLink_0.xml

C:\Programme\uusee\ARMP.ocx

C:\Programme\uusee\ARMPD.dll

C:\Programme\uusee\check_cmd.exe

C:\Programme\uusee\flvplayer.swf

C:\Programme\uusee\in_psp.dll

C:\Programme\uusee\MultiVMR9.dll

C:\Programme\uusee\out_mmshttp.dll

C:\Programme\uusee\rmsp011.ax

C:\Programme\uusee\skins\UUPlayer\About.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_Compact_1.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_Compact_2.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_Compact_3.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_FullScreen_1.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_FullScreen_2.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_FullScreen_3.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_pause_1.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_pause_2.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_pause_3.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_pause_4.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_Recording_1.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_Recording_2.bmp

C:\Programme\uusee\skins\UUPlayer\Control_Button_Recording_3.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_1.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_2.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_3.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_4.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_C1.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_C2.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_C3.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_C4.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_ComboBox_1.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_ComboBox_2.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_ComboBox_3.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_ComboBox_4.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_Edit_1.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_Edit_4.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_PushButton_1.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_PushButton_2.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_PushButton_3.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_PushButton_4.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_1.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_2.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_3.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_4.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_C1.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_C2.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_C3.bmp

C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_C4.bmp

C:\Programme\uusee\skins\UUPlayer\Dlg_Back.bmp

C:\Programme\uusee\skins\UUPlayer\Dlg_Detect.bmp

C:\Programme\uusee\skins\UUPlayer\Dlg_Frame_1.bmp

C:\Programme\uusee\skins\UUPlayer\Dlg_Frame_2.bmp

C:\Programme\uusee\skins\UUPlayer\Dlg_Frame_3.bmp

C:\Programme\uusee\skins\UUPlayer\Dlg_Record_Task_1.bmp

C:\Programme\uusee\skins\UUPlayer\Icon_Information.bmp

C:\Programme\uusee\skins\UUPlayer\Icon_Question.bmp

C:\Programme\uusee\skins\UUPlayer\Icon_Stop.bmp

C:\Programme\uusee\skins\UUPlayer\ListHeader_1.bmp

C:\Programme\uusee\skins\UUPlayer\ListHeader_2.bmp

C:\Programme\uusee\skins\UUPlayer\ListHeader_3.bmp

C:\Programme\uusee\skins\UUPlayer\ListHeader_ArrowD.bmp

C:\Programme\uusee\skins\UUPlayer\ListHeader_ArrowU.bmp

C:\Programme\uusee\skins\UUPlayer\ListHeader_SP.bmp

C:\Programme\uusee\skins\UUPlayer\Play_Window_Rec_icon.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_Block_1.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_Block_2.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_Block_3.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_Block_4.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_0.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_1.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_2.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_3.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_4.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_5.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_6.bmp

C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_7.bmp

C:\Programme\uusee\skins\UUPlayer\Resource.h

C:\Programme\uusee\skins\UUPlayer\Setting_Group_1_1.bmp

C:\Programme\uusee\skins\UUPlayer\Setting_Group_1_2.bmp

C:\Programme\uusee\skins\UUPlayer\Setting_Group_1_3.bmp

C:\Programme\uusee\skins\UUPlayer\Setting_Group_2_1.bmp

C:\Programme\uusee\skins\UUPlayer\Setting_Group_2_2.bmp

C:\Programme\uusee\skins\UUPlayer\Setting_Group_2_3.bmp

C:\Programme\uusee\skins\UUPlayer\Setting_Group_3_1.bmp

C:\Programme\uusee\skins\UUPlayer\Setting_Group_3_2.bmp

C:\Programme\uusee\skins\UUPlayer\Setting_Group_3_3.bmp

C:\Programme\uusee\skins\UUPlayer\Sidebar_Button_1_1.bmp

C:\Programme\uusee\skins\UUPlayer\Sidebar_Button_1_2.bmp

C:\Programme\uusee\skins\UUPlayer\Sidebar_Button_1_3.bmp

C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_1.bmp

C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_2.bmp

C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_3.bmp

C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_x1.bmp

C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_x2.bmp

C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_x3.bmp

C:\Programme\uusee\skins\UUPlayer\Titlebar_button_Res_1.bmp

C:\Programme\uusee\skins\UUPlayer\Titlebar_button_Res_2.bmp

C:\Programme\uusee\skins\UUPlayer\Titlebar_button_Res_3.bmp

C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_Compact_1.bmp

C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_Compact_2.bmp

C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_Compact_3.bmp

C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_FullScreen_1.bmp

C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_FullScreen_2.bmp

C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_FullScreen_3.bmp

C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_TopMost_1.bmp

C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_TopMost_2.bmp

C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_TopMost_3.bmp

C:\Programme\uusee\skins\UUPlayer\TopTab_Browse.bmp

C:\Programme\uusee\skins\UUPlayer\TopTab_Browse1.bmp


C:\Programme\uusee\skins\UUPlayer\TopTab_Play.bmp

C:\Programme\uusee\skins\UUPlayer\TopTab_Play1.bmp

C:\Programme\uusee\skins\UUPlayer\TopTab_Record.bmp

C:\Programme\uusee\skins\UUPlayer\TopTab_Record1.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_Arrow.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_Collapse.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_Expand.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_Header.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBar_D.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBar_H.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBar_N.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBar_S.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBarThumb_D.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBarThumb_H.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBarThumb_N.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBarThumb_S.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_SortIconDown.bmp

C:\Programme\uusee\skins\UUPlayer\Tree_SortIconUp.bmp

C:\Programme\uusee\skins\UUPlayer\UUSEE.ui

C:\Programme\uusee\skins\UUPlayer\Volume_Bar_Block_1.bmp

C:\Programme\uusee\skins\UUPlayer\Volume_Bar_Block_2.bmp

C:\Programme\uusee\skins\UUPlayer\Volume_Bar_Block_3.bmp

C:\Programme\uusee\skins\UUPlayer\Volume_Button_2_1.bmp

C:\Programme\uusee\skins\UUPlayer\Volume_Button_2_2.bmp

C:\Programme\uusee\skins\UUPlayer\Volume_Button_2_3.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Browser_1.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Browser_2.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Browser_3.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_ChannelInfo.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_ChannelInfo_5.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Control_1.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Control_2.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Control_3.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Control_4.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Info.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Main_1.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Main_2.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Main_3.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Main_5.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Play_1.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Play_2.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Play_5.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Record_1.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Record_2.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Record_3.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Record_4.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Setting_1.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Setting_2.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Setting_3.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Side_1.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Side_2.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Side_3.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Toolbar_1.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Toolbar_2.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Toolbar_3.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Toolbar_4.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Top_1.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Top_2.bmp

C:\Programme\uusee\skins\UUPlayer\Wnd_Top_3.bmp

C:\Programme\uusee\u264Dec.ax

C:\Programme\uusee\UFDeMux.ax

C:\Programme\uusee\uninst.exe

C:\Programme\uusee\updateC2.ocx

C:\Programme\uusee\UUPlayer.dll

C:\Programme\uusee\UUPlayer.ocx

C:\Programme\uusee\UUPlayer_update.ini

C:\Programme\uusee\UUSee.url

C:\Programme\uusee\uusee_video.dll

C:\Programme\uusee\UUSEEAudioDec.ax

C:\Programme\uusee\UUSeePlayer.exe

C:\Programme\uusee\UUSEETemp\~11089625.tmp

C:\Programme\uusee\UUSEETemp\About.bmp

C:\Programme\uusee\UUSEETemp\check_cmd.exe

C:\Programme\uusee\UUSEETemp\CoCode.dll

C:\Programme\uusee\UUSEETemp\in_net.dll

C:\Programme\uusee\UUSEETemp\Resource.h

C:\Programme\uusee\UUSEETemp\seeplayer.ocx

C:\Programme\uusee\UUSEETemp\trafficlight.dll

C:\Programme\uusee\UUSEETemp\UUPlayer.dll

C:\Programme\uusee\UUSEETemp\UUPlayer.exe

C:\Programme\uusee\UUSEETemp\UUSEE.ui

C:\Programme\uusee\UUSEETemp\UUUpgrade.exe

C:\Programme\uusee\UUSEETemp\UUUpgrade.ocx

C:\Programme\uusee\UUSEETemp\Wnd_Play_2.bmp

C:\Programme\uusee\UUSEETemp\Wnd_Play_5.bmp

C:\Programme\uusee\UUTV.xml

C:\Programme\uusee\UUTV_MY.xml

C:\Programme\uusee\UUTV_UUPlayer.xml

C:\Programme\uusee\UUUpgrade.exe

C:\Programme\uusee\UUUpgrade.ini

C:\Programme\uusee\UUUpgrade.ocx

C:\Programme\uusee\vermini.ini

C:\Programme\uusee\vermini_x.ini

C:\Programme\uusee\vermini_x1.ini

C:\Programme\uusee\What's new.mht

C:\Programme\uusee\What's new.txt

C:\WINDOWS\regedit.com

C:\WINDOWS\system32\taskmgr.com



.

Ithaqua · 28.08.2008, 11:20

und hier kommt der zweite Teil:

Code:

ATTFilter

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.



-------\Legacy_TDSSSERV

-------\Service_npf

-------\Service_tdssserv





(((((((((((((((((((((((   Dateien erstellt von 2008-07-28 bis 2008-08-28  ))))))))))))))))))))))))))))))

.



2008-08-28 10:58 . 2008-08-28 10:58	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware

2008-08-28 10:58 . 2008-08-28 10:58	<DIR>	d--------	C:\Dokumente und Einstellungen\****\Anwendungsdaten\Malwarebytes

2008-08-28 10:58 . 2008-08-28 10:58	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-08-28 10:58 . 2008-08-17 15:01	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-08-28 10:58 . 2008-08-17 15:01	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys

2008-08-27 15:52 . 2008-08-27 15:52	<DIR>	d--------	C:\D?jumente und Einstellungen

2008-08-27 11:35 . 2008-08-27 14:03	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8

2008-08-26 15:33 . 2008-08-27 15:58	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft

2008-08-26 13:49 . 2008-08-26 13:49	0	--a------	C:\23990098.$$$

2008-08-26 13:46 . 2008-08-26 13:46	5,440,921	--a------	C:\WINDOWS\REGBK00.ZIP

2008-08-26 13:45 . 2008-08-26 13:45	<DIR>	d-a------	C:\WINDOWS\zts2.exe

2008-08-26 13:45 . 2008-08-26 13:45	<DIR>	d-a------	C:\WINDOWS\system32\vcmgcd32.dll

2008-08-26 13:45 . 2008-08-26 13:45	<DIR>	d-a------	C:\WINDOWS\system32\iifgfgf.dll

2008-08-26 13:45 . 2008-08-26 13:45	<DIR>	d-a------	C:\WINDOWS\rundll16.exe

2008-08-26 13:45 . 2008-08-26 13:45	<DIR>	d-a------	C:\WINDOWS\rundl132.dll

2008-08-26 13:45 . 2008-08-26 13:45	<DIR>	d-a------	C:\WINDOWS\logo1_.exe

2008-08-26 13:44 . 2008-08-26 13:44	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld

2008-08-26 13:44 . 2004-08-04 01:58	153,600	--a------	C:\WINDOWS\R.COM

2008-08-26 13:44 . 2004-08-04 01:58	140,800	--a------	C:\WINDOWS\system32\T.COM

2008-08-26 13:44 . 2008-08-26 13:44	27	--a------	C:\WINDOWS\Lic.xxx

2008-08-25 19:44 . 2008-08-27 11:56	<DIR>	d--------	C:\Programme\JMKQZF

2008-08-25 19:44 . 2008-08-27 11:56	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-08-25 17:37 . 2008-08-25 17:37	<DIR>	d--------	C:\Programme\Trend Micro

2008-08-25 11:28 . 2008-08-27 16:02	<DIR>	d--------	C:\Programme\xp-AntiSpy

2008-08-11 14:50 . 2008-08-26 13:19	54,156	--ah-----	C:\WINDOWS\QTFont.qfn

2008-08-11 14:50 . 2008-08-11 14:50	1,409	--a------	C:\WINDOWS\QTFont.for

2008-08-03 22:15 . 2008-08-03 22:15	<DIR>	d--------	C:\Programme\Stellarium

2008-08-03 22:15 . 2008-08-03 22:15	<DIR>	d--------	C:\Dokumente und Einstellungen\****\Anwendungsdaten\Stellarium

2008-08-02 12:41 . 2008-08-02 12:41	<DIR>	d--------	C:\Programme\Sun

2008-08-02 12:19 . 2008-08-02 12:22	<DIR>	d--------	C:\WINDOWS\NV3708516.TMP

2008-08-02 12:19 . 2008-05-19 18:16	186,407	--a------	C:\WINDOWS\system32\nvapps.nvb

2008-08-02 12:00 . 2008-08-02 12:00	<DIR>	d--------	C:\WINDOWS\Logs



.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-28 09:50	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\Skype

2008-08-28 08:34	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\skypePM

2008-08-27 14:00	---------	d-----w	C:\Programme\Gemeinsame Dateien\Real

2008-08-27 13:59	---------	d-----w	C:\Programme\PokerStars.NET

2008-08-27 13:58	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-08-27 10:20	---------	d-----w	C:\Programme\PPMate

2008-08-27 09:03	---------	d-----w	C:\Programme\Mozilla Thunderbird

2008-08-26 16:06	---------	d-----w	C:\Programme\teXXas

2008-08-26 11:00	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

2008-08-25 14:17	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2008-08-25 07:20	---------	d--h--w	C:\Programme\InstallShield Installation Information

2008-08-24 17:22	---------	d-----w	C:\Programme\TGTSoft

2008-08-24 17:04	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\Free Download Manager

2008-08-02 20:03	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\DivX

2008-08-02 10:41	---------	d-----w	C:\Programme\Java

2008-08-02 10:13	---------	d-----w	C:\Programme\SystemRequirementsLab

2008-08-01 15:28	---------	d-----w	C:\Programme\DivX

2008-07-30 12:35	---------	d-----w	C:\Programme\Google

2008-07-25 19:03	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe

2008-07-25 17:31	---------	d-----w	C:\Programme\IrfanView

2008-07-25 11:19	---------	d-----w	C:\Programme\AviSynth 2.5

2008-07-24 13:30	---------	d-----w	C:\Programme\mp3DirectCut

2008-07-24 13:03	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\Teleca

2008-07-24 13:02	---------	d-----w	C:\Programme\Sony

2008-07-24 13:01	---------	d-----w	C:\Programme\Gemeinsame Dateien\Teleca Shared

2008-07-24 13:00	---------	d-----w	C:\Programme\Sony Ericsson

2008-07-24 13:00	---------	d-----w	C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared

2008-07-24 13:00	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\Sony Ericsson

2008-07-24 12:59	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca

2008-07-24 12:59	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson

2008-07-17 16:14	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\Vso

2008-07-17 15:50	---------	d-----w	C:\Programme\DVDFab Platinum 4

2008-07-16 13:53	---------	d-----w	C:\Programme\Skype

2008-07-16 13:53	---------	d-----w	C:\Programme\Gemeinsame Dateien\Skype

2008-07-16 13:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype

2008-07-13 16:49	---------	d-----w	C:\Programme\APCD Calculus Demo

2008-06-15 16:01	3,532	----a-w	C:\drmHeader.bin

2008-04-06 13:12	22,328	-c--a-w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\PnkBstrK.sys

2008-02-21 11:06	47,360	-c--a-w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\pcouffin.sys

2007-01-18 10:52	1	-c--a-w	C:\Dokumente und Einstellungen\****\SI.bin

.



((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

"GMX SMS-Manager"="C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe" [2007-07-19 12:17 3539968]

"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-05-30 15:54 21718312]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 14:01 13529088]

"SW20"="C:\WINDOWS\system32\sw20.exe" [2006-09-07 12:13 208896]

"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-09-07 12:14 69632]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]

"CherryKeyMan"="C:\Programme\Cherry\KeyMan\KeyMan.exe" [2005-12-22 09:50 254004]

"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-11-15 00:43 286720]

"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 08:16 528384]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 14:01 86016]

"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 09:34 16143872 C:\WINDOWS\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 10:50 20992 C:\WINDOWS\LOGI_MWX.EXE]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders	msapsspc.dllschannel.dlldigest.dllmsnsspc.dll



[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup



[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ASUS WiFi-AP Solo.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ASUS WiFi-AP Solo.lnk

backup=C:\WINDOWS\pss\ASUS WiFi-AP Solo.lnkCommon Startup



[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Harmony Remote V5.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Harmony Remote V5.lnk

backup=C:\WINDOWS\pss\Logitech Harmony Remote V5.lnkCommon Startup



[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Harmony-Fernbedienung V5.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Harmony-Fernbedienung V5.lnk

backup=C:\WINDOWS\pss\Logitech Harmony-Fernbedienung V5.lnkCommon Startup



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-11-15 00:43 286720 C:\Programme\QuickTime\QTTask.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

-r---c--- 2005-05-03 12:43 69632 C:\WINDOWS\Alcmtr.exe



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\PPStream\\PPStream.exe"=

"C:\\Programme\\PPLive\\PPLive.exe"=

"C:\\Programme\\PPMate\\ppmate.exe"=

"C:\\Programme\\PKR\\pkr.exe"=

"C:\\Dokumente und Einstellungen\\****\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=

"C:\\Programme\\SopCast\\SopCast.exe"=

"C:\\Programme\\TVAnts\\Tvants.exe"=

"C:\\Programme\\Logitech\\Harmony Remote\\HarmonyClient.exe"=

"C:\\Programme\\Logitech\\Harmony Remote\\PatchHelper.exe"=

"C:\\Programme\\TVUPlayer\\TVUPlayer.exe"=

"E:\\Programme\\Pro Evolution Soccer 2008\\PES2008.exe"=

"C:\\WINDOWS\\system32\\PnkBstrA.exe"=

"C:\\WINDOWS\\system32\\PnkBstrB.exe"=

"E:\\Programme\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=

"E:\\Programme\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=

"E:\\Programme\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=

"C:\\Programme\\Skype\\Phone\\Skype.exe"=



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5730:UDP"= 5730:UDP:Pro



R3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);C:\WINDOWS\system32\DRIVERS\Ch2kPS2.sys [2005-10-26 12:48]

R3 Cherry Device Interface;Cherry Device Interface;C:\Programme\Cherry\CDI\cdi.exe [2005-11-14 08:28]

R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-05-22 19:35]

S0 rvInbbw;rvInbbw;C:\WINDOWS\system32\drivers\bswbkpf.sys []

S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 10:05]

S3 ids00026;ids00026;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys []

S3 ids0015d;ids0015d;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys []

S3 ids00180;ids00180;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys []

S3 ids0018a;ids0018a;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys []

S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51]

S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51]

S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51]

S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51]

S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51]

S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51]

S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51]



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{412ea4b9-5a68-11dd-9599-0015af0d13f4}]

\Shell\AutoRun\command - G:\TrueCrypt\TrueCrypt.exe

\Shell\dismount\command - G:\TrueCrypt\TrueCrypt.exe /q /d

\Shell\start\command - G:\TrueCrypt\TrueCrypt.exe

.

Inhalt des "geplante Tasks" Ordners



2008-08-22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

.

- - - - Entfernte verwaiste Registrierungseintr„ge - - - -



MSConfigStartUp-lphc92lj0ejdg - C:\WINDOWS\system32\lphc92lj0ejdg.exe

MSConfigStartUp-MSMSGS - C:\Programme\Messenger\msmsgs.exe

MSConfigStartUp-TkBellExe - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

MSConfigStartUp-WallPaper - C:\DOKUME~1\****\EIGENE~1\WALLPA~1.90\WALLPA~1.EXE

MSConfigStartUp-Zone Labs Client - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe





.

------- Zus„tzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\iksra9f6.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - w*w.google.de

FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll

FF -: plugin - C:\Programme\Google\Google Updater\2.2.1202.1501\npCIDetect11.dll

FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npmidas.dll

FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPStreamPlug.dll

FF -: plugin - C:\Programme\Photosynth\Tech Preview\nppsynth.dll

.



**************************************************************************



catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net

Rootkit scan 2008-08-28 11:50:05

Windows 5.1.2600 Service Pack 2 NTFS



Scanne versteckte Prozesse...



Scanne versteckte Autostart Eintr„ge...



Scanne versteckte Dateien...



Scan erfolgreich abgeschlossen

versteckte Dateien: 0



**************************************************************************

.

------------------------ Weitere, laufende Prozesse ------------------------

.

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Google\Google Updater\GoogleUpdater.exe

C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE

C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe

C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-08-28 11:53:30 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-08-28 09:53:24



Pre-Run: 9,832,693,760 Bytes frei

Post-Run: 9,749,991,424 Bytes frei



482	--- E O F ---	2008-08-24 20:59:45

Ich hoffe diese logs sind aufschlussreicher.

Gruß, Ithaqua.

Chris4You · 28.08.2008, 11:40

Hi,

das sieht doch schon ganz passabel aus...

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\drivers\bswbkpf.sys
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Poste bitte die Ergebnisse mit Filename...

chris

Hijacker-Problem

Log-Analyse und Auswertung: Hijacker-Problem