|
Plagegeister aller Art und deren Bekämpfung: Browser öffnen sichWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.09.2008, 13:24 | #1 |
| Browser öffnen sich Habe ein prob es öffnen sich automatisch ihrgend welche fenster. Wenn ich zb videos auf youtube etc. anschaue öffnen sich seiten von "antimalware" oder sowas. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:21:15, on 10.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\vsnpstd.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe f:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - F:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [783d7ce4] rundll32.exe "C:\WINDOWS\system32\wkshbnia.dll",b O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\NP\LOKALE~1\Temp\MsgPlusUninst.bat" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/data/objects/NpFv415.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: bfyouo.dll tsngmp.dll wibhue.dll gmjfbn.dll fxxkmh.dll cwyshy.dll etedjs.dll mftmym.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6023 bytes |
11.09.2008, 11:30 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Browser öffnen sich Hallo und
__________________Acker diese Punkte für weitere Analysen ab: 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\WINDOWS\system32\wkshbnia.dll 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] 7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe (aktuelle Version!) 8.) Mach auch ein Filelisting mit diesem script:
__________________ |
11.09.2008, 17:43 | #3 |
| Browser öffnen sich zu 2
__________________AhnLab-V3 2008.9.6.0 2008.09.10 - AntiVir 7.8.1.28 2008.09.10 - Authentium 5.1.0.4 2008.09.10 - Avast 4.8.1195.0 2008.09.10 - AVG 8.0.0.161 2008.09.10 - BitDefender 7.2 2008.09.10 - CAT-QuickHeal 9.50 2008.09.10 - ClamAV 0.93.1 2008.09.10 - DrWeb 4.44.0.09170 2008.09.10 - eSafe 7.0.17.0 2008.09.10 Suspicious File eTrust-Vet 31.6.6082 2008.09.10 - Ewido 4.0 2008.09.10 - F-Prot 4.4.4.56 2008.09.09 W32/Virtumonde.AC.gen!Eldorado F-Secure 8.0.14332.0 2008.09.10 - Fortinet 3.112.0.0 2008.09.10 - GData 19 2008.09.10 - Ikarus T3.1.1.34.0 2008.09.10 - K7AntiVirus 7.10.450 2008.09.10 - Kaspersky 7.0.0.125 2008.09.10 Trojan.Win32.Monder.mxs McAfee 5380 2008.09.09 - Microsoft 1.3903 2008.09.10 Trojan:Win32/Vundo.gen!T NOD32v2 3429 2008.09.09 Win32/Adware.Virtumonde Norman 5.80.02 2008.09.10 - Panda 9.0.0.4 2008.09.09 - PCTools 4.4.2.0 2008.09.10 - Prevx1 V2 2008.09.10 Fraudulent Security Program Rising 20.61.22.00 2008.09.10 - Sophos 4.33.0 2008.09.10 Troj/Virtum-Gen Sunbelt 3.1.1616.1 2008.09.09 VIPRE.Suspicious Symantec 10 2008.09.10 - TheHacker 6.3.0.9.077 2008.09.10 - TrendMicro 8.700.0.1004 2008.09.10 - VBA32 3.12.8.5 2008.09.10 - ViRobot 2008.9.10.1371 2008.09.10 Trojan.Win32.Virtumod.99456.B VirusBuster 4.5.11.0 2008.09.10 - Webwasher-Gateway 6.6.2 2008.09.10 Win32.Malware.gen (suspicious) weitere Informationen Tamano archivo: 99456 bytes MD5...: f553a348c019dc041b312a962aece3ab SHA1..: 7687227b53c1cfde2df8f725fda9ec9042ae3745 SHA256: dddc37c52d7c1f0346651e1420c4f7e3f30e66a6fd512f953dd6a1b590a48d65 SHA512: 9006b0453a5f60bee8fa9c2cb8d31b69334bea82520006c6d59ee9e4867a50a3 d3f2a228c3132476a49d5c0d207e8b45c18f0b10c1fa790ad5093fc4ad834486 PEiD..: - TrID..: File type identification Win32 Executable Generic (38.4%) Win32 Dynamic Link Library (generic) (34.2%) Clipper DOS Executable (9.1%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100015c4 timedatestamp.....: 0x49a9480a (Sat Feb 28 14:19:54 2009) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3000 0x3000 5.11 689b5b04f54587b46e757a4add3f0b30 DATA 0x4000 0x1000 0x600 5.06 f584482fa37705b6b00fe34869aeafbf 0x5000 0x3000 0x2c00 7.98 5a142f40620b034e17e988b857b5d65a 0x8000 0x5000 0x4e00 7.99 0490280655c08005284492096e4b8db2 0xd000 0x19000 0xa880 7.95 6e2242426f6248e5a749ce8d694ad157 ( 3 imports ) > gdi32.dll: Arc, GetDeviceCaps, PlayEnhMetaFile, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetViewportExtEx > comdlg32.dll: ChooseColorA, GetOpenFileNameA, GetOpenFileNameA, GetSaveFileNameA > kernel32.dll: CloseHandle, CreateFileA, DeleteCriticalSection, DeleteFileA, EnterCriticalSection, ExitProcess, FindClose, FindFirstFileA, FreeLibrary, GetCommandLineA, GetCurrentThreadId, GetFileSize, GetFileType, GetLastError, GetModuleFileNameA, GetModuleHandleA, InitializeCriticalSection, LeaveCriticalSection, LocalAlloc, LocalFree, OpenMutexA, OpenProcess, ReadFile, ResumeThread, SetEndOfFile, SetFilePointer, Sleep, TerminateThread, UnhandledExceptionFilter, WaitForSingleObject, WinExec, WriteFile ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DAFCE6D580EEE65A84B10133B5C8D10052629E71 ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet. zu3 Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK zu 4 09/11/08 16:04:27 [Info]: BlackLight Engine 1.0.70 initialized 09/11/08 16:04:27 [Info]: OS: 5.1 build 2600 (Service Pack 2) 09/11/08 16:04:27 [Note]: 7019 4 09/11/08 16:04:27 [Note]: 7005 0 09/11/08 16:04:30 [Note]: 7006 0 09/11/08 16:04:30 [Note]: 7011 3848 09/11/08 16:04:30 [Note]: 7035 0 09/11/08 16:04:30 [Note]: 7026 0 09/11/08 16:04:30 [Note]: 7026 0 09/11/08 16:04:33 [Note]: FSRAW library version 1.7.1024 09/11/08 16:44:46 [Note]: 7007 0 zu 5 ComboFix 08-09-10.04 - NP 2008-09-11 18:14:50.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.663 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\NP\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\NP\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\NP\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\NP\Favoriten\Spyware&Malware Protection.url C:\WINDOWS\cookies.ini C:\WINDOWS\emtd.exe C:\WINDOWS\mpfanvqg.dll C:\WINDOWS\rs.txt C:\WINDOWS\system32\abxearjt.ini C:\WINDOWS\system32\ainbhskw.ini C:\WINDOWS\system32\anasjirf.ini C:\WINDOWS\system32\anegeh.dll C:\WINDOWS\system32\bbjoqbcb.dll C:\WINDOWS\system32\bfyouo.dll C:\WINDOWS\system32\bgbsuovr.ini C:\WINDOWS\system32\bofpnpaf.ini C:\WINDOWS\system32\bqhbqpqr.ini C:\WINDOWS\system32\bwsotbgp.ini C:\WINDOWS\system32\bwyfhwmw.ini C:\WINDOWS\system32\cmrclvox.ini C:\WINDOWS\system32\cofgmair.ini C:\WINDOWS\system32\cohjmevh.ini C:\WINDOWS\system32\ctcgqmdl.dll C:\WINDOWS\system32\cteebnkl.ini C:\WINDOWS\system32\ctwqsn.dll C:\WINDOWS\system32\cujeohmc.dll C:\WINDOWS\system32\cwyshy.dll C:\WINDOWS\system32\daesogfm.ini C:\WINDOWS\system32\diakae.dll C:\WINDOWS\system32\dqhgjkdk.ini C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\dsbjmapd.ini C:\WINDOWS\system32\dtbkokpc.ini C:\WINDOWS\system32\dyrcrmcs.ini C:\WINDOWS\system32\ebyeltjd.ini C:\WINDOWS\system32\ecniptgi.dll C:\WINDOWS\system32\eehnqvfo.ini C:\WINDOWS\system32\efljrlgc.ini C:\WINDOWS\system32\ehotqdnd.ini C:\WINDOWS\system32\ekdljrpy.ini C:\WINDOWS\system32\enfklo.dll C:\WINDOWS\system32\etedjs.dll C:\WINDOWS\system32\ewufijth.ini C:\WINDOWS\system32\faipqm.dll C:\WINDOWS\system32\fbvssaeo.ini C:\WINDOWS\system32\fhrhoodl.ini C:\WINDOWS\system32\fkohawej.ini C:\WINDOWS\system32\fxxkmh.dll C:\WINDOWS\system32\gbenbyha.dll C:\WINDOWS\system32\gbgltj.dll C:\WINDOWS\system32\ghqnnuiv.ini C:\WINDOWS\system32\gxqcoprq.ini C:\WINDOWS\system32\gyfyolwe.ini C:\WINDOWS\system32\gypetgom.ini C:\WINDOWS\system32\haepbgvh.dll C:\WINDOWS\system32\heiwxcqr.ini C:\WINDOWS\system32\hikuswpt.ini C:\WINDOWS\system32\hlfopwwn.dll C:\WINDOWS\system32\hmodta.dll C:\WINDOWS\system32\hnhyyjmv.dll C:\WINDOWS\system32\hoeeprld.dll C:\WINDOWS\system32\hueshrga.ini C:\WINDOWS\system32\hwmqjtyv.ini C:\WINDOWS\system32\ibnwkwmi.dll C:\WINDOWS\system32\ibpnxv.dll C:\WINDOWS\system32\ieequdok.dll C:\WINDOWS\system32\ifdqffqt.ini C:\WINDOWS\system32\iinbjboe.ini C:\WINDOWS\system32\ipnfmfss.ini C:\WINDOWS\system32\ixnligyk.ini C:\WINDOWS\system32\jaoxmdqm.dll C:\WINDOWS\system32\jiqjkn.dll C:\WINDOWS\system32\jjiauhmr.ini C:\WINDOWS\system32\jjiifp.dll C:\WINDOWS\system32\jscqlewa.ini C:\WINDOWS\system32\jsjrpwni.ini C:\WINDOWS\system32\juoafkgx.dll C:\WINDOWS\system32\jvkbwnjj.dll C:\WINDOWS\system32\kcwgjfgm.dll C:\WINDOWS\system32\kfboiaeo.ini C:\WINDOWS\system32\kfrdhjee.dll C:\WINDOWS\system32\khsmblmx.ini C:\WINDOWS\system32\kkbtvkka.ini C:\WINDOWS\system32\kkhqav.dll C:\WINDOWS\system32\kxghjbva.ini C:\WINDOWS\system32\kxigld.dll C:\WINDOWS\system32\lbrxdvdk.dll C:\WINDOWS\system32\lfcmmm.dll C:\WINDOWS\system32\lghbiiyr.ini C:\WINDOWS\system32\llaxlsvv.ini C:\WINDOWS\system32\lrnemrud.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mdefkz.dll C:\WINDOWS\system32\mftmym.dll C:\WINDOWS\system32\mggpmy.dll C:\WINDOWS\system32\midwqmjb.dll C:\WINDOWS\system32\momprwbl.dll C:\WINDOWS\system32\mvuquk.dll C:\WINDOWS\system32\myxkaswa.ini C:\WINDOWS\system32\ncykgwoc.ini C:\WINDOWS\system32\ngavewco.dll C:\WINDOWS\system32\nkplymge.ini C:\WINDOWS\system32\nlhwtyuq.ini C:\WINDOWS\system32\nseibasd.ini C:\WINDOWS\system32\nsoqarlc.ini C:\WINDOWS\system32\oboxybgx.ini C:\WINDOWS\system32\ocwevagn.ini C:\WINDOWS\system32\odzjcz.dll C:\WINDOWS\system32\okuunt.dll C:\WINDOWS\system32\omegokaa.ini C:\WINDOWS\system32\OqBcLRqr.ini C:\WINDOWS\system32\OqBcLRqr.ini2 C:\WINDOWS\system32\oqngkvbx.dll C:\WINDOWS\system32\otihgukh.ini C:\WINDOWS\system32\ouvwvpao.ini C:\WINDOWS\system32\ozvjie.dll C:\WINDOWS\system32\packet.dll C:\WINDOWS\system32\pexpnnqt.ini C:\WINDOWS\system32\phlhgkni.dll C:\WINDOWS\system32\pthreadVC.dll C:\WINDOWS\system32\pubykiee.ini C:\WINDOWS\system32\pukfea.dll C:\WINDOWS\system32\pvxrxulj.ini C:\WINDOWS\system32\qfgllpmm.dll C:\WINDOWS\system32\qjqugwhm.ini C:\WINDOWS\system32\qkbfaptr.dll C:\WINDOWS\system32\qnfanbyw.ini C:\WINDOWS\system32\qporauww.ini C:\WINDOWS\system32\qpwqfvyx.ini C:\WINDOWS\system32\qtaufblo.ini C:\WINDOWS\system32\rckgsv.dll C:\WINDOWS\system32\refkaopx.dll C:\WINDOWS\system32\rhsapvkx.ini C:\WINDOWS\system32\rqRLcBqO.dll C:\WINDOWS\system32\rriudxac.ini C:\WINDOWS\system32\ruyekxrv.ini C:\WINDOWS\system32\ryyvowro.ini C:\WINDOWS\system32\savsvxda.ini C:\WINDOWS\system32\senypewq.ini C:\WINDOWS\system32\setsvy.dll C:\WINDOWS\system32\seukcfex.ini C:\WINDOWS\system32\swpcbsta.ini C:\WINDOWS\system32\sxgkrxgo.dll C:\WINDOWS\system32\tgurxjmd.ini C:\WINDOWS\system32\tottyluj.ini C:\WINDOWS\system32\trbjkpmn.ini C:\WINDOWS\system32\tsngmp.dll C:\WINDOWS\system32\ugeieswe.dll C:\WINDOWS\system32\uqmnevun.ini C:\WINDOWS\system32\vchmgqfn.ini C:\WINDOWS\system32\vgrhtmlp.ini C:\WINDOWS\system32\vhvmicxy.dll C:\WINDOWS\system32\vxnyxfbl.dll C:\WINDOWS\system32\wbumdiuv.ini C:\WINDOWS\system32\wibhue.dll C:\WINDOWS\system32\wkshbnia.dll C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\wyshbxdd.ini C:\WINDOWS\system32\xaicqbbm.ini C:\WINDOWS\system32\xbdxknht.dll C:\WINDOWS\system32\xjlajnpy.ini C:\WINDOWS\system32\xnsjppvp.dll C:\WINDOWS\system32\xnskefgb.ini C:\WINDOWS\system32\xnwgpina.dll C:\WINDOWS\system32\xtejeaub.ini C:\WINDOWS\system32\xwulnula.ini C:\WINDOWS\system32\ygsqnn.dll C:\WINDOWS\system32\ylemfypo.dll C:\WINDOWS\system32\ymnqla.dll C:\WINDOWS\system32\yujjjiwr.ini C:\WINDOWS\system32\yxlxwgyo.ini C:\WINDOWS\system32\yyetaveo.ini C:\WINDOWS\system32\zribux.dll C:\WINDOWS\vbksrofa.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Service_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-08-11 bis 2008-09-11 )))))))))))))))))))))))))))))) . 2008-09-10 15:13 . 2008-09-10 15:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! 2008-09-10 14:21 . 2008-09-10 14:21 <DIR> d-------- C:\Programme\Trend Micro 2008-09-09 17:53 . 2008-09-09 17:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Intel 2008-09-09 16:59 . 2008-09-09 22:48 <DIR> d-------- C:\WINDOWS\speech 2008-09-09 16:59 . 2008-09-09 22:53 <DIR> d-------- C:\WINDOWS\Lhsp 2008-09-05 20:03 . 2004-08-04 00:46 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys 2008-09-05 20:03 . 2004-08-04 00:46 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys 2008-09-04 01:09 . 2008-09-04 01:09 <DIR> d-------- C:\Dokumente und Einstellungen\NP\Anwendungsdaten\Warsow 2008-09-01 21:11 . 2008-09-01 21:11 124,544 --a------ C:\WINDOWS\system32\ynhkxg.dll 2008-09-01 21:11 . 2008-09-01 21:11 124,544 --a------ C:\WINDOWS\system32\tliaoxjn.dll 2008-09-01 15:15 . 2008-09-01 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\NP\Anwendungsdaten\Miranda 2008-08-31 20:51 . 2008-08-31 20:51 125,056 --a------ C:\WINDOWS\system32\ujiaosvl.dll 2008-08-31 20:51 . 2008-08-31 20:51 125,056 --a------ C:\WINDOWS\system32\cvzupv.dll 2008-08-31 02:54 . 2008-08-31 02:54 <DIR> d-------- C:\WINDOWS\WICHTIG 2008-08-31 01:28 . 2008-08-31 01:59 <DIR> d-------- C:\Programme\QIP Infium psYNovA-Edition 2008-08-26 01:08 . 2008-08-26 01:08 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2008-08-25 01:36 . 2008-08-29 02:20 <DIR> d-------- C:\Dokumente und Einstellungen\NP\Anwendungsdaten\FileZilla 2008-08-25 01:19 . 2008-08-25 01:21 <DIR> d-------- C:\Dokumente und Einstellungen\NP\Anwendungsdaten\zweitgeist 2008-08-22 04:45 . 2008-08-22 04:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-11 12:15 --------- d-----w C:\Programme\Messenger Plus! Live 2008-09-11 12:00 --------- d-----w C:\Dokumente und Einstellungen\NP\Anwendungsdaten\gtk-2.0 2008-09-10 16:25 --------- d-----w C:\Dokumente und Einstellungen\NP\Anwendungsdaten\Skype 2008-09-10 15:57 --------- d-----w C:\Dokumente und Einstellungen\NP\Anwendungsdaten\skypePM 2008-09-10 15:04 --------- d-----w C:\Dokumente und Einstellungen\NP\Anwendungsdaten\Audacity 2008-09-09 20:41 --------- d-----w C:\Programme\Windows Live 2008-09-09 20:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-09-08 18:17 --------- d-----w C:\Dokumente und Einstellungen\NP\Anwendungsdaten\OpenOffice.org2 2008-09-07 15:45 --------- d-----w C:\Dokumente und Einstellungen\NP\Anwendungsdaten\ICQ 2008-09-06 12:52 --------- d-----w C:\Dokumente und Einstellungen\NP\Anwendungsdaten\teamspeak2 2008-08-31 03:58 --------- d-----w C:\Dokumente und Einstellungen\NP\Anwendungsdaten\DNA 2008-08-30 11:49 --------- d-----w C:\Programme\DNA 2008-08-25 22:55 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-18 03:23 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-08-10 20:12 --------- d-----w C:\Programme\uTorrent 2008-08-09 20:00 --------- d-----w C:\Programme\Postal2STP 2008-08-09 14:52 --------- d-----w C:\Programme\Ontrack 2008-08-09 14:52 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-07-25 16:44 --------- d-----w C:\Dokumente und Einstellungen\NP\Anwendungsdaten\dvdcss 2008-07-19 02:23 --------- d-----w C:\Programme\ICQToolbar 2008-07-13 03:01 --------- d-----w C:\Dokumente und Einstellungen\NP\Anwendungsdaten\CamTrack 2008-06-13 13:46 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE . Code:
ATTFilter <pre> ----a-w 1,556,480 2008-02-27 08:11:44 C:\Dokumente und Einstellungen\NP\Desktop\Metin\M2 MULTIHACK 1.82 (beta) .exe ----a-w 1,560,576 2008-03-19 11:22:53 C:\Dokumente und Einstellungen\NP\Desktop\Metin\M2 MULTIHACK 1.83 (beta) .exe </pre> (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784] "snpstd"="C:\WINDOWS\vsnpstd.exe" [2004-06-10 286720] "Adobe Reader Speed Launcher"="F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "783d7ce4"="C:\WINDOWS\system32\wkshbnia.dll" [N/A] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 C:\WINDOWS\system32\HdAShCut.exe] "nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\WINDOWS\\system32\\logonui.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.XFR1"= xfcodec.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ICQ"="f:\Programme\ICQ6\ICQ.exe" silent "BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "ICQ Lite"="f:\Programme\ICQLite\ICQLite.exe" -minimize [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "F:\\Programme\\ICQ6\\ICQ.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "F:\\Programme\\Xfire\\xfire.exe"= "F:\\Programme\\Wolfenstein - Enemy Territory\\ET.exe"= "C:\\Programme\\DNA\\btdna.exe"= "F:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "F:\\Programme\\Warcraft III\\Warcraft III.exe"= "F:\\Programme\\Valve\\hl.exe"= "F:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\Metin2\\Metin2_PoWeR.exe"= "C:\\Programme\\TeamViewer3\\TeamViewer.exe"= "C:\\Programme\\SmartFTP Client\\SmartFTP.exe"= "C:\\Programme\\GIMP-2.0\\lib\\gimp\\2.0\\plug-ins\\script-fu.exe"= "F:\\Programme\\Metin2\\metin2.bin"= "F:\\Programme\\Metin2\\zoom.nebel.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "F:\\Programme\\Metin2\\new_zoom.exe"= "F:\\Programme\\Zattoo\\zattood.exe"= "F:\\Programme\\Zattoo\\Zattoo2.exe"= "F:\\Programme\\Pserver\\longju2\\metin2.bin"= "F:\\Programme\\Pserver\\longju2\\power.exe"= "F:\\Programme\\QIP2\\qip.exe"= "F:\\Programme\\Miranda IM\\miranda32.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336] S3 PavSRK.sys;PavSRK.sys;C:\WINDOWS\system32\PavSRK.sys [ ] S3 PavTPK.sys;PavTPK.sys;C:\WINDOWS\system32\PavTPK.sys [ ] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-17 307968] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - BHO-{88e9e8d0-1900-45e7-b398-c81312707d58} - C:\WINDOWS\system32\diakae.dll BHO-{E5BD01FB-D1DC-415B-B234-5C7954DBB7BE} - C:\WINDOWS\system32\rqRLcBqO.dll . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\NP\Anwendungsdaten\Mozilla\Firefox\Profiles\hi9l9s2h.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.yodl.de FF -: plugin - C:\Programme\DNA\plugins\npbtdna.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NpFv415.dll FF -: plugin - F:\Programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll FF -: plugin - F:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF -: plugin - f:\Programme\VideoLAN\VLC\npvlc.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-11 18:19:21 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\rundll32.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-09-11 18:23:35 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-09-11 16:23:32 Pre-Run: 9,047,527,424 Bytes frei Post-Run: 8,909,815,808 Bytes frei 347 --- E O F --- 2008-04-10 21:50:14 |
11.09.2008, 17:45 | #4 |
| Browser öffnen sich zu 6 "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MsnMsgr" = ""C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "High Definition Audio Property Page Shortcut" = "HDAShCut.exe" ["Windows (R) Server 2003 DDK provider"] "SoundMAXPnP" = "C:\Programme\Analog Devices\Core\smax4pnp.exe" ["Analog Devices, Inc."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."] "snpstd" = "C:\WINDOWS\vsnpstd.exe" [empty string] "Adobe Reader Speed Launcher" = ""F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "783d7ce4" = "rundll32.exe "C:\WINDOWS\system32\wkshbnia.dll",b" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "F:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "f:\Programme\WinRAR\rarext.dll" [null data] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "F:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{EA5A76F7-8138-4B53-B0F5-ADCC730CAFBD}" = "SmartFTP Drop ShellIconOverlayHandler" -> {HKLM...CLSID} = "SmartFTP Drop ShellIconOverlayHandler" \InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfShellTools.dll" ["SmartSoft Ltd"] "{40FDFA48-5F4E-4627-A78E-6A49A3D4492F}" = "SmartFTP ShellDropHandler" -> {HKLM...CLSID} = "SmartFTP ShellDropHandler Class" \InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfShellTools.dll" ["SmartSoft Ltd"] "{F87DED31-303F-4ED1-9BCE-D360FBC74E0A}" = "SmartFTP ContextMenu" -> {HKLM...CLSID} = "SmartFTP ContextMenu Shell Extension" \InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfShellTools.dll" ["SmartSoft Ltd"] "{39DD67E0-73B6-4a11-AF55-49E1EBBF72BE}" = "SmartFTP Favorites Namespace" -> {HKLM...CLSID} = "SmartFTP FavoritesShellFolder Class" \InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfFavoritesShellExtension.dll" ["SmartSoft Ltd."] "{2ED7FD81-CBA6-45E5-A49A-5E84889A94E2}" = "SmartFTP Drop Handler" -> {HKLM...CLSID} = "ShellFolderDragDropHandler Class" \InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfFTPShellExtension.dll" ["SmartSoft Ltd."] "{EB5EE1F3-041A-4c03-9D51-2BEC6715FB00}" = "SmartFTP Search Shell Namespace Extension" -> {HKLM...CLSID} = "ShellFolderSearchRoot Class" \InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfFTPShellExtension.dll" ["SmartSoft Ltd."] "{82AA9188-44E0-40B9-B956-43A10C315B4F}" = "SmartFTP Shell Namespace Extension" -> {HKLM...CLSID} = "RootShellFolder Class" \InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfFTPShellExtension.dll" ["SmartSoft Ltd."] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "F:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] SmartFTP\(Default) = "{F87DED31-303F-4ED1-9BCE-D360FBC74E0A}" -> {HKLM...CLSID} = "SmartFTP ContextMenu Shell Extension" \InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfShellTools.dll" ["SmartSoft Ltd"] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "F:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "f:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "F:\Programme\ICQLite\ICQLiteShell.dll" [empty string] SmartFTP\(Default) = "{F87DED31-303F-4ED1-9BCE-D360FBC74E0A}" -> {HKLM...CLSID} = "SmartFTP ContextMenu Shell Extension" \InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfShellTools.dll" ["SmartSoft Ltd"] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "F:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "f:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "f:\Programme\WinRAR\rarext.dll" [null data] Default executables: -------------------- <<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile" Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoDrives" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoDrives" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideLogoffScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "RunLogonScriptSync" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "RunStartupScriptSync" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideStartupScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Devices: Allow undock without having to log on} "DisableRegistryTools" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideLogoffScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "RunLogonScriptSync" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "RunStartupScriptSync" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideStartupScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\NP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ NeroAutoPlayEmptyCD\ "Provider" = "Nero StartSmart" "InvokeProgID" = "Nero.AutoPlay" "InvokeVerb" = "EmptyCD" HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\EmptyCD\command\(Default) = ""f:\Programme\Ahead\nero startsmart\nerostartsmart.exe" /Drive:%L" ["Ahead Software AG"] NeroAutoPlayVideoDVD\ "Provider" = "Nero StartSmart" "InvokeProgID" = "Nero.AutoPlay" "InvokeVerb" = "VideoDVD" HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\VideoDVD\command\(Default) = ""f:\Programme\Ahead\nero startsmart\nerostartsmart.exe" /Drive:%L" ["Ahead Software AG"] SonyDVConnectvegas8\ "Provider" = "Sony Vegas Pro 8.0" "ProgID" = "Shell.HWEventHandlerShellExecute" "InitCmdLine" = ""C:\Programme\Sony\Vegas Pro 8.0\vegas80.exe"" HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" -> {HKLM...CLSID} = "ShellExecute HW Event Handler" \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS] VLCPlayCDAudioOnArrival\ "Provider" = "VideoLAN VLC media player" "InvokeProgID" = "VLC.CDAudio" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "f:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"] VLCPlayDVDMovieOnArrival\ "Provider" = "VideoLAN VLC media player" "InvokeProgID" = "VLC.DVDMovie" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "f:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "F:\Programme\TuneUp Utilities 2008\OneClickStarter.exe /schedulestart" [null data] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["ICQ Inc."] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["ICQ Inc."] "{D0943516-5076-4020-A3B5-AEFAF26AB263}" = "Veoh Video Finder" -> {HKLM...CLSID} = "Veoh Browser Plug-in" \InProcServer32\(Default) = "F:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll" ["Veoh Networks Inc"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_04" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_04" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_04\bin\npjpi160_04.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "f:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {E59EB121-F339-4851-A3BA-FE49C35617C2}\ "ButtonText" = "ICQ6" "MenuText" = "ICQ6" "Exec" = "f:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["ICQ Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data] TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]} Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ Canon BJ Language Monitor i560\Driver = "CNMLM58.DLL" ["CANON INC."] ---------- (launch time: 2008-09-11 18:32:48) <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 45 seconds, including 4 seconds for message boxes) |
11.09.2008, 17:46 | #5 |
| Browser öffnen sich[edit] Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 Danke. Sunny [/edit] Geändert von Giuseppe (11.09.2008 um 18:07 Uhr) |
11.09.2008, 19:06 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Browser öffnen sich Du solltest die Anleitung auch schon richtig lesen! 1. die Logfiles werden Codetags umschlossen gepostet 2. das Malwareybytes-Logfile musst Du nachreichen 3. aus dem HijackThis Log editiert man persönliche Informationen und die Links 4. zum Filelisting steht alles in meiner Anleitung Bitte nimm Dir Zeit für das Abarbeiten, mit Hektik zerschießt man sich nur sein System.
__________________ --> Browser öffnen sich |
Themen zu Browser öffnen sich |
adobe, antivir, avira, browser, c:\windows\system32\cmd.exe, dll, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, messenger, micro, microsoft, mozilla, nvidia, plug-in, programme, rundll, seiten, shortcut, sich automatisch, software, system, temp, tuneup.defrag, urlsearchhook, windows, windows xp |