|
Log-Analyse und Auswertung: Ev. Trojaner?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.09.2008, 17:39 | #1 |
| Ev. Trojaner? Hallo allerseits, zuerst einmal kurz die Probleme: richtig merkbar ist es nur beim internet surfen, so gehen downloads nicht und ich kann auch nicht mehr über google suchen... es schleichen sich ab und an komische *.dll einträge in mein startup fenster (z.b. hryqqwcs.dll, nugqyhjt.dll, etc...) die mit unterschiedlichen namen immer wieder auftauchen, ich habe jetzt 2x versucht diese im abgesicherten modus zu löschen (inkl. reg eintrag) aber es kommen dann einfach neue... hier mal der logfile, hoffe auf eure hilfe und vielen dank schon mal im vorhinein Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:34:22, on 16.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\I8kfanGUI\I8kfanGUI.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wu-wien.ac.at/bib/digibib.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ZoneAlarm] C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O4 - HKCU\..\Run: [i8kfangui] C:\Programme\I8kfanGUI\I8kfanGUI.exe /startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Icq\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Icq\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152880321671 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O17 - HKLM\System\CS1\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O17 - HKLM\System\CS2\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O17 - HKLM\System\CS3\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: ebxnyi.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 8489 bytes |
16.09.2008, 18:47 | #2 |
| Ev. Trojaner? Als erstes solltest du doch mal die aktiven Links in deinem Log wegmachen... aus "http" mache einfach "h**p" und persönliche informationen wie z.B. "c:\Programme\...\max mustermann\HJT.exe" einfach in "c:\Programme\...\***\HJT.exe" ändern. Um dein Log wird sich dann noch jemand kümmern
__________________ |
16.09.2008, 18:56 | #3 | |
| Ev. Trojaner?Zitat:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:34:22, on 16.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\I8kfanGUI\I8kfanGUI.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.wu-wien.ac.at/bib/digibib.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ZoneAlarm] C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O4 - HKCU\..\Run: [i8kfangui] C:\Programme\I8kfanGUI\I8kfanGUI.exe /startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Icq\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Icq\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - h**p://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152880321671 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O17 - HKLM\System\CS1\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O17 - HKLM\System\CS2\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O17 - HKLM\System\CS3\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: ebxnyi.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO. EXE O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID. EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 8489 bytes |
17.09.2008, 21:08 | #4 |
| Ev. Trojaner? kann mir hier niemand weiterhelfen? :-( braucht ihr noch irgendwelche infos? habe ich noch was falsch editiert? |
17.09.2008, 22:05 | #5 |
Ev. Trojaner? Hi, bitte etwas mehr Geduld - das ist ein Forum, kein Chat. Hier die Anleitung für dich: 1.) Blacklight scannen lassen
2.) MalwareBytes Anti-Malware :
3.) ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
18.09.2008, 01:00 | #6 |
| Ev. Trojaner? 1. 09/17/08 23:16:45 [Info]: BlackLight Engine 1.0.70 initialized 09/17/08 23:16:45 [Info]: OS: 5.1 build 2600 (Service Pack 3) 09/17/08 23:16:45 [Note]: 7019 4 09/17/08 23:16:45 [Note]: 7005 0 09/17/08 23:16:47 [Note]: 7006 0 09/17/08 23:16:47 [Note]: 7011 236 09/17/08 23:16:47 [Note]: 7035 0 09/17/08 23:16:47 [Note]: 7026 0 09/17/08 23:16:47 [Note]: 7026 0 09/17/08 23:16:57 [Note]: FSRAW library version 1.7.1024 2. Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1161 Windows 5.1.2600 Service Pack 3 18.09.2008 01:08:38 mbam-log-2008-09-18 (01-08-38).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 146524 Laufzeit: 56 minute(s), 5 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP10\A0007646.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP10\A0007647.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP10\A0007650.dll (Trojan.Vundo) -> Quarantined and deleted successfully. 3. ComboFix 08-09-16.05 - xxx 2008-09-18 1:10:00.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.531 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\vomeamnw.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-08-17 bis 2008-09-17 )))))))))))))))))))))))))))))) . 2008-09-17 23:15 . 2008-09-17 23:35 <DIR> d-------- C:\Programme\blacklight 2008-09-17 22:24 . 2008-09-17 22:24 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\DoctorWeb 2008-09-17 22:10 . 2008-09-17 22:10 <DIR> d-------- C:\WINDOWS\LastGood 2008-09-17 18:02 . 2008-09-17 18:02 580,096 --a------ C:\WINDOWS\system32\dllcache\user32.dll 2008-09-17 17:54 . 2008-09-17 17:55 <DIR> d-------- C:\WINDOWS\ERUNT 2008-09-17 17:29 . 2008-09-17 17:40 1,024,103 ---hs---- C:\WINDOWS\system32\tjrfnbjh.ini 2008-09-17 08:41 . 2008-09-17 18:07 <DIR> d-------- C:\Programme\Spyware Doctor 2008-09-17 08:41 . 2008-09-17 08:41 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PC Tools 2008-09-17 08:41 . 2008-08-25 11:36 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-09-17 08:41 . 2008-08-25 11:36 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-09-17 08:41 . 2008-08-25 11:36 40,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-09-17 08:41 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-09-16 20:38 . 2008-09-16 20:38 <DIR> d-------- C:\Programme\CCleaner 2008-09-16 20:07 . 2008-09-17 18:28 <DIR> d-------- C:\SDFix 2008-09-16 18:43 . 2008-09-16 18:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-16 18:43 . 2008-09-16 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes 2008-09-16 18:43 . 2008-09-16 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-16 18:43 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-16 18:43 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-16 18:33 . 2008-09-16 18:33 <DIR> d-------- C:\Programme\Trend Micro 2008-09-15 22:06 . 2008-09-17 23:18 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-09-15 22:00 . 2008-09-16 19:30 <DIR> d-------- C:\Programme\Trojan Remover 2008-09-15 22:00 . 2008-09-15 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Simply Super Software 2008-09-15 22:00 . 2008-09-15 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software 2008-09-14 20:15 . 2008-09-14 20:18 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\.clamwin 2008-09-14 20:13 . 2008-09-14 20:13 <DIR> d-------- C:\Programme\ClamWin 2008-09-14 20:13 . 2008-09-14 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\.clamwin 2008-09-14 10:07 . 2008-09-14 10:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-09-13 12:27 . 2008-09-13 12:27 <DIR> d-------- C:\Programme\Avira 2008-09-12 18:53 . 2008-09-12 18:53 311,808 --a------ C:\WINDOWS\system32\wvUnOEtr.dll.vir 2008-09-06 20:22 . 2008-09-06 20:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia 2008-09-06 12:50 . 2008-04-13 20:45 26,112 --a------ C:\WINDOWS\system32\drivers\usbser.sys 2008-09-06 12:50 . 2008-04-13 20:45 26,112 --a------ C:\WINDOWS\system32\dllcache\usbser.sys 2008-09-06 12:49 . 2008-09-06 12:49 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-09-06 12:49 . 2008-09-06 12:49 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf 2008-09-06 12:41 . 2008-09-06 12:50 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PC Suite 2008-09-06 12:41 . 2008-09-06 12:52 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Nokia 2008-09-06 12:41 . 2008-09-06 12:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite 2008-09-06 12:39 . 2008-09-06 12:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCSuite 2008-09-06 12:39 . 2008-09-06 12:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia 2008-09-06 12:38 . 2008-09-06 12:38 <DIR> d-------- C:\Programme\PC Connectivity Solution 2008-09-06 12:38 . 2008-05-07 07:39 1,419,232 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll 2008-09-06 12:38 . 2008-05-07 07:38 659,968 --a------ C:\WINDOWS\system32\nmwcdcocls.dll 2008-09-06 12:38 . 2007-09-17 15:53 21,632 --a------ C:\WINDOWS\system32\drivers\pccsmcfd.sys 2008-09-06 12:38 . 2008-05-07 07:38 20,864 --a------ C:\WINDOWS\system32\drivers\ccdcmbo.sys 2008-09-06 12:38 . 2008-05-07 07:38 17,536 --a------ C:\WINDOWS\system32\drivers\ccdcmb.sys 2008-09-06 12:38 . 2008-05-07 07:38 8,064 --a------ C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys 2008-09-06 12:38 . 2008-06-06 09:24 8,064 --a------ C:\WINDOWS\system32\drivers\usbser_lowerflt.sys 2008-09-06 12:37 . 2008-09-06 13:01 <DIR> d-------- C:\Programme\Nokia 2008-09-06 12:37 . 2008-02-01 16:17 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll 2008-09-06 12:36 . 2008-09-06 12:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations 2008-09-06 09:34 . 2008-09-06 09:34 3,532 --a------ C:\drmHeader.bin 2008-08-27 19:49 . 2008-08-27 19:50 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-08-27 19:49 . 2008-08-27 19:49 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\TuneUp Software 2008-08-27 19:49 . 2008-08-27 19:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-08-27 19:49 . 2008-08-27 19:49 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-08-27 19:49 . 2008-05-29 09:28 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-08-20 19:27 . 2008-08-20 19:27 <DIR> d-------- C:\WINDOWS\system32\de 2008-08-20 19:27 . 2008-08-20 19:27 <DIR> d-------- C:\WINDOWS\system32\bits 2008-08-20 19:27 . 2008-08-20 19:27 <DIR> d-------- C:\WINDOWS\l2schemas 2008-08-20 19:22 . 2008-08-20 19:28 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-08-20 19:12 . 2008-08-20 19:12 <DIR> d-------- C:\WINDOWS\EHome 2008-08-19 18:27 . 2004-08-03 22:29 73,216 --------- C:\WINDOWS\system32\drivers\atintuxx.sys 2008-08-19 18:27 . 2004-07-17 11:36 64,352 --------- C:\WINDOWS\system32\drivers\ativmc20.cod 2008-08-19 18:27 . 2004-08-03 22:29 63,488 --------- C:\WINDOWS\system32\drivers\atinxsxx.sys 2008-08-19 18:27 . 2004-08-03 22:29 31,744 --------- C:\WINDOWS\system32\drivers\atinxbxx.sys 2008-08-19 18:27 . 2004-08-03 22:29 13,824 --------- C:\WINDOWS\system32\drivers\atinttxx.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-17 23:13 25,931,808 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-09-17 20:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-09-17 20:03 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\nView_Wallpaper 2008-09-17 19:42 2,788,864 ----a-w C:\WINDOWS\Internet Logs\xDB60.tmp 2008-09-17 19:42 1,720,320 ----a-w C:\WINDOWS\Internet Logs\xDB61.tmp 2008-09-17 19:33 301,820 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-09-17 17:28 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\teamspeak2 2008-09-17 16:50 436,736 ----a-w C:\WINDOWS\Internet Logs\xDB5E.tmp 2008-09-17 16:50 1,714,688 ----a-w C:\WINDOWS\Internet Logs\xDB5F.tmp 2008-09-17 15:48 2,874,880 ----a-w C:\WINDOWS\Internet Logs\xDB5C.tmp 2008-09-17 15:48 1,713,152 ----a-w C:\WINDOWS\Internet Logs\xDB5D.tmp 2008-09-17 15:37 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\BitTorrent 2008-09-16 16:21 1,686,016 ----a-w C:\WINDOWS\Internet Logs\xDB5B.tmp 2008-09-16 16:21 1,078,784 ----a-w C:\WINDOWS\Internet Logs\xDB5A.tmp 2008-09-16 16:11 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype 2008-09-15 20:11 466,432 ----a-w C:\WINDOWS\Internet Logs\xDB58.tmp 2008-09-15 20:11 1,690,624 ----a-w C:\WINDOWS\Internet Logs\xDB59.tmp 2008-09-15 19:42 2,976,768 ----a-w C:\WINDOWS\Internet Logs\xDB56.tmp 2008-09-15 19:42 1,684,480 ----a-w C:\WINDOWS\Internet Logs\xDB57.tmp 2008-09-14 14:29 --------- d-----w C:\Programme\eMule 2008-09-14 13:35 2,875,904 ----a-w C:\WINDOWS\Internet Logs\xDB55.tmp 2008-09-14 07:58 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Lavasoft 2008-09-13 10:53 3,407,872 ----a-w C:\WINDOWS\Internet Logs\xDB53.tmp 2008-09-13 10:53 1,674,240 ----a-w C:\WINDOWS\Internet Logs\xDB54.tmp 2008-09-08 06:24 19,671,472 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2008-09-06 18:25 3,831,808 ----a-w C:\WINDOWS\Internet Logs\xDB51.tmp 2008-09-06 18:25 1,635,840 ----a-w C:\WINDOWS\Internet Logs\xDB52.tmp 2008-09-06 10:38 --------- d-----w C:\Programme\DIFX 2008-08-28 15:48 --------- d-----w C:\Programme\ICQ6 2008-08-20 17:36 3,396,608 ----a-w C:\WINDOWS\Internet Logs\xDB50.tmp 2008-08-17 11:48 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-08-17 11:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-08-16 18:28 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenOffice.org2 2008-08-16 14:15 --------- d-----w C:\Programme\Winamp 2008-08-16 11:14 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Acreon 2008-08-16 09:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment 2008-08-05 06:14 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ 2008-08-03 21:26 2,700,800 ----a-w C:\WINDOWS\Internet Logs\xDB4F.tmp 2008-08-03 11:08 80,896 ----a-w C:\WINDOWS\Internet Logs\xDB4D.tmp 2008-08-03 11:08 1,430,016 ----a-w C:\WINDOWS\Internet Logs\xDB4E.tmp 2008-08-03 02:56 3,579,904 ----a-w C:\WINDOWS\Internet Logs\xDB4B.tmp 2008-08-03 02:56 1,428,992 ----a-w C:\WINDOWS\Internet Logs\xDB4C.tmp 2008-08-02 10:45 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys 2008-07-21 09:27 40,368 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-07-17 16:40 --------- d-----w C:\Programme\OpenOffice.org 2.4 2008-07-17 16:08 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-09 07:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe 2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-07 20:26 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll 2008-07-06 20:59 10,881,024 ----a-w C:\WINDOWS\Internet Logs\xDB47.tmp 2008-07-06 20:58 2,460,672 ----a-w C:\WINDOWS\Internet Logs\xDB48.tmp 2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-24 16:42 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll 2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll 2008-06-24 08:14 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-06-23 09:20 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-06-23 09:20 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-06-21 05:23 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll 2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 17:46 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll 2008-06-20 17:46 147,968 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-06-20 11:51 361,600 ------w C:\WINDOWS\system32\dllcache\tcpip.sys 2008-06-20 11:40 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys 2008-06-20 11:08 225,856 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys 2006-08-10 19:35 33,408 ----a-w C:\Dokumente und Einstellungen\xxx\g2mdlhlpx.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ZoneAlarm"="C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" [2008-07-09 50664] "i8kfangui"="C:\Programme\I8kfanGUI\I8kfanGUI.exe" [2007-02-16 856064] "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [2008-06-20 153856] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-25 7573504] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "NVHotkey"="nvHotkey.dll" [2006-03-22 C:\WINDOWS\system32\nvhotkey.dll] "nwiz"="nwiz.exe" [2006-04-25 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk backup=C:\WINDOWS\pss\Digital Line Detect.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ShowLOMControl] [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKDetectorExe] --a------ 2005-07-12 20:05 1117184 C:\Programme\McAfee\SpamKiller\MSKDetct.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\BitTorrent_DNA\\dna.exe"= "C:\\Programme\\BitTorrent\\bittorrent.exe"= "C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Spiele\\Sid Meier's Civilization 4\\Civilization4.exe"= "C:\\Spiele\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"= "C:\\Spiele\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"= "C:\\Spiele\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"= "C:\\Spiele\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R1 fanio;FanIO driver;C:\WINDOWS\system32\drivers\fanio.sys [2007-02-16 14464] R2 MSSQL$QSRNVIVO;SQL Server (QSRNVIVO);C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2008-02-26 29183504] R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2006-07-20 2368] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-27 355584] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - CATCHME *Newly Created Service* - MBAMSWISSARMY . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\j2bru8zq.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.wu-wien.ac.at/bib/digibib.html FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava11.dll FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava12.dll FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava13.dll FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava14.dll FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava32.dll FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJPI150_03.dll FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPOJI610.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPAdbESD.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2008-09-18 01:13:23 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-09-18 1:15:23 ComboFix-quarantined-files.txt 2008-09-17 23:15:09 ComboFix2.txt 2008-09-17 17:27:23 Vor Suchlauf: 16 Verzeichnis(se), 18,090,721,280 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 18,078,748,672 Bytes frei 251 --- E O F --- 2008-09-17 20:11:41 |
18.09.2008, 01:04 | #7 |
| Ev. Trojaner? 4. und zum Abschluß ein HijackThis log, vielen vielen dank für eure mühe Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:59:38, on 18.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\system32\svchost.exe C:\Programme\I8kfanGUI\I8kfanGUI.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.wu-wien.ac.at/bib/digibib.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [ZoneAlarm] C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O4 - HKCU\..\Run: [i8kfangui] C:\Programme\I8kfanGUI\I8kfanGUI.exe /startup O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O15 - Trusted Zone: hxxp://download.windowsupdate.com O15 - Trusted Zone: hxxp://*.windowsupdate.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1221681988234 O17 - HKLM\System\CCS\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O17 - HKLM\System\CS1\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O17 - HKLM\System\CS2\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O17 - HKLM\System\CS3\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 6106 bytes |
18.09.2008, 22:38 | #8 |
Ev. Trojaner? Sieht gut aus. Hast du noch Probleme mit dem Rechner?
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
19.09.2008, 12:54 | #9 |
| Ev. Trojaner? puh, danke, das hatte ich gehofft :-) also ich hab gestern den ganzen abend laufen lassen, ohne probleme, keine verlangsamerungen, inet ohne probleme, downloads ohne probleme und auch keine komischen startmenü einträge vielen vielen dank für deine/eure hilfe!!! |
19.09.2008, 12:55 | #10 |
Ev. Trojaner? Kein Problem, beobachte ein paar Tage das Verhalten deines Rechners. Wenn dir da etwas verdächtig vorkommt oder wenn es Probleme gibt, melde dich hier.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
Themen zu Ev. Trojaner? |
abgesicherten modus, ad-aware, antivir, antivirus, avira, drivers, excel, firefox, google, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, monitor, mozilla, mp3, registry, rundll, server, software, solution, system, toolbars, trojaner, trojaner?, tuneup.defrag, urlsearchhook, vielen dank, windows, windows xp, windows xp sp3, xp sp3 |