| |
| |||||||
Log-Analyse und Auswertung: Expertentipp bitteWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
26.09.2008, 15:05
| #31 | ||
| Gesperrt |  Expertentipp bitteZitat:
Zitat:
Gruß Geändert von Computergeni (26.09.2008 um 15:19 Uhr) |
|
27.09.2008, 12:46
| #32 |
| Gesperrt | Expertentipp bitte Es ist auch noch eine svchost.exe im Systemstart. Die Datei ist unter D:\WINDOWS\drivers\svchost gespeichert.
__________________Habe die Datei daraufhin bei virustotal hochgeladen und das Ergebnis ist 14/36%. Hier der Report: Datei svchost.exe empfangen 2008.09.27 13:42:51 (CET) AntivirusVersionletzte aktualisierungErgebnisAhnLab-V32008.9.25.02008.09.26-AntiVir7.8.1.342008.09.26-Authentium5.1.0.42008.09.27-Avast4.8.1195.02008.09.26-AVG8.0.0.1612008.09.26SHeur.CKPGBitDefender7.22008.09.27-CAT-QuickHeal9.502008.09.27TrojanDownloader.Agent.ahkmClamAV0.93.12008.09.27-DrWeb4.44.0.091702008.09.27-eSafe7.0.17.02008.09.25Win32.Agent.ahkmeTrust-Vet31.6.61112008.09.27-Ewido4.02008.09.27-F-Prot4.4.4.562008.09.27-F-Secure8.0.14332.02008.09.27Trojan-Downloader.Win32.Agent.ahkmFortinet3.113.0.02008.09.27PossibleThreatGData192008.09.27-IkarusT3.1.1.34.02008.09.27Trojan-Downloader.Win32.Agent.ahkmK7AntiVirus7.10.4752008.09.26-Kaspersky7.0.0.1252008.09.27Trojan-Downloader.Win32.Agent.ahkmMcAfee53932008.09.27Generic Downloader.xMicrosoft1.39032008.09.27TrojanDownloader:Win32/Small.IQNOD3234752008.09.26-Norman5.80.022008.09.26-Panda9.0.0.42008.09.27-PCTools4.4.2.02008.09.26-Prevx1V22008.09.27Cloaked MalwareRising20.63.52.002008.09.27-SecureWeb-Gateway6.7.62008.09.26-Sophos4.34.02008.09.27Mal/Generic-ASunbelt3.1.1675.12008.09.27Trojan-Downloader.Win32.Agent.ahkmSymantec102008.09.27DownloaderTheHacker6.3.0.9.0942008.09.25-TrendMicro8.700.0.10042008.09.26-VBA323.12.8.62008.09.27-ViRobot2008.9.26.13942008.09.26Trojan.Win32.Downloader.30208.AFVirusBuster4.5.11.02008.09.26-weitere InformationenFile size: 30208 bytesMD5...: 0c688f2abd34a127ce1a21632fedadacSHA1..: bc37dda5574e42cd3421168f5e435045c371f698SHA256: 5ab774c9c111a3d875b68f47f9569633e32ab42023a63bc04975e59691c95282SHA512: 27e23f4dca12821accfc74f817c42bf65751ea843c43d5b520b27a9e39828944<br>8baa306678b443a57121ff7c4dda87829ac0fda01fed9d03476f1d99a627ae43PEiD..: -TrID..: File type identification<br>Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>VXD Driver (0.1%)PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4010d3<br>timedatestamp.....: 0x484cfe4f (Mon Jun 09 09:56:31 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xafd 0xc00 3.53 4994df03dd451c2aedb4c6006b51e23f<br>.rdata 0x2000 0xb6f 0xc00 5.17 28d1952e9d83b47734e1d7498f11967a<br>.data 0x3000 0x1cee7 0x5a00 7.16 8ae6e41f2770547a53024900b2ba798f<br><br>( 5 imports ) <br>> kernel32.dll: GetCurrentProcess, GetStringTypeW, MultiByteToWideChar, GetOEMCP, GetStdHandle, SetFilePointer, GetFileType, GetCommandLineA, WriteFile, CreateFileA, GetACP, GetCPInfo, GetVersion, lstrcpynW, GetModuleFileNameA, GetStringTypeA, LCMapStringW, lstrcpynA, TerminateProcess, LCMapStringA, GetStartupInfoA, lstrcpyA, lstrcatA<br>> comctl32.dll: ImageList_Add, ImageList_LoadImageW, CreateStatusWindow, DllGetVersion, ImageList_Copy, ImageList_GetIcon, CreateMappedBitmap, ImageList_EndDrag, DrawStatusText, ImageList_LoadImageA, ImageList_AddIcon, ImageList_DragEnter, ImageList_DrawEx, InitCommonControls, ImageList_GetIconSize, CreateUpDownControl, ImageList_Draw, CreateToolbarEx, MenuHelp, CreateToolbar<br>> gdi32.dll: CreateHalftonePalette, CreateDIBitmap, ExcludeClipRect, CreatePenIndirect, GetDCOrgEx, GetClipBox, DeleteObject, CreatePalette, CreateCompatibleDC, CreateDIBSection, CreateSolidBrush, GetBrushOrgEx, DeleteDC, SetTextColor, GetCurrentPositionEx, GetBitmapBits, CreateFontIndirectA, GetPixel, RestoreDC, CreateCompatibleBitmap, GetPixel<br>> advapi32.dll: RegCreateKeyExA, RegEnumKeyA, RegSetValueA, RegQueryValueW, RegQueryValueA, RegDeleteValueA, RegDeleteKeyA, RegDeleteValueW, RegCreateKeyW, RegEnumKeyExA, RegOpenKeyA, RegOpenKeyExA, RegEnumValueW, RegCreateKeyExW, RegDeleteKeyW, RegQueryValueExW, RegCreateKeyA, RegSetValueW, RegEnumKeyExW, RegEnumValueA, RegOpenKeyExW, RegOpenKeyW<br>> user32.dll: CopyIcon, CreateIcon, GetFocus, CloseWindow, InsertMenuA, DialogBoxParamA, CopyImage, DrawIconEx, CopyRect, LoadCursorA, IsWindow, GetCursor, GetDlgItem, DrawIcon, DialogBoxParamW, GetWindowTextLengthA, DrawTextA, IsMenu, GetWindowTextA, LoadMenuA, GetDC, GetMenu<br><br>( 0 exports ) <br>Prevx info: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.25.0 2008.09.26 - AntiVir 7.8.1.34 2008.09.26 - Authentium 5.1.0.4 2008.09.27 - Avast 4.8.1195.0 2008.09.26 - AVG 8.0.0.161 2008.09.26 SHeur.CKPG BitDefender 7.2 2008.09.27 - CAT-QuickHeal 9.50 2008.09.27 TrojanDownloader.Agent.ahkm ClamAV 0.93.1 2008.09.27 - DrWeb 4.44.0.09170 2008.09.27 - eSafe 7.0.17.0 2008.09.25 Win32.Agent.ahkm eTrust-Vet 31.6.6111 2008.09.27 - Ewido 4.0 2008.09.27 - F-Prot 4.4.4.56 2008.09.27 - F-Secure 8.0.14332.0 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm Fortinet 3.113.0.0 2008.09.27 PossibleThreat GData 19 2008.09.27 - Ikarus T3.1.1.34.0 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm K7AntiVirus 7.10.475 2008.09.26 - Kaspersky 7.0.0.125 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm McAfee 5393 2008.09.27 Generic Downloader.x Microsoft 1.3903 2008.09.27 TrojanDownloader:Win32/Small.IQ NOD32 3475 2008.09.26 - Norman 5.80.02 2008.09.26 - Panda 9.0.0.4 2008.09.27 - PCTools 4.4.2.0 2008.09.26 - Prevx1 V2 2008.09.27 Cloaked Malware Rising 20.63.52.00 2008.09.27 - SecureWeb-Gateway 6.7.6 2008.09.26 - Sophos 4.34.0 2008.09.27 Mal/Generic-A Sunbelt 3.1.1675.1 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm Symantec 10 2008.09.27 Downloader TheHacker 6.3.0.9.094 2008.09.25 - TrendMicro 8.700.0.1004 2008.09.26 - VBA32 3.12.8.6 2008.09.27 - ViRobot 2008.9.26.1394 2008.09.26 Trojan.Win32.Downloader.30208.AF VirusBuster 4.5.11.0 2008.09.26 - weitere Informationen File size: 30208 bytes MD5...: 0c688f2abd34a127ce1a21632fedadac SHA1..: bc37dda5574e42cd3421168f5e435045c371f698 SHA256: 5ab774c9c111a3d875b68f47f9569633e32ab42023a63bc04975e59691c95282 SHA512: 27e23f4dca12821accfc74f817c42bf65751ea843c43d5b520b27a9e39828944<br>8baa306678b443a57121ff7c4dda87829ac0fda01fed9d03476f1d99a627ae43 PEiD..: - TrID..: File type identification<br>Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>VXD Driver (0.1%) PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4010d3<br>timedatestamp.....: 0x484cfe4f (Mon Jun 09 09:56:31 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xafd 0xc00 3.53 4994df03dd451c2aedb4c6006b51e23f<br>.rdata 0x2000 0xb6f 0xc00 5.17 28d1952e9d83b47734e1d7498f11967a<br>.data 0x3000 0x1cee7 0x5a00 7.16 8ae6e41f2770547a53024900b2ba798f<br><br>( 5 imports ) <br>> kernel32.dll: GetCurrentProcess, GetStringTypeW, MultiByteToWideChar, GetOEMCP, GetStdHandle, SetFilePointer, GetFileType, GetCommandLineA, WriteFile, CreateFileA, GetACP, GetCPInfo, GetVersion, lstrcpynW, GetModuleFileNameA, GetStringTypeA, LCMapStringW, lstrcpynA, TerminateProcess, LCMapStringA, GetStartupInfoA, lstrcpyA, lstrcatA<br>> comctl32.dll: ImageList_Add, ImageList_LoadImageW, CreateStatusWindow, DllGetVersion, ImageList_Copy, ImageList_GetIcon, CreateMappedBitmap, ImageList_EndDrag, DrawStatusText, ImageList_LoadImageA, ImageList_AddIcon, ImageList_DragEnter, ImageList_DrawEx, InitCommonControls, ImageList_GetIconSize, CreateUpDownControl, ImageList_Draw, CreateToolbarEx, MenuHelp, CreateToolbar<br>> gdi32.dll: CreateHalftonePalette, CreateDIBitmap, ExcludeClipRect, CreatePenIndirect, GetDCOrgEx, GetClipBox, DeleteObject, CreatePalette, CreateCompatibleDC, CreateDIBSection, CreateSolidBrush, GetBrushOrgEx, DeleteDC, SetTextColor, GetCurrentPositionEx, GetBitmapBits, CreateFontIndirectA, GetPixel, RestoreDC, CreateCompatibleBitmap, GetPixel<br>> advapi32.dll: RegCreateKeyExA, RegEnumKeyA, RegSetValueA, RegQueryValueW, RegQueryValueA, RegDeleteValueA, RegDeleteKeyA, RegDeleteValueW, RegCreateKeyW, RegEnumKeyExA, RegOpenKeyA, RegOpenKeyExA, RegEnumValueW, RegCreateKeyExW, RegDeleteKeyW, RegQueryValueExW, RegCreateKeyA, RegSetValueW, RegEnumKeyExW, RegEnumValueA, RegOpenKeyExW, RegOpenKeyW<br>> user32.dll: CopyIcon, CreateIcon, GetFocus, CloseWindow, InsertMenuA, DialogBoxParamA, CopyImage, DrawIconEx, CopyRect, LoadCursorA, IsWindow, GetCursor, GetDlgItem, DrawIcon, DialogBoxParamW, GetWindowTextLengthA, DrawTextA, IsMenu, GetWindowTextA, LoadMenuA, GetDC, GetMenu<br><br>( 0 exports ) <br> Wenn ich google und dann auf einen Link gehe werde ich zu einer komplett anderen Seite verlinkt? Was soll ich tun? Hier noch mein Hiajckthislogfile: Logfile of Trend Micro H*jackThis v2.0.2 Scan saved at 14:10:05, on 27.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\RunDll32.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\WINDOWS\System32\LVCOMSX.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\phonostar\ps_timer.exe D:\Programme\Windows Live\Messenger\msnmsgr.exe D:\Programme\Windows Live\Messenger\usnsvc.exe D:\Programme\Skype\Phone\Skype.exe D:\Programme\Skype\Plugin Manager\SkypePM.exe D:\Programme\Yahoo!\Messenger\YahooMessenger.exe D:\WINDOWS\system32\winlogon.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [SVCHOST.EXE] D:\WINDOWS\system32\drivers\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1007\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Alex') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6110 bytes Gruß Geändert von Computergeni (27.09.2008 um 13:37 Uhr) |
|
27.09.2008, 16:22
| #33 | |
| /// TB-Ausbilder     | Expertentipp bitteZitat:
 Aktualisiere Malwarebytes, lasse es scannen, alle Funde entfernen und poste danach das Log hier. lg myrtille
__________________ |
|
27.09.2008, 19:08
| #34 |
| Gesperrt | Expertentipp bitte Hier das Log von mbam: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1215 Windows 5.1.2600 Service Pack 3 27.09.2008 20:04:08 mbam-log-2008-09-27 (20-04-08).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 29509 Laufzeit: 32 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.SoftMate) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\Typelib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.SoftMate) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Delete on reboot. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: D:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot. |
|
27.09.2008, 19:13
| #35 |
| /// TB-Ausbilder | Expertentipp bitte Starte den Rechner neu und erstell ein neues Hijackthislog poste es dann hier. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
27.09.2008, 19:14
| #36 |
| Gast | Expertentipp bitte EDIT: @Pfuscher Wenn es etwas zu diskutieren gibt, dann bitte so wie ich es dir hier beschrieben habe -> http://www.trojaner-board.de/60312-a...troffener.html |
|
27.09.2008, 19:28
| #37 | |
| Gesperrt | Expertentipp bitteZitat:
Bei Systemdateien war kein hacken ich mache jetzt noch einen Scan mit Systemdateien und dieser dauert nun auch nicht nur 30 Sekunden. Ich poste dann wieder das Logfile davon dann start ich neu und poste das neue Hijackthislogfile. @Pfuscher: Zu viele Köche verderben den brei ich bleibe bei dem was myrtille sagt. Gruß |
|
27.09.2008, 19:42
| #38 |
| Gesperrt | Expertentipp bitte Neues mbamlogfile: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1215 Windows 5.1.2600 Service Pack 3 27.09.2008 20:37:47 mbam-log-2008-09-27 (20-37-47).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 121989 Laufzeit: 24 minute(s), 47 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.SoftMate) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\Typelib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.SoftMate) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Delete on reboot. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: D:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot. So hier das neue Hijackthislogfile: Logfile of Trend Micro H*jackThis v2.0.2 Scan saved at 20:40:45, on 27.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\RunDll32.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\WINDOWS\System32\LVCOMSX.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\phonostar\ps_timer.exe D:\WINDOWS\system32\drivers\svchost.exe D:\WINDOWS\system32\wuauclt.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [SVCHOST.EXE] D:\WINDOWS\system32\drivers\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1008\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Elias') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 5955 bytes Noch was: Irgendeine Malware schaltet immer die Windows-Firewall aus ich aktiviere sie dann wieder aber nach einiger Zeit zeigt mir die Taskleiste wieder an dass sie deaktiviert ist? Und ich denke das nicht alle Dateien von mbam gelöscht worden konnten. Denn wenn ich auf Quarantäne von mbam wechsele stehen dort 10 objekte unter anderem svchost.exe. Und wenn ich den Scan neu mache werden mir wieder 16 infizierte Objekte angezeigt?? Gruß Geändert von Computergeni (27.09.2008 um 19:53 Uhr) Grund: Ergänzung |
|
27.09.2008, 19:52
| #39 |
| Gast | Expertentipp bitte EDIT: @Pfuscher Wenn es etwas zu diskutieren gibt, dann bitte so wie ich es dir hier beschrieben habe -> http://www.trojaner-board.de/60312-a...troffener.html |
|
27.09.2008, 21:54
| #40 |
| Gesperrt | Expertentipp bitte Ich kenn den Fehler jetzt: Ich habe mbam mit einem eingeschränkten Benutzer scannen lassen. Habe es gerade eben mit einem Administrator laufen lassen und dann alle Einträge erfolgreich gelöscht. Wenn ich jetzt einen neuen Scan mache werden mir keine infizierten Objekte angezeigt. Und wenn ich im Systemkonfigurationsprogramm unter dem ''Reiter'' Systemstart gucke steht dort nicht mehr svchost.exe und die Firewall schaltet sich auch nicht mehr von allein aus. Erste mbamergebnisse mit Administrator: Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1215
Windows 5.1.2600 Service Pack 3
27.09.2008 22:44:33
mbam-log-2008-09-27 (22-44-33).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 36719
Laufzeit: 26 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9
Infizierte Speicherprozesse:
D:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
Zweite mbamtest-Ergebisse nach dem Ersten als Administrator: Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1215
Windows 5.1.2600 Service Pack 3
27.09.2008 22:50:34
mbam-log-2008-09-27 (22-50-34).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 36253
Laufzeit: 32 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Logfile of Trend Micro Hi*ckThis v2.0.2 Scan saved at 23:28:09, on 27.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\RunDll32.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\WINDOWS\System32\LVCOMSX.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\phonostar\ps_timer.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Windows Live\Messenger\msnmsgr.exe D:\Programme\Windows Live\Messenger\usnsvc.exe D:\Programme\Skype\Phone\Skype.exe D:\Programme\Skype\Plugin Manager\SkypePM.exe D:\Programme\Yahoo!\Messenger\YahooMessenger.exe D:\Programme\Internet Explorer\IEXPLORE.EXE D:\Programme\Internet Explorer\IEXPLORE.EXE D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe D:\Programme\Athan\Athan.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6081 bytes Gruß und Danke an myrtille Geändert von Computergeni (27.09.2008 um 22:29 Uhr) |
|
28.09.2008, 00:03
| #41 |
| /// TB-Ausbilder | Expertentipp bitte Poste bitte noch ein neues Hijackthislog und denk eventuell darüber nach auf einen alternativen Browser wie Firefox oder Opera umzusteigen. Internet Explorer 8 ist eine Betasoftware, das heißt sie enthält wahrscheinlich noch zahlreiche Fehler und Lücken und sollte daher nur genutzt werden, wenn man mit entsprechenden Problemen umgehen kann. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
28.09.2008, 09:20
| #42 | |
| Gesperrt | Expertentipp bitte Das Hijackthislogfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:19:04, on 28.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\RunDll32.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\WINDOWS\System32\LVCOMSX.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\phonostar\ps_timer.exe D:\Programme\Skype\Phone\Skype.exe D:\Programme\Yahoo!\Messenger\YahooMessenger.exe D:\Programme\Windows Live\Messenger\msnmsgr.exe D:\Programme\ICQ6\ICQ.exe D:\Programme\Skype\Plugin Manager\SkypePM.exe D:\Programme\Windows Live\Messenger\usnsvc.exe D:\Programme\Mozilla Firefox\firefox.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1007\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Alex') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - http://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1 O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1 O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6106 bytes Zitat:
Gruß |
|
28.09.2008, 11:13
| #43 |
| /// TB-Ausbilder | Expertentipp bitte Hi, ok, ich war nur irritiert weil in deinem vorletzten Log der internet explorer lief. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
| Themen zu Expertentipp bitte |
| 41700, add-on, adobe, antivir, antivirus, avira, bho, dll, download, explorer, firefox, helper, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, logfile, mozilla, plug-in, programme, rundll, software, sweetim, system, toolbars, urlsearchhook, windows, windows xp, windows xp sp3, wmp, wrapper, xp sp3, yahoo |
Linear-Darstellung
