|
Plagegeister aller Art und deren Bekämpfung: Google Suche und Windows Auto-update defekt, popups, trojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.09.2008, 20:19 | #16 |
| Google Suche und Windows Auto-update defekt, popups, trojaner hier zunächst das Log von Malwarebytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1203 Windows 5.1.2600 Service Pack 2 25.09.2008 21:17:54 mbam-log-2008-09-25 (21-17-54).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 86948 Laufzeit: 41 minute(s), 32 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 36 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 9 Infizierte Dateien: 51 Infizierte Speicherprozesse: C:\Programme\Foxie Suite\Firewall.exe (Rogue.Foxie) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\firewall (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\firewall (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\firewall (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{53b8b576-27ef-4cf5-ad81-0487f96bf21f} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{6db1d8a4-3493-4414-9fd2-3924617491b5} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{72fc8424-86d6-4100-8846-ff211f275897} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{96eb9c1c-140f-44d8-8674-840b318b7e0b} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{09c02180-3b46-4cd8-83ff-34daf442bdef} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{5b18fd94-2904-4aa0-ad63-7231d59e63a2} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{c65185b1-d52b-44a9-861f-8201b50d1f37} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c65185b1-d52b-44a9-861f-8201b50d1f37} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{618d0948-6cd1-4129-9fdb-221a7f973f37} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4879d63c-c3cc-42cc-9d1c-e861b42d0a5c} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{5fba0f92-abe8-421c-992e-2a85db9910c1} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{432cae3b-690f-4c3b-bd97-070ebda210d5} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{432cae3b-690f-4c3b-bd97-070ebda210d5} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\foxie privacy, security & productivity suite (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\foxie.foxiecore (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\foxie.foxiecore.1 (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\foxie.foxiesecuritymodule (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\foxie.foxiesecuritymodule.1 (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\foxie.foxietoolbar (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\foxie.foxietoolbar.1 (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\foxie.httpfilter (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\foxie.httpfilter.1 (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\FoxIE (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\FoxIE (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\foxie firewall (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{09c02180-3b46-4cd8-83ff-34daf442bdef} (Rogue.Foxie) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\Foxie Suite (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\AdBlock (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Firewall (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\HTML (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Icons (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Sweeper (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Updates (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\N***s\Startmenü\Antivirus 2009 (Rogue.Antivirus2008) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\injlhcuo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ouchljni.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Firewall.exe (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Cleaner.exe (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\firewall.sys (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Sweeper.exe (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\update.exe (Rogue.Foxie) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP3\A0000121.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP4\A0001112.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005198.sys (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005203.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005204.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005205.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005206.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005208.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005209.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005210.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005212.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005213.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005215.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005218.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005219.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005220.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005221.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005223.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005224.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005225.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\foxiecore.dll (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\foxiecoreu.dll (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\foxietoolbaru.dll (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\uninst.exe (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Uninstaller.exe (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\AdBlock\adblock.dat (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Firewall\spamservers.dat (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Firewall\spyservers.dat (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Firewall\wormservers.dat (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\HTML\Desktop.htm (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\HTML\index.gif (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\HTML\Infinity.htm (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\HTML\Query.htm (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Icons\Cleaner.ico (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Icons\Desktop.ico (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Icons\Infinity.ico (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Icons\Sweeper.ico (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Sweeper\pests.dtx (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Programme\Foxie Suite\Resources\Updates\index.dat (Rogue.Foxie) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\N***s\Startmenü\Antivirus 2009\Antivirus 2009.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\N***s\Startmenü\Antivirus 2009\Uninstall Antivirus 2009.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully. C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BMbbe8bc11.xml (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BMbbe8bc11.txt (Trojan.Vundo) -> Quarantined and deleted successfully. |
25.09.2008, 20:34 | #17 |
| Google Suche und Windows Auto-update defekt, popups, trojaner Hier das logfile vom Avenger:
__________________Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\ouchljni.ini" not found! Deletion of file "C:\WINDOWS\system32\ouchljni.ini" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\injlhcuo.dll" not found! Deletion of file "C:\WINDOWS\system32\injlhcuo.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\ecarerid.dll" deleted successfully. File "C:\WINDOWS\system32\b3f84bf3-.txt" deleted successfully. Error: file "C:\WINDOWS\BMbbe8bc11.txt" not found! Deletion of file "C:\WINDOWS\BMbbe8bc11.txt" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\BMbbe8bc11.xml" not found! Deletion of file "C:\WINDOWS\BMbbe8bc11.xml" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\MEMORY.DMP" deleted successfully. File "C:\WINDOWS\SET12B.tmp" deleted successfully. File "C:\WINDOWS\SETE9.tmp" deleted successfully. File "C:\WINDOWS\SETEC.tmp" deleted successfully. File "C:\WINDOWS\SETF8.tmp" deleted successfully. Folder "C:\DOKUME~1\N***s\LOKALE~1\temp\Adobe" deleted successfully. Folder "C:\DOKUME~1\N***s\LOKALE~1\temp\is-DGDAM.tmp" deleted successfully. Folder "C:\DOKUME~1\N***s\LOKALE~1\temp\is-CCDIA.tmp" deleted successfully. Error: registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{453fddb0-412c-489f-b3b4-81b40fdfcb40}" not found! Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{453fddb0-412c-489f-b3b4-81b40fdfcb40}" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBA4CC8C-A389-4DCE-8C5D-F18C7FCC4D07}" not found! Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBA4CC8C-A389-4DCE-8C5D-F18C7FCC4D07}" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayvTmmk" not found! Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayvTmmk" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:30:16, on 25.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxtray.exe C:\Programme\Power Manager\PM.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\zip.exe C:\Programme\Microsoft IntelliPoint\dpupdchk.exe C:\Programme\ObjectDock\ObjectDock.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\N***s\Desktop\qlketzd.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Desktop Search - {306BBB66-D9E4-4481-833E-C1D5FCA06774} - C:\Programme\Foxie Suite\Resources\HTML\Desktop.htm (file missing) O9 - Extra 'Tools' menuitem: Desktop Search - {306BBB66-D9E4-4481-833E-C1D5FCA06774} - C:\Programme\Foxie Suite\Resources\HTML\Desktop.htm (file missing) O9 - Extra button: Privacy Cleaner - {546E08AA-809F-4F1A-BE1A-6B122EBFCD5A} - C:\Programme\Foxie Suite\Cleaner.exe (file missing) O9 - Extra 'Tools' menuitem: Privacy Cleaner - {546E08AA-809F-4F1A-BE1A-6B122EBFCD5A} - C:\Programme\Foxie Suite\Cleaner.exe (file missing) O9 - Extra button: Swift Sweeper - {61039B22-563D-4922-B844-B076C318A66A} - C:\Programme\Foxie Suite\Sweeper.exe (file missing) O9 - Extra 'Tools' menuitem: Swift Sweeper - {61039B22-563D-4922-B844-B076C318A66A} - C:\Programme\Foxie Suite\Sweeper.exe (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: The Infinity Button - {E4143585-2688-4EBC-B264-27C774F600D5} - C:\Programme\Foxie Suite\Resources\HTML\Infinity.htm (file missing) O9 - Extra 'Tools' menuitem: The Infinity Button - {E4143585-2688-4EBC-B264-27C774F600D5} - C:\Programme\Foxie Suite\Resources\HTML\Infinity.htm (file missing) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222185975655 O17 - HKLM\System\CCS\Services\Tcpip\..\{92C38147-D8F4-492B-B488-6557BA790FFC}: NameServer = 89.246.64.8 62.220.18.8 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 7778 bytes |
25.09.2008, 21:46 | #18 |
| Google Suche und Windows Auto-update defekt, popups, trojaner Das Auto-Update funktioniert wieder, die GoogleSuche auch, vielen Dank dafür! Tolle Hilfe,wirklich! aber der Rechner schmiert mir immer noch ab, auch nach den letzten Tipps. Ich habe erst einmal Malwarebytes durchlaufenlassen können (warum auch immer es da ging), sonst immer komplette Hänger mit bluescreen. Irgendwas ist da bestimmt noch nicht in Ordnung. Hast du noch weitere Ideen?
__________________Soll ich die aktuellen Windows-Updates installieren (inkl. XP ServicePack3) ? Herzlichen Dank! |
26.09.2008, 12:03 | #19 |
| Google Suche und Windows Auto-update defekt, popups, trojaner habe mal einen Durchlauf von Spybot S&D gemacht: Code:
ATTFilter --- Report generated: 2008-09-26 12:57 --- Tipp des Tages: Klicken Sie auf den Balken rechts, um mehr Informationen zu sehen! () Smitfraud-C.: [SBI $1BA3DF13] Programm-Verzeichnis (Verzeichnis, fixed) C:\Programme\VirusBurster\ --- Spybot - Search & Destroy version: 1.6.0 (build: 20080707) --- 2008-07-07 blindman.exe (1.0.0.8) 2008-07-07 SDFiles.exe (1.6.0.4) 2008-07-07 SDMain.exe (1.0.0.6) 2008-07-07 SDShred.exe (1.0.2.3) 2008-07-07 SDUpdate.exe (1.6.0.8) 2008-07-07 SDWinSec.exe (1.0.0.12) 2008-07-07 SpybotSD.exe (1.6.0.30) 2008-08-18 TeaTimer.exe (1.6.2.23) 2008-09-26 unins000.exe (51.49.0.0) 2008-07-07 Update.exe (1.6.0.7) 2008-07-07 advcheck.dll (1.6.1.12) 2007-04-02 aports.dll (2.1.0.0) 2008-06-14 DelZip179.dll (1.79.11.1) 2008-07-07 SDHelper.dll (1.6.0.12) 2008-06-19 sqlite3.dll 2008-07-07 Tools.dll (2.1.5.7) 2008-09-02 Includes\Adware.sbi (*) 2008-09-09 Includes\AdwareC.sbi (*) 2008-06-03 Includes\Cookies.sbi (*) 2008-09-02 Includes\Dialer.sbi (*) 2008-09-09 Includes\DialerC.sbi (*) 2008-07-23 Includes\HeavyDuty.sbi (*) 2008-09-02 Includes\Hijackers.sbi (*) 2008-09-02 Includes\HijackersC.sbi (*) 2008-09-09 Includes\Keyloggers.sbi (*) 2008-09-23 Includes\KeyloggersC.sbi (*) 2004-11-29 Includes\LSP.sbi (*) 2008-09-09 Includes\Malware.sbi (*) 2008-09-23 Includes\MalwareC.sbi (*) 2008-09-02 Includes\PUPS.sbi (*) 2008-09-11 Includes\PUPSC.sbi (*) 2007-11-07 Includes\Revision.sbi (*) 2008-06-18 Includes\Security.sbi (*) 2008-09-02 Includes\SecurityC.sbi (*) 2008-06-03 Includes\Spybots.sbi (*) 2008-06-03 Includes\SpybotsC.sbi (*) 2008-09-09 Includes\Spyware.sbi (*) 2008-09-23 Includes\SpywareC.sbi (*) 2008-06-03 Includes\Tracks.uti 2008-09-16 Includes\Trojans.sbi (*) 2008-09-23 Includes\TrojansC.sbi (*) 2008-03-04 Plugins\Chai.dll 2008-03-05 Plugins\Fennel.dll 2008-02-26 Plugins\Mate.dll 2007-12-24 Plugins\TCPIPAddress.dll logfile dazu: Code:
ATTFilter Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1205 Windows 5.1.2600 Service Pack 2 26.09.2008 13:02:10 mbam-log-2008-09-26 (13-02-10).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 12285 Laufzeit: 13 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{306bbb66-d9e4-4481-833e-c1d5fca06774} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{546e08aa-809f-4f1a-be1a-6b122ebfcd5a} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{61039b22-563d-4922-b844-b076c318a66a} (Rogue.Foxie) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{e4143585-2688-4ebc-b264-27c774f600d5} (Rogue.Foxie) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:09:20, on 26.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxtray.exe C:\Programme\Power Manager\PM.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\Programme\Microsoft IntelliPoint\dpupdchk.exe C:\Programme\ObjectDock\ObjectDock.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\N***s\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222185975655 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6645 bytes Geändert von Nik1385 (26.09.2008 um 12:21 Uhr) |
28.09.2008, 18:08 | #20 |
| Google Suche und Windows Auto-update defekt, popups, trojaner Hallo! Es wäre supernett, wenn sich jemand die logfiles oben angucken könnte, und mir sagen kann, ob da noch schädliche Dateien bei sind und was ich dagegen tun kann. malwarebytes stürzt nach ein paar Sekunden ab, das letzte was ich sehen kann sind 5 infizierte Objekte nach 15 sekunden... Vielen Dank im Voraus für Eure Hilfe! |
30.09.2008, 08:30 | #21 |
| Google Suche und Windows Auto-update defekt, popups, trojaner hier nochmal das aktuelle HJT logfile. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:27:13, on 30.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxtray.exe C:\Programme\Power Manager\PM.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\Programme\Microsoft IntelliPoint\dpupdchk.exe C:\Programme\ObjectDock\ObjectDock.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Opera\opera.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE C:\Dokumente und Einstellungen\N***s\Desktop\HiJackThis.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222185975655 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6976 bytes Vielen Dank für die Hilfe! Geändert von Nik1385 (30.09.2008 um 08:53 Uhr) |
30.09.2008, 18:30 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google Suche und Windows Auto-update defekt, popups, trojaner Hallo, hier bin ich wieder. Hatte die letzten Tage extrem wenig Zeit.... Also die Hijackthis-Logs sind sauber...beim aktuellen sind auch keine verwaisten Einträge mehr drin. Aus den Abstürzen kann ich mir noch keinen Reim machen...schau mal bitte in die Ereignisanzeige (eventvwr.msc) und such mal nach relevanten Einträgen, die von der Zeit her auch zu den Abstürzen passen. Klick die an und poste das mal was da steht, vllt wird man daraus schlauer. Wegen SP3: Installierst Du es übers Windowsupdate oder ziehst Du das Komplettpaket?
__________________ Logfiles bitte immer in CODE-Tags posten |
30.09.2008, 19:25 | #23 |
| Google Suche und Windows Auto-update defekt, popups, trojaner eintrag von gestern: Code:
ATTFilter Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "MBAMSwissArmy" gesendet. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Code:
ATTFilter Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Code:
ATTFilter Der Ereignisprotokolldienst wurde gestartet. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Code:
ATTFilter Der Computer ist nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war: 0x000000d1 (0x00000010, 0x00000002, 0x00000000, 0xf743b0e4). Ein volles Abbild wurde gespeichert in: C:\WINDOWS\MEMORY.DMP. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Code:
ATTFilter Der Dienst "TuneUp Designerweiterung" wurde aufgrund folgenden Fehlers nicht gestartet: In dem ausführbaren Programm, in dem der Dienst ausgeführt wird, ist der Dienst nicht implementiert. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. sowie: Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht gestartet: Das für diesen Dienst angegebene Konto unterscheidet sich von dem für andere Dienste angegebenen Konto, die in diesem Prozess ausgeführt werden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. sowie: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: Das angegebene Modul wurde nicht gefunden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. sowie: Die Beschreibung der Ereigniskennung ( 4096 ) in ( Avira AntiVir ) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Möglicherweise müssen Sie das Flag /AUXSOURCE= zum Ermitteln der Beschreibung verwenden. Weitere Informationen stehen in Hilfe und Support. Ereignisinformationen: ; ; ; . sowie: Die Registrierung des Benutzers "FSC-AMILO-M7440\N***s" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird. Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. sowie: WMI-ADAP konnte das Objekt "Win32_PerfRawData_ASPNET_ASPNETApplications" für Leistungsbibliothek "ASP.NET" nicht erstellen, weil Fehler "0x80041001" zurückgegeben wurde. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. sowie: WMI-ADAP konnte die Leistungsbibliothek ASP.NET_2.0.50727 aufgrund von ungültigen zurückgegebenen Daten nicht laden: 0x0 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. sowie: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. SP3 starte ich über die Windowsupdate homepage. Ansonsten verschwinden derzeit Programme aus dem Startmenü --> alle Programme Auf der Festplatte sind die aber noch... ich habe gestern einen scan der Registrierung von Malwarebytes hinbekommen: Code:
ATTFilter Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1205 Windows 5.1.2600 Service Pack 2 29.09.2008 22:52:32 mbam-log-2008-09-29 (22-52-32).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 12527 Laufzeit: 33 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Geändert von Nik1385 (30.09.2008 um 20:07 Uhr) |
01.10.2008, 20:23 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google Suche und Windows Auto-update defekt, popups, trojaner Hm...naja bei zugemüllten PCs besteht immer die Gefahr, dass das System bei bestimmten Aktionen einfach abstürzt. Vorausgesetzt Deine Hardware ist i.O. würde vielleicht eine Reparaturinstallation helfen. Optimal wäre nat. ein Neuaufsetzen des Betriebssystems mit vorheriger Formatierung. Seit wann treten die Abstürze auf? Immer nur bei Malwarebytes?
__________________ Logfiles bitte immer in CODE-Tags posten |
01.10.2008, 20:32 | #25 |
| Google Suche und Windows Auto-update defekt, popups, trojaner ach, das depperte ist, dass mein PC nicht zugemüllt ist, sondern ich den eigentlich immer gut in Schuss halte. Und ich hab keine Ahnung, wo ich mir den Kram eingefangen habe. Habe vor einiger Zeit die FoxieFirewall draufgepackt, vielleicht war das die Lücke, ansonsten habe ich nix verändert. Irgendwie krieg ich den Rechner derzeit nicht sauber, vorhin hat AntiVir 19 Funde gehabt... Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 1. Oktober 2008 18:48 Es wird nach 1653544 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: FSC-AMILO-M7440 Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.8.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 28.7.2008 06:00:13 AVSCAN.DLL : 8.1.4.0 48897 Bytes 28.7.2008 06:00:13 LUKE.DLL : 8.1.4.5 164097 Bytes 28.7.2008 06:00:13 LUKERES.DLL : 8.1.4.0 12545 Bytes 28.7.2008 06:00:13 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 07:06:49 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.6.2008 13:53:29 ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 26.9.2008 10:01:37 ANTIVIR3.VDF : 7.0.6.234 113664 Bytes 1.10.2008 11:11:33 Engineversion : 8.1.1.35 AEVDF.DLL : 8.1.0.5 102772 Bytes 21.4.2008 13:14:06 AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.9.2008 14:57:34 AESCN.DLL : 8.1.0.23 119156 Bytes 28.7.2008 06:00:14 AERDL.DLL : 8.1.1.2 438644 Bytes 18.9.2008 14:57:26 AEPACK.DLL : 8.1.2.3 364918 Bytes 24.9.2008 10:01:44 AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.9.2008 14:57:23 AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.9.2008 14:57:18 AEHELP.DLL : 8.1.0.15 115063 Bytes 29.5.2008 15:53:48 AEGEN.DLL : 8.1.0.36 315764 Bytes 25.8.2008 12:10:21 AEEMU.DLL : 8.1.0.7 430452 Bytes 2.8.2008 12:33:09 AECORE.DLL : 8.1.1.11 172406 Bytes 8.9.2008 14:45:05 AEBB.DLL : 8.1.0.1 53617 Bytes 28.7.2008 06:00:14 AVWINLL.DLL : 1.0.0.12 15105 Bytes 28.7.2008 06:00:13 AVPREF.DLL : 8.0.2.0 38657 Bytes 28.7.2008 06:00:13 AVREP.DLL : 8.0.0.2 98344 Bytes 2.8.2008 12:33:07 AVREG.DLL : 8.0.0.1 33537 Bytes 28.7.2008 06:00:13 AVARKT.DLL : 1.0.0.23 307457 Bytes 21.4.2008 13:14:06 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 28.7.2008 06:00:13 SQLITE3.DLL : 3.3.17.1 339968 Bytes 21.4.2008 13:14:06 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 28.7.2008 06:00:13 NETNT.DLL : 8.0.0.1 7937 Bytes 21.4.2008 13:14:06 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 28.7.2008 06:00:11 RCTEXT.DLL : 8.0.52.0 86273 Bytes 28.7.2008 06:00:11 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: reparieren Sekundäre Aktion.................: quarantäne Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Mittwoch, 1. Oktober 2008 18:48 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '64497' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunes.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ObjectDock.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'PM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TestHandler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '37' Prozesse mit '37' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '49' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\N***s\Anwendungsdaten\Thunderbird\Profiles\vj5uda4h.default\Mail\Local Folders\Inbox [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[Message-ID: <002601c74bd3$b097fee0$2e8cfea9@your-f95424bb04][From: "Postbank AG 2007" <customers_support_id_04fe@p][Subject: Dringende Mitteilung von der Postbank . ]820.mim [1] Archivtyp: MIME --> file0.mim [2] Archivtyp: MIME --> file1.html [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen --> Mailbox_[Message-ID: <461988A3.1060500@spencerreed.com>][From: Frederik U. Childress <sirrs@spencerreed.com>][Subject: USA Missle Strike: Iran War just have started]1176.mim [1] Archivtyp: MIME --> News.exe [FUND] Ist das Trojanische Pferd TR/Small.DBY.BS [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht! C:\Dokumente und Einstellungen\N***\Desktop\Trojaner-board\ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> 32788R22FWJFW\hidec.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes --> 32788R22FWJFW\NirCmd.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B --> 32788R22FWJFW\nircmd.com [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B --> 32788R22FWJFW\NirCmdC.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B --> 32788R22FWJFW\psexec.cfexe [1] Archivtyp: RSRC --> Object [FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4950acff.qua' verschoben! C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP12\A0013522.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b5f3.qua' verschoben! C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP2\A0000025.EXE [FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b734.qua' verschoben! C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP2\A0000040.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b735.qua' verschoben! C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP2\A0000050.com [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486c73b6.qua' verschoben! C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP3\A0000100.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b86d.qua' verschoben! C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP3\A0000150.com [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b86f.qua' verschoben! C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP31\A0036416.exe [0] Archivtyp: RAR SFX (self extracting) --> 32788R22FWJFW\hidec.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes --> 32788R22FWJFW\NirCmd.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B --> 32788R22FWJFW\nircmd.com [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B --> 32788R22FWJFW\NirCmdC.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B --> 32788R22FWJFW\psexec.cfexe [1] Archivtyp: RSRC --> Object [FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b939.qua' verschoben! C:\WINDOWS\FlyakiteOSX\Tools\wfpdisable.exe [FUND] Enthält Erkennungsmuster des SPR/WFPDis.A-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4953ba69.qua' verschoben! Ende des Suchlaufs: Mittwoch, 1. Oktober 2008 20:10 Benötigte Zeit: 1:21:47 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 8966 Verzeichnisse wurden überprüft 382033 Dateien wurden geprüft 19 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 9 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 382012 Dateien ohne Befall 9204 Archive wurden durchsucht 3 Warnungen 9 Hinweise 64497 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Dir trotzdem vielen Dank für die Mühe! War echt eine super Hilfe und die ursprünglichen Probleme hab ich dadurch wunderbar in den Griff bekommen! Schöne Grüße! |
01.10.2008, 20:41 | #26 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google Suche und Windows Auto-update defekt, popups, trojaner Naja, wenn AntiVir was gefunden hat, dann ist es auch entscheidend was genau wo denn gefunden wird. Wieder in System32? Und kannst Du mit dem Absturz leben? Sofern er auch nur unter MBAM auftritt... Aber Dir macht es anscheinend auch nicht mehr viel aus das System neu aufzusetzen. So machst Du aus den Schädlingen sicher kurzen Prozess. Für die Zukunft empfiehlt es sich regelmäßig Backups zu erstellen. Z.B. mit Acronis True Image, kostet zwar Geld aber das ist sehr gut angelegt. Einfach bevor Du ne unsichere Aktion startest, ein Abbild der Systempartition mit Windows erstellen - ist was schief gegangen, einfach das erstellte Image zurück und es ist wieder wie vorher!
__________________ Logfiles bitte immer in CODE-Tags posten |
01.10.2008, 20:48 | #27 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google Suche und Windows Auto-update defekt, popups, trojaner Ich seh gerade den AntiVirbericht. Das sind eigentlich größtenteild Fehlalarme erzeugt worden, da wurden Dateien, die Combofix erstellt hat angemeckert. Aber: Code:
ATTFilter C:\WINDOWS\FlyakiteOSX\Tools\wfpdisable.exe Code:
ATTFilter C:\Dokumente und Einstellungen\N***s\Anwendungsdaten\Thunderbird\Profiles\vj5uda4h.default\Mail\Local Folders\Inbox [0] Archivtyp: Netscape/Mozilla Mailbox
__________________ Logfiles bitte immer in CODE-Tags posten |
01.10.2008, 20:55 | #28 |
| Google Suche und Windows Auto-update defekt, popups, trojaner okay, danke! Dann kann ich ja auch ein Backup von thunderbird erstellen und das gefahren-frei wieder auf das neue System laden,richtig? |
01.10.2008, 21:02 | #29 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google Suche und Windows Auto-update defekt, popups, trojaner Jap. Erst wenn da wirklich was Schädliches drin sein sollte und Du es auch ausführst hast Du ein Problem. Ich vermute aber nur eine simple Phishingmail, die nur auf einen Link führt, wo Du Deine Daten zum Abfischen eingeben sollst. Aber wie gesagt, womöglich ist die Mail schon längst gelöscht und Du musst lediglich alle Ordner komprimieren/kompaktieren.
__________________ Logfiles bitte immer in CODE-Tags posten |
01.10.2008, 21:15 | #30 |
| Google Suche und Windows Auto-update defekt, popups, trojaner was empfiehlst du denn für eine kombination von programmen, die man regelmäßig oder gelegentlich nutzt (virenprogramm, firewall, cleaner,..)? (ich weiß, dass es da 1001 Meinung zu gibt...) |
Themen zu Google Suche und Windows Auto-update defekt, popups, trojaner |
ad-aware, antivir, aufrufe, avira, bonjour, computer, ctfmon.exe, desktop, excel, fehler, firefox, google, highjackthis, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, mozilla, rundll, software, system, trojane, trojaner, trojaner eingefangen, tuneup.defrag, updates, urlsearchhook, windows, windows xp |