|
Log-Analyse und Auswertung: Google verlinkt zu falschen SeitenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.10.2008, 09:27 | #1 |
| Google verlinkt zu falschen Seiten Hallo, ich hab die folgende Nachricht gestern schonmal gepostet, allerdings aus versehen als Antwort auf einen anderen Thread. Sorry! Jedesmal wenn ich per google etwas suche, erscheint beim 1. klick eine komplett andere seite (zb. statt Wikipedia, die Suchmaschine "Ask"), wenn ich dann auf 'Zurück' gehe und ein 2. Mal den google-link anklicke, komme ich auf die richtige Seite. Leider kenne ich mich mit diesen Dingen GAR NICHT aus, deshalb weiß ich nicht ob ich alles richtig gemacht habe. Zuerst habe ich auf roobys Tipp die AntiMalware heruntergeladen und laufen lassen, ohne Ergebnis: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1225 Windows 6.0.6000 01.10.2008 16:32:09 mbam-log-2008-10-01 (16-32-09).txt Scan-Methode: Vollständiger Scan (C:\|E:\|) Durchsuchte Objekte: 132609 Laufzeit: 1 hour(s), 20 minute(s), 28 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Und dann habe ich HijackThis heruntergeladen und laufen lassen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:53:22, on 01.10.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16711) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe C:\Program Files\TOSHIBA\Utilities\KeNotify.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe C:\Windows\RtHDVCpl.exe C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\TOSHIBA\Registration\ToshibaRegistration.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe C:\Program Files\Synaptics\SynTP\SynToshiba.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Windows Mail\WinMail.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\NOTEPAD.EXE C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\Users\Kathi\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\s wg.dll O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe O4 - HKLM\..\Run: [HWSetup] \HWSetup.exe hwSetUP O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [Desktop SMS] C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe /auto O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - h**p://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?h**p://www.ebay.de/ (file missing) O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{B9B2F14C-51A5-4E6E-AC8A-F26F2AE17F2A}: NameServer = 194.48.139.254 194.48.124.202 O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing) O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 11525 bytes Cache habe ich, glaub ich (wie gesagt: ich kenne mich nicht aus), geleert. Es wäre echt super, wenn mir jemand helfen könnte!!! Wie kann man sich diesen Virus "einfangen"? Danke im Voraus und liebe Grüße, Katharina PS. Ich habe Windows Vista und benutze Firefox zum surfen. |
02.10.2008, 10:07 | #2 |
/// TB-Ausbilder | Google verlinkt zu falschen Seiten Hi,
__________________man sollte nie, Nie, NIE, NIEMALS mehrere Antivirenprogramme gleichzeitig auf einem Rechner isntalliert haben. Das führt zu massig Problemen, insbesondere wenn ein Antivirenprogramm das andere als schädlich erkannt und reduziert die Sicherheit deines Systems! Deinstalliere bitte auch 2 deiner 3 Antivirenprogramme: Wenn du Norton deinstallieren willst, benutzt bitte das Removalprogramm von Norton: Link Wenn du Antivir deinstallieren willst, kannst du dies einfach über Start->Systemsteuerung->Software tun. Arbeite bitte auch das hier ab: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. lg myrtille
__________________ |
02.10.2008, 11:51 | #3 |
| Google verlinkt zu falschen Seiten Erstmal: Danke für deine schnelle Antwort!
__________________So, ich hab jetzt die Punkte alle (hoffentlich richtig!) abgearbeitet. Ich hab sowohl Norton als auch Antivir gelöscht und jetzt fragt mich mein PC dauernd, ob ich ausreichend vor Viren geschützt bin... Leider weiß ich nicht was Hintergrundwächter sind, bzw. ob ich sowas habe, deshalb hab ich auch nichts ausgeschaltet... Danke, danke, danke für deine Hilfe! Lieben Gruß, Katharina ComboFix 08-10-01.02 - Kathi 2008-10-02 12:39:15.2 - NTFSx86 Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1251 [GMT 2:00] ausgeführt von:: C:\Users\Kathi\Desktop\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-09-02 bis 2008-10-02 )))))))))))))))))))))))))))))) . Keine neuen Dateien erstellt in diesem Zeitraum . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-02 09:28 --------- d-----w C:\ProgramData\Google Updater 2008-10-02 09:20 --------- d-----w C:\Program Files\Common Files\Symantec Shared 2008-10-01 13:09 --------- d-----w C:\Users\Kathi\AppData\Roaming\Malwarebytes 2008-10-01 13:09 --------- d-----w C:\ProgramData\Malwarebytes 2008-10-01 13:09 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware 2008-09-23 15:22 --------- d-----w C:\Users\Kathi\AppData\Roaming\vlc 2008-09-23 15:20 --------- d-----w C:\Program Files\VideoLAN 2008-09-23 15:13 38,912 ----a-w C:\Windows\system32\drivers\d3dspigy.sys 2008-09-23 15:13 315,392 ----a-w C:\Windows\System32\sysagsx.dll 2008-09-09 22:04 38,528 ----a-w C:\Windows\system32\drivers\mbamswissarmy.sys 2008-09-09 22:03 17,200 ----a-w C:\Windows\system32\drivers\mbam.sys 2008-08-30 17:23 --------- d-----w C:\ProgramData\hps 2008-08-30 17:10 --------- d-----w C:\Program Files\BIPA 2008-08-16 21:14 --------- d-----w C:\Program Files\Windows Mail 2008-08-07 18:52 --------- d-----w C:\Program Files\Common Files\Adobe 2008-08-07 18:48 20,176 ------w C:\Windows\system32\drivers\PxHelp20.sys 2008-07-31 03:34 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll 2008-07-31 03:34 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll 2008-07-31 03:34 28,160 ----a-w C:\Windows\System32\Apphlpdm.dll 2008-07-31 03:34 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll 2008-07-31 03:34 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll 2008-07-31 03:34 1,686,528 ----a-w C:\Windows\System32\gameux.dll 2008-07-30 23:47 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll 2008-07-30 23:32 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll 2008-07-19 05:10 53,448 ----a-w C:\Windows\System32\wuauclt.exe 2008-07-19 05:10 45,768 ----a-w C:\Windows\System32\wups2.dll 2008-07-19 05:10 36,552 ----a-w C:\Windows\System32\wups.dll 2008-07-19 05:09 563,912 ----a-w C:\Windows\System32\wuapi.dll 2008-07-19 05:09 1,811,656 ----a-w C:\Windows\System32\wuaueng.dll 2008-07-19 03:44 83,456 ----a-w C:\Windows\System32\wudriver.dll 2008-07-19 03:44 1,524,736 ----a-w C:\Windows\System32\wucltux.dll 2008-07-18 20:08 163,904 ----a-w C:\Windows\System32\wuwebv.dll 2008-07-18 18:44 31,232 ----a-w C:\Windows\System32\wuapp.exe 2008-07-15 23:48 2,048 ----a-w C:\Windows\System32\tzres.dll 2008-07-11 17:33 174 --sha-w C:\Program Files\desktop.ini 2008-03-06 11:32 16,449 ----a-w C:\Users\Kathi\AppData\Roaming\mdb.bin 2008-02-22 00:09 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 2008-02-22 00:09 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 2008-02-22 00:09 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . ((((((((((((((((((((((((((((( snapshot@2008-10-02_12.08.18.62 ))))))))))))))))))))))))))))))))))))))))) . - 2008-10-02 09:45:02 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2008-10-02 10:25:38 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat - 2008-10-02 09:45:02 49,152 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat + 2008-10-02 10:25:38 49,152 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat - 2008-10-02 09:45:02 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2008-10-02 10:25:38 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-21 1232896] "TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2006-11-13 413696] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-21 68856] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 125440] "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KeNotify"="C:\Program Files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352] "SVPWUTIL"="C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272] "topi"="C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 577536] "TPwrMain"="C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE" [2007-03-29 411192] "HSON"="C:\Program Files\TOSHIBA\TBS\HSON.exe" [2006-12-07 55416] "SmoothView"="C:\Program Files\Toshiba\SmoothView\SmoothView.exe" [2007-05-23 509496] "00TCrdMain"="C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe" [2007-05-22 538744] "Desktop SMS"="C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe" [2007-06-18 1507328] "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-06-08 894512] "Toshiba Registration"="C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe" [2007-02-19 571024] "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "RtHDVCpl"="RtHDVCpl.exe" [2007-06-13 C:\Windows\RtHDVCpl.exe] "NDSTray.exe"="NDSTray.exe" [BU] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2004-10-20 113664] Google Updater.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2008-02-21 125624] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\vio\dvacm.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UacDisableNotify"=dword:00000001 "InternetSettingsDisableNotify"=dword:00000001 "AutoUpdateDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R0 CplIR;Embedded IR Driver;C:\Windows\system32\DRIVERS\CplIR.SYS [2007-03-06 14848] R2 AdobeActiveFileMonitor;Adobe Active File Monitor;C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [2004-10-20 98304] R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [2004-10-20 118784] R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-06-21 2600960] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [ ] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \shell\AutoRun\command - D:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] \shell\AutoRun\command - G:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8bca80b1-fab6-11dc-b304-806e6f6e6963}] \shell\AutoRun\command - D:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4ba4369-e07b-11dc-ba3d-0013e86c766b}] \shell\AutoRun\command - D:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4ba4381-e07b-11dc-ba3d-0013e86c766b}] \shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f46a125c-e4a6-11dc-b65e-806e6f6e6963}] \shell\AutoRun\command - D:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f46a1271-e4a6-11dc-b65e-0013e86c766b}] \shell\AutoRun\command - G:\AutoRun.exe *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Users\Kathi\AppData\Roaming\Mozilla\Firefox\Profiles\8dt7am0s.default\ FF -: plugin - C:\Program Files\Google\Google Updater\2.2.1111.1511\npCIDetect11.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2008-10-02 12:40:14 Windows 6.0.6000 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKCU\Software\Microsoft\Windows\CurrentVersion\Run TOSCDSPD = C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i????????F????8???`???????????? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\Windows\Explorer.exe -> C:\Program Files\IDM\Desktop SMS\oehook.dll . Zeit der Fertigstellung: 2008-10-02 12:41:01 ComboFix-quarantined-files.txt 2008-10-02 10:40:57 ComboFix2.txt 2008-10-02 10:08:40 Vor Suchlauf: Das System hat keinen Meldungstext fr die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden. Nach Suchlauf: 16 Verzeichnis(se), 21,310,365,696 Bytes frei 164 --- E O F --- 2008-09-11 08:02:39 |
02.10.2008, 17:41 | #4 | |
/// TB-Ausbilder | Google verlinkt zu falschen Seiten Hi, das Log ist vom zweiten durchlauf mit Combofix. Poste mir bitte noch das erste (combofix.txt). Lasse folgende Dateien bei virustotal auswerten: Zitat:
Das dein Rechner dich warnt ist normal, ich wollte dich bitte nur eines deiner 2 Antivirenprogramme zu deinstallieren. Nicht beide. Installiere also bitte ein Antivirenprogramm. Ich würde Antivir empfehlen. Wie gehts dem Rechner? lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
02.10.2008, 18:01 | #5 | |
| Google verlinkt zu falschen SeitenZitat:
So, ich hoff das ist das/der (?) richtige log (könnt auch passieren, dass das nochmal dasselbe ist. wie gesagt: ich bin leider computertechnisch keine besondere leuchte. ). jetzt probier ich mal das mit virustotal und dann besorg ich mir antivir. hihi! Lieben Gruß, katharina ComboFix 08-10-01.02 - Kathi 2008-10-02 12:39:15.2 - NTFSx86 Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1251 [GMT 2:00] ausgeführt von:: C:\Users\Kathi\Desktop\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-09-02 bis 2008-10-02 )))))))))))))))))))))))))))))) . Keine neuen Dateien erstellt in diesem Zeitraum . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-02 09:28 --------- d-----w C:\ProgramData\Google Updater 2008-10-02 09:20 --------- d-----w C:\Program Files\Common Files\Symantec Shared 2008-10-01 13:09 --------- d-----w C:\Users\Kathi\AppData\Roaming\Malwarebytes 2008-10-01 13:09 --------- d-----w C:\ProgramData\Malwarebytes 2008-10-01 13:09 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware 2008-09-23 15:22 --------- d-----w C:\Users\Kathi\AppData\Roaming\vlc 2008-09-23 15:20 --------- d-----w C:\Program Files\VideoLAN 2008-09-23 15:13 38,912 ----a-w C:\Windows\system32\drivers\d3dspigy.sys 2008-09-23 15:13 315,392 ----a-w C:\Windows\System32\sysagsx.dll 2008-09-09 22:04 38,528 ----a-w C:\Windows\system32\drivers\mbamswissarmy.sys 2008-09-09 22:03 17,200 ----a-w C:\Windows\system32\drivers\mbam.sys 2008-08-30 17:23 --------- d-----w C:\ProgramData\hps 2008-08-30 17:10 --------- d-----w C:\Program Files\BIPA 2008-08-16 21:14 --------- d-----w C:\Program Files\Windows Mail 2008-08-07 18:52 --------- d-----w C:\Program Files\Common Files\Adobe 2008-08-07 18:48 20,176 ------w C:\Windows\system32\drivers\PxHelp20.sys 2008-07-31 03:34 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll 2008-07-31 03:34 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll 2008-07-31 03:34 28,160 ----a-w C:\Windows\System32\Apphlpdm.dll 2008-07-31 03:34 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll 2008-07-31 03:34 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll 2008-07-31 03:34 1,686,528 ----a-w C:\Windows\System32\gameux.dll 2008-07-30 23:47 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll 2008-07-30 23:32 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll 2008-07-19 05:10 53,448 ----a-w C:\Windows\System32\wuauclt.exe 2008-07-19 05:10 45,768 ----a-w C:\Windows\System32\wups2.dll 2008-07-19 05:10 36,552 ----a-w C:\Windows\System32\wups.dll 2008-07-19 05:09 563,912 ----a-w C:\Windows\System32\wuapi.dll 2008-07-19 05:09 1,811,656 ----a-w C:\Windows\System32\wuaueng.dll 2008-07-19 03:44 83,456 ----a-w C:\Windows\System32\wudriver.dll 2008-07-19 03:44 1,524,736 ----a-w C:\Windows\System32\wucltux.dll 2008-07-18 20:08 163,904 ----a-w C:\Windows\System32\wuwebv.dll 2008-07-18 18:44 31,232 ----a-w C:\Windows\System32\wuapp.exe 2008-07-15 23:48 2,048 ----a-w C:\Windows\System32\tzres.dll 2008-07-11 17:33 174 --sha-w C:\Program Files\desktop.ini 2008-03-06 11:32 16,449 ----a-w C:\Users\Kathi\AppData\Roaming\mdb.bin 2008-02-22 00:09 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 2008-02-22 00:09 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 2008-02-22 00:09 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . ((((((((((((((((((((((((((((( snapshot@2008-10-02_12.08.18.62 ))))))))))))))))))))))))))))))))))))))))) . - 2008-10-02 09:45:02 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2008-10-02 10:25:38 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat - 2008-10-02 09:45:02 49,152 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat + 2008-10-02 10:25:38 49,152 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat - 2008-10-02 09:45:02 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2008-10-02 10:25:38 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-21 1232896] "TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2006-11-13 413696] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-21 68856] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 125440] "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KeNotify"="C:\Program Files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352] "SVPWUTIL"="C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272] "topi"="C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 577536] "TPwrMain"="C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE" [2007-03-29 411192] "HSON"="C:\Program Files\TOSHIBA\TBS\HSON.exe" [2006-12-07 55416] "SmoothView"="C:\Program Files\Toshiba\SmoothView\SmoothView.exe" [2007-05-23 509496] "00TCrdMain"="C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe" [2007-05-22 538744] "Desktop SMS"="C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe" [2007-06-18 1507328] "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-06-08 894512] "Toshiba Registration"="C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe" [2007-02-19 571024] "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "RtHDVCpl"="RtHDVCpl.exe" [2007-06-13 C:\Windows\RtHDVCpl.exe] "NDSTray.exe"="NDSTray.exe" [BU] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2004-10-20 113664] Google Updater.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2008-02-21 125624] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\vio\dvacm.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UacDisableNotify"=dword:00000001 "InternetSettingsDisableNotify"=dword:00000001 "AutoUpdateDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R0 CplIR;Embedded IR Driver;C:\Windows\system32\DRIVERS\CplIR.SYS [2007-03-06 14848] R2 AdobeActiveFileMonitor;Adobe Active File Monitor;C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [2004-10-20 98304] R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [2004-10-20 118784] R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-06-21 2600960] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [ ] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \shell\AutoRun\command - D:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] \shell\AutoRun\command - G:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8bca80b1-fab6-11dc-b304-806e6f6e6963}] \shell\AutoRun\command - D:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4ba4369-e07b-11dc-ba3d-0013e86c766b}] \shell\AutoRun\command - D:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4ba4381-e07b-11dc-ba3d-0013e86c766b}] \shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f46a125c-e4a6-11dc-b65e-806e6f6e6963}] \shell\AutoRun\command - D:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f46a1271-e4a6-11dc-b65e-0013e86c766b}] \shell\AutoRun\command - G:\AutoRun.exe *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Users\Kathi\AppData\Roaming\Mozilla\Firefox\Profiles\8dt7am0s.default\ FF -: plugin - C:\Program Files\Google\Google Updater\2.2.1111.1511\npCIDetect11.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2008-10-02 12:40:14 Windows 6.0.6000 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKCU\Software\Microsoft\Windows\CurrentVersion\Run TOSCDSPD = C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i????????F????8???`???????????? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\Windows\Explorer.exe -> C:\Program Files\IDM\Desktop SMS\oehook.dll . Zeit der Fertigstellung: 2008-10-02 12:41:01 ComboFix-quarantined-files.txt 2008-10-02 10:40:57 ComboFix2.txt 2008-10-02 10:08:40 Vor Suchlauf: Das System hat keinen Meldungstext fr die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden. Nach Suchlauf: 16 Verzeichnis(se), 21,310,365,696 Bytes frei 164 --- E O F --- 2008-09-11 08:02:39 |
02.10.2008, 18:16 | #6 |
| Google verlinkt zu falschen Seiten Datei d3dspigy.sys empfangen 2008.10.02 19:07:25 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 14. Geschätzte Startzeit is zwischen 96 und 137 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.3.0 2008.10.02 - AntiVir 7.8.1.34 2008.10.02 - Authentium 5.1.0.4 2008.10.02 - Avast 4.8.1248.0 2008.10.02 - AVG 8.0.0.161 2008.10.02 - BitDefender 7.2 2008.10.02 - CAT-QuickHeal 9.50 2008.10.01 - ClamAV 0.93.1 2008.10.02 - DrWeb 4.44.0.09170 2008.10.02 - eSafe 7.0.17.0 2008.10.02 - eTrust-Vet 31.6.6121 2008.10.02 - Ewido 4.0 2008.10.02 - F-Prot 4.4.4.56 2008.09.30 - F-Secure 8.0.14332.0 2008.10.02 - Fortinet 3.113.0.0 2008.10.02 - GData 19 2008.10.02 - Ikarus T3.1.1.34.0 2008.10.02 - K7AntiVirus 7.10.481 2008.10.02 - Kaspersky 7.0.0.125 2008.10.02 - McAfee 5396 2008.10.02 - Microsoft 1.4005 2008.10.02 - NOD32 3490 2008.10.02 - Norman 5.80.02 2008.10.02 - Panda 9.0.0.4 2008.10.02 - PCTools 4.4.2.0 2008.10.02 - Prevx1 V2 2008.10.02 - Rising 20.63.62.00 2008.09.28 - SecureWeb-Gateway 6.7.6 2008.10.02 - Sophos 4.34.0 2008.10.02 - Sunbelt 3.1.1675.1 2008.09.27 - Symantec 10 2008.10.02 - TheHacker 6.3.0.9.098 2008.10.01 - TrendMicro 8.700.0.1004 2008.10.02 - VBA32 3.12.8.6 2008.10.02 - ViRobot 2008.10.2.1403 2008.10.02 - VirusBuster 4.5.11.0 2008.10.02 - weitere Informationen File size: 38912 bytes MD5...: 3d3e83cf8b7d5918ef46391aeebe6d20 SHA1..: 44db35f20fbfeb21c2a7f30fe5f762cf7107c49a SHA256: 4d1f8a9acb295726ee8c87a1f2149d095b98dcdbbe7af628d64d07e678d262e2 SHA512: 297fffe2e8800a496948f6a591c50737e3bb5f21c5e7b5327f02f7982d290d96 bc839271239b3a01a492fdebfc1f7d8553040c0d8259de8c697c2562061ec573 PEiD..: - TrID..: File type identification Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1b000 timedatestamp.....: 0x48cfae55 (Tue Sep 16 13:02:13 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x6dc6 0x6e00 6.51 bf3c299fc61bd4f21a15175abe36a06e .rdata 0x8000 0x1384 0x1400 3.91 497fa701c161e312b03184a25eceb145 .data 0xa000 0x230 0x200 0.51 741ee5059491f57cca101a41c27ffbd7 INIT 0xb000 0x5a2 0x600 5.25 21de4337dbbe6c6658f08ab5f2ca3a55 .reloc 0xc000 0x912 0xa00 5.66 702c05a8490bf540a2de4f84a9c8f806 ( 2 imports ) > ntoskrnl.exe: ObfDereferenceObject, DbgPrint, ObReferenceObjectByHandle, ObOpenObjectByName, RtlInitUnicodeString, ExRaiseStatus, ExAllocatePoolWithTag, ExFreePoolWithTag, RtlCopyUnicodeString, ZwQueryInformationProcess, wcslen, RtlCompareUnicodeString, KeReleaseMutex, KeWaitForSingleObject, IoDeleteDevice, RtlImageDirectoryEntryToData, KeDetachProcess, wcscat, KeAttachProcess, PsLookupProcessByProcessId, ZwAllocateVirtualMemory, ZwOpenProcess, wcscpy, ZwQueryInformationThread, ZwQuerySystemInformation, ZwClose, memmove, wcscmp, wcsncpy, _local_unwind2, KeServiceDescriptorTable, PsSetLoadImageNotifyRoutine, PsSetCreateProcessNotifyRoutine, ZwQueryValueKey, ZwOpenKey, ZwSetValueKey, IofCompleteRequest, SeImpersonateClientEx, RtlImageNtHeader, KeInitializeMutex, IoCreateSymbolicLink, IoCreateDevice, swprintf, SeCreateClientSecurity, KeGetCurrentThread, ZwMapViewOfSection, ZwCreateSection, ZwOpenFile, ZwUnmapViewOfSection, KeTickCount, KeBugCheckEx, _except_handler3, wcsncmp > HAL.dll: KfLowerIrql, KfRaiseIrql ( 0 exports ) packers (Kaspersky): PE_Patch |
02.10.2008, 18:25 | #7 |
| Google verlinkt zu falschen Seiten atei sysagsx.dll empfangen 2008.10.02 19:20:25 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/36 (2.78%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.3.0 2008.10.02 - AntiVir 7.8.1.34 2008.10.02 - Authentium 5.1.0.4 2008.10.02 - Avast 4.8.1248.0 2008.10.02 - AVG 8.0.0.161 2008.10.02 - BitDefender 7.2 2008.10.02 - CAT-QuickHeal 9.50 2008.10.01 - ClamAV 0.93.1 2008.10.02 - DrWeb 4.44.0.09170 2008.10.02 - eSafe 7.0.17.0 2008.10.02 - eTrust-Vet 31.6.6121 2008.10.02 - Ewido 4.0 2008.10.02 - F-Prot 4.4.4.56 2008.09.30 - F-Secure 8.0.14332.0 2008.10.02 - Fortinet 3.113.0.0 2008.10.02 - GData 19 2008.10.02 - Ikarus T3.1.1.34.0 2008.10.02 - K7AntiVirus 7.10.481 2008.10.02 - Kaspersky 7.0.0.125 2008.10.02 - McAfee 5396 2008.10.02 - Microsoft 1.4005 2008.10.02 - NOD32 3490 2008.10.02 - Norman 5.80.02 2008.10.02 - Panda 9.0.0.4 2008.10.02 - PCTools 4.4.2.0 2008.10.02 - Prevx1 V2 2008.10.02 Fraudulent Security Program Rising 20.63.62.00 2008.09.28 - SecureWeb-Gateway 6.7.6 2008.10.02 - Sophos 4.34.0 2008.10.02 - Sunbelt 3.1.1668.1 2008.09.24 - Symantec 10 2008.10.02 - TheHacker 6.3.0.9.098 2008.10.01 - TrendMicro 8.700.0.1004 2008.10.02 - VBA32 3.12.8.6 2008.10.02 - ViRobot 2008.10.2.1403 2008.10.02 - VirusBuster 4.5.11.0 2008.10.02 - weitere Informationen File size: 315392 bytes MD5...: 109dfafd109d6ac77fb2478cd63fdaa0 SHA1..: 8dfe8e033ebcbf229c66427f7f278353ac6b7b0e SHA256: 15807a824c99ee46e9bb12768457710bc17f17744f9889a027f2a5b6af2ea2a7 SHA512: ff058496ebad74b74c377f0c82d1b5a4a23ec5bb0f29fb23522b88e3515ed73a e3e634347a5c096b673400b89fec765e4e290bdc213ecad8c4e63708391742ce PEiD..: - TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100262f1 timedatestamp.....: 0x48cfae75 (Tue Sep 16 13:02:45 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x33fc5 0x34000 6.65 e4f88d030212fb1c6cfa655a5501c68b .rdata 0x35000 0xbfa6 0xc000 4.86 7f9c7c010c0eeb0b6435260e33f955ac .data 0x41000 0x66a4 0x5000 4.40 06b7a48f7d68c2e270711a4050e755c5 .rsrc 0x48000 0x1ef4 0x2000 4.40 56691e925b6151751475b4d62151b7ea .reloc 0x4a000 0x4dce 0x5000 5.28 5b77124ff619057b514c25522ce6ff95 ( 10 imports ) > WININET.dll: InternetCrackUrlW, InternetReadFile, InternetConnectW, HttpSendRequestW, HttpOpenRequestW, InternetCloseHandle, InternetOpenW > WS2_32.dll: -, -, -, -, - > ntdll.dll: sprintf, wcsncpy, memchr, toupper, RtlUnwind > KERNEL32.dll: GetThreadLocale, FlushInstructionCache, CreateFileA, SetStdHandle, GetConsoleCP, GetConsoleMode, CreateMutexW, FindResourceExW, FindResourceW, LoadResource, WaitForSingleObject, SizeofResource, MultiByteToWideChar, LockResource, ReleaseMutex, CreateThread, GetTempFileNameW, CreateDirectoryW, WriteFile, Sleep, CreateFileW, GetTempPathW, GetLastError, CloseHandle, DeleteFileW, ReadFile, FlushFileBuffers, InterlockedDecrement, LeaveCriticalSection, lstrlenW, EnterCriticalSection, FreeLibrary, LoadLibraryExW, InterlockedIncrement, SystemTimeToFileTime, GetCurrentProcess, CompareFileTime, SetEvent, GetModuleHandleW, GetTickCount, InitializeCriticalSection, WideCharToMultiByte, LoadLibraryW, FileTimeToSystemTime, GetModuleFileNameW, RaiseException, GetProcAddress, ResetEvent, CreateEventW, WaitForMultipleObjects, lstrcmpiW, DeleteCriticalSection, DuplicateHandle, GetSystemTime, lstrlenA, ResumeThread, HeapFree, HeapAlloc, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, HeapReAlloc, VirtualProtect, VirtualAlloc, GetModuleHandleA, GetSystemInfo, VirtualQuery, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, HeapDestroy, HeapCreate, VirtualFree, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, GetStdHandle, WriteConsoleA, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, InterlockedExchange, LoadLibraryA, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, GetLocaleInfoA, GetLocaleInfoW, GetSystemDirectoryW, GetVolumeInformationW, DeviceIoControl, GetVersion, LocalFree, GetFileSize, FindFirstFileW, FindNextFileW, ExpandEnvironmentStringsW, SetFilePointer, GetConsoleOutputCP, WriteConsoleW, IsDebuggerPresent, GetModuleFileNameA > USER32.dll: CharNextW, MessageBoxW, GetDesktopWindow, UnregisterClassA > ADVAPI32.dll: RegCreateKeyExW, RegDeleteKeyW, RegDeleteValueW, RegOpenKeyExW, RegQueryInfoKeyW, RegEnumKeyExW, RegCloseKey, RegSetValueExW, RegQueryValueExW > SHELL32.dll: SHGetFolderPathW > ole32.dll: CoTaskMemRealloc, CoTaskMemFree, CoTaskMemAlloc, CLSIDFromProgID, CoUninitialize, CoInitializeEx, CoCreateInstance > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, - > SHLWAPI.dll: PathFindExtensionW, PathFileExistsW, PathAppendW ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=01D2F47D00B2CB6FD00E0478BA157B00F20603E7 Noch eine Frage: Woher kommt denn sowas und wie kann man das vermeiden? Soweit ich mich erinnern kann war ich nie auf Seiten, die ich nicht kenne und mein Mitbewohner schwört hoch und heilig, dass er auch nur auf vertrauenswürdigen Seiten war... Lieben Gruß und nochmal danke! Ach ja: Hab grad probiert, Problem ist immer noch da. |
02.10.2008, 18:50 | #8 |
/// TB-Ausbilder | Google verlinkt zu falschen Seiten Hi, wenn man pech hat kommt sowas durch sicherheitslücken in der genutzten Software, weswegen es wichtig ist, immer die aktuellste software zu nutzen. Mach bitte mal Folgendes: Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
Sowie Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen. Bisher sieht man in deinen Logs noch nicht wirklich einen Befall, daher kann ich auch nicht genau sagen was es ist und woher es kommt. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
02.10.2008, 19:40 | #9 |
| Gmer GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-10-02 20:35:31 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- INT 0x51 ? FFFFFFFF INT 0x51 ? 84BFC6F0 INT 0x52 ? FFFFFFFF INT 0x52 ? 00000052 INT 0x61 ? FFFFFFFF INT 0x61 ? 86408E10 INT 0x62 ? FFFFFFFF INT 0x62 ? 86317120 INT 0x71 ? FFFFFFFF INT 0x71 ? 86408E10 INT 0x72 ? FFFFFFFF INT 0x72 ? 85163F38 INT 0x82 ? FFFFFFFF INT 0x82 ? 85163F38 INT 0x92 ? FFFFFFFF INT 0x92 ? 00280026 INT 0xA0 ? FFFFFFFF INT 0xA0 ? 86892D48 INT 0xA2 ? FFFFFFFF INT 0xA2 ? 863EADE0 INT 0xB0 ? FFFFFFFF INT 0xB0 ? 863E1358 INT 0xB1 ? FFFFFFFF INT 0xB1 ? 5F534750 INT 0xB1 ? 00000000 INT 0xB2 ? FFFFFFFF INT 0xB2 ? 86541000 INT 0xB3 ? FFFFFFFF INT 0xB3 ? 86317120 Code \??\C:\Windows\system32\drivers\d3dspigy.sys ZwResumeThread [0x8AB341F4] ---- Kernel code sections - GMER 1.0.14 ---- PAGE ntkrnlpa.exe!ZwResumeThread 8221D162 7 Bytes JMP 8AB341F8 \??\C:\Windows\system32\drivers\d3dspigy.sys ? C:\Windows\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. ! ? C:\ComboFix\catchme.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.14 ---- .text C:\Windows\system32\winlogon.exe[752] winlogon.exe 00C157E2 5 Bytes JMP 00030000 .text C:\Users\Kathi\Desktop\gmer.exe[3136] ntdll.dll!NtCreateFile + 3 7725F417 2 Bytes [ DF, FA ] ---- User IAT/EAT - GMER 1.0.14 ---- IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCloneImage] [7441FD78] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipDrawImageRectI] [743EBBF1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipSetInterpolationMode] [743DA31F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipSetCompositingMode] [743DCBFF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCreateFromHDC] [743D8AB2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCreateBitmapFromStream] [743ED168] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipGetImageHeight] [743D7D98] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipGetImageWidth] [743D7CFF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipDisposeImage] [743D6A54] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipLoadImageFromFileICM] [7446C1BA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipLoadImageFromFile] [743F80FE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipDeleteGraphics] [743D90CD] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipFree] [743E223C] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipAlloc] [743E2267] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdiplusShutdown] [743E771C] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdiplusStartup] [743E753E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.exe[1432] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCreateBitmapFromStreamICM] [74418585] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16683_none_9ea0f08ac96e2537\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) ---- Registry - GMER 1.0.14 ---- Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion@CurrentVersion 6.0 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion@ProductName Windows Vista (TM) Home Premium ---- EOF - GMER 1.0.14 ---- |
02.10.2008, 19:55 | #10 |
| Google verlinkt zu falschen Seiten catchme funktioniert nicht, der editor sagt mir: "please note that you need administrator rights to perform deep scan disk not found C:\" |
02.10.2008, 20:06 | #11 |
/// TB-Ausbilder | Google verlinkt zu falschen Seiten Hi, dann führ die Datei bitte per Rechtsklick als "Als Administrator ausführen" aus. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
02.10.2008, 20:22 | #12 |
| Google verlinkt zu falschen Seiten Zum Zip klicken gabs da nichts, aber hier das log: catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-02 21:07:30 Windows 6.0.6000 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\\xb5\xd0] "CacheSizeInMB"=dword:00000000 "CacheStatus"=dword:00000002 "USBVersion"=dword:00020000 "ReadSpeedKBs"=dword:00000000 "WriteSpeedKBs"=dword:00000000 "PhysicalDeviceSizeMB"=dword:0001bf26 "RecommendedCacheSizeMB"=dword:00000000 "HasSlowRegions"=dword:00000000 "DoRetestDevice"=dword:00000000 "DeviceStatus"=dword:00000001 "LastTestedTime"=hex(b):00,00,00,00,00,00,00,00 scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 |
02.10.2008, 21:21 | #13 |
/// TB-Ausbilder | Google verlinkt zu falschen Seiten Poste nach dem Kaspersky log bitte auch nochmal einen neues HijackThis log (Die Datei bitte ebenfalls nicht per Doppelklick sondern per Rechtsklick und "ausführen als admin" auswählen) erstellen. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
03.10.2008, 10:10 | #14 |
| Google verlinkt zu falschen Seiten Beim Kaspersky weiß ich nicht wie ich zum log komm. Es steht zwar, dass er nichts gefunden hat, aber wie ich zu einem log komm... hmmmm... dann geh ich mal die HijackThis sache an. lieben gruß, katharina |
03.10.2008, 10:25 | #15 |
| Google verlinkt zu falschen SeitenCode:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:13:18, on 03.10.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16711) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\TOSHIBA\Utilities\KeNotify.exe C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe C:\Windows\RtHDVCpl.exe C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\TOSHIBA\Registration\ToshibaRegistration.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Synaptics\SynTP\SynToshiba.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Windows\ehome\ehmsas.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe C:\Program Files\Windows Mail\WinMail.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Internet Explorer\ieuser.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\wuauclt.exe C:\Users\Kathi\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [Desktop SMS] C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe /auto O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - h**p://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?h**p://www.ebay.de/ (file missing) O13 - Gopher Prefix: O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing) O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 8330 bytes Hihi, jetzt hab ich wenigstens gecheckt wie ich die logs in diese kästchen bekomme.. |
Themen zu Google verlinkt zu falschen Seiten |
agere systems, antivir, antivirus, avg, avira, bho, browser, defender, desktop, ebay, excel, firefox, google, helfen, helper, hijack, hijackthis, internet, internet explorer, internet security, magix, mozilla, registrierungsschlüssel, rundll, saver, security, software, suchmaschine, super, symantec, system, uleadburninghelper, vista, windows defender, windows sidebar |