| |
| |||||||
Log-Analyse und Auswertung: Google Suchergebnisse werden entführt (Virus Restbestände?)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
03.10.2008, 22:24
| #1 |
 |  Google Suchergebnisse werden entführt (Virus Restbestände?) Hallo zusammen, ich habe gestern einen miesen Virus gehabt der alle Google / Yahoo Suchen entführt hat, sowie Spybot Updates geblockt hat. Beim Versuch diesen zu beseitigen (über abgesicherten Modus) kam es zu Komplikationen, so das ich Windows nur noch in der zuletzt bekannten funktionienden Konfiguration gestartet werden konnte. Seitdem ist das eigentliche Problem behoben, Google geht wieder un gerade läuft ein Spybot Update durch. Spybot hat auch noch einige Files vom Malwaretypen Smitfraud_C. gefunden und Antivir kotzt sich auch gerade die Seele aus. Unter anderem betroffen sind die unter Windows/System32 liegenden Dateien tdssadw.dll, tdssinit.dll, TDSSI.dll, tdsslog.dll, tdssmain.dll, tdssserf.dll sowie unter /drivers/ tdssserv.sys. Gemeldet werden verschiedene Trojaner, ein Backdoorprog sowie ein Rootkit. Zudem wurden auch Probleme mit der smart.dll festgestellt. Da ich mir jetzt unsicher bin wie ich den Virus bzw. den ganzen Müll, dauerhaft und ohne Rückstände entfernen kann, frage ich euch was ich tun soll. SOll ich die Probleme von Spybot beheben lassen, oder die dll mit AntiVir löschen. was wäre das beste? Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:51:40, on 03.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe C:\Programme\Hotspot Shield\bin\openvpnas.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\DitExp.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Saitek\Software\SaiSmart.exe C:\Programme\Saitek\Software\SaiMfd.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\WinTV\Ir.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe D:\Programme\Trillian Astra\trillian.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Eigene Downloads\HiJackThis(2).exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\NetTransport 2\NTIEHelper.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ? O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138310814046 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138310807218 O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.11) - http://gameadvisor.futuremark.com/global/msc311.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O17 - HKLM\System\CS4\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 8951 bytes Vielen Dank für eure Hilfe! |
|
03.10.2008, 22:38
| #2 |
| /// the machine /// TB-Ausbilder    |  Google Suchergebnisse werden entführt (Virus Restbestände?)hi KennyRie und  spybot kannste knicken, malwarebytes machen wir später. SDFix * Lade das SDFix herunter und speichere es auf deinem Desktop. * Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken. * Starte deinen Rechner neu auf, in den abgesicherten Modus * Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann. * Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet. * Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden. * Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting. === ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ |
|
03.10.2008, 23:04
| #3 |
| | Google Suchergebnisse werden entführt (Virus Restbestände?) Hallo Schrauber und Danke für deine Antwort.
__________________Direkt im Voraus, ich komm bei meinem Rechner nicht in den abgesicherten Modus rein, es kommt dann zu einem BlueScreen mit Hinweiß auf den Graphiktreiber, danach ist auch ein normaler Systemstart mit nem Absturz verbunden. (Daher hat sich das Problem mit den Google Suchen, auch gelöst, weil ich mit der zuletzt bekannt funktionierenden Konfiguration starten MUSSTE). Deswegen weiß ich nicht inwiefern sowas wie SDFix funktioniert, wie gesagt, abgesicherter Modus geht leider nicht. Grüße! KennyRie |
|
04.10.2008, 11:48
| #4 |
| /// the machine /// TB-Ausbilder | Google Suchergebnisse werden entführt (Virus Restbestände?) nimm zuerst combofix bitte.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
04.10.2008, 18:44
| #5 |
| | Google Suchergebnisse werden entführt (Virus Restbestände?) Hallo Schrauber, so hab ComboFix jetzt 2 mal laufen lassen, beim ersten mal wurden auch Dateien gelöscht, glücklichweise steht das auch im Log. Der Grund warum ich Combofix 2x hab laufen lassen liegt darin, das beim neustarten über Kombofix, der Boot fehlgeschlagen ist mit der Begründung : Invalid_Kernel_Handle Danach folgte ein normaler Bootvorgang, auch problemlos, jedoch wurde kein Log erstellt. Deshalb der 2. Durchgang, diesmal erfolgreicher, hier der Log: Code:
ATTFilter ComboFix 08-10-04.01 - *** 2008-10-04 19:31:03.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1570 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\WINDOWS\system32\disk.dll C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\tdssadw.dll C:\WINDOWS\system32\TDSSerrors.log C:\WINDOWS\system32\tdssinit.dll C:\WINDOWS\system32\tdssl.dll C:\WINDOWS\system32\tdsslog.dll C:\WINDOWS\system32\tdssmain.dll C:\WINDOWS\system32\tdssserf.dll C:\WINDOWS\system32\tdssservers.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Service_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-09-04 bis 2008-10-04 )))))))))))))))))))))))))))))) . 2008-10-03 23:21 . 2008-10-03 23:22 <DIR> d-------- C:\Programme\ Malwarebytes Anti-Malware 2008-10-03 23:21 . 2008-10-03 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2008-10-03 23:21 . 2008-10-03 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-03 23:21 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-03 23:21 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-02 15:14 . 2008-10-02 15:14 <DIR> d-------- C:\Dokumente und Einstellungen\***\dwhelper 2008-10-02 13:56 . 2008-10-02 13:56 3,386 --a------ C:\WINDOWS\system32\tmp.reg 2008-10-02 09:31 . 2008-10-02 09:31 8,192 --a------ C:\WINDOWS\system32\tdssserf1.dll 2008-09-29 17:36 . 2008-09-29 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Broken Sword 2.5 2008-09-23 12:45 . 2008-09-23 12:45 <DIR> d-------- C:\Programme\eXpress TimeStamp Toucher . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-04 17:28 --------- d-----w C:\Programme\WinTV 2008-10-03 20:46 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-10-03 20:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-10-03 09:41 --------- d-----w C:\Programme\Mozilla Sunbird 2008-10-02 12:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-10-02 12:12 98,304 ----a-w C:\WINDOWS\DUMP5b3f.tmp 2008-09-27 08:02 --------- d-----w C:\Programme\IKEA HomePlanner 2008-09-27 07:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-09-22 15:07 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype 2008-08-28 14:23 278,984 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys 2008-08-28 14:18 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-28 14:17 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield 2008-08-09 22:31 --------- d-----w C:\Programme\Gemeinsame Dateien\IviSDK 2008-08-09 22:30 --------- d-----w C:\Programme\vtplus 2008-07-06 22:17 2,322,432 ----a-w C:\WINDOWS\system32\TUKernel.exe 2008-07-06 08:38 691,545 ----a-w C:\WINDOWS\unins000.exe 2008-07-06 08:33 36,864 ----a-w C:\WINDOWS\system32\smart.dll 2008-01-25 15:36 61 --sh--w C:\WINDOWS\cnerolf.dat 2005-08-06 15:52 56 --sh--r C:\WINDOWS\system32\D52A533F4D.sys 2007-07-31 15:56 5,642 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTSysVol"="C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-07-02 57344] "CTDVDDET"="C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE" [2003-06-18 45056] "SBDrvDet"="C:\Programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056] "AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2005-06-03 456192] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile\Application Launcher\Application Launcher.exe" [2005-10-26 159744] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497] "zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928] "Profiler"="C:\Programme\Saitek\Software\Profiler.exe" [2004-10-20 159744] "SaiSmart"="C:\Programme\Saitek\Software\SaiSmart.exe" [2004-10-20 98304] "SaiMfd"="C:\Programme\Saitek\Software\SaiMfd.exe" [2004-10-20 135168] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "Dit"="Dit.exe" [2002-08-28 C:\WINDOWS\Dit.exe] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 C:\WINDOWS\LOGI_MWX.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ AutoStart IR.lnk - C:\Programme\WinTV\Ir.exe [2008-08-10 110647] Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2005-11-05 196608] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2005-11-06 532480] ZyXEL G-220 Utility GUI.lnk - C:\Programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe [2007-03-28 1318912] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\WINDOWS\\system32\\logonui.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.yv12"= yv12vfw.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ZDWlan.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ZDWlan.lnk backup=C:\WINDOWS\pss\ZDWlan.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent] --a------ 2002-09-26 16:49 69632 C:\Programme\Medion\PowerCinema\My_TV\Agent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] --a------ 2008-07-19 10:21 266497 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CapFax] --a------ 2001-12-10 17:34 20739 C:\Programme\Classic PhoneTools\capFax.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] --a------ 2005-05-19 15:47 57344 C:\Programme\SlySoft\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneDVDElbyDelay] --a------ 2002-11-02 08:33 45056 C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection] --a------ 2002-07-24 19:43 28672 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask] --a------ 2004-03-31 18:21 53248 C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray] --a------ 2004-03-31 18:21 114688 C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer] --a------ 2005-07-13 12:02 122880 C:\Programme\phonostar\ps_timer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-10-19 21:16 286720 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter] --a------ 2003-06-12 09:47 135168 C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2005-01-12 04:01 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2006-05-22 13:43 20440616 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2004-12-06 21:31 36975 C:\Programme\Java\jre1.5.0_01\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2005-10-26 22:37 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg] --------- 2000-05-11 01:00 90112 C:\WINDOWS\Updreg.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WLAN Quick-Starter] --------- 2005-01-19 10:51 909312 C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper] --a------ 2005-12-08 12:06 16384 C:\WINDOWS\CTHELPER.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPod Service"=3 (0x3) "HotspotShieldService"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "AccG160"=C:\PROGRA~1\WLANQU~1\AccG160.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Trillian\\trillian.exe"= "D:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R2 EPGService;EPGService;C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe [2007-09-05 374272] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 424704] R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-06-04 467456] R3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-06-04 15488] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 24288] R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 27136] S3 gsplittm;gsplittm;C:\DOKUME~1\***\LOKALE~1\Temp\gsplittm.sys [ ] S3 HauppaugeTVServer;HauppaugeTVServer;C:\PROGRA~1\WinTV\HCWTVS~1.EXE [2007-02-20 815104] S3 HssTrayService;Hotspot Shield Tray Service;C:\Programme\Hotspot Shield\bin\HssTrayService.EXE [2008-07-24 30168] S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [ ] S3 MXBULK;DualCam Still, MXBulk3.Sys;C:\WINDOWS\system32\Drivers\MXBulk3.sys [2002-01-22 50688] S3 MXCap;DSC-06 Video Camera;C:\WINDOWS\system32\DRIVERS\MXCap3.sys [2002-04-17 63104] S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 17280] S3 SaiH0255;SaiH0255;C:\WINDOWS\system32\DRIVERS\SaiH0255.sys [2004-10-22 121984] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-27 354560] S3 wsmclib;wsmclib;C:\DOKUME~1\***\LOKALE~1\Temp\wsmclib.sys [ ] S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2005-08-16 278016] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-CTXFIREG - CTxfiReg.exe MSConfigStartUp-pccguide - C:\Programme\Trend Micro\Internet Security 14\pccguide.exe MSConfigStartUp-WinampAgent - C:\Programme\Winamp\winampa.exe . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJava11.dll FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJava12.dll FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJava13.dll FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJava14.dll FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJava32.dll FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJPI150_01.dll FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPOJI610.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npmozax.dll FF -: plugin - C:\Programme\VLC Player\npvlc.dll FF -: plugin - D:\Programme\iTunes\Mozilla Plugins\npitunes.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-04 19:34:56 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-04 19:40:22 ComboFix-quarantined-files.txt 2008-10-04 17:39:52 Vor Suchlauf: 6,002,032,640 Bytes frei Nach Suchlauf: 5,969,788,928 Bytes frei 217 Grüße! KennyRie Achso, noch eine Frage aus Interesse, Du schriebst (bzw. ich hab es im Zusammenhang gelesen) dass ComboFix die Autostart Funktionen meiner CD-Laufwerke, USB-Massenspeicher deaktiviert, wie kann ich diese denn wieder im Nachhinein aktivieren? Hier übrigens auch nochmal ein aktualisierte HJT-Log Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:54:28, on 04.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Dit.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe C:\WINDOWS\DitExp.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Saitek\Software\SaiSmart.exe C:\Programme\Saitek\Software\SaiMfd.exe C:\Programme\Hotspot Shield\bin\openvpnas.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\WinTV\Ir.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Eigene Downloads\HiJackThis(2).exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\NetTransport 2\NTIEHelper.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ? O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138310814046 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138310807218 O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.11) - http://gameadvisor.futuremark.com/global/msc311.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O17 - HKLM\System\CS4\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 8936 bytes Geändert von KennyRie (04.10.2008 um 18:53 Uhr) |
|
04.10.2008, 19:01
| #6 |
| /// the machine /// TB-Ausbilder | Google Suchergebnisse werden entführt (Virus Restbestände?) dann jetzt bitte sdfix aus obiger anleitung.
__________________ --> Google Suchergebnisse werden entführt (Virus Restbestände?) |
|
04.10.2008, 19:01
| #7 |
| | Google Suchergebnisse werden entführt (Virus Restbestände?) ohne abgesicherten Modus dann also? Weil der macht wie gesagt Probleme. |
|
04.10.2008, 19:07
| #8 |
| /// the machine /// TB-Ausbilder | Google Suchergebnisse werden entführt (Virus Restbestände?) nach combofix immer noch probs mit dem abgesicherten modus? dürfte eigentlich nicht sein....
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
04.10.2008, 19:51
| #9 |
| | Google Suchergebnisse werden entführt (Virus Restbestände?) Hallo Schrauber, hattest Recht, der Abgesicherte Modus funktioniert wieder, das ist schonmal super (entschuldige Bitte meine Skepsis von vorhin) hier schonmal der SDFix Log: Code:
ATTFilter SDFix: Version 1.231
Run by *** on 04.10.2008 at 20:24
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\***\Desktop\SDFix\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\system32\tdssserf1.dll - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-04 20:42:39
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:0b,e9,f4,11,97,7d,0b,0d,60,d5,8c,7d,cb,67,66,75,33,79,98,4c,aa,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:fd,ce,7d,c2,a9,b8,a6,39,81,d1,82,ed,4a,51,71,c3,09,df,95,f6,48,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ca,3b,96,c1,83,69,d2,de,ce,a2,b4,f9,ba,75,64,f5,ec,..
"khjeh"=hex:5b,4f,96,06,04,4b,d4,de,a8,6d,a8,32,45,a3,59,57,3e,d9,71,0e,40,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:da,af,92,d4,79,a2,99,9e,c8,53,94,df,18,14,ea,49,e7,8e,4c,04,23,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:80024f06
"s2"=dword:dd8e4ccb
"h0"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:0b,e9,f4,11,97,7d,0b,0d,60,d5,8c,7d,cb,67,66,75,33,79,98,4c,aa,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:fd,ce,7d,c2,a9,b8,a6,39,81,d1,82,ed,4a,51,71,c3,09,df,95,f6,48,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ca,3b,96,c1,83,69,d2,de,ce,a2,b4,f9,ba,75,64,f5,ec,..
"khjeh"=hex:5b,4f,96,06,04,4b,d4,de,a8,6d,a8,32,45,a3,59,57,3e,d9,71,0e,40,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:da,af,92,d4,79,a2,99,9e,c8,53,94,df,18,14,ea,49,e7,8e,4c,04,23,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:fd,ce,7d,c2,a9,b8,a6,39,81,d1,82,ed,4a,51,71,c3,09,df,95,f6,48,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ca,3b,96,c1,83,69,d2,de,ce,a2,b4,f9,ba,75,64,f5,ec,..
"khjeh"=hex:5b,4f,96,06,04,4b,d4,de,a8,6d,a8,32,45,a3,59,57,3e,d9,71,0e,40,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:da,af,92,d4,79,a2,99,9e,c8,53,94,df,18,14,ea,49,e7,8e,4c,04,23,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:0b,e9,f4,11,97,7d,0b,0d,60,d5,8c,7d,cb,67,66,75,33,79,98,4c,aa,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:fd,ce,7d,c2,a9,b8,a6,39,81,d1,82,ed,4a,51,71,c3,09,df,95,f6,48,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ca,3b,96,c1,83,69,d2,de,ce,a2,b4,f9,ba,75,64,f5,ec,..
"khjeh"=hex:5b,4f,96,06,04,4b,d4,de,a8,6d,a8,32,45,a3,59,57,3e,d9,71,0e,40,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:da,af,92,d4,79,a2,99,9e,c8,53,94,df,18,14,ea,49,e7,8e,4c,04,23,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"D:\\Programme\\iTunes\\iTunes.exe"="D:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files :
File Backups: - C:\DOKUME~1\***\Desktop\SDFix\SDFix\backups\backups.zip
Files with Hidden Attributes :
Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Thu 12 Jun 2003 68,608 ..SHR --- "C:\Programme\You Don't Know Jack 4\Setup.exe"
Thu 12 Jun 2003 17,920 A..HR --- "C:\Programme\You Don't Know Jack 4\_Setup.dll"
Sat 6 Aug 2005 56 ..SHR --- "C:\WINDOWS\system32\D52A533F4D.sys"
Tue 31 Jul 2007 5,642 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Mon 4 Jul 2005 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri 25 Aug 2006 28,160 ...H. --- "C:\Dokumente und Einstellungen\***\Eigene Dateien\~WRL0002.tmp"
Fri 29 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Finished!
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:53:03, on 04.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hotspot Shield\bin\openvpnas.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Dit.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Saitek\Software\SaiSmart.exe C:\Programme\Saitek\Software\SaiMfd.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\WINDOWS\DitExp.exe C:\Programme\WinTV\Ir.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Downloads\HiJackThis(2).exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\NetTransport 2\NTIEHelper.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ? O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138310814046 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138310807218 O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.11) - http://gameadvisor.futuremark.com/global/msc311.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O17 - HKLM\System\CS4\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 9160 bytes  |
|
04.10.2008, 20:26
| #10 |
| /// the machine /// TB-Ausbilder | Google Suchergebnisse werden entführt (Virus Restbestände?)Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
05.10.2008, 10:38
| #11 |
| | Google Suchergebnisse werden entführt (Virus Restbestände?) So einmal der Kaspersky-Log: So wie es aussieht, sind die Files in Quarantäne vom ComboFix gefunden worden und noch ein Problem mit der smart.dll Code:
ATTFilter -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 5. Oktober 2008 11:35:25
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 4/10/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1289890
-------------------------------------------------------------------------------
Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja
Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 242003
Viren gefunden: 7
Infizierte Objekte gefunden: 10
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 13:54:12
Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\phq2zy0k.default\abook.mab Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\phq2zy0k.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\phq2zy0k.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\phq2zy0k.default\Mail\Local Folders\Inbox.msf Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Trillian\users\***\logs\ICQ\Query\158905.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Eigene Dateien\SmitfraudFix\Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\***\Eigene Dateien\SmitfraudFix\SmitfraudFix.exe/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\***\Eigene Dateien\SmitfraudFix\SmitfraudFix.exe RAR: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\cli.exe.da01c7d0.ini.inuse Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\etilqs_3at4rxZDE3CMjijBiBbg Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Perflib_Perfdata_6e8.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Perflib_Perfdata_d1c.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Perflib_Perfdata_d24.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\itouch_crash_info.txt Das Objekt ist gesperrt übersprungen
C:\Programme\DLH98\0299.DLM/deo/deotrn.exe Infizierte Objekte: Backdoor.Win32.Bifrose.tbd übersprungen
C:\Programme\DLH98\0299.DLM RAR: infiziert - 1 übersprungen
C:\Programme\Gamers.IRC\mirc.exe Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.603 übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\tdssadw.dll.vir Infizierte Objekte: Rootkit.Win32.Clbd.ks übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\tdsslog.dll.vir Infizierte Objekte: Backdoor.Win32.Agent.rfv übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\tdssserf.dll.vir Infizierte Objekte: Trojan-Downloader.Win32.FraudLoad.vbxt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP1328\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acgenral.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\aclayers.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\aclua.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acspecfc.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acverfyr.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acxtrnal.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\apphelp.sdb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\apps.chm Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\d3d8.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\drvmain.sdb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\msimain.sdb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\qdvd.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\sysmain.sdb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\udfs.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallApplication Compatibility Update$\vbscript.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307274$\shgina.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307274$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307274$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307869$\guitrn.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307869$\guitrn_a.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307869$\migapp.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307869$\migwiz.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307869$\migwiz_a.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307869$\script.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307869$\script_a.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307869$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307869$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307869$\sysmod.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ307869$\sysmod_a.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ308210$\rdchost.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ308210$\sessmgr.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ308210$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ308210$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ308276$\smlogsvc.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ308276$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ308276$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ308677$\userenv.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309376$\rdbss.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309376$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309376$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309495$\msi.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309495$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309495$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309521$\dxmasf.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309521$\lsasrv.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309521$\msdxm.ocx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309521$\sfcfiles.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309521$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309521$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309521$\ssdpapi.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309521$\ssdpsrv.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309521$\url.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ309521$\wininet.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ310437$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ310437$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ310437$\ups.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ310507$\aec.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ310507$\dxmrtp.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ310507$\splitter.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ310507$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ310507$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ311889$\termsrv.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ312368$\syssetup.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ312370$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ312370$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ312370$\usbhub.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ312370$\usbport.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ314862$\qmgr.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ314862$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ314862$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ315000$\netsetup.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.inf Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ315000$\upnp.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ318966$\spuninst\Q318966.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\NetLimit.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\smart.dll Infizierte Objekte: Trojan-GameThief.Win32.WOW.bht übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
D:\Programme\Hotspot Shield\log\oas.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
|
|
05.10.2008, 13:15
| #12 | |
| /// the machine /// TB-Ausbilder | Google Suchergebnisse werden entführt (Virus Restbestände?) Scripten mit Combofix
Zitat:
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann ==== Malwarebytes' Anti-Malware
 (nach dem scannen auf den Button klicken und Funde löschen lassen!) ==== ATF - Cleaner ==== F-Secure Support-Seiten: F-Secure Online-Virenscanner diesen onlinescan machen.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
05.10.2008, 15:13
| #13 |
| | Google Suchergebnisse werden entführt (Virus Restbestände?) Hier schonmal der neue ComboFix Report, Malware und Online-Scan wird ja wieder etwas dauern, die resultate geb ich dann bescheid: Code:
ATTFilter ComboFix 08-10-04.01 - *** 2008-10-05 15:53:36.3 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\***\Desktop\cfscript.txt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! FILE :: C:\Programme\DLH98\0299.DLM C:\Programme\DLH98\0299.DLM/deo/deotrn.exe C:\WINDOWS\system32\smart.dll . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\DLH98\0299.DLM C:\WINDOWS\system32\smart.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-09-05 bis 2008-10-05 )))))))))))))))))))))))))))))) . 2008-10-04 21:31 . 2008-10-04 21:31 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-10-04 21:31 . 2008-10-04 21:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-10-04 20:22 . 2008-10-04 20:22 578,560 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-10-04 20:17 . 2008-10-04 20:18 <DIR> d-------- C:\WINDOWS\ERUNT 2008-10-03 23:21 . 2008-10-03 23:22 <DIR> d-------- C:\Programme\ Malwarebytes Anti-Malware 2008-10-03 23:21 . 2008-10-03 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2008-10-03 23:21 . 2008-10-03 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-03 23:21 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-03 23:21 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-02 15:14 . 2008-10-02 15:14 <DIR> d-------- C:\Dokumente und Einstellungen\***\dwhelper 2008-10-02 13:56 . 2008-10-02 13:56 3,386 --a------ C:\WINDOWS\system32\tmp.reg 2008-09-29 17:36 . 2008-09-29 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Broken Sword 2.5 2008-09-23 12:45 . 2008-09-23 12:45 <DIR> d-------- C:\Programme\eXpress TimeStamp Toucher . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-05 13:59 --------- d-----w C:\Programme\WinTV 2008-10-05 13:54 --------- d-----w C:\Programme\DLH98 2008-10-04 20:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-10-03 20:46 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-10-03 09:41 --------- d-----w C:\Programme\Mozilla Sunbird 2008-10-02 12:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-10-02 12:12 98,304 ----a-w C:\WINDOWS\DUMP5b3f.tmp 2008-09-27 08:02 --------- d-----w C:\Programme\IKEA HomePlanner 2008-09-27 07:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-09-22 15:07 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype 2008-08-28 14:23 278,984 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys 2008-08-28 14:18 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-28 14:17 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield 2008-08-09 22:31 --------- d-----w C:\Programme\Gemeinsame Dateien\IviSDK 2008-08-09 22:30 --------- d-----w C:\Programme\vtplus 2008-07-06 22:17 2,322,432 ----a-w C:\WINDOWS\system32\TUKernel.exe 2008-07-06 08:38 691,545 ----a-w C:\WINDOWS\unins000.exe 2008-01-25 15:36 61 --sh--w C:\WINDOWS\cnerolf.dat 2005-08-06 15:52 56 --sh--r C:\WINDOWS\system32\D52A533F4D.sys 2007-07-31 15:56 5,642 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-10-04_19.39.25.90 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE + 2008-10-04 18:18:33 13,250,560 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat + 2008-10-04 18:18:33 61,440 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2008-10-04 18:18:14 13,250,560 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat + 2008-10-04 18:18:14 61,440 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat + 2005-05-24 10:27:16 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll + 2007-10-21 19:40:14 94,208 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe + 2007-10-21 19:40:16 950,272 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll - 2008-10-04 17:32:04 72,512 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-10-04 19:04:37 72,512 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-10-04 17:32:04 60,112 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-10-04 19:04:37 60,112 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-10-04 17:32:04 408,686 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-10-04 19:04:37 408,686 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-10-04 17:32:05 394,778 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-10-04 19:04:37 394,778 ----a-w C:\WINDOWS\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTSysVol"="C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-07-02 57344] "CTDVDDET"="C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE" [2003-06-18 45056] "SBDrvDet"="C:\Programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056] "AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2005-06-03 456192] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile\Application Launcher\Application Launcher.exe" [2005-10-26 159744] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497] "zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928] "Profiler"="C:\Programme\Saitek\Software\Profiler.exe" [2004-10-20 159744] "SaiSmart"="C:\Programme\Saitek\Software\SaiSmart.exe" [2004-10-20 98304] "SaiMfd"="C:\Programme\Saitek\Software\SaiMfd.exe" [2004-10-20 135168] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "Dit"="Dit.exe" [2002-08-28 C:\WINDOWS\Dit.exe] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 C:\WINDOWS\LOGI_MWX.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ AutoStart IR.lnk - C:\Programme\WinTV\Ir.exe [2008-08-10 110647] Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2005-11-05 196608] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2005-11-06 532480] ZyXEL G-220 Utility GUI.lnk - C:\Programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe [2007-03-28 1318912] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\WINDOWS\\system32\\logonui.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.yv12"= yv12vfw.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ZDWlan.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ZDWlan.lnk backup=C:\WINDOWS\pss\ZDWlan.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent] --a------ 2002-09-26 16:49 69632 C:\Programme\Medion\PowerCinema\My_TV\Agent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] --a------ 2008-07-19 10:21 266497 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CapFax] --a------ 2001-12-10 17:34 20739 C:\Programme\Classic PhoneTools\capFax.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] --a------ 2005-05-19 15:47 57344 C:\Programme\SlySoft\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneDVDElbyDelay] --a------ 2002-11-02 08:33 45056 C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection] --a------ 2002-07-24 19:43 28672 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask] --a------ 2004-03-31 18:21 53248 C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray] --a------ 2004-03-31 18:21 114688 C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer] --a------ 2005-07-13 12:02 122880 C:\Programme\phonostar\ps_timer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-10-19 21:16 286720 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter] --a------ 2003-06-12 09:47 135168 C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2005-01-12 04:01 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2006-05-22 13:43 20440616 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2004-12-06 21:31 36975 C:\Programme\Java\jre1.5.0_01\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2005-10-26 22:37 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg] --------- 2000-05-11 01:00 90112 C:\WINDOWS\Updreg.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WLAN Quick-Starter] --------- 2005-01-19 10:51 909312 C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper] --a------ 2005-12-08 12:06 16384 C:\WINDOWS\CTHELPER.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPod Service"=3 (0x3) "HotspotShieldService"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "AccG160"=C:\PROGRA~1\WLANQU~1\AccG160.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Trillian\\trillian.exe"= "D:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R2 EPGService;EPGService;C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe [2007-09-05 374272] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 424704] R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-06-04 467456] R3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-06-04 15488] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 24288] R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 27136] S3 gsplittm;gsplittm;C:\DOKUME~1\***\LOKALE~1\Temp\gsplittm.sys [ ] S3 HauppaugeTVServer;HauppaugeTVServer;C:\PROGRA~1\WinTV\HCWTVS~1.EXE [2007-02-20 815104] S3 HssTrayService;Hotspot Shield Tray Service;C:\Programme\Hotspot Shield\bin\HssTrayService.EXE [2008-07-24 30168] S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [ ] S3 MXBULK;DualCam Still, MXBulk3.Sys;C:\WINDOWS\system32\Drivers\MXBulk3.sys [2002-01-22 50688] S3 MXCap;DSC-06 Video Camera;C:\WINDOWS\system32\DRIVERS\MXCap3.sys [2002-04-17 63104] S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 17280] S3 SaiH0255;SaiH0255;C:\WINDOWS\system32\DRIVERS\SaiH0255.sys [2004-10-22 121984] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-27 354560] S3 wsmclib;wsmclib;C:\DOKUME~1\***\LOKALE~1\Temp\wsmclib.sys [ ] S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2005-08-16 278016] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-05 16:00:22 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTSVCCDA.EXE C:\Programme\Hotspot Shield\bin\openvpnas.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\MDM.EXE C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-10-05 16:12:23 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-05 14:12:16 ComboFix2.txt 2008-10-04 17:40:26 Vor Suchlauf: 7.526.342.656 Bytes frei Nach Suchlauf: 7,494,791,168 Bytes frei 227 |
|
05.10.2008, 20:21
| #14 |
| | Google Suchergebnisse werden entführt (Virus Restbestände?) So Malwarebytes und F-Secure haben gescannt: Malwarebytes (1 Fund, bereinigt) Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1226
Windows 5.1.2600 Service Pack 2
05.10.2008 18:45:51
mbam-log-2008-10-05 (18-45-51).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 281082
Laufzeit: 2 hour(s), 21 minute(s), 32 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\Gamers.IRC\mirc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
Code:
ATTFilter Scanning Report
Sunday, October 05, 2008 18:50:10 - 21:20:23
Computer name: ***
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\ E:\
Result: 3 malware found
W32/Packed/FSG_2.A (virus)
* C:\PROGRAMME\DLH98\DLH_OUT\GTASA_TRAINER.EXE (Submitted)
W32/Packed_Exe32Pack.A (virus)
* C:\PROGRAMME\NETTRANSPORT 2\LIBSSL.DLL (Submitted)
W32/Packed_Mew.C (virus)
* C:\PROGRAMME\DLH98\DLH_OUT\PZTRAIN.EXE (Submitted)
Statistics
Scanned:
* Files: 91076
* System: 6811
* Not scanned: 89
Actions:
* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 3
* Submitted: 3
Files not scanned:
x�H
Options
Scanning engines:
* F-Secure USS: 2.30.0
* F-Secure Hydra: 2.8.8110, 2008-10-05
* F-Secure AVP: 7.0.171, 2008-10-04
* F-Secure Pegasus: 1.20.0, 2008-09-02
* F-Secure Blacklight: 1.0.68
Scanning options:
* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics
Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.
|
|
06.10.2008, 05:03
| #15 |
| /// the machine /// TB-Ausbilder | Google Suchergebnisse werden entführt (Virus Restbestände?)Combofix Deinstallieren Klick auf Start -> Ausführen -> eintippen combofix /U  Damit ist Combofix und alle weiteren Programme entfernt wurden. ==== Tool-Bereinigung mit OTMoveIt2 Bitte lade Dir OTMoveIt von OldTimer herunter.
==== Schädlinge im Ordner der Systemwiederherstellung:
(Systemwiederherstellung kann nun wieder aktiviert werden.) ==== Free ESET Online Antivirus Scanner diesen onlinescan machen. ==== neues hjt-log posten.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
| Themen zu Google Suchergebnisse werden entführt (Virus Restbestände?) |
| abgesicherten modus, antivir, application, avira, bho, computer, desktop, entfernen, excel, firefox, frage, fraud, google, google suchergebnisse, hijack, hijackthis, hkus\s-1-5-18, hotspot, hotspot shield, internet explorer, logfile, malware, mozilla, mozilla thunderbird, problem, smitfraud, software, trojaner, tuneup.defrag, updates, virus, windows, windows xp |
und 
Linear-Darstellung
