| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ie Fenster zur Überprüfung Standardbrowser geht ständig aufWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.10.2008, 11:35
| #3 |
| |  Ie Fenster zur Überprüfung Standardbrowser geht ständig auf Hallo und zunächst vielen, lieben Dank für die bisherige Hilfe :-)
__________________Ich behaupte mal, dass wir dadurch den Übeltäter gefunden haben (nur noch nicht entfernt). Aber jetzt zu den Log-Files (diesmal richtig im Code-Format, sorry fürs letzte Mal  ). Dort wo als User "xxx" steht, habe ich lediglich meinen Real-bzw. den PC Namen überschrieben ...MBR-Tool: Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Code:
ATTFilter
10/08/08 08:37:10 [Info]: BlackLight Engine 2.2.1092 initialized
10/08/08 08:37:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/08/08 08:37:11 [Note]: 7019 4
10/08/08 08:37:11 [Note]: 7005 0
10/08/08 08:37:25 [Note]: 7006 0
10/08/08 08:37:25 [Note]: 7011 1912
10/08/08 08:37:26 [Note]: 7035 0
10/08/08 08:37:26 [Note]: 7026 0
10/08/08 08:37:26 [Note]: 7026 0
10/08/08 08:37:26 [Note]: 7024 3
10/08/08 08:37:26 [Info]: Hidden process: C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.exe
10/08/08 08:37:30 [Note]: FSRAW library version 1.7.1024
10/08/08 08:39:39 [Info]: Hidden file: c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.AT.config
10/08/08 08:39:39 [Note]: 10002 3
10/08/08 08:39:39 [Info]: Hidden file: c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.core.dll
10/08/08 08:39:39 [Note]: 10002 3
10/08/08 08:39:39 [Info]: Hidden file: C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.exe
10/08/08 08:39:39 [Note]: 10002 3
10/08/08 08:39:39 [Info]: Hidden file: c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.ServerPlugin.config
10/08/08 08:39:39 [Note]: 10002 3
10/08/08 08:39:39 [Note]: 10002 2
10/08/08 08:39:39 [Note]: 10002 2
10/08/08 08:42:26 [Note]: 7007 0
Malware brachte nix Neues: Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1229
Windows 5.1.2600 Service Pack 2
08.10.2008 10:32:35
mbam-log-2008-10-08 (10-32-35).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 233567
Laufzeit: 1 hour(s), 48 minute(s), 41 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
File-Upload.net - Startup-Programs-PC-Name-2008-10-08-11.21.07.txt Hier jetzt Combo: Code:
ATTFilter
ComboFix 08-10-07.06 - xxx 2008-10-08 11:45:00.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.618 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\Bank.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
((((((((((((((((((((((( Dateien erstellt von 2008-09-08 bis 2008-10-08 ))))))))))))))))))))))))))))))
.
2008-10-07 13:24 . 2008-07-18 22:09 29,896 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-10-07 11:19 . 2008-10-07 11:19 1,209 --a------ C:\WINDOWS\uninst.ini
2008-10-07 09:11 . 2008-10-07 09:11 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-10-05 17:54 . 2008-10-05 17:54 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-10-05 17:54 . 2008-10-07 11:07 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-05 15:59 . 2008-10-05 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2008-10-05 15:59 . 2008-10-05 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-05 15:59 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 15:59 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-04 20:29 . 2008-10-04 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nodetmpe
2008-10-04 19:59 . 2008-10-04 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz
2008-10-04 19:30 . 2008-10-04 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-10-04 19:28 . 2008-10-04 19:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg
2008-10-04 14:26 . 2008-10-04 14:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-04 14:25 . 2008-10-04 14:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-23 20:51 . 2008-09-23 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\jd
2008-09-23 20:51 . 2008-09-23 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\config
2008-09-22 17:13 . 2008-09-22 17:13 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-09-19 19:42 . 2008-05-16 11:48 446,464 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-09-19 19:42 . 2008-05-19 18:16 186,407 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-09-19 19:32 . 2008-09-19 19:33 <DIR> d-------- C:\Programme\SystemRequirementsLab
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 09:50 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-10-08 09:50 --------- d-----w C:\Programme\SpeedFan
2008-10-08 09:39 --------- d-----w C:\Programme\firefox
2008-10-08 09:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-08 09:09 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FRITZ!
2008-10-07 11:21 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\MediaMan
2008-10-04 11:44 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Lavasoft
2008-10-04 11:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-10-03 10:33 --------- d-----w C:\Programme\Java
2008-09-22 17:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-22 17:22 --------- d-----w C:\Programme\FlashGet
2008-08-16 14:21 --------- d-----w C:\Programme\SpeedCommander 11
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-12-25 09:39 92,064 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmmdm.sys
2007-12-25 09:39 9,232 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmmdfl.sys
2007-12-25 09:39 79,328 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmserd.sys
2007-12-25 09:39 66,656 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmbus.sys
2007-12-25 09:39 6,208 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmcmnt.sys
2007-12-25 09:39 5,936 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmwhnt.sys
2007-12-25 09:39 4,048 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmcr.sys
2007-12-25 09:39 25,600 ----a-w C:\Dokumente und Einstellungen\xxx\usbsermptxp.sys
2007-12-25 09:39 22,768 ----a-w C:\Dokumente und Einstellungen\xxx\usbsermpt.sys
2007-12-16 17:27 34,534 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mdb.bin
2004-12-01 08:21 468 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\wklnhst.dat
2004-10-17 17:30 8 --sh--r C:\WINDOWS\system32\32828BBAAC.sys
2004-10-17 17:30 5,224 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2004-09-14 131072]
"avgnt"="C:\tools\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-11 266497]
"DAEMON Tools"="d:\tools\DAEMON Tools\daemon.exe" [2005-11-09 128920]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Dit"="Dit.exe" [2004-07-20 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2004-02-24 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 C:\WINDOWS\CNYHKey.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 C:\WINDOWS\AGRSMMSG.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
C:\Dokumente und Einstellungen\xxx\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-01-23 917504]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2007-01-23 679936]
SpeedFan.lnk - C:\Programme\SpeedFan\speedfan.exe [2007-02-28 2796544]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Scanner Finder.lnk - C:\Programme\ScanWizard 5\ScannerFinder.exe [2005-03-09 315392]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ulead Kalendar Checker 4.0 SE.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ulead Kalendar Checker 4.0 SE.lnk
backup=C:\WINDOWS\pss\Ulead Kalendar Checker 4.0 SE.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="D:\Programme\quicktime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\DFUE\\FlashFXP\\flashfxp.exe"=
"E:\\fear\\FEAR.exe"=
"D:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe"=
R0 Defrag32b;Defrag32Boot;C:\WINDOWS\system32\drivers\Defrag32b.sys [2004-10-23 54424]
R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys [2003-06-03 123957]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264]
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys [2003-06-03 46900]
R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2008-03-15 108768]
R2 Defrag32;Defrag32;C:\WINDOWS\system32\drivers\Defrag32.sys [2004-10-23 54424]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 53248]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 945152]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 1272000]
R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 11672]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 19928]
S2 PDSched;PDScheduler;D:\Tools\PerfectDisk\PDSched.exe [2005-01-12 237635]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 77824]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-10-08 17408]
S3 jatmlano;jatmlano;C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys [ ]
S3 motccgp;Motorola USB Composite Device Driver;C:\WINDOWS\system32\DRIVERS\motccgp.sys [2007-02-27 17792]
S3 motccgpfl;MotCcgpFlService;C:\WINDOWS\system32\DRIVERS\motccgpfl.sys [2007-01-23 7680]
S3 MotDev;Motorola Inc. USB Device;C:\WINDOWS\system32\DRIVERS\motodrv.sys [2006-12-14 40832]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]
S3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]
S3 USB-100;Realtek RTL8150 USB 10/100 Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\RTL8150.SYS [2002-02-22 26505]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-Cmaudio - cmicnfg.cpl
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\slnex9i3.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 11:50:35
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation
Scanne versteckte Prozesse...
C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.exe [1764] 0x85D6FB98
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
C:\WINDOWS\system32\.d98b63cad1f348ac
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\d98b63cad1f348ac]
"ImagePath"="C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.exe"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.core.dll
-> C:\WINDOWS\HKCYDLL.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
D:\Tools\adaware\aawservice.exe
C:\WINDOWS\system32\scardsvr.exe
C:\tools\AntiVir PersonalEdition Classic\sched.exe
C:\tools\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-08 11:53:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-08 09:53:04
Vor Suchlauf: 843.509.760 Bytes frei
Nach Suchlauf: 757,207,040 Bytes frei
199
Bei der mofizierten Hijack-Datei gab's ein Problem: File-Upload.net - Fehler-neuer-Hijack.jpg Hier jetzt das passende Log Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:05:28, on 08.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Tools\adaware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\tools\AntiVir PersonalEdition Classic\sched.exe C:\tools\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\FreePDF_XP\fpassist.exe C:\tools\AntiVir PersonalEdition Classic\avgnt.exe D:\tools\DAEMON Tools\daemon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ScanWizard 5\ScannerFinder.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\SpeedFan\speedfan.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\xxx\Desktop\qlketzd.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\DFUE\FlashFXP\IEFlash.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [avgnt] "C:\tools\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DAEMON Tools] "d:\tools\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Tools\adaware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Tools\PerfectDisk\PDSched.exe O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\Drive Image 7.0\Agent\PQV2iSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6910 bytes Nach dem Lauf fragte mich Firefox, ob er nicht wieder als Standardbrowser eingerichtet werden soll ... habe das bejaht. Was noch unrund ist: Irgendwas läuft mit Windows Security unrund. Die ausgeschaltete FW meldet sich plötzlich zu Wort, gleiches gilt fürs Update. Letzteres habe ich manuell wieder ausgeschaltet (Dienste ...). Alle paar Minuten geht die CPU-Auslastung extrem hoch und nach wenigen Sekunden wieder runter. Angeblich wegen explorer.exe. Ich hoffe, du hast eine Idee, wie ich diese d98...exe und Verwandte dll's verschwinden lassen kann. Wenn ich dann noch wüsste, was das ist und wo das herkommt, ist mein glaube an meine HW fast wieder hergestellt ;-). LG Steffi |
| Themen zu Ie Fenster zur Überprüfung Standardbrowser geht ständig auf |
| ad-aware, adobe, antivir, avira, bho, computer, ctfmon.exe, dll, dsl, excel, explorer, firefox, google, highjackthis, hijackthis, hkus\s-1-5-18, ie fenster, internet, internet explorer, jusched.exe, monitor, nvidia, programme, rundll, rückgängig, sekunden, software, system neu, trojaner, urlsearchhook, windows, windows xp |
Baum-Darstellung