|
Log-Analyse und Auswertung: Gefaktes Windows SecurityCenter Pop-Up - Die 2teWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.10.2008, 19:23 | #1 |
| Gefaktes Windows SecurityCenter Pop-Up - Die 2te Hi, auf ein neues. Mir geht es genauso wie diesen Herrn Hier. http://www.trojaner-board.de/61398-gefaktes-windows-securitycenter-popup.html Dort is alles beschrieben das sich dort der Windows Secure Alert meldet und sag mir ich solle was downloaden(natürlich nicht gemacht. Trojanisches Pferd taucht auch manchmal auf TR/Obfuscated.GX.2321 + TR/Obfuscated.GX.2341! So da mir letztens so viele Logs fehlten ... Reiche ich diese nun nach xD Combofix Log: Code:
ATTFilter ComboFix 08-10-07.06 - xXxX 2008-10-08 18:33:10.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1549 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\xXxX\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\Dokumente und Einstellungen\xXxX\Lokale Einstellungen\Temporary Internet Files\ijjistarter_verinfo.dat C:\Dokumente und Einstellungen\xXxX\Lokale Einstellungen\Temporary Internet Files\ijjistarter2.exe C:\Programme\akl C:\Programme\akl\akl.dll C:\Programme\akl\akl.exe C:\Programme\akl\uninstall.exe C:\Programme\akl\unsetup.exe C:\Programme\Inet Delivery C:\Programme\Inet Delivery\inetdl.exe C:\Programme\Inet Delivery\intdel.exe C:\WINDOWS\a.bat C:\WINDOWS\base64.tmp C:\WINDOWS\bdn.com C:\WINDOWS\FVProtect.exe C:\WINDOWS\iTunesMusic.exe C:\WINDOWS\mslagent C:\WINDOWS\mslagent\2_mslagent.dll C:\WINDOWS\mslagent\mslagent.exe C:\WINDOWS\mslagent\uninstall.exe C:\WINDOWS\mssecu.exe C:\WINDOWS\system32\akttzn.exe C:\WINDOWS\system32\anticipator.dll C:\WINDOWS\system32\awtoolb.dll C:\WINDOWS\system32\bdn.com C:\WINDOWS\system32\bsva-egihsg52.exe C:\WINDOWS\system32\dpcproxy.exe C:\WINDOWS\system32\emesx.dll C:\WINDOWS\system32\h@tkeysh@@k.dll C:\WINDOWS\system32\hoproxy.dll C:\WINDOWS\system32\hxiwlgpm.dat C:\WINDOWS\system32\hxiwlgpm.exe C:\WINDOWS\system32\medup012.dll C:\WINDOWS\system32\medup020.dll C:\WINDOWS\system32\msgp.exe C:\WINDOWS\system32\msnbho.dll C:\WINDOWS\system32\mssecu.exe C:\WINDOWS\system32\msvchost.exe C:\WINDOWS\system32\mtr2.exe C:\WINDOWS\system32\mwin32.exe C:\WINDOWS\system32\netode.exe C:\WINDOWS\system32\newsd32.exe C:\WINDOWS\system32\ps1.exe C:\WINDOWS\system32\psof1.exe C:\WINDOWS\system32\psoft1.exe C:\WINDOWS\system32\regc64.dll C:\WINDOWS\system32\regm64.dll C:\WINDOWS\system32\Rundl1.exe C:\WINDOWS\system32\smp C:\WINDOWS\system32\smp\msrc.exe C:\WINDOWS\system32\sncntr.exe C:\WINDOWS\system32\ssurf022.dll C:\WINDOWS\system32\ssvchost.com C:\WINDOWS\system32\ssvchost.exe C:\WINDOWS\system32\sysreq.exe C:\WINDOWS\system32\taack.dat C:\WINDOWS\system32\taack.exe C:\WINDOWS\system32\temp#01.exe C:\WINDOWS\system32\thun.dll C:\WINDOWS\system32\thun32.dll C:\WINDOWS\system32\VBIEWER.OCX C:\WINDOWS\system32\vbsys2.dll C:\WINDOWS\system32\vcatchpi.dll C:\WINDOWS\system32\winlogonpc.exe C:\WINDOWS\system32\winsystem.exe C:\WINDOWS\system32\WINWGPX.EXE C:\WINDOWS\userconfig9x.dll C:\WINDOWS\winsystem.exe C:\WINDOWS\zip1.tmp C:\WINDOWS\zip2.tmp C:\WINDOWS\zip3.tmp C:\WINDOWS\zipped.tmp . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MSDIRECTX -------\Legacy_NPF -------\Service_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-09-08 bis 2008-10-08 )))))))))))))))))))))))))))))) . 2008-10-07 22:04 . 2008-10-07 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\Malwarebytes 2008-10-07 22:04 . 2008-10-07 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-07 22:04 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-07 22:04 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-06 20:22 . 2008-10-07 17:27 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2008-10-06 17:02 . 2008-10-08 17:10 <DIR> d-------- C:\Programme\umtjtgf 2008-10-05 18:07 . 2008-10-06 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yzaxkdip 2008-09-22 17:50 . 2008-09-22 17:50 <DIR> d-------- C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\GarageGames . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-07 16:24 138,280 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-10-07 16:24 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-10-06 17:40 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\foobar2000 2008-10-06 16:23 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\LimeWire 2008-09-28 09:22 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\ICQ 2008-09-01 11:45 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\teamspeak2 2008-08-31 06:09 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\TubeTilla 2008-08-29 19:16 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\Xfire 2008-08-29 15:05 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire 2008-08-28 16:09 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-08-21 10:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-08-18 17:38 --------- d-----w C:\Programme\Windows Live Safety Center 2008-08-18 17:37 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\VMware 2008-08-18 17:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware 2008-08-17 22:07 --------- d-----w C:\Programme\Gemeinsame Dateien\VMware 2008-08-17 15:24 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\Azureus 2008-08-16 17:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield 2008-08-16 17:29 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-16 17:29 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-08-16 10:49 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\MegauploadToolbar 2008-08-14 17:30 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\Hamachi 2008-08-12 22:07 42,320 ----a-w C:\WINDOWS\system32\xfcodec.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 15360] "RMClock"="C:\Programme\RMClock\RMClockLauncher.exe" [2007-09-22 61440] "LeechGet"="E:\Internet\LeechGet 2007\LeechGet.exe" [2007-05-31 742912] "msnmsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "ICQ"="E:\Internet\icq\ICQ6\ICQ.exe" [2008-09-01 173304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 15360] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "Adobe Reader Speed Launcher"="F:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-22 185896] "VC9Player"="G:\Virtual CD\System\VC9Play.exe" [2007-12-03 202048] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952] "IMEKRMIG6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2001-08-23 44032] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 15360] C:\Dokumente und Einstellungen\xXxX\Startmen\Programme\Autostart\ Stardock ObjectDock.lnk - F:\TuneUp\Darkstar\Objekt dock\ObjectDock\ObjectDock.exe [2008-07-20 3450608] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoAutoTrayNotify"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoAutoTrayNotify"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoAutoTrayNotify"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB] 2001-12-20 23:34 24576 F:\TuneUp\Darkstar\AlienGUIse\fastload.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=wbsys.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.YV12"= yv12vfw.dll "VIDC.XFR1"= xfcodec.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Service Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Service Manager.lnk backup=C:\WINDOWS\pss\Service Manager.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xXxX^Startmenü^Programme^Autostart^Last.fm Helper.lnk] path=C:\Dokumente und Einstellungen\xXxX\Startmenü\Programme\Autostart\Last.fm Helper.lnk backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 15:57 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl] --a------ 2007-12-06 14:39 370176 G:\Perfect World ENG\SandBoXie\SbieCtrl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] --a------ 2005-05-03 19:43 69632 C:\WINDOWS\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] --a------ 2007-11-20 19:15 1826816 C:\WINDOWS\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "NMIndexingService"=3 (0x3) "NBService"=3 (0x3) "WMPNetworkSvc"=3 (0x3) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "mntui"=C:\WINDOWS\system32\hejapoti.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "RTHDCPL"=RTHDCPL.EXE [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "E:\\Video\\InterVideo\\DVD6\\WinDVD.exe"= "E:\\Internet\\Limewire\\LimeWire.exe"= "C:\\Programme\\Avant Browser\\avant.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "G:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\counter-strike\\hl.exe"= "C:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"= "E:\\StubInstaller.exe"= "G:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\dedicated server\\hlds.exe"= "G:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\day of defeat\\hl.exe"= "G:\\Steam\\Steam.exe"= "G:\\GunZ\\Gunz.exe"= "G:\\ET\\Wolfenstein - Enemy Territory\\ET.exe"= "G:\\ET\\Wolfenstein - Enemy Territory\\ETDED.exe"= "G:\\ET\\Map\\GtkRadiant-1.3.8-ET.exe"= "H:\\Alte Festplatte\\D\\VLC\\vlc.exe"= "G:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\team fortress classic\\hl.exe"= "G:\\Kalle\\Eigener Privat Server\\SolidusRepack_Server2.0\\Server\\Login.exe"= "G:\\Kalle\\Eigener Privat Server\\SolidusRepack_Server2.0\\Server\\databaseserver.exe"= "G:\\Kalle\\Eigener Privat Server\\SolidusRepack_Server2.0\\Server\\Mainserver.exe"= "G:\\Kalle\\Eigener Privat Server\\server_tools_2.1\\Server Tools 2.1\\PacketSniffer\\KalProxySniffer\\KalProxySniffer.exe"= "G:\\Kalle\\Eigener Privat Server\\server_tools_2.1\\Server Tools 2.1\\Update Servers\\KUUpdater\\KUUpdater.exe"= "G:\\Kalle\\Eigener Privat Server\\ADMIN_TOOL\\ADMIN TOOL\\Admin Tool v1.03a.exe"= "G:\\Kalle\\Eigener Privat Server\\valdi\\Files-Vladi\\Database Server.exe"= "G:\\Kalle\\Eigener Privat Server\\valdi\\Files-Vladi\\Login Server.exe"= "G:\\Kalle\\Eigener Privat Server\\valdi\\Files-Vladi\\MainSvrT.exe"= "G:\\Kalle\\Eigener Privat Server\\valdi\\Files-Vladi\\Admin Tool v1.03a.exe"= "H:\\Video's u. DVD's\\VeohTV Player\\Veoh\\VeohClient.exe"= "G:\\Soldat\\soldat131\\Soldat\\Soldat.exe"= "C:\\ijji\\ENGLISH\\u_gunz.exe"= "E:\\Video\\VideoLAN\\vlc\\vlc.exe"= "G:\\12-Sky\\AeriaGames\\12Sky\\TwelveSky.exe"= "G:\\warcraft III\\Warcraft III\\Warcraft III.exe"= "H:\\Alte Festplatte\\D\\Azureus\\Azureus.exe"= "C:\\Programme\\Java\\jre1.6.0_03\\launch4j-tmp\\JD-WinLauncher.exe"= "C:\\WINDOWS\\system32\\java.exe"= "G:\\WoW\\WoW_deDE_Installer_downloader_2_.exe"= "G:\\GArena\\Garena.exe"= "G:\\WoW\\WoW_BurningCrusade_deDE_Installer_downloader.exe"= "G:\\Warcraft Iso's u. Game\\Warcraft 3 - Reign of Chaos\\Warcraft III\\Warcraft III.exe"= "E:\\Internet\\icq\\ICQ6\\ICQ.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "G:\\TSGames\\BMaddnes\\BMadness.exe"= "H:\\Alte Festplatte\\D\\IRC\\mIRC\\mirc.exe"= "G:\\Xreal\\XreaL_PreAlpha_20080704_XreaL_PreAlpha_20080704\\XreaL_PreAlpha_20080704\\xreal.exe"= "G:\Air Rivals\AirRivalsDe\Launcher.atm"= G:\Air Rivals\AirRivalsDe\Launcher.atm:Enabled:GameExe2 "G:\Air Rivals\AirRivalsDe\Res-Voip\SCVoIP.exe"= G:\Air Rivals\AirRivalsDe\Res-Voip\SCVoIP.exe:Enabled:GameVoIP "C:\\WINDOWS\\system32\\dpvsetup.exe"= "H:\\Zattoo\\zattood.exe"= "H:\\Zattoo\\Zattoo2.exe"= "G:\\Level R\\LevelR\\LevelR.bin"= "H:\\XFire\\xfire.exe"= "G:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\half-life\\hl.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "49154:TCP"= 49154:TCP:azureus "49154:UDP"= 49154:UDP:azureus1 "6112:TCP"= 6112:TCP:WC3 Room "6112:UDP"= 6112:UDP:WC3 Room1 "27015:TCP"= 27015:TCP:cs dedicated R1 atitray;atitray;E:\Video\ATI Tray Tools\atitray.sys [2007-11-05 17952] R1 vdrv9000;vdrv9000;C:\WINDOWS\system32\DRIVERS\vdrv9000.sys [2007-11-14 113168] R2 VC9SecS;Virtual CD v9 Management Service;G:\Virtual CD\System\vc9secs.exe [2008-02-26 132416] R3 SbieDrv;SbieDrv;G:\Perfect World ENG\SandBoXie\SbieDrv.sys [2007-12-06 92160] S3 AutoLogon;Auto Logon Service;G:\Marco\autologonsvc.exe [2006-03-24 197840] S3 HH9Help.sys;HH9Help.sys;C:\WINDOWS\system32\drivers\HH9Help.sys [2006-09-20 11392] S3 mschedsvc;Macro Scheduler Service;G:\Marco\msschedsvc.exe [2005-12-28 183504] S3 XDva076;XDva076;C:\WINDOWS\system32\XDva076.sys [ ] S3 XDva090;XDva090;C:\WINDOWS\system32\XDva090.sys [ ] S3 XDva093;XDva093;C:\WINDOWS\system32\XDva093.sys [ ] S3 XDva104;XDva104;C:\WINDOWS\system32\XDva104.sys [ ] S3 XDva143;XDva143;C:\WINDOWS\system32\XDva143.sys [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bdx REG_MULTI_SZ scan . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Explorer_Run-w5GhPQBeyr - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yzaxkdip\wvijovsj.exe SSODL-SetSmart-{203CBB11-B270-5708-F2FA-05C7388D3774} - C:\Programme\umtjtgf\SetSmart.dll . ------- Zusätzlicher Suchlauf ------- . R0 -: HKCU-Main,Start Page = hxxp://www.forum-3dcenter.org/vbulletin/ R1 -: HKCU-Internet Settings,ProxyOverride = *.local O8 -: Mit dem LeechGet Wizard laden - file://E:\Internet\LeechGet 2007\\Wizard.html O8 -: Mit LeechGet herunterladen - file://E:\Internet\LeechGet 2007\\AddUrl.html O8 -: Mit LeechGet parsen - file://E:\Internet\LeechGet 2007\\Parser.html O16 -: {99CAAA27-FA0C-4FA4-B88A-4AB1CC7A17FE} - hxxp://ares.netgame.com/download/mglaunch_USAv1002.cab C:\WINDOWS\Downloaded Program Files\mglaunch_USAv1002.inf C:\WINDOWS\Downloaded Program Files\mglaunch_USAv1002.exe C:\WINDOWS\Downloaded Program Files\mglaunch_USAv1002.dll O16 -: {DB7BF79A-FC51-4B5A-92BC-A65731174380} - hxxp://www.instantaction.com/download/iaplayer.cab C:\WINDOWS\Downloaded Program Files\cab.inf C:\WINDOWS\Downloaded Program Files\iaplayer.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2008-10-08 18:34:27 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\vdrv9000] "ImagePath"="system32\DRIVERS\vdrv9000.sys" . Zeit der Fertigstellung: 2008-10-08 18:35:30 ComboFix-quarantined-files.txt 2008-10-08 16:35:27 Vor Suchlauf: 17 Verzeichnis(se), 12,723,658,752 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 12,886,437,888 Bytes frei 307 |
08.10.2008, 19:26 | #2 |
| Gefaktes Windows SecurityCenter Pop-Up - Die 2te Hier die Fortsetztung ->
__________________RSIT Logs: Die Info Datei(Ordnungsgemäß geändert) Die Log Datei (Ordnungsgemäß geändert) Die HijackThis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:57:28, on 08.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe H:\Schutz gegen Viren,Trojanern etc\a-squared Free\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\PnkBstrA.exe G:\Perfect World ENG\SandBoXie\SbieSvc.exe G:\Virtual CD\System\vc9secs.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe G:\Virtual CD\System\VC9Play.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\MSN Messenger\usnsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\svchost.exe F:\TuneUp\Darkstar\AlienGUIse\wbload.exe C:\Programme\Avant Browser\avant.exe H:\Schutz gegen Viren,Trojanern etc\Malwarebytes' Anti-Malware\Malwarebytes' Anti-Malware\mbam.exe H:\Schutz gegen Viren,Trojanern etc\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.forum-3dcenter.org/vbulletin/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - H:\Video's u. DVD's\VeohTV Player\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file) O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [VC9Player] G:\Virtual CD\System\VC9Play.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RMClock] C:\Programme\RMClock\RMClockLauncher.exe O4 - HKCU\..\Run: [LeechGet] "E:\Internet\LeechGet 2007\LeechGet.exe" -intray O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ICQ] "E:\Internet\icq\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Stardock ObjectDock.lnk = F:\TuneUp\Darkstar\Objekt dock\ObjectDock\ObjectDock.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://E:\Internet\LeechGet 2007\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://E:\Internet\LeechGet 2007\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://E:\Internet\LeechGet 2007\\Parser.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\NEU PROGRAMM ICQ\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\NEU PROGRAMM ICQ\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Internet\icq\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Internet\icq\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: h**p://board.monstersgame.de O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - h**p://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {99CAAA27-FA0C-4FA4-B88A-4AB1CC7A17FE} (MGLaunch_USAv1001 Class) - h**p://ares.netgame.com/download/mglaunch_USAv1002.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DB7BF79A-FC51-4B5A-92BC-A65731174380} (InstantAction Game Launcher) - h**p://www.instantaction.com/download/iaplayer.cab O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\Schutz gegen Viren,Trojanern etc\a-squared Free\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Auto Logon Service (AutoLogon) - Unknown owner - G:\Marco\autologonsvc.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Macro Scheduler Service (mschedsvc) - Unknown owner - G:\Marco\msschedsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - G:\Perfect World ENG\SandBoXie\SbieSvc.exe O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - G:\Virtual CD\System\vc9secs.exe -- End of file - 8572 bytes |
08.10.2008, 19:28 | #3 |
| Gefaktes Windows SecurityCenter Pop-Up - Die 2te Hier der A-Squared HiJackFree 3.1 Log:
__________________Code:
ATTFilter HiJackFree Logfile v3.0 Scan gespeichert um 19:18:47, am 08.10.2008 Betriebssystem: Windows XP Service Pack 2 (Windows NT 5.1.2600) MSIE: Internet Explorer v 7.0 Service Pack 2 (7.0.5730.13) Aktive Prozesse: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe H:\Schutz gegen Viren,Trojanern etc\a-squared Free\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\PnkBstrA.exe G:\Perfect World ENG\SandBoXie\SbieSvc.exe G:\Virtual CD\System\vc9secs.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe G:\Virtual CD\System\VC9Play.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\MSN Messenger\usnsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\svchost.exe F:\TuneUp\Darkstar\AlienGUIse\wbload.exe C:\Programme\Avant Browser\avant.exe H:\Schutz gegen Viren,Trojanern etc\Malwarebytes' Anti-Malware\Malwarebytes' Anti-Malware\mbam.exe H:\Alte Festplatte\D\teamspeack\Teamspeak 2 mit Pro\Teamspeak 2 Pro Trubi.exe H:\Schutz gegen Viren,Trojanern etc\a-squared HiJackFree\a-squared HiJackFree\a2hijackfree.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.forum-3dcenter.org/vbulletin/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Links O2 - BHO: - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} - O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - H:\Video's u. DVD's\VeohTV Player\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll O3 - Toolbar: IEToolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [VC9Player] G:\Virtual CD\System\VC9Play.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKLM\..\Run: [RMClock] C:\Programme\RMClock\RMClockLauncher.exe O4 - HKLM\..\Run: [LeechGet] "E:\Internet\LeechGet 2007\LeechGet.exe" -intray O4 - HKLM\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKLM\..\Run: [ICQ] "E:\Internet\icq\ICQ6\ICQ.exe" silent O4 - HKLM\..\Run: [mntui] C:\WINDOWS\system32\hejapoti.exe O7 - Regedit - Aktiv O8 - Extra Kontextmenü Eintrag: Mit dem LeechGet Wizard laden - file://E:\Internet\LeechGet 2007\\Wizard.html O8 - Extra Kontextmenü Eintrag: Mit LeechGet herunterladen - file://E:\Internet\LeechGet 2007\\AddUrl.html O8 - Extra Kontextmenü Eintrag: Mit LeechGet parsen - file://E:\Internet\LeechGet 2007\\Parser.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\NEU PROGRAMM ICQ\ICQLite.exe O9 - Extra "Tools" menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\NEU PROGRAMM ICQ\ICQLite.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Internet\icq\ICQ6\ICQ.exe O9 - Extra "Tools" menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Internet\icq\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra "Tools" menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL="h**p://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" O14 - IERESET.INF: SEARCH_PAGE_URL="h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" O14 - IERESET.INF: MS_START_PAGE_URL="h**p://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" O15 - Vertrauenswürdige Zone: h**p://board.monstersgame.de O16 - DPF: {99CAAA27-FA0C-4FA4-B88A-4AB1CC7A17FE} (MGLaunch_USAv1001 Class) - h**p://ares.netgame.com/download/mglaunch_USAv1002.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DB7BF79A-FC51-4B5A-92BC-A65731174380} (InstantAction Game Launcher) - h**p://www.instantaction.com/download/iaplayer.cab O20 - AppInit_DLLs: wbsys.dll O20 - Winlogon Notify: AtiExtEvent - C:\WINDOWS\System32\Ati2evxx.dll O20 - Winlogon Notify: WB - F:\TuneUp\Darkstar\AlienGUIse\fastload.dll O21 - ShellServiceObjectDelayLoad: PostBootReminder - O21 - ShellServiceObjectDelayLoad: CDBurn - O21 - ShellServiceObjectDelayLoad: WebCheck - O21 - ShellServiceObjectDelayLoad: SysTray - O21 - ShellServiceObjectDelayLoad: WPDShServiceObj - O22 - SharedTaskScheduler: Browseui preloader - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - C:\WINDOWS\system32\browseui.dll O23 - Dienst: a-squared Free Service - H:\Schutz gegen Viren,Trojanern etc\a-squared Free\a-squared Free\a2service.exe O23 - Dienst: Warndienst - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Gatewaydienst auf Anwendungsebene - C:\WINDOWS\System32\alg.exe O23 - Dienst: AntiVir PersonalEdition Classic Planer - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Dienst: AntiVir PersonalEdition Classic Guard - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Dienst: Anwendungsverwaltung - C:\WINDOWS\system32\svchost.exe O23 - Dienst: ASP.NET State Service - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe O23 - Dienst: ATI Smart - C:\WINDOWS\system32\ati2sgag.exe O23 - Dienst: Windows Audio - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Auto Logon Service - G:\Marco\autologonsvc.exe O23 - Dienst: Intelligenter Hintergrundübertragungsdienst - C:\WINDOWS\system32\svchost.exe O23 - Dienst: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## - C:\Programme\Bonjour\mDNSResponder.exe O23 - Dienst: Computerbrowser - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Indexing Service - C:\WINDOWS\system32\cisvc.exe O23 - Dienst: Ablagemappe - C:\WINDOWS\system32\clipsrv.exe O23 - Dienst: .NET Runtime Optimization Service v2.0.50727_X86 - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe O23 - Dienst: COM+-Systemanwendung - C:\WINDOWS\system32\dllhost.exe O23 - Dienst: Kryptografiedienste - C:\WINDOWS\system32\svchost.exe O23 - Dienst: DCOM-Server-Prozessstart - C:\WINDOWS\system32\svchost O23 - Dienst: DHCP-Client - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Verwaltungsdienst für die Verwaltung logischer Datenträger - C:\WINDOWS\System32\dmadmin.exe O23 - Dienst: Verwaltung logischer Datenträger - C:\WINDOWS\System32\svchost.exe O23 - Dienst: DNS-Client - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Error Reporting Service - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Ereignisprotokoll - C:\WINDOWS\system32\services.exe O23 - Dienst: COM+-Ereignissystem - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Kompatibilität für schnelle Benutzerumschaltung - C:\WINDOWS\System32\svchost.exe O23 - Dienst: FLEXnet Licensing Service - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Dienst: Hilfe und Support - C:\WINDOWS\System32\svchost.exe O23 - Dienst: HID Input Service - C:\WINDOWS\System32\svchost.exe O23 - Dienst: HTTP-SSL - C:\WINDOWS\System32\svchost.exe O23 - Dienst: IMAPI-CD-Brenn-COM-Dienste - C:\WINDOWS\system32\imapi.exe O23 - Dienst: Server - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Arbeitsstationsdienst - C:\WINDOWS\system32\svchost.exe O23 - Dienst: TCP/IP-NetBIOS-Hilfsprogramm - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Nachrichtendienst - C:\WINDOWS\system32\svchost.exe O23 - Dienst: NetMeeting-Remotedesktop-Freigabe - C:\WINDOWS\system32\mnmsrvc.exe O23 - Dienst: Macro Scheduler Service - G:\Marco\msschedsvc.exe O23 - Dienst: Distributed Transaction Coordinator - C:\WINDOWS\system32\msdtc.exe O23 - Dienst: Windows Installer - C:\WINDOWS\system32\msiexec.exe O23 - Dienst: MSSQLSERVER - g:\kalle\EIGENE~1\SQLSER~1\MSSQL\binn\sqlservr.exe O23 - Dienst: MSSQLServerADHelper - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe O23 - Dienst: NBService - E:\Brennen\Nero 7\Nero BackItUp\NBService.exe O23 - Dienst: Netzwerk-DDE-Dienst - C:\WINDOWS\system32\netdde.exe O23 - Dienst: Netzwerk-DDE-Serverdienst - C:\WINDOWS\system32\netdde.exe O23 - Dienst: Anmeldedienst - C:\WINDOWS\system32\lsass.exe O23 - Dienst: Netzwerkverbindungen - C:\WINDOWS\System32\svchost.exe O23 - Dienst: NLA (Network Location Awareness) - C:\WINDOWS\system32\svchost.exe O23 - Dienst: NMIndexingService - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Dienst: NT-LM-Sicherheitsdienst - C:\WINDOWS\system32\lsass.exe O23 - Dienst: Wechselmedien - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Plug & Play - C:\WINDOWS\system32\services.exe O23 - Dienst: PnkBstrA - C:\WINDOWS\system32\PnkBstrA.exe O23 - Dienst: IPSEC-Dienste - C:\WINDOWS\system32\lsass.exe O23 - Dienst: Geschützter Speicher - C:\WINDOWS\system32\lsass.exe O23 - Dienst: Verwaltung für automatische RAS-Verbindung - C:\WINDOWS\system32\svchost.exe O23 - Dienst: RAS-Verbindungsverwaltung - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Sitzungs-Manager für Remotedesktophilfe - C:\WINDOWS\system32\sessmgr.exe O23 - Dienst: Routing und RAS - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Remote-Registrierung - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Remote Packet Capture Protocol v.0 (experimental) - C:\Programme\WinPcap\rpcapd.exe O23 - Dienst: RPC-Locator - C:\WINDOWS\system32\locator.exe O23 - Dienst: Remoteprozeduraufruf (RPC) - C:\WINDOWS\system32\svchost O23 - Dienst: QoS-RSVP - C:\WINDOWS\system32\rsvp.exe O23 - Dienst: Sicherheitskontenverwaltung - C:\WINDOWS\system32\lsass.exe O23 - Dienst: Sandboxie Service - G:\Perfect World ENG\SandBoXie\SbieSvc.exe O23 - Dienst: Smartcard - C:\WINDOWS\System32\SCardSvr.exe O23 - Dienst: Taskplaner - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Sekundäre Anmeldung - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Systemereignisbenachrichtigung - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Shellhardwareerkennung - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Druckwarteschlange - C:\WINDOWS\system32\spoolsv.exe O23 - Dienst: SQLSERVERAGENT - g:\kalle\EIGENE~1\SQLSER~1\MSSQL\binn\sqlagent.exe O23 - Dienst: Systemwiederherstellungsdienst - C:\WINDOWS\system32\svchost.exe O23 - Dienst: SSDP-Suchdienst - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Windows-Bilderfassung (WIA) - C:\WINDOWS\system32\svchost.exe O23 - Dienst: MS Software Shadow Copy Provider - C:\WINDOWS\system32\dllhost.exe O23 - Dienst: Leistungsdatenprotokolle und Warnungen - C:\WINDOWS\system32\smlogsvc.exe O23 - Dienst: Telefonie - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Terminaldienste - C:\WINDOWS\System32\svchost O23 - Dienst: Designs - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Telnet - C:\WINDOWS\system32\tlntsvr.exe O23 - Dienst: Überwachung verteilter Verknüpfungen (Client) - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Universeller Plug & Play-Gerätehost - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Uninterruptible Power Supply - C:\WINDOWS\System32\ups.exe O23 - Dienst: Messenger USN Journal Reader-Service für freigegebene Ordner - C:\Programme\MSN Messenger\usnsvc.exe O23 - Dienst: User Privilege Service - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Virtual CD v9 Management Service - G:\Virtual CD\System\vc9secs.exe O23 - Dienst: Volumeschattenkopie - C:\WINDOWS\System32\vssvc.exe O23 - Dienst: Windows-Zeitgeber - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Webclient - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Windows-Verwaltungsinstrumentation - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Dienst für Seriennummern der tragbaren Medien - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Treibererweiterungen für Windows-Verwaltungsinstrumentation - C:\WINDOWS\System32\svchost.exe O23 - Dienst: WMI-Leistungsadapter - C:\WINDOWS\system32\wbem\wmiapsrv.exe O23 - Dienst: Windows Media Player-Netzwerkfreigabedienst - C:\Programme\Windows Media Player\WMPNetwk.exe O23 - Dienst: Sicherheitscenter - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Automatische Updates - C:\WINDOWS\system32\svchost.exe O23 - Dienst: Konfigurationsfreie drahtlose Verbindung - C:\WINDOWS\System32\svchost.exe O23 - Dienst: Netzwerkversorgungsdienst - C:\WINDOWS\System32\svchost.exe Code:
ATTFilter Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1240 Windows 5.1.2600 Service Pack 2 08.10.2008 20:20:13 mbam-log-2008-10-08 (20-20-13).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|) Durchsuchte Objekte: 474805 Laufzeit: 1 hour(s), 3 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 18 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\FoxIE (Rogue.Foxie) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: E:\Internet\Foxie Suite\Cleaner.exe (Rogue.Foxie) -> Quarantined and deleted successfully. E:\Internet\Foxie Suite\Firewall.exe (Rogue.Foxie) -> Quarantined and deleted successfully. E:\Internet\Foxie Suite\firewall.sys (Rogue.Foxie) -> Quarantined and deleted successfully. E:\Internet\Foxie Suite\Sweeper.exe (Rogue.Foxie) -> Quarantined and deleted successfully. E:\Internet\Foxie Suite\uninst.exe (Rogue.Foxie) -> Quarantined and deleted successfully. E:\Internet\Foxie Suite\Uninstaller.exe (Rogue.Foxie) -> Quarantined and deleted successfully. E:\Internet\Foxie Suite\update.exe (Rogue.Foxie) -> Quarantined and deleted successfully. E:\Internet\ICQ Tools\ICQ Password Recovery.exe (Trojan.MultiJoiner) -> Quarantined and deleted successfully. H:\Alte Festplatte\C\Programme\Foxie Suite\Cleaner.exe (Rogue.Foxie) -> Quarantined and deleted successfully. H:\Alte Festplatte\C\Programme\Foxie Suite\Firewall.exe (Rogue.Foxie) -> Quarantined and deleted successfully. H:\Alte Festplatte\C\Programme\Foxie Suite\firewall.sys (Rogue.Foxie) -> Quarantined and deleted successfully. H:\Alte Festplatte\C\Programme\Foxie Suite\foxiecoreu.dll (Rogue.Foxie) -> Quarantined and deleted successfully. H:\Alte Festplatte\C\Programme\Foxie Suite\foxietoolbaru.dll (Rogue.Foxie) -> Quarantined and deleted successfully. H:\Alte Festplatte\C\Programme\Foxie Suite\StartFoxie.exe (Rogue.Foxie) -> Quarantined and deleted successfully. H:\Alte Festplatte\C\Programme\Foxie Suite\Sweeper.exe (Rogue.Foxie) -> Quarantined and deleted successfully. H:\Alte Festplatte\C\Programme\Foxie Suite\uninst.exe (Rogue.Foxie) -> Quarantined and deleted successfully. H:\Alte Festplatte\C\Programme\Foxie Suite\Uninstaller.exe (Rogue.Foxie) -> Quarantined and deleted successfully. H:\Alte Festplatte\C\Programme\Foxie Suite\update.exe (Rogue.Foxie) -> Quarantined and deleted successfully. Hab so viele logs gemacht, wie es geht. Mit freundlichen Grüßen, Trubi SRY FÜR DIE 3 POSTS. BLOSS SO KONNTE ICH DIE LOGS EINFÜGEN |
10.10.2008, 01:26 | #4 |
/// TB-Ausbilder | Gefaktes Windows SecurityCenter Pop-Up - Die 2te Hi, das nächste Mal in den eigenen Thread antworten, dann find ich dich auch wieder. Wenn du dein Thema abonnierst, dann findest du es ganz leicht übers Kontrollzentrum wieder UND kriegst ne Emailbenachrichtigung wenn ich dir antworte. *werbungmach* und so gehts Arbeit bitte weiter mit folgendem: Scripten mit Combofix
Code:
ATTFilter folder:: C:\Programme\umtjtgf C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yzaxkdip
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
10.10.2008, 06:25 | #5 |
| Gefaktes Windows SecurityCenter Pop-Up - Die 2te So hab ich alles ausgeführt xD Hier die Log-Datei Code:
ATTFilter ComboFix 08-10-09.04 - xXxX 2008-10-10 7:16:20.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1581 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\xXxX\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\xXxX\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yzaxkdip C:\Programme\umtjtgf . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Service_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-09-10 bis 2008-10-10 )))))))))))))))))))))))))))))) . 2008-10-09 12:00 . 2008-10-09 12:00 <DIR> d-------- C:\WINDOWS\Instant Lock 2008-10-09 11:50 . 2008-10-09 11:55 <DIR> d-------- C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\Folder Guard 2008-10-08 18:45 . 2008-10-08 18:52 <DIR> d-------- C:\rsit 2008-10-08 18:45 . 2008-10-08 18:45 <DIR> d-------- C:\Programme\trend micro 2008-10-07 22:04 . 2008-10-07 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\Malwarebytes 2008-10-07 22:04 . 2008-10-07 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-07 22:04 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-07 22:04 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-06 20:22 . 2008-10-07 17:27 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2008-09-22 17:50 . 2008-09-22 17:50 <DIR> d-------- C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\GarageGames . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-09 12:20 138,280 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-10-09 12:20 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-10-09 12:13 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\foobar2000 2008-10-06 16:23 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\LimeWire 2008-09-28 09:22 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\ICQ 2008-09-01 11:45 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\teamspeak2 2008-08-31 06:09 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\TubeTilla 2008-08-29 19:16 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\Xfire 2008-08-29 15:05 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire 2008-08-28 16:09 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-08-21 10:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-08-18 17:38 --------- d-----w C:\Programme\Windows Live Safety Center 2008-08-18 17:37 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\VMware 2008-08-18 17:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware 2008-08-17 22:07 --------- d-----w C:\Programme\Gemeinsame Dateien\VMware 2008-08-17 15:24 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\Azureus 2008-08-16 17:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield 2008-08-16 17:29 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-16 17:29 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-08-16 10:49 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\MegauploadToolbar 2008-08-14 17:30 --------- d-----w C:\Dokumente und Einstellungen\xXxX\Anwendungsdaten\Hamachi 2008-08-12 22:07 42,320 ----a-w C:\WINDOWS\system32\xfcodec.dll . ((((((((((((((((((((((((((((( snapshot@2008-10-08_18.34.51.37 ))))))))))))))))))))))))))))))))))))))))) . + 2008-10-09 10:00:28 451,072 ----a-w C:\WINDOWS\Instant Lock\uninstall.exe + 2002-09-17 22:45:00 119,808 ----a-w C:\WINDOWS\lsb_un20.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 15360] "RMClock"="C:\Programme\RMClock\RMClockLauncher.exe" [2007-09-22 61440] "LeechGet"="E:\Internet\LeechGet 2007\LeechGet.exe" [2007-05-31 742912] "msnmsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "ICQ"="E:\Internet\icq\ICQ6\ICQ.exe" [2008-09-01 173304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 15360] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "Adobe Reader Speed Launcher"="F:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-22 185896] "VC9Player"="G:\Virtual CD\System\VC9Play.exe" [2007-12-03 202048] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952] "IMEKRMIG6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2001-08-23 44032] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 15360] C:\Dokumente und Einstellungen\xXxX\Startmen\Programme\Autostart\ Stardock ObjectDock.lnk - F:\TuneUp\Darkstar\Objekt dock\ObjectDock\ObjectDock.exe [2008-07-20 3450608] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoAutoTrayNotify"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoAutoTrayNotify"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoAutoTrayNotify"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB] 2001-12-20 23:34 24576 F:\TuneUp\Darkstar\AlienGUIse\fastload.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=wbsys.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.YV12"= yv12vfw.dll "VIDC.XFR1"= xfcodec.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Service Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Service Manager.lnk backup=C:\WINDOWS\pss\Service Manager.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xXxX^Startmenü^Programme^Autostart^Last.fm Helper.lnk] path=C:\Dokumente und Einstellungen\xXxX\Startmenü\Programme\Autostart\Last.fm Helper.lnk backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 15:57 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl] --a------ 2007-12-06 14:39 370176 G:\Perfect World ENG\SandBoXie\SbieCtrl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] --a------ 2005-05-03 19:43 69632 C:\WINDOWS\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] --a------ 2007-11-20 19:15 1826816 C:\WINDOWS\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "NMIndexingService"=3 (0x3) "NBService"=3 (0x3) "WMPNetworkSvc"=3 (0x3) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "mntui"=C:\WINDOWS\system32\hejapoti.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "RTHDCPL"=RTHDCPL.EXE [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "E:\\Video\\InterVideo\\DVD6\\WinDVD.exe"= "E:\\Internet\\Limewire\\LimeWire.exe"= "C:\\Programme\\Avant Browser\\avant.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "G:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\counter-strike\\hl.exe"= "C:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"= "E:\\StubInstaller.exe"= "G:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\dedicated server\\hlds.exe"= "G:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\day of defeat\\hl.exe"= "G:\\Steam\\Steam.exe"= "G:\\GunZ\\Gunz.exe"= "G:\\ET\\Wolfenstein - Enemy Territory\\ET.exe"= "G:\\ET\\Wolfenstein - Enemy Territory\\ETDED.exe"= "G:\\ET\\Map\\GtkRadiant-1.3.8-ET.exe"= "H:\\Alte Festplatte\\D\\VLC\\vlc.exe"= "G:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\team fortress classic\\hl.exe"= "G:\\Kalle\\Eigener Privat Server\\SolidusRepack_Server2.0\\Server\\Login.exe"= "G:\\Kalle\\Eigener Privat Server\\SolidusRepack_Server2.0\\Server\\databaseserver.exe"= "G:\\Kalle\\Eigener Privat Server\\SolidusRepack_Server2.0\\Server\\Mainserver.exe"= "G:\\Kalle\\Eigener Privat Server\\server_tools_2.1\\Server Tools 2.1\\PacketSniffer\\KalProxySniffer\\KalProxySniffer.exe"= "G:\\Kalle\\Eigener Privat Server\\server_tools_2.1\\Server Tools 2.1\\Update Servers\\KUUpdater\\KUUpdater.exe"= "G:\\Kalle\\Eigener Privat Server\\ADMIN_TOOL\\ADMIN TOOL\\Admin Tool v1.03a.exe"= "G:\\Kalle\\Eigener Privat Server\\valdi\\Files-Vladi\\Database Server.exe"= "G:\\Kalle\\Eigener Privat Server\\valdi\\Files-Vladi\\Login Server.exe"= "G:\\Kalle\\Eigener Privat Server\\valdi\\Files-Vladi\\MainSvrT.exe"= "G:\\Kalle\\Eigener Privat Server\\valdi\\Files-Vladi\\Admin Tool v1.03a.exe"= "H:\\Video's u. DVD's\\VeohTV Player\\Veoh\\VeohClient.exe"= "G:\\Soldat\\soldat131\\Soldat\\Soldat.exe"= "C:\\ijji\\ENGLISH\\u_gunz.exe"= "E:\\Video\\VideoLAN\\vlc\\vlc.exe"= "G:\\12-Sky\\AeriaGames\\12Sky\\TwelveSky.exe"= "G:\\warcraft III\\Warcraft III\\Warcraft III.exe"= "H:\\Alte Festplatte\\D\\Azureus\\Azureus.exe"= "C:\\Programme\\Java\\jre1.6.0_03\\launch4j-tmp\\JD-WinLauncher.exe"= "C:\\WINDOWS\\system32\\java.exe"= "G:\\WoW\\WoW_deDE_Installer_downloader_2_.exe"= "G:\\GArena\\Garena.exe"= "G:\\WoW\\WoW_BurningCrusade_deDE_Installer_downloader.exe"= "G:\\Warcraft Iso's u. Game\\Warcraft 3 - Reign of Chaos\\Warcraft III\\Warcraft III.exe"= "E:\\Internet\\icq\\ICQ6\\ICQ.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "G:\\TSGames\\BMaddnes\\BMadness.exe"= "H:\\Alte Festplatte\\D\\IRC\\mIRC\\mirc.exe"= "G:\\Xreal\\XreaL_PreAlpha_20080704_XreaL_PreAlpha_20080704\\XreaL_PreAlpha_20080704\\xreal.exe"= "G:\Air Rivals\AirRivalsDe\Launcher.atm"= G:\Air Rivals\AirRivalsDe\Launcher.atm:Enabled:GameExe2 "G:\Air Rivals\AirRivalsDe\Res-Voip\SCVoIP.exe"= G:\Air Rivals\AirRivalsDe\Res-Voip\SCVoIP.exe:Enabled:GameVoIP "C:\\WINDOWS\\system32\\dpvsetup.exe"= "H:\\Zattoo\\zattood.exe"= "H:\\Zattoo\\Zattoo2.exe"= "G:\\Level R\\LevelR\\LevelR.bin"= "H:\\XFire\\xfire.exe"= "G:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\half-life\\hl.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "49154:TCP"= 49154:TCP:azureus "49154:UDP"= 49154:UDP:azureus1 "6112:TCP"= 6112:TCP:WC3 Room "6112:UDP"= 6112:UDP:WC3 Room1 "27015:TCP"= 27015:TCP:cs dedicated R1 atitray;atitray;E:\Video\ATI Tray Tools\atitray.sys [2007-11-05 17952] R1 vdrv9000;vdrv9000;C:\WINDOWS\system32\DRIVERS\vdrv9000.sys [2007-11-14 113168] R2 FGUARD32;FGUARD32;H:\File Security\Folder Guard\FGUARD32.SYS [2008-01-05 54008] R2 VC9SecS;Virtual CD v9 Management Service;G:\Virtual CD\System\vc9secs.exe [2008-02-26 132416] R3 RTCore32;RTCore32;C:\Programme\RMClock\RTCore32.sys [2005-05-25 4608] R3 SbieDrv;SbieDrv;G:\Perfect World ENG\SandBoXie\SbieDrv.sys [2007-12-06 92160] S3 AutoLogon;Auto Logon Service;G:\Marco\autologonsvc.exe [2006-03-24 197840] S3 HH9Help.sys;HH9Help.sys;C:\WINDOWS\system32\drivers\HH9Help.sys [2006-09-20 11392] S3 mschedsvc;Macro Scheduler Service;G:\Marco\msschedsvc.exe [2005-12-28 183504] S3 XDva076;XDva076;C:\WINDOWS\system32\XDva076.sys [ ] S3 XDva090;XDva090;C:\WINDOWS\system32\XDva090.sys [ ] S3 XDva093;XDva093;C:\WINDOWS\system32\XDva093.sys [ ] S3 XDva104;XDva104;C:\WINDOWS\system32\XDva104.sys [ ] S3 XDva143;XDva143;C:\WINDOWS\system32\XDva143.sys [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bdx REG_MULTI_SZ scan *Newly Created Service* - RTCORE32 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-FG_Monitor - H:\File Security\Folder Guard\FGKey.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2008-10-10 07:19:26 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000] "ImagePath"="system32\DRIVERS\vdrv9000.sys" . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe H:\Schutz gegen Viren,Trojanern etc\a-squared Free\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\PnkBstrA.exe G:\Perfect World ENG\SandBoXie\SbieSvc.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\RMClock\RMClock.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe G:\Virtual CD\System\vc9tray.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-10 7:23:04 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-10 05:22:59 ComboFix2.txt 2008-10-08 16:35:31 Vor Suchlauf: 18 Verzeichnis(se), 12.736.761.856 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 12,795,822,080 Bytes frei 247 Sieht denn mein System soweit sauber aus? ^^ Gruss |
10.10.2008, 10:56 | #6 |
/// TB-Ausbilder | Gefaktes Windows SecurityCenter Pop-Up - Die 2te Sieht soweit gut aus. Hast du noch Probleme? Wenn nicht mache bitte folgendes: Deinstalliere bitte Combofix in dem du unter Start->Ausführen-> "%userprofile%\Desktop\Combofix.exe" /u eingibst. Besuche bitte mit dem Internet Explorer die Seite Microsoft Windows Update und installiere alle fehlenden Updates. Deinstallier bitte über Start->Systemsteuerung->Software alle installierten Javaversionen und lade dir danach, wenn nötig, die neueste Javaversion von Sun herunter. Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt) lg myrtille
__________________ --> Gefaktes Windows SecurityCenter Pop-Up - Die 2te |
10.10.2008, 18:01 | #7 |
| Gefaktes Windows SecurityCenter Pop-Up - Die 2te Gut danke werd ich alles erledigen. |
Themen zu Gefaktes Windows SecurityCenter Pop-Up - Die 2te |
adobe, alert, antivir, avg, avgnt, avgnt.exe, avira, bonjour, browser, ctfmon.exe, desktop, downloader, einstellungen, explorer, festplatte, gservice, installation, internet, pop-up, programme, server, software, suchlauf, system, tcp, teamspeak, trojanisches pferd, udp, web.de, windows, windows xp, windows\system32\drivers, wmp |