| |
| |||||||
Log-Analyse und Auswertung: Trojaner? Virus? bin am Ende..Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
13.10.2008, 19:21
| #1 |
 |  Trojaner? Virus? bin am Ende.. Die Telekom hat mir den Port zum E-Mail senden dicht gemacht, da ich angeblich SPAM versende. Bei mir läuft Kaspersky Internet Security, aber anscheind ist was durchgeflutscht...  Ich weiß im Moment echt nicht weiter. Aber den Rechner neu aufsetzen möchte ich unbedingt vermeiden... a-squared hat ntfsdrv32.dll in windows/system32 als mögliche Quelle ausgemacht: Ich stutze etwas darüber, dass ich diese ntfsdrv32.dll nur auf 1 Rechner habe. Die anderen Rechner mit Windows XP haben diese Datei nicht. Scan von VirusTotal: AhnLab-V3 2008.10.14.0 2008.10.13 - AntiVir 7.8.1.34 2008.10.13 TR/Hijacker.Gen Authentium 5.1.0.4 2008.10.13 - Avast 4.8.1248.0 2008.10.12 Win32:Agent-AATD AVG 8.0.0.161 2008.10.13 Downloader.Small.60.AO BitDefender 7.2 2008.10.13 DeepScan:Generic.Clicker.Lobgal.9A5647ED CAT-QuickHeal 9.50 2008.10.13 - ClamAV 0.93.1 2008.10.13 - DrWeb 4.44.0.09170 2008.10.13 - eSafe 7.0.17.0 2008.10.12 Suspicious File eTrust-Vet 31.6.6146 2008.10.13 - Ewido 4.0 2008.10.13 - F-Prot 4.4.4.56 2008.10.12 W32/Agent.AK.gen!Eldorado F-Secure 8.0.14332.0 2008.10.13 - Fortinet 3.113.0.0 2008.10.13 W32/Agent.ATD!tr GData 19 2008.10.13 DeepScan:Generic.Clicker.Lobgal.9A5647ED Ikarus T3.1.1.34.0 2008.10.13 Virus.Win32.Small.IKB K7AntiVirus 7.10.492 2008.10.13 - Kaspersky 7.0.0.125 2008.10.13 - McAfee 5403 2008.10.11 - Microsoft 1.4005 2008.10.13 VirTool:Win32/Obfuscator.L NOD32 3518 2008.10.13 - Norman 5.80.02 2008.10.13 - Panda 9.0.0.4 2008.10.13 - PCTools 4.4.2.0 2008.10.13 Trojan.Global.Gen Prevx1 V2 2008.10.13 - Rising 20.66.02.00 2008.10.13 Trojan.Win32.Undef.ete SecureWeb-Gateway 6.7.6 2008.10.13 Trojan.Hijacker.Gen Sophos 4.34.0 2008.10.13 Troj/AgenBS-Fam Sunbelt 3.1.1719.1 2008.10.13 - Symantec 10 2008.10.13 - TheHacker 6.3.1.0.108 2008.10.11 - TrendMicro 8.700.0.1004 2008.10.13 - VBA32 3.12.8.6 2008.10.13 - ViRobot 2008.10.13.1417 2008.10.13 - VirusBuster 4.5.11.0 2008.10.13 Trojan.Global.Gen HIJACK Logfile -------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:21, on 2008-10-13 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\a-squared Anti-Malware\a2service.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\VMware\VMware Converter\vmware-ufad.exe C:\Programme\VMware\VMware Virtual Machine Importer 2\vmware-ufad.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\PowerISO\PWRISOVM.EXE C:\WINDOWS\system32\oodtray.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Programme\Gigabyte\ET5Pro\GUI.exe C:\WINDOWS\system32\umonit.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Adobe\Adobe Photoshop Lightroom 1.4\apdproxy.exe C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe C:\Programme\Cyberlink\Shared Files\brs.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Logitech\QuickCam\Quickcam.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\VMware\VMware Workstation\vmware-tray.exe C:\Programme\VMware\VMware Workstation\hqtray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Programme\a-squared Anti-Malware\a2guard.exe C:\Programme\a-squared Anti-Malware\a2HiJackFree.exe C:\WINDOWS\system32\SearchFilterHost.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.509.6972\swg.dll O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Programme\Copernic Desktop Search 2\DesktopSearchBand203000018.dll O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [EasyTuneVPro] C:\Programme\Gigabyte\ET5Pro\ETcall.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [DNS7reminder] "C:\Programme\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\NaturallySpeaking9\Ereg.ini O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.4\apdproxy.exe" O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe O4 - HKLM\..\Run: [ActiveFax Client] C:\Programme\ActiveFax\Client\ActFaxClient.exe -Autostart O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [vmware-tray] C:\Programme\VMware\VMware Workstation\vmware-tray.exe O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Workstation\hqtray.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe" /tray O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ColorVisionStartup.lnk = C:\Programme\PANTONE COLORVISION\Startup\ColorVisionStartup.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: NETGEAR ProSafe VPN Client.lnk = C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe O4 - Global Startup: Quicken 2009 Zahlungserinnerung.lnk = C:\Programme\Lexware\Quicken\2009\billmind.exe O4 - Global Startup: talk&surf 6.0 - Monitor.lnk = C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - ESC Trusted Zone: h**p://*.update.microsoft.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191418405953 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191435998307 O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - h**ps://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - h**p://www.o2c.de/download/o2cplayer.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxx.local O17 - HKLM\Software\..\Telephony: DomainName = xxxxx.local O17 - HKLM\System\CCS\Services\Tcpip\..\{386B02F1-2180-4C05-B01A-3B283D9EAD7A}: NameServer = 192.168.1.100 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxx.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxxxx-xxxxx.local O17 - HKLM\System\CS2\Services\Tcpip\..\{386B02F1-2180-4C05-B01A-3B283D9EAD7A}: NameServer = 192.168.1.2 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxxxx.local O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: ntfsdrv32 - C:\WINDOWS\SYSTEM32\ntfsdrv32.dll O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: VMware Converter Service (ufad-p2v) - VMware, Inc. - C:\Programme\VMware\VMware Converter\vmware-ufad.exe O23 - Service: VMware Virtual Machine Importer 2 Service (ufad-vmi) - VMware, Inc. - C:\Programme\VMware\VMware Virtual Machine Importer 2\vmware-ufad.exe O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe -- End of file - 20398 bytes ---------------------------------------------------------------- Geändert von KathrinS (13.10.2008 um 19:52 Uhr) |
|
14.10.2008, 19:35
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Trojaner? Virus? bin am Ende.. Hallo und
__________________ Dein System scheint aber ganz schön überladen zu sein  Ist das alles notwendig, was da so im Hintergrund läuft? Das sind ganze 86 Prozesse die da laufen, wenn ich richtig gesehen habe. Mitunter auch Programme, die bei mir Zweifel an einer reinen Privatnutzung dieses PCs aufkommen lassen  Falls Du also diesen PC beruflich einsetzen solltest, wäre es vllt besser sich an den zuständigen Admin zu wenden. Code:
ATTFilter O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis
__________________ |
|
15.10.2008, 15:06
| #3 | |
| | Trojaner? Virus? bin am Ende.. @root 24
__________________Ich bin Student. Da brauch ich halt einige Programme... Backup ist ja auch vorhanden, aber 4 bzw. 8 Wochen alt. Auch hier ist die ntfsdrv32.dll schon vorhanden. Die Probleme mit der E-Mail sind aber erst seit ca. 4 Wochen vorhanden. Die Datei und den dazugehörigen Eintrag habe ich mittels Combofix erfolgreich entsorgt. Jetzt wundert mich allerdings dies: netstat -o Zitat:
Recherchen in Googl* zeigen Hinweise auf ein Spam Botnet. Bin mir aber nicht sicher. |
|
15.10.2008, 19:35
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner? Virus? bin am Ende.. Poste das Combofix Logfile. Acker diese Punkte für weitere Analysen ab: 1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!! 2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
15.10.2008, 20:36
| #5 |
| | Trojaner? Virus? bin am Ende.. Combofix Logfile Code:
ATTFilter ComboFix 08-10-12.01 - Administrator 2008-10-14 12:44:08.3 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1605 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
Benutzte Befehlsschalter :: C:\CFScript.txt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
FILE ::
C:\Windows\system32\FCA057BA3E.dll
C:\Windows\system32\ntfsdrv32.dll
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Windows\system32\ntfsdrv32.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-09-14 bis 2008-10-14 ))))))))))))))))))))))))))))))
.
2008-10-14 12:42 . 2008-10-14 12:43 <DIR> d-------- C:\____Viren verseucht ___
2008-10-14 11:41 . 2008-10-14 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-10-14 10:16 . 2008-10-14 10:16 2,941,096 -ra------ C:\ComboFix.exe
2008-10-14 10:13 . 2008-10-14 10:13 <DIR> d-------- C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\Malwarebytes
2008-10-14 03:24 . 2008-10-14 03:24 23,040 --a------ C:\WINDOWS\system32\drivers\fsbts.sys
2008-10-13 20:36 . 2008-10-13 20:36 <DIR> d-------- C:\Programme\CCleaner
2008-10-13 19:53 . 2008-10-13 19:53 <DIR> d-------- C:\Dokumente und Einstellungen\Kathrin.ARCHILERN\Anwendungsdaten\Malwarebytes
2008-10-13 19:52 . 2008-10-13 19:54 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-13 19:52 . 2008-10-13 19:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-13 19:52 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-13 19:52 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-13 19:14 . 2008-10-13 19:14 5,301,904 --a------ C:\fseasyclean.exe
2008-10-13 16:47 . 2008-10-13 16:47 <DIR> d-------- C:\Programme\Trend Micro
2008-10-13 13:04 . 2004-05-14 04:02 8,192 --a------ C:\WINDOWS\system32\Kopie von ntfsdrv32.dll
2008-10-13 12:43 . 2008-10-14 11:40 <DIR> d-------- C:\Programme\a-squared Anti-Malware
2008-10-12 19:11 . 2008-10-12 19:25 0 --a------ C:\WINDOWS\2899.mod
2008-10-12 15:32 . 2008-10-12 15:32 <DIR> d-------- C:\Programme\Winamp Toolbar
2008-10-12 15:32 . 2008-10-12 15:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-10-12 15:31 . 2008-10-12 15:31 <DIR> d-------- C:\Programme\Winamp Remote
2008-10-12 15:31 . 2008-10-12 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-10-12 15:30 . 2008-10-12 15:32 <DIR> d-------- C:\Programme\Winamp
2008-10-12 15:30 . 2008-10-12 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\Winamp
2008-10-11 20:25 . 2008-03-07 19:02 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-10-11 20:25 . 2008-03-07 19:02 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-10-11 20:25 . 2008-03-07 19:02 29,696 -----c--- C:\WINDOWS\system32\dllcache\mimefilt.dll
2008-10-11 16:59 . 2008-10-11 16:59 <DIR> d-------- C:\Programme\F-Secure
2008-09-29 13:28 . 2008-09-29 13:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ORCA AVA Testversion(1)
2008-09-29 10:32 . 2008-09-29 13:29 <DIR> d-------- C:\Programme\ORCA AVA Testversion
2008-09-29 09:41 . 2008-09-29 09:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XMLVerifier
2008-09-26 16:07 . 2008-09-26 16:08 <DIR> d-------- C:\Dokumente und Einstellungen\Volker.ARCHILERN\SecurityScans
2008-09-24 21:37 . 2008-09-30 10:21 <DIR> d-------- C:\Programme\ABC Amber Audio Converter
2008-09-24 20:31 . 2008-10-10 22:28 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-09-24 20:31 . 2008-10-13 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-24 20:28 . 2008-09-24 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\Kathrin.ARCHILERN\SecurityScans
2008-09-24 20:21 . 2007-09-24 09:05 378,152 --a------ C:\WINDOWS\system32\ImageDrive.cpl
2008-09-21 17:24 . 2008-09-21 17:24 <DIR> d-------- C:\Programme\photools.com
2008-09-21 17:24 . 2008-09-21 17:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-09-18 14:41 . 2008-09-18 14:41 <DIR> d-------- C:\Programme\KlipFolio
2008-09-18 14:41 . 2008-10-14 09:04 <DIR> d-------- C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\KlipFolio
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 08:33 13,103,136 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-14 08:33 108,688 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-14 08:33 10,412 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-14 08:33 1,810,464 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-14 08:04 --------- d-----w C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\Skype
2008-10-14 07:03 24,944 ----a-w C:\WINDOWS\system32\drivers\GVTDrv.sys
2008-10-14 07:03 --------- d-----w C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\VMware
2008-10-14 07:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-14 07:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-10-14 01:11 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
2008-10-13 16:40 --------- d-----w C:\Dokumente und Einstellungen\Kathrin.ARCHILERN\Anwendungsdaten\VMware
2008-10-13 11:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-12 17:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-12 17:25 --------- d-----w C:\Programme\WEKA
2008-10-12 17:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STAMPIT
2008-10-12 14:00 --------- d-----w C:\Programme\eMule
2008-10-12 12:58 --------- d-----w C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\Apple Computer
2008-10-09 17:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HSETU
2008-10-09 16:44 --------- d-----w C:\Programme\HSETU
2008-10-09 16:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-10-03 10:40 --------- d-----w C:\Programme\KiDO
2008-09-29 07:41 --------- d-----w C:\Programme\IBP-Software
2008-09-28 13:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-09-21 18:55 --------- d-----w C:\Programme\MAXON
2008-09-21 18:50 --------- d-----w C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\uTorrent
2008-09-21 15:12 --------- d-----w C:\Dokumente und Einstellungen\Kathrin.ARCHILERN\Anwendungsdaten\uTorrent
2008-09-10 16:58 --------- d-----w C:\Programme\Bonjour
2008-09-10 16:53 --------- d-----w C:\Programme\QuickTime
2008-09-10 16:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-10 11:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-08 15:36 --------- d-----w C:\Programme\PostKIT6
2008-09-08 15:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Deutsche Post
2008-09-08 15:35 --------- d-----w C:\Programme\Firebird
2008-09-06 17:27 --------- d-----w C:\Programme\Fraunhofer-Institut für Bauphysik
2008-09-04 18:12 --------- d-----w C:\Programme\VMware
2008-09-04 11:28 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\VMware
2008-09-04 04:55 0 ----a-w C:\WINDOWS\system32\drivers\lvuvc.hs
2008-09-04 04:55 0 ----a-w C:\WINDOWS\system32\drivers\logiflt.iad
2008-09-02 17:34 82,380 ----a-w C:\WINDOWS\system32\drivers\AFS2K.SYS
2008-08-28 18:36 --------- d-----w C:\Dokumente und Einstellungen\Kathrin.ARCHILERN\Anwendungsdaten\Ordner HP Share-to-Web
2008-08-28 14:59 --------- d-----w C:\Programme\OOo-dev 3
2008-08-28 14:57 --------- d-----w C:\Programme\OOo-dev
2008-08-28 14:49 2,128 ---ha-w C:\hpothb07.dat
2008-08-28 14:30 --------- d-----w C:\Programme\HP
2008-08-28 14:27 --------- d-----w C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\Hewlett-Packard
2008-08-28 14:19 --------- d-----w C:\Programme\Hewlett-Packard
2008-08-28 14:19 --------- d-----w C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\Ordner HP Share-to-Web
2008-08-28 14:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-08-27 18:21 --------- d-----w C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\Leadertech
2008-08-27 18:19 --------- d-----w C:\Programme\Gemeinsame Dateien\LogiShrd
2008-08-27 18:15 --------- d-----w C:\Programme\Logitech
2008-08-27 18:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd
2008-08-25 18:58 --------- d-----w C:\Programme\Apple Software Update
2008-08-23 08:31 --------- d-----w C:\Programme\ORCA AVA
2008-08-22 18:09 --------- d-----w C:\Programme\ORCA AVA 16
2008-08-21 13:44 --------- d-----w C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\GoodSync
2008-08-21 13:34 --------- d-----w C:\Programme\Pilkington Spectrum
2008-08-21 13:30 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-08-21 13:30 286,720 ------w C:\WINDOWS\Setup1.exe
2008-08-21 12:29 --------- d-----w C:\Programme\Gemeinsame Dateien\SmartStore Shared
2008-08-20 10:32 --------- d-----w C:\Programme\Google
2008-08-19 14:34 --------- d-----w C:\Dokumente und Einstellungen\Kathrin.ARCHILERN\Anwendungsdaten\Skype
2008-08-19 11:06 --------- d-----w C:\Programme\Microsoft Silverlight
2008-08-18 16:47 --------- d-----w C:\Programme\STAMPIT
2008-08-14 16:45 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-07-31 15:37 83,136 ----a-w C:\WINDOWS\UIActFax.exe
2008-07-31 15:37 69,632 ----a-w C:\WINDOWS\UIActFax.dll
2008-06-30 19:08 2,947,072 ----a-w C:\Programme\Gemeinsame DateienDDBACSetup.msi
2008-03-21 11:51 3,793 ----a-w C:\Dokumente und Einstellungen\Volker.ZAUBERMAEUSE\Anwendungsdaten\SAS7_000.DAT
2008-03-21 11:51 3,793 ----a-w C:\Dokumente und Einstellungen\Volker.ARCHILERN\Anwendungsdaten\SAS7_000.DAT
2008-01-04 01:37 3,593 ----a-w C:\Dokumente und Einstellungen\Kathrin\Anwendungsdaten\SAS7_000.DAT
2008-01-04 01:37 3,593 ----a-w C:\Dokumente und Einstellungen\Kathrin.ARCHILERN\Anwendungsdaten\SAS7_000.DAT
2007-10-18 08:52 555,520 ----a-w C:\Programme\mozilla firefox\plugins\beanspruchung.dll
2006-02-14 13:13 25,600 ----a-w C:\Programme\mozilla firefox\plugins\borlndmm.dll
2006-02-14 13:13 1,500,160 ----a-w C:\Programme\mozilla firefox\plugins\cc3260mt.dll
2007-10-18 08:52 712,704 ----a-w C:\Programme\mozilla firefox\plugins\gemeinden_italy.dll
2007-10-18 08:51 1,382,400 ----a-w C:\Programme\mozilla firefox\plugins\mdview3d.dll
2006-11-20 15:10 287,744 ----a-w C:\Programme\mozilla firefox\plugins\scprint_bc.dll
2006-11-20 15:10 101,376 ----a-w C:\Programme\mozilla firefox\plugins\sctbcolordlg_bc.dll
2007-10-18 08:51 2,814,464 ----a-w C:\Programme\mozilla firefox\plugins\scviewer.dll
2006-02-14 13:13 618,496 ----a-w C:\Programme\mozilla firefox\plugins\stlpmt45.dll
2008-04-30 19:38 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008043020080501\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PWRISOVM.EXE"="C:\Programme\PowerISO\PWRISOVM.EXE" [2008-07-07 167936]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 2512392]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-18 1189920]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-10-18 1962896]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-10-17 87584]
"EasyTuneVPro"="C:\Programme\Gigabyte\ET5Pro\ETcall.exe" [2007-07-26 20480]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"DNS7reminder"="C:\Programme\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" [2007-03-19 259624]
"UMonit"="C:\WINDOWS\system32\umonit.exe" [2004-05-11 53248]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Photo Downloader"="C:\Programme\Adobe\Adobe Photoshop Lightroom 1.4\apdproxy.exe" [2008-04-01 61440]
"RemoteControl8"="C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="C:\Programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"BDRegion"="C:\Programme\Cyberlink\Shared Files\brs.exe" [2008-05-19 91432]
"ActiveFax Client"="C:\Programme\ActiveFax\Client\ActFaxClient.exe" [2008-07-31 816320]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"Share-to-Web Namespace Daemon"="c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 69632]
"vmware-tray"="C:\Programme\VMware\VMware Workstation\vmware-tray.exe" [2008-08-08 72240]
"VMware hqtray"="C:\Programme\VMware\VMware Workstation\hqtray.exe" [2008-08-08 55856]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-08-04 36352]
"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2008-04-14 172544]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 C:\WINDOWS\RTHDCPL.exe]
"SerExt"="SerExt.exe" [2005-03-01 C:\WINDOWS\system32\SerExt.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
C:\Dokumente und Einstellungen\Volker.ARCHILERN\Startmen\Programme\Autostart\
Telefon- und Branchenbuch Frhjahr 2008 - Schnellstarter.lnk - C:\Programme\klickTel\Telefon- und Branchenbuch Frhjahr 2008\KSTART32.EXE [2008-05-22 461824]
C:\Dokumente und Einstellungen\Volker.ARCHILERN\Startmen\Programme\Autostart\AutorunsDisabled
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ColorVisionStartup.lnk - C:\Programme\PANTONE COLORVISION\Startup\ColorVisionStartup.exe [2004-12-21 385024]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-06-24 67128]
NETGEAR ProSafe VPN Client.lnk - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe [2007-10-04 73780]
Quicken 2009 Zahlungserinnerung.lnk - C:\Programme\Lexware\Quicken\2009\billmind.exe [2008-05-20 98304]
talk&surf 6.0 - Monitor.lnk - C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe [2007-02-27 172032]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\GIGABYTE\\@BIOS\\update.exe"=
"C:\\Programme\\GIGABYTE\\@BIOS\\gwflash.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\IreIKE.exe"=
"C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe"= C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe:127.0.0.1/255.255.255.255:Enabled:ViewLog
"C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe"= C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe:127.0.0.1/255.255.255.255:Enabled:CMonApp
"C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe"= C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe:127.0.0.1/255.255.255.255:Enabled:VPN Connection Manager
R3 DectEnum;DectEnum;C:\WINDOWS\system32\Drivers\DectEnum.sys [2005-03-01 8448]
R3 fixustor;fixustor;C:\WINDOWS\system32\drivers\fixustor.sys [2004-05-11 6656]
S0 fsbts;fsbts;C:\WINDOWS\system32\Drivers\fsbts.sys [2008-10-14 23040]
S0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
S1 IPSECDRV;SafeNet IPSec Plugin;C:\WINDOWS\system32\Drivers\IPSECDRV.sys [2006-02-01 136760]
S1 VBoxDrv;VirtualBox Service;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2008-05-31 55520]
S1 VBoxUSBMon;VirtualBox USB Monitor Driver;C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys [2008-05-31 42048]
S2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};C:\Programme\CyberLink\PowerDVD8\000.fcl [2008-05-15 12:07 61424]
S2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2008-02-20 108768]
S2 Crypto;Crypto;C:\WINDOWS\system32\Drivers\Crypto.sys [2005-08-15 536634]
S2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe [2004-12-13 65536]
S2 ufad-p2v;VMware Converter Service;C:\Programme\VMware\VMware Converter\vmware-ufad.exe [2008-04-29 186928]
S2 ufad-vmi;VMware Virtual Machine Importer 2 Service;C:\Programme\VMware\VMware Virtual Machine Importer 2\vmware-ufad.exe [2006-08-23 135168]
S2 vstor2-p2v30;Vstor2 P2V30 Virtual Storage Driver;C:\Programme\VMware\VMware Converter\vstor2-p2v30.sys [2008-04-29 19248]
S3 cvspydr2;ColorVision Spyder 2;C:\WINDOWS\system32\DRIVERS\cvspydr2.sys [2002-04-02 33024]
S3 DniVap;SafeNet WAN Miniport (VA);C:\WINDOWS\system32\DRIVERS\vap.sys [2001-12-14 36188]
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;C:\Dokumente und Einstellungen\Volker.ARCHILERN\Lokale Einstellungen\temp\{543E8F27-9ED0-4AA2-96E9-FD2FBFC405DE}\fsgk.sys [ ]
S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe [2004-12-13 1527893]
S3 getPlus(R) Helper;getPlus(R) Helper;C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2008-06-26 31592]
S3 Gigusb;Dect USB Driver;C:\WINDOWS\system32\Drivers\Gigusb.sys [2005-03-01 53632]
S3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);C:\WINDOWS\system32\DRIVERS\hrcmpa.sys [2004-09-08 263751]
S3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);C:\WINDOWS\system32\DRIVERS\IUAPIWDM.sys [2004-09-08 50759]
S3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
S3 LVRS;Logitech RightSound Filter Driver;C:\WINDOWS\system32\DRIVERS\lvrs.sys [2008-07-26 627864]
S3 siellif;siellif;C:\WINDOWS\system32\Drivers\siellif.sys [2005-03-01 113408]
S3 vmdmd;Softmodem/Fax Port Driver;C:\WINDOWS\system32\DRIVERS\vmdmd.sys [ ]
S3 xControlCOM;xControlCOM;C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [2005-03-01 327680]
.
Inhalt des "geplante Tasks" Ordners
2008-10-08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 12:50:19
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD8\000.fcl"
.
Zeit der Fertigstellung: 2008-10-14 12:55:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-14 10:54:48
ComboFix2.txt 2008-10-14 09:38:29
ComboFix3.txt 2008-10-13 16:46:37
Vor Suchlauf: 32 Verzeichnis(se), 45.841.027.072 Bytes frei
Nach Suchlauf: 35 Verzeichnis(se), 45,825,003,520 Bytes frei
260 --- E O F --- 2008-09-10 11:12:35
|
|
15.10.2008, 20:37
| #6 |
| | Trojaner? Virus? bin am Ende.. Hijack Logfile Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:13:06, on 15.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\a-squared Anti-Malware\a2service.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\VMware\VMware Converter\vmware-ufad.exe C:\Programme\VMware\VMware Virtual Machine Importer 2\vmware-ufad.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\PowerISO\PWRISOVM.EXE C:\WINDOWS\system32\oodtray.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\WINDOWS\system32\umonit.exe C:\Programme\Gigabyte\ET5Pro\GUI.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Adobe\Adobe Photoshop Lightroom 1.4\apdproxy.exe C:\WINDOWS\system32\SerExt.exe C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe C:\Programme\Cyberlink\Shared Files\brs.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Logitech\QuickCam\Quickcam.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\VMware\VMware Workstation\vmware-tray.exe C:\Programme\VMware\VMware Workstation\hqtray.exe c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Winamp\winampa.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\STAMPIT\Binary\Stray.exe C:\Programme\KlipFolio\KlipFolio.exe C:\Programme\Winamp Remote\bin\OrbTray.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe C:\Programme\Internet Explorer\iexplore.exe c:\programme\winamp toolbar\WinampTbServer.exe D:\download\windows-kb890830-v2.3.exe d:\dc5c1b57694443945b2e158093\mrtstub.exe C:\WINDOWS\system32\MRT.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Mozilla Firefox\firefox.exe D:\download\qlketzd.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [EasyTuneVPro] C:\Programme\Gigabyte\ET5Pro\ETcall.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [DNS7reminder] "C:\Programme\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\NaturallySpeaking9\Ereg.ini O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.4\apdproxy.exe" O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe O4 - HKLM\..\Run: [ActiveFax Client] C:\Programme\ActiveFax\Client\ActFaxClient.exe -Autostart O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [vmware-tray] C:\Programme\VMware\VMware Workstation\vmware-tray.exe O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Workstation\hqtray.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [RegCopernicDesktopSearch2] "C:\Programme\Copernic Desktop Search 2\DesktopSearchInstaller.exe" /REGISTERFILES /BOOTSTRAP O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [STAMPIT-Tray] C:\Programme\STAMPIT\Binary\Stray.exe O4 - HKCU\..\Run: [KlipFolio] "C:\Programme\KlipFolio\KlipFolio.exe" /BOOT O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-2927508484-3136192603-1380905464-1114\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-21-2927508484-3136192603-1380905464-1114\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User '?') O4 - HKUS\S-1-5-21-2927508484-3136192603-1380905464-1115\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-21-2927508484-3136192603-1380905464-1115\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized (User '?') O4 - HKUS\S-1-5-21-2927508484-3136192603-1380905464-1115\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-21-2927508484-3136192603-1380905464-1115 Startup: AutorunsDisabled (User '?') O4 - S-1-5-21-2927508484-3136192603-1380905464-1115 Startup: OOo-dev 3.0.lnk = C:\Programme\OOo-dev 3\program\quickstart.exe (User '?') O4 - Startup: AutorunsDisabled O4 - Startup: Telefon- und Branchenbuch Frühjahr 2008 - Schnellstarter.lnk = ? O4 - Global Startup: ColorVisionStartup.lnk = C:\Programme\PANTONE COLORVISION\Startup\ColorVisionStartup.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: NETGEAR ProSafe VPN Client.lnk = C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe O4 - Global Startup: Quicken 2009 Zahlungserinnerung.lnk = C:\Programme\Lexware\Quicken\2009\billmind.exe O4 - Global Startup: talk&surf 6.0 - Monitor.lnk = C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - ESC Trusted Zone: h**p://*.update.microsoft.com O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - h**p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191418405953 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191435998307 O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - h**ps://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - h**p://www.o2c.de/download/o2cplayer.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxxxxx.local O17 - HKLM\Software\..\Telephony: DomainName = xxxxxxxx.local O17 - HKLM\System\CCS\Services\Tcpip\..\{386B02F1-2180-4C05-B01A-3B283D9EAD7A}: NameServer = 192.168.1.100 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxxxxx.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = buender-zaubermaeuse.local O17 - HKLM\System\CS2\Services\Tcpip\..\{386B02F1-2180-4C05-B01A-3B283D9EAD7A}: NameServer = 192.168.1.2 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxxxxxxx.local O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: ntfsdrv32 - C:\WINDOWS\ O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: VMware Converter Service (ufad-p2v) - VMware, Inc. - C:\Programme\VMware\VMware Converter\vmware-ufad.exe O23 - Service: VMware Virtual Machine Importer 2 Service (ufad-vmi) - VMware, Inc. - C:\Programme\VMware\VMware Virtual Machine Importer 2\vmware-ufad.exe O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe -- End of file - 21953 bytes Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
|
|
15.10.2008, 20:45
| #7 |
| | Trojaner? Virus? bin am Ende.. |
|
| Themen zu Trojaner? Virus? bin am Ende.. |
| bho, bonjour, browser, canon, converter, desktop, e-mail, firefox, gigabyte, google, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, kaspersky, konvertieren, lexware, logfile, malwarebytes' anti-malware, mozilla, netgear, neu aufsetzen, pdf-datei, port, poweriso, scan, security, senden, software, spam, trojaner, trojaner?, virtual machine, virus, windows xp, windows xp sp3, xp sp3 |
Hybrid-Darstellung
