| |
| |||||||
Log-Analyse und Auswertung: TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
17.10.2008, 00:10
| #1 |
 |  TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Hi, ich habe seit zwei Tagen den Trojaner TR/Agent.6938.A auf meinem PC. Bei weiteren Scans mit Malwarebytes Anti-Malware wurden auch noch der Worm/Autorun.NH, resycled.boot.com, Worm/Agent.86432 und TR/Passcrack.B gefunden. Ich habe sie alle gelöscht. Jedoch habe ich jetzt das Problem, dass ich nicht auf meine Partitionen zugreifen kann. Es kommt immer die Fehlermeldung, dass resycled\boot.com nicht gefunden werden konnte. Ich bin total hilflos und hoffe das ihr mir helfen könnt. Anbei die Angaben zu meinem PC und die HijackThis und MBM Logfile. Microsoft Windows XP Professional Version 2002 Service Pack 3 Pentium 4, 3,4 Ghz, 1 GB Ram Hijackthis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:40:21, on 17.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe E:\Tobit ClipInc\Server\ClipInc-Server.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Labtec\WebCam10\WebCam10.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\WINDOWS\ALCFDRTM.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe C:\Programme\Duden\Duden Korrektor\DKTray.exe E:\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Duden\Duden Korrektor\DKCore.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Orbitdownloader\orbitdm.exe C:\Programme\Orbitdownloader\orbitnet.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Java\jre1.6.0_06\bin\javaw.exe C:\Programme\Office-Bibliothek\officebib.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\+++++\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Labtec\WebCam10\WebCam10.exe" /hide O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\DKTray.exe O4 - HKCU\..\Run: [ClipIncSrvTray] "E:\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: Wuala.lnk = C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Wuala\Roaming\Wuala.exe O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h++p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806_1/plugin/AXFOAM.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213390514812 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213390645562 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- End of file - 10614 bytes MBM Logs: 1. Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1276 Windows 5.1.2600 Service Pack 3 16.10.2008 20:33:45 mbam-log-2008-10-16 (20-33-45).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|J:\|K:\|) Durchsuchte Objekte: 189257 Laufzeit: 1 hour(s), 16 minute(s), 8 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 5 Infizierte Verzeichnisse: 1 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Pornovid (Trojan.DNSChanger) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdbvh.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\kdbvh.exe (Rootkit.DNSChanger.H) -> Delete on reboot. C:\Dokumente und Einstellungen\+++++\Lokale Einstellungen\Temp\Grenzg?nger.doc (Trojan.Extension.Exploit) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\tempo-565.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. 2. Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1276 Windows 5.1.2600 Service Pack 3 16.10.2008 22:41:33 mbam-log-2008-10-16 (22-41-33).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|J:\|K:\|) Durchsuchte Objekte: 188820 Laufzeit: 1 hour(s), 13 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\+++++\Lokale Einstellungen\Temp\Grenzg?nger.doc (Trojan.Extension.Exploit) -> Quarantined and deleted successfully. 3. Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1276 Windows 5.1.2600 Service Pack 3 17.10.2008 00:13:30 mbam-log-2008-10-17 (00-13-30).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|J:\|K:\|) Durchsuchte Objekte: 188993 Laufzeit: 1 hour(s), 12 minute(s), 37 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\+++++\Lokale Einstellungen\Temp\Grenzg?nger.doc (Trojan.Extension.Exploit) -> Quarantined and deleted successfully. Vielen Dank im Voraus  Ps: CCleaner wurde auch schon angewendet. |
|
17.10.2008, 17:41
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Hallo
__________________Lass mal bitte Combofix durchlaufen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
__________________ |
|
17.10.2008, 19:16
| #3 |
| | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Hi, erstmal danke schön, dass Du mir hilfst.
__________________Ich habe erst CCleaner noch einmal durchlaufen lassen und dann Combofix. Hier die Log von Combofix, Code:
ATTFilter ComboFix 08-10-16.08 - +++++ 2008-10-17 20:06:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.457 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\+++++\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
D:\Autorun.inf
E:\Autorun.inf
G:\autorun.inf
J:\autorun.inf
K:\autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2008-09-17 bis 2008-10-17 ))))))))))))))))))))))))))))))
.
2008-10-17 01:57 . 2008-10-17 01:58 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-10-17 01:57 . 2008-10-17 01:57 <DIR> d-------- C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\TuneUp Software
2008-10-17 01:57 . 2008-10-17 01:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-10-17 01:57 . 2008-10-17 01:57 361,728 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-10-17 01:57 . 2008-07-18 15:05 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-10-17 01:45 . 2008-10-17 01:45 <DIR> d-------- C:\Programme\WinSpeedUp
2008-10-17 01:45 . 2007-03-21 18:58 872,064 --a------ C:\WINDOWS\system32\SmartUI2.ocx
2008-10-17 01:45 . 2007-03-21 18:58 514,176 --a------ C:\WINDOWS\system32\BtnCtlsA.ocx
2008-10-17 01:45 . 2007-03-21 18:58 420,480 --a------ C:\WINDOWS\system32\TabStripCtlA.ocx
2008-10-17 01:45 . 2007-03-21 18:58 292,480 --a------ C:\WINDOWS\system32\TrackBarCtlA.ocx
2008-10-17 01:45 . 2003-10-13 00:06 7,752 --a------ C:\WINDOWS\system32\ShellLink.tlb
2008-10-17 00:32 . 2008-10-17 00:32 <DIR> d-------- C:\Programme\CCleaner
2008-10-16 19:14 . 2008-10-16 19:15 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-16 19:14 . 2008-10-16 19:14 <DIR> d-------- C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Malwarebytes
2008-10-16 19:14 . 2008-10-16 19:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-16 19:14 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-16 19:14 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 19:49 . 2008-10-14 19:51 <DIR> d-------- C:\Programme\Allok QuickTime to AVI MPEG DVD Converter
2008-10-14 19:49 . 2006-09-26 13:57 28,672 --a------ C:\WINDOWS\system32\AVEQT.dll
2008-10-14 19:29 . 2008-10-14 19:29 <DIR> d-------- C:\Programme\Xilisoft
2008-10-11 02:07 . 2008-10-11 03:30 34 --a------ C:\WINDOWS\cdplayer.ini
2008-10-11 01:55 . 2008-10-11 01:55 <DIR> d-------- C:\WINDOWS\uninstall\Audiograbber
2008-10-11 01:55 . 2008-10-11 01:55 <DIR> d-------- C:\WINDOWS\uninstall
2008-10-11 01:55 . 2008-10-11 01:57 <DIR> d-------- C:\Programme\audiograbber
2008-09-30 13:32 . 2008-09-30 13:32 <DIR> d-------- C:\Programme\FLV Player
2008-09-29 00:15 . 2008-09-29 00:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-09-29 00:15 . 2008-09-29 00:15 <DIR> d-------- C:\Programme\DVDVideoSoft
2008-09-26 20:57 . 2008-09-26 20:59 <DIR> d-------- C:\Programme\MixVibesDVS7DEMO
2008-09-26 20:50 . 2008-09-26 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Teleca
2008-09-26 16:22 . 2007-04-24 11:33 108,680 -ra------ C:\WINDOWS\system32\drivers\s125mdm.sys
2008-09-26 16:22 . 2007-04-24 11:33 100,488 -ra------ C:\WINDOWS\system32\drivers\s125mgmt.sys
2008-09-26 16:22 . 2007-04-24 11:33 98,696 -ra------ C:\WINDOWS\system32\drivers\s125obex.sys
2008-09-26 16:22 . 2007-04-24 11:33 83,336 -ra------ C:\WINDOWS\system32\drivers\s125bus.sys
2008-09-26 16:22 . 2007-04-24 11:33 15,112 -ra------ C:\WINDOWS\system32\drivers\s125mdfl.sys
2008-09-26 16:22 . 2007-04-24 11:33 12,424 -ra------ C:\WINDOWS\system32\drivers\s125whnt.sys
2008-09-26 16:22 . 2007-04-24 11:33 12,424 -ra------ C:\WINDOWS\system32\drivers\s125wh.sys
2008-09-26 16:22 . 2007-04-24 11:33 12,424 -ra------ C:\WINDOWS\system32\drivers\s125cmnt.sys
2008-09-26 16:22 . 2007-04-24 11:33 12,424 -ra------ C:\WINDOWS\system32\drivers\s125cm.sys
2008-09-26 16:21 . 2008-09-26 16:21 <DIR> d-------- C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Sony Ericsson
2008-09-26 16:20 . 2008-09-26 16:20 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-09-26 16:20 . 2008-09-26 16:20 <DIR> d-------- C:\Programme\Sony Ericsson
2008-09-26 16:20 . 2008-09-26 16:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-09-26 16:20 . 2008-09-26 16:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2008-09-26 16:19 . 2008-09-26 16:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-09-26 16:19 . 2008-09-26 16:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-09-26 16:10 . 2008-09-26 16:10 <DIR> d-------- C:\Programme\MyPhoneExplorer
2008-09-26 16:10 . 2008-09-26 16:22 <DIR> d-------- C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\MyPhoneExplorer
2008-09-26 16:10 . 2008-09-26 17:24 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-26 11:44 . 2008-09-26 11:44 <DIR> d-------- C:\Programme\Apple Software Update
2008-09-26 11:43 . 2008-09-26 11:43 <DIR> d-------- C:\Programme\iTunes
2008-09-26 11:43 . 2008-09-26 11:43 <DIR> d-------- C:\Programme\iPod
2008-09-26 11:43 . 2008-09-26 11:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-26 11:41 . 2008-09-26 11:42 <DIR> d-------- C:\Programme\QuickTime
2008-09-24 22:48 . 2008-09-24 22:48 <DIR> d-------- C:\Programme\Audacity
2008-09-20 15:22 . 2008-09-20 15:22 <DIR> d-------- C:\Programme\SopCast
2008-09-17 12:37 . 2008-04-14 04:22 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-09-17 12:28 . 2008-09-17 12:28 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-17 12:28 . 2008-09-17 12:28 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-17 09:27 . 2008-04-14 04:20 847,898 -----c--- C:\WINDOWS\system32\dllcache\msdxm.ocx
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-17 18:03 --------- d-----w C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Wuala
2008-10-17 18:02 --------- d-----w C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Skype
2008-10-17 18:02 --------- d-----w C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Orbit
2008-10-17 14:09 --------- d-----w C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\skypePM
2008-10-16 23:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-05 01:02 --------- d-----w C:\Programme\Trillian
2008-09-28 23:56 --------- d-----w C:\Programme\FlashFXP
2008-09-26 09:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-26 09:39 --------- d-----w C:\Programme\Bonjour
2008-09-23 17:12 --------- d-----w C:\Programme\Orbitdownloader
2008-09-16 13:47 --------- d-----w C:\Programme\Skype
2008-09-16 13:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-09-16 13:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-09-15 21:47 --------- d-----w C:\Programme\DivX
2008-09-10 22:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-31 10:49 --------- d-----w C:\Programme\Gemeinsame Dateien\DataDesign
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-26 22:32 73,728 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2008-08-25 22:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-19 21:03 --------- d-----w C:\Programme\eMusic Download Manager
2008-08-19 20:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-14 23:03 319,488 ----a-w C:\WINDOWS\HideWin.exe
2008-08-05 22:02 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-29 14:05 1,296,896 ----a-w C:\WINDOWS\system32\SPort.dll
2008-07-29 13:42 528,384 ----a-w C:\WINDOWS\RtlExUpd.dll
2008-07-21 12:10 21,656 ----a-w C:\WINDOWS\system32\dopdfmn6.dll
2008-07-21 12:10 18,072 ----a-w C:\WINDOWS\system32\dopdfmi6.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 165784]
"Duden Korrektor SysTray"="C:\Programme\Duden\Duden Korrektor\DKTray.exe" [2007-06-22 561880]
"ClipIncSrvTray"="E:\Tobit ClipInc\Player\ClipIncTray.exe" [2008-06-10 590600]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 153136]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-08-12 21741864]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-03-06 488984]
"LogitechQuickCamRibbon"="C:\Programme\Labtec\WebCam10\WebCam10.exe" [2007-03-06 1060376]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-29 185896]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"EPSON Stylus C64 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE" [2003-09-12 99840]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AlcFDMonitor"="C:\WINDOWS\ALCFDRTM.EXE" [2008-08-27 73728]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]
"AtiPTA"="atiptaxx.exe" [2006-02-22 C:\WINDOWS\system32\atiptaxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-10-21 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-10-21 C:\WINDOWS\ALCWZRD.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
C:\Dokumente und Einstellungen\+++++\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440]
Wuala.lnk - C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Wuala\Roaming\Wuala.exe [2008-09-07 180547]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Office-Bibliothek-Direktsuche.lnk - C:\Programme\Office-Bibliothek\PCLib.exe [2008-06-14 323584]
Orbit.lnk - C:\Programme\Orbitdownloader\orbitdm.exe [2008-06-23 1690824]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Trillian\\trillian.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"E:\\Tobit ClipInc\\Server\\ClipInc-Server.exe"=
"E:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"C:\\Programme\\StreamRipper32\\StreamRipper32.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\FlashFXP\\flashfxp.exe"=
"C:\\Programme\\Java\\jre1.6.0_06\\bin\\javaw.exe"=
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-18 45376]
R2 ClipInc001;ClipInc 001;E:\Tobit ClipInc\Server\ClipInc-Server.exe 001 [ ]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 s125bus;Sony Ericsson Device 125 driver (WDM);C:\WINDOWS\system32\DRIVERS\s125bus.sys [2007-04-24 83336]
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s125mdfl.sys [2007-04-24 15112]
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s125mdm.sys [2007-04-24 108680]
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s125mgmt.sys [2007-04-24 100488]
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s125obex.sys [2007-04-24 98696]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-10-17 361728]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com c:
\Shell\Open\command - resycled\boot.com c:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - resycled\boot.com d:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com e:
\Shell\Open\command - resycled\boot.com e:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89e8cbcc-5e5d-11dd-ad93-00301bb77caf}]
\Shell\AutoRun\command - setupSNK.exe
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 18:47]
2008-09-26 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Mozilla\Firefox\Profiles\iuwbhcb7.default\
FF -: plugin - C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Mozilla\Firefox\Profiles\iuwbhcb7.default\extensions\zaplivetvpublisher@zaplive.tv\platform\WINNT_x86-msvc\plugins\npzaplivetvpublisher.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-17 20:07:11
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-17 20:08:18
ComboFix-quarantined-files.txt 2008-10-17 18:08:04
Vor Suchlauf: 7.469.731.840 Bytes frei
Nach Suchlauf: 8,554,147,840 Bytes frei
254 --- E O F --- 2008-09-18 08:41:47
Geändert von mohfiya (17.10.2008 um 19:32 Uhr) |
|
17.10.2008, 19:32
| #4 |
| | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Weiterer Post, da zuviele Zeichen. Zudem habe ich auch noch einmal HijackThis durchlaufen lassen. Hier das Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:21:30, on 17.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\Explorer.EXE E:\Tobit ClipInc\Server\ClipInc-Server.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Labtec\WebCam10\WebCam10.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\WINDOWS\ALCFDRTM.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Duden\Duden Korrektor\DKTray.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe C:\Programme\Duden\Duden Korrektor\DKCore.exe E:\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Orbitdownloader\orbitdm.exe C:\Programme\Orbitdownloader\orbitnet.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Java\jre1.6.0_06\bin\javaw.exe C:\Programme\Office-Bibliothek\officebib.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Dokumente und Einstellungen\+++++\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Labtec\WebCam10\WebCam10.exe" /hide O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\DKTray.exe O4 - HKCU\..\Run: [ClipIncSrvTray] "E:\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: Wuala.lnk = C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Wuala\Roaming\Wuala.exe O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806_1/plugin/AXFOAM.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213390514812 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213390645562 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 10444 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 3
17.10.2008 20:27:43
mbam-log-2008-10-17 (20-27-43).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 51263
Laufzeit: 4 minute(s), 3 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter In der Datei 'C:\WINDOWS\NIRCMD.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Vielen lieben Dank nocheinmal für Deine Hilfe. Cheers mohfiya |
|
18.10.2008, 13:43
| #5 |
| | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Weiter wurden noch folgende Antivir Meldungen gemacht. Code:
ATTFilter In der Datei 'C:\System Volume Information\_restore{88E927C2-4B63-4E5B-96EE-C6C1A4AA4A8D}\RP236\A0046539.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.Hide.A' [riskware] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Code:
ATTFilter In der Datei 'K:\resycled\boot.com'
wurde ein Virus oder unerwünschtes Programm 'WORM/Autorun.NH' [worm] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Danke mohfiya |
|
18.10.2008, 19:08
| #6 |
| | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Hi, also hier mein neuestes MBM Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 3
18.10.2008 19:04:30
mbam-log-2008-10-18 (19-04-30).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|J:\|K:\|)
Durchsuchte Objekte: 185237
Laufzeit: 2 hour(s), 43 minute(s), 29 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Ich dreh echt am Rad, Antivir findet immer wieder: Code:
ATTFilter In der Datei 'C:\System Volume Information\_restore{88E927C2-4B63-4E5B-96EE-C6C1A4AA4A8D}\RP236\A0046546.com'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
In der Datei 'K:\resycled\boot.com'
wurde ein Virus oder unerwünschtes Programm 'WORM/Autorun.NH' [worm] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Danke mohfiya |
|
18.10.2008, 23:11
| #7 |
| | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? So, ich habe jetzt auch nochmal SDfix durchlaufen lassen. Hier das Log: Code:
ATTFilter SDFix: Version 1.236
Run by +++++ on 18.10.2008 at 23:51
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 00:01:57
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:36,8a,1f,66,74,64,81,7e,58,c5,12,36,d6,08,25,9f,af,f1,d5,2e,81,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,6d,7c,2d,f3,ea,66,dd,16,f5,e5,24,6a,fb,a0,f3,29,93,..
"khjeh"=hex:7a,58,24,d6,82,c1,61,1c,b1,9f,49,c5,c6,4b,8f,b1,84,4f,3c,fa,5a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:b2,4b,78,b6,6c,83,50,4e,df,79,57,96,68,ee,9e,ef,e5,2e,a3,7d,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:36,8a,1f,66,74,64,81,7e,58,c5,12,36,d6,08,25,9f,af,f1,d5,2e,81,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,6d,7c,2d,f3,ea,66,dd,16,f5,e5,24,6a,fb,a0,f3,29,93,..
"khjeh"=hex:7a,58,24,d6,82,c1,61,1c,b1,9f,49,c5,c6,4b,8f,b1,84,4f,3c,fa,5a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:b2,4b,78,b6,6c,83,50,4e,df,79,57,96,68,ee,9e,ef,e5,2e,a3,7d,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:36,8a,1f,66,74,64,81,7e,58,c5,12,36,d6,08,25,9f,af,f1,d5,2e,81,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,6d,7c,2d,f3,ea,66,dd,16,f5,e5,24,6a,fb,a0,f3,29,93,..
"khjeh"=hex:7a,58,24,d6,82,c1,61,1c,b1,9f,49,c5,c6,4b,8f,b1,84,4f,3c,fa,5a,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6b,ab,dd,1f,6c,54,9b,b6,80,9b,ef,4b,30,2b,87,d7,a1,ef,a0,de,7a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:36,8a,1f,66,74,64,81,7e,58,c5,12,36,d6,08,25,9f,af,f1,d5,2e,81,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,6d,7c,2d,f3,ea,66,dd,16,f5,e5,24,6a,fb,a0,f3,29,93,..
"khjeh"=hex:7a,58,24,d6,82,c1,61,1c,b1,9f,49,c5,c6,4b,8f,b1,84,4f,3c,fa,5a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6b,ab,dd,1f,6c,54,9b,b6,80,9b,ef,4b,30,2b,87,d7,a1,ef,a0,de,7a,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"="C:\\Programme\\Orbitdownloader\\orbitdm.exe:*:Enabled:Orbit"
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"="C:\\Programme\\Orbitdownloader\\orbitnet.exe:*:Enabled:Orbit"
"E:\\Tobit ClipInc\\Server\\ClipInc-Server.exe"="E:\\Tobit ClipInc\\Server\\ClipInc-Server.exe:*:Enabled:ClipInc Server"
"E:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"="E:\\Tobit ClipInc\\Player\\ClipInc-Player.exe:*:Enabled:ClipInc Player"
"C:\\Programme\\StreamRipper32\\StreamRipper32.exe"="C:\\Programme\\StreamRipper32\\StreamRipper32.exe:*:Enabled:SRipper"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\FlashFXP\\flashfxp.exe"="C:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"
"C:\\Programme\\Java\\jre1.6.0_06\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.6.0_06\\bin\\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"="C:\\Programme\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\FlashFXP\\flashfxp.exe"="C:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"
Remaining Files :
Files with Hidden Attributes :
Tue 30 Sep 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sat 18 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\11a41d638ef27a23b34b1e497227d8e3\BIT1.tmp"
Sat 18 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\207439dbcf01a4fc5e153d4494ef2c2a\BIT8.tmp"
Sat 18 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3b20dcca168959ba1f817ee58f3594b7\BIT5.tmp"
Sat 18 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4cfa76931e822bbebb9217c303727d49\BIT6.tmp"
Sat 18 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6030c83b58015a323c2d00f73e964810\BIT9.tmp"
Sat 18 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\68ac321d4d812c59f33f66962b8f3d0c\BIT3.tmp"
Sat 18 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7db42668d42f9076e9e8ddd6009e6a70\BIT2.tmp"
Sat 18 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9508b4e5ba6851c2778692a72a1c6e54\BITA.tmp"
Sat 18 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ee49a49f48eeba4d92172538eea99fb9\BIT4.tmp"
Sat 18 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fac25fb79a7e2e543c9bcbc9badaaf4b\BIT7.tmp"
Mon 11 Aug 2008 54,784 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL0027.tmp"
Sun 10 Aug 2008 27,136 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL0083.tmp"
Mon 11 Aug 2008 607,232 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL0480.tmp"
Mon 11 Aug 2008 57,344 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL0703.tmp"
Sun 10 Aug 2008 26,624 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL1410.tmp"
Sun 10 Aug 2008 26,624 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL2334.tmp"
Mon 11 Aug 2008 615,424 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL2602.tmp"
Sun 10 Aug 2008 27,648 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL2670.tmp"
Sun 10 Aug 2008 25,088 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL2927.tmp"
Sun 10 Aug 2008 28,160 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL3591.tmp"
Finished!
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:12:12, on 19.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\Explorer.EXE E:\Tobit ClipInc\Server\ClipInc-Server.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Labtec\WebCam10\WebCam10.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\WINDOWS\ALCFDRTM.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Duden\Duden Korrektor\DKTray.exe E:\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Duden\Duden Korrektor\DKCore.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Orbitdownloader\orbitdm.exe C:\Programme\Java\jre1.6.0_06\bin\javaw.exe C:\Programme\Orbitdownloader\orbitnet.exe C:\Programme\Office-Bibliothek\officebib.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\+++++\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Labtec\WebCam10\WebCam10.exe" /hide O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\DKTray.exe O4 - HKCU\..\Run: [ClipIncSrvTray] "E:\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: Wuala.lnk = C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Wuala\Roaming\Wuala.exe O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h++p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h++ps://www.olb.de/olb_fb3_1806_1/plugin/AXFOAM.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213390514812 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213390645562 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 10401 bytes Für weitere Hinweise, Ratschläge und Tipps wäre ich sehr sehr dankbar. Vielen lieben Dank, mohfiya |
|
19.10.2008, 17:45
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Du solltest doch die Systemwiederherstellung deaktivieren. Malwaredateien landen ja auch in den System-Volume-Information-Ordnern, Du hättest da keine Meldungen mehr bekommen über Dateien in diesen Ordnern wenn Du die SWH deaktiviert hättest. Überprüf mal, ob auf allen Laufwerken bei Dir der Ordner (x steht für den Laufwerksbuchstaben des jew. Laufwerkes) x:\resycled vorhanden ist - wenn ja, am besten erstmal löschen, aber bitte eine darin evtl. vorhandene boot.com bei Virustotal auswerten lassen. Und ja, Du hattest eine Umleitung in die Ukraine lt. Malwarebytes: Code:
ATTFilter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.10.2008, 18:48
| #9 |
| | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Oh man, das mit der Systemwiederherstellung habe ich wohl überlesen...  Dann werde ich wohl vorsichtshalber das System neuaufsetzen. Vielen lieben Dank für deine Hilfe. |
|
21.10.2008, 03:31
| #10 |
| | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Hallo nochmal, ich bin ratlos. Ich habe Parition c: (habe c-e) formatiert und XP mit SP 3 neu installiert. Aber MBM findet immer nochwas ;( Ich habe nochmal HijackThis und MBM durchlaufen lassen. Ich hoffe Du kannst mir nochmal helfen. Hier die Logs: Hijackthis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 04:20:27, on 21.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Dokumente und Einstellungen\+++++\Desktop\HiJackThis.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 2898 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1299
Windows 5.1.2600 Service Pack 3
21.10.2008 03:53:54
mbam-log-2008-10-21 (03-53-54).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 38408
Laufzeit: 1 minute(s), 55 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7f517fdd-699e-439e-9d7e-7948c512fb6a}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7f517fdd-699e-439e-9d7e-7948c512fb6a}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{7f517fdd-699e-439e-9d7e-7948c512fb6a}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Hilfos  |
|
21.10.2008, 09:44
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Was hast Du direkt nach dem Neuaufsetzen denn schon alles ausgeführt? Von alleine landen keine Schädlinge auf der Platte und von alleine ändern sich auf keine TCP/IP-Einstellungen  Die Einträge, die MBAM da entfernt hat, enthalten IP-Adressen, die man defintiv der Ukraine zuweisen kann und die Adressen stammen mit Sicherheit wohl nicht von Deinem Provider
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.10.2008, 11:50
| #12 |
| | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Hi, ich habe eigentlich nichts installiert ausser (Chipsatz-, Lan-, Audio-,Grafiktreiber) Antivr, MBM, Thunderbird, Firefox, Tune Up, Trilian. Ich habe das Gefühl, das irgendwas mit dem Router nicht stimmt (DI 524). Da ich keine Downloads von der microsoft.com Seite machen kann. Auf allen anderen Seiten aber wohl. Nachdem ich dann gestern nur über das Modem ins Netz gegangen bin, konnte ich von der Seite das SP 3 laden. Ich versteh es nicht, das Ding hätte doch weg sein müssen...Antivir hat auch nichts mehr gefunden... Habe auch das normale Formatieren genommen (nicht schnell) im NTFS. mfg mohfiya |
|
21.10.2008, 12:23
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Wo hast Du die Setups her? Hast Du die neu heruntergeladen oder aus dem versifften System übernommen (macht man nicht bei ausführbaren Dateien!) Hattest Du min. das SP2 installiert vor dem ersten Gang ins Internet? Wie gesagt, wenn Du richtig neu aufgesetzt hast, wären die Einträge definitiv nicht da. Von irgendwo müssen die herkommen.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.10.2008, 19:48
| #14 |
| | TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? So, ich habe das System jetzt erneut Neuaufgesetzt (formatiert und installiert). Ersten Inet Kontakt mit SP3 drauf. Alle Treiber frisch über meinen Laptop ausm Netz und von CD auf dem PC installiert. Jetzt habe ich gerade MBM runtergeladen und durchlaufen lassen und wieder die selben Einträge. Code:
ATTFilter Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2a4b432b-a171-44d7-9033-5b62461138af}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{2a4b432b-a171-44d7-9033-5b62461138af}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{2a4b432b-a171-44d7-9033-5b62461138af}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 ->
mfg mohfiya |
|
21.10.2008, 22:28
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Da gibts eigentlich nur zwei Möglichkeiten. Entweder MBAM irrt sich da, oder Du führst immer munter einen Schädling aus. Die Einträge sollten bei einem frischen Windows aber definitiv nicht da sein. Ich hab noch keinen wirkichen Anhaltspunkt, was bei Dir tatsächlich der Infektionsherd ist. Ich fass nochmal zusammen: - alle Partitionen formatiert - Windows frisch vom Originaldatenträger neuinstalliert - erst ins Internet gegangen, als min. das SP2 installiert war - Treiber von vertrauenswürdigen Quellen (neu) heruntergeladen und installiert Was mir jetzt noch zusätzlich einfällt (obwohl ich den Router bauchgefühlgemäßig zu 99% als Infektionsquelle ausschließen würde): - DLink Router (WLAN) ist mit ausreichend starkem Schlüssel mit WPA/WPA2 abgesichert?  - Router hat die neuste Firmware Und um nochmal Klarheit bzgl. des MBR zu schaffen: Führe dieses MBR-Tool aus und poste die Ausgabe
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? |
| .com, antivir, antivirus, application, avira, bho, bonjour, browser, desktop, downloader, firefox, helfen, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, malwarebytes anti-malware, mozilla, nicht gefunden, object, plug-in, problem, registrierungsschlüssel, rootkit.dnschanger.h, senden, server, shortcut, software, system, systray, trojaner, usb, windows, windows xp, windows xp sp3, windows\temp, xp sp3 |
Linear-Darstellung
