|
Plagegeister aller Art und deren Bekämpfung: Spywaredetected on Your Computer..Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.10.2008, 16:31 | #1 |
| Spywaredetected on Your Computer.. Hi, also erstmal vor weg, ich verzweifel total.. Habe das gleiche problem wie viele andere auch und habe mir auch alles ganz brav und sorgfältig durchgelesen, aber mal so fast rein garnichts verstanden. So, ich hoffe ihr könnt mir trotzdem irgendwie weiterhelfen. ( Und bitte habt etwas gedult ) Also, ich kann euch schon mal sagen das ich Windows XP drauf habe mit Servive Pack 3. ( glaub ich zumindest ?!) Ausserdem habe ich es tatsächlich geschafft dieses HijackThis dingen zu machen ( sorry, wie ihr merkt habe ich echt keine ahnung ).. Ich kopiere das einfach mal mit rein hier und hoffe wirklich das ihr mir weiter helfen könnt. GANZ DICKES DANKE schon mal im vorraus.. Lg Ramona Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:37:01, on 17.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\Ati2evxx.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\spoolsv.exe C:\WINDOWS.0\system32\Ati2evxx.exe C:\WINDOWS.0\Explorer.EXE C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\WINDOWS.0\system32\lphcvewj0en3l.exe C:\WINDOWS.0\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS.0\service.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\wscntfy.exe C:\WINDOWS.0\system32\wuauclt.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Dokumente und Einstellungen\RaCo\Desktop\HJTInstall.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.hu.tl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS.0\system32\msxml71.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: (no name) - {832F6083-1252-48D5-BFF7-DA4FE06CBF8D} - C:\WINDOWS.0\system32\certcl.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - (no file) O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe " O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Messenger Service] service.exe O4 - HKLM\..\Run: [stupid creative poll axis] C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Memo save stupid creative\Pop bone.exe O4 - HKLM\..\Run: [lphcvewj0en3l] C:\WINDOWS.0\system32\lphcvewj0en3l.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe O4 - HKCU\..\Run: [ante barb] C:\DOKUME~1\RaCo\ANWEND~1\PHONEL~1\UPLOAD ROAD IDOL.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{20B26F05-64B6-4386-A590-85C7740B4FCD}: NameServer = 62.109.123.6 213.191.92.87 O17 - HKLM\System\CS1\Services\Tcpip\..\{20B26F05-64B6-4386-A590-85C7740B4FCD}: NameServer = 62.109.123.6 213.191.92.87 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS.0\System32\TuneUpDefragService.exe -- End of file - 6605 bytes |
18.10.2008, 13:03 | #2 |
/// TB-Ausbilder | Spywaredetected on Your Computer.. Hi,
__________________du bist ordentlich infiziert. Arbeite bitte mal folgendes ab: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Ich kann dir allerdings jetzt schon sagen, dass das sehr wahrscheinlich ein Backdoortrojaner ist. Dass das Programm eventuell deine Passwörter/Daten ausliest und das ein Neuaufsetzen sicherlich die sicherste Variante ist. lg myrtille
__________________ |
20.10.2008, 14:35 | #3 |
| Spywaredetected on Your Computer.. Hallo,
__________________danke erstmal für deine hilfe, habe alles gemacht und hier ist die liste von Combofix ; ComboFix 08-10-19.04 - RaCo 2008-10-20 13:06:43.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.301 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\RaCo\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\mark\Anwendungsdaten\WinAntiVirus Pro 2006 C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\NetMon C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\NetMon\domains.txt C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\NetMon\log.txt C:\WINDOWS.0\system32\gside.exe C:\WINDOWS.0\system32\msxml71.dll C:\WINDOWS.0\system32\winpfz33.sys . ((((((((((((((((((((((( Dateien erstellt von 2008-09-20 bis 2008-10-20 )))))))))))))))))))))))))))))) . 2008-10-17 22:19 . 2008-10-17 22:19 0 --a--c--- C:\ARK89.tmp 2008-10-17 20:42 . 2008-10-17 20:42 <DIR> d-------- C:\Programme\Avira 2008-10-17 16:45 . 2008-10-17 16:45 101 --a--c--- C:\WINDOWS.0\wininit.ini 2008-10-17 16:34 . 2008-10-17 16:34 <DIR> d-------- C:\Programme\Trend Micro 2008-10-17 14:38 . 2008-10-17 14:38 <DIR> d-------- C:\Programme\Phone Love Site 2008-10-15 10:46 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS.0\system32\dllcache\srv.sys 2008-10-15 10:45 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS.0\system32\dllcache\ntoskrnl.exe 2008-10-15 10:45 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS.0\system32\dllcache\ntkrnlmp.exe 2008-10-15 10:45 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS.0\system32\dllcache\ntkrnlpa.exe 2008-10-15 10:45 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS.0\system32\dllcache\ntkrpamp.exe 2008-10-15 10:45 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS.0\system32\dllcache\win32k.sys 2008-10-13 19:16 . 2008-10-13 19:16 17,737 --a--c--- C:\WINDOWS.0\system32\TuneUpDefragService_20081013-171632.dmp 2008-09-23 10:13 . 2008-09-23 10:13 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\TuneUp Software 2008-09-23 10:13 . 2008-09-23 10:13 306,432 --a--c--- C:\WINDOWS.0\system32\TuneUpDefragService.exe 2008-09-23 10:13 . 2007-12-20 10:41 29,440 --a--c--- C:\WINDOWS.0\system32\uxtuneup.dll 2008-09-23 10:12 . 2008-09-23 10:13 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-09-21 16:37 . 2005-01-11 00:12 292,061 --a--c--- C:\WINDOWS.0\LogonBG.png 2008-09-21 16:37 . 2005-01-11 00:12 1,494 --a--c--- C:\WINDOWS.0\BUTTON2.png 2008-09-21 15:50 . 2008-06-16 06:20 442 --ahsc--- C:\BOOT.BKK 2008-09-21 15:01 . 2004-12-19 23:00 111,104 --a--c--- C:\WINDOWS.0\system32\uharc.exe 2008-09-21 15:01 . 2004-09-03 23:43 199 --a--c--- C:\WINDOWS.0\system32\paypal.url 2008-09-21 15:01 . 2005-01-28 01:49 111 --a--c--- C:\WINDOWS.0\system32\winx.url 2008-09-21 14:37 . 2008-10-09 21:02 45 --a--c--- C:\TEST.XML 2008-09-21 14:36 . 2008-09-21 14:36 <DIR> d-------- C:\Programme\TGTSoft . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-19 15:27 --------- dc----w C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Google Updater 2008-10-17 19:06 --------- dc----w C:\Dokumente und Einstellungen\RaCo\Anwendungsdaten\Phone Love Site 2008-10-17 18:42 --------- dc----w C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Avira 2008-10-17 14:54 --------- dc----w C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Spybot - Search & Destroy 2008-10-17 14:08 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-10-17 12:39 --------- dc----w C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Memo save stupid creative 2008-09-23 08:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-09-23 05:56 --------- d-----w C:\Programme\torrent_search 2008-09-23 05:56 --------- d-----w C:\Programme\Conduit 2008-09-17 06:05 --------- d-----w C:\Programme\ahead 2008-09-15 15:24 1,846,528 -c--a-w C:\WINDOWS.0\system32\win32k.sys 2008-09-08 10:41 333,824 -c--a-w C:\WINDOWS.0\system32\drivers\srv.sys 2008-08-31 16:45 --------- d-----w C:\Programme\Windows Live Safety Center 2008-08-28 05:10 --------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2 2008-08-28 05:04 --------- d-----w C:\Programme\MSXML 4.0 2008-08-27 22:16 --------- dc----w C:\Dokumente und Einstellungen\RaCo\Anwendungsdaten\Azureus 2008-08-26 07:57 826,368 -c--a-w C:\WINDOWS.0\system32\wininet.dll 2008-08-22 11:44 994 -c--a-w C:\Dokumente und Einstellungen\RaCo\Anwendungsdaten\filterclsid.dat 2008-08-21 05:49 5,120 -c--a-w C:\WINDOWS.0\system32\drivers\khibqjcf.dat 2008-08-21 05:49 18,688 -c--a-w C:\WINDOWS.0\system32\drivers\eqtzxwab.dat 2008-08-14 13:19 2,191,488 -c--a-w C:\WINDOWS.0\system32\ntoskrnl.exe 2008-08-14 13:19 2,068,352 -c--a-w C:\WINDOWS.0\system32\ntkrnlpa.exe 2008-08-12 12:59 64,859 -c--a-w C:\WINDOWS.0\system32\bcupuelblyzxsbaa.exe 2008-07-25 08:36 524,288 -c--a-w C:\WINDOWS.0\system32\DivXsm.exe 2008-07-23 16:50 3,596,288 -c--a-w C:\WINDOWS.0\system32\qt-dx331.dll 2008-07-23 16:48 200,704 -c--a-w C:\WINDOWS.0\system32\ssldivx.dll 2008-07-23 16:48 1,044,480 -c--a-w C:\WINDOWS.0\system32\libdivx.dll 2008-07-23 16:46 12,288 -c--a-w C:\WINDOWS.0\system32\DivXWMPExtType.dll 2008-07-21 18:58 857,664 -c--a-w C:\ccsetup209_slim.exe 2008-06-23 10:38 16,384 -csha-w C:\WINDOWS.0\system32\config\systemprofile\Cookies\index.dat 2008-06-23 10:38 32,768 -csha-w C:\WINDOWS.0\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat 2008-06-23 10:38 32,768 -csha-w C:\WINDOWS.0\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat 2008-06-23 10:38 32,768 -csha-w C:\WINDOWS.0\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008062320080624\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS.0\system32\ctfmon.exe" [2008-04-14 15360] "ante barb"="C:\DOKUME~1\RaCo\ANWEND~1\PHONEL~1\UPLOAD ROAD IDOL.exe" [2008-10-17 532992] "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "stupid creative poll axis"="C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Memo save stupid creative\Pop bone.exe" [2008-10-20 2103808] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS.0\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "nltide_3"="advpack.dll" [2008-08-26 C:\WINDOWS.0\system32\advpack.dll] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.divxa32"= DivXa32.acm [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=C:\WINDOWS.0\system32\ctfmon.exe "LogitechSoftwareUpdate"=C:\Programme\Logitech\Video\ManifestEngine.exe boot "MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SoundMan"=SOUNDMAN.EXE "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup "LogitechVideoRepair"=C:\Programme\Logitech\Video\ISStart.exe "LogitechVideoTray"=C:\Programme\Logitech\Video\LogiTray.exe "LVCOMSX"=C:\WINDOWS.0\system32\LVCOMSX.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\WINDOWS.0\\system32\\sessmgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\AVS4YOU\\Registration.exe"= "C:\\Programme\\Alice Software\\AliceEinwahl.exe"= "C:\\Dokumente und Einstellungen\\RaCo\\Eigene Dateien\\Meine empfangenen Dateien\\eMule0.48a-SharkX-BIN\\emule.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:*isabled:@xpsp2res.dll,-22009 R0 bjuhkywj;bjuhkywj;C:\WINDOWS.0\system32\drivers\eqtzxwab.dat [ ] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS.0\System32\svchost.exe [2008-04-14 14336] S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-07-20 29744] S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS.0\system32\DRIVERS\ss_bus.sys [2007-05-02 83592] S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS.0\system32\DRIVERS\ss_mdfl.sys [2007-05-02 15112] S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS.0\system32\DRIVERS\ss_mdm.sys [2007-05-02 109704] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS.0\System32\TuneUpDefragService.exe [2008-09-23 306432] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2008-10-17 C:\WINDOWS.0\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 12:19] 2008-10-20 C:\WINDOWS.0\Tasks\AFD0A7F990775B1D.job - c:\dokume~1\raco\anwend~1\phonel~1\signaxiserror.exe [2008-10-17 14:39] . - - - - Entfernte verwaiste Registrierungseinträge - - - - URLSearchHooks-{9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file) BHO-{832F6083-1252-48D5-BFF7-DA4FE06CBF8D} - C:\WINDOWS.0\system32\certcl.dll BHO-{D5792AA9-D373-4039-8670-2CDAB6A71F15} - (no file) HKLM-Run-lphcvewj0en3l - C:\WINDOWS.0\system32\lphcvewj0en3l.exe . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\RaCo\Anwendungsdaten\Mozilla\Firefox\Profiles\racimslp.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.bild.de FF -: plugin - C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF -: plugin - C:\Programme\Google\Google Updater\2.2.1273.1045\npCIDetect12.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPAskSBr.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npmozax.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-20 15:15:26 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bjuhkywj] "ImagePath"="system32\drivers\eqtzxwab.dat" . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINDOWS.0\system32\ati2evxx.exe C:\WINDOWS.0\system32\ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS.0\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-20 15:23:46 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-20 13:23:37 Vor Suchlauf: 27 Verzeichnis(se), 65.386.430.464 Bytes frei Nach Suchlauf: 27 Verzeichnis(se), 64,862,760,960 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=signature(16531652)disk(0)rdisk(0)partition(1)\WINDOWS.1 [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons signature(16531652)disk(0)rdisk(0)partition(1)\WINDOWS.1="Microsoft Windows XP Professional" /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect 197 --- E O F --- 2008-10-19 20:39:46 |
20.10.2008, 22:03 | #4 |
/// TB-Ausbilder | Spywaredetected on Your Computer.. Hi, Scripten mit Combofix
Code:
ATTFilter driver:: bjuhkywj file:: C:\WINDOWS.0\system32\uharc.exe C:\WINDOWS.0\system32\paypal.url C:\WINDOWS.0\system32\winx.url C:\WINDOWS.0\system32\drivers\khibqjcf.dat C:\WINDOWS.0\system32\drivers\eqtzxwab.dat C:\WINDOWS.0\system32\bcupuelblyzxsbaa.exe C:\WINDOWS.0\Tasks\AFD0A7F990775B1D.job folder:: C:\Dokumente und Einstellungen\RaCo\Anwendungsdaten\Phone Love Site C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Memo save stupid creative
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
Themen zu Spywaredetected on Your Computer.. |
adobe, ask toolbar, bho, dateien, desktop, einstellungen, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, keine ahnung, messenger, micro, microsoft, mozilla, pdf, problem, programme, software, sp3, system, tuneup.defrag, urlsearchhook, windows, windows xp, windows xp sp3, xp sp3 |