|
Log-Analyse und Auswertung: Probleme mit TR/Hijack.AE.2Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
15.11.2008, 11:14 | #1 |
| Probleme mit TR/Hijack.AE.2 Hallo zusammen, Antivir zeigt mir seit einer Woche an, ich hätte das Trojanische Pferd TR/Hijack.AE.2 ich habe es darauf hin in Quarantäne verschoben. Dannach brach mein PC allerdings völlig ein und ich konnte nur noch meinen Deskop-Hinterfrund sehen und sonst nix. Ein Kumpel von mir, der sich eig ganz gut mit solchen Sachen auskennt, aht mir dann geholfen und letztendlich hat er mir mein System auf einen Sicherungspunkt zurückgesetzt (sorry, wenn ich mich unverständlich ausdrücke, aber kenn mich nich wirklich gut aus). Zuvor haben etliche verschiedene Antivien Programme keinen Befall feststellen können, außer Spyware Doctor, den ich allerdings nur als Demoversion hatte und die Befälle nicht löschen konnte. Die ganze Sache sah auch erst gut aus, ich hatte wieder Zugriff auf alles, aber sobald ich den PC einschalte kommt wieder eine Antivir Meldung über den gleichen Trojaner. Wenn ich Antivir allerdings das System überprüfen lasse, zeigt es keine Funde an. Auf der jetzigen Meldung kann ich wählen zwischen 'In Quarantäne verschieben' 'Löschen' 'Umbenennen' 'Zugriff verweigern' und 'Ignorieren'. Beim ersten Auftreten vor einer Woche waren die Optionen 'Löschen' und 'Umbenennen' noch nicht vorhanden. Allerdings erscheint die Meldung alle paar Minuten bis Sekunden wieder, egal was ich damit mache. Weder Quarantäne noch Löschen helfen da was. Die Quelle wurde übrigens angegeben mit WINDOWS/system32/dicpsapi.dll Jetzt hab ich HijackThis mal suchen lassen und das ist das Protokoll: Vielen Dank schon mal für die Hilfe. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:51:13, on 15.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\COMODO\Firewall\cmdagent.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\sm56hlpr.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\COMODO\SafeSurf\cssurf.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\COMODO\Firewall\cfp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\phonostar\ps_agent.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: TBSB04045 - {C6BFC16B-D6FF-47EB-B5D7-F91FB78F94CE} - C:\Programme\IEToolbar\Amazon Toolbar\amazon.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Amazon Toolbar - {EEB30C11-DF11-46DF-B763-BAF798CA65F3} - C:\Programme\IEToolbar\Amazon Toolbar\amazon.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Programme\COMODO\SafeSurf\cssurf.exe" -s O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\WINDOWS\system32\cssdll32.dll C:\WINDOWS\system32\guard32.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe -- End of file - 10525 bytes |
15.11.2008, 13:48 | #2 | |
| Probleme mit TR/Hijack.AE.2 Hallo und
__________________mach bitte zuerst alle versteckten Dateien und Ordner sichtbar. Dann deaktiviere bitte den Teatimer von SpyBot S&D Zitat:
Deinstalliere über Start -> Einstellungen -> Systemsteuerung -> Software bitte das Programm AskBar. Lade bitte diese Datei C:\WINDOWS\System32\dicpsapi.dll hier Virustotal, hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung, bitte auch wenn nichts gefunden wurde. Führe Malwarebytes aus, lass alles gefundene löschen und poste anschließend bitte das Log hierher. MFG
__________________ |
15.11.2008, 14:39 | #3 |
| Probleme mit TR/Hijack.AE.2 Hi, also danke schonmal.
__________________Hab das jetzt alles gemacht. Ich hab C:\WINDOWS\System32\dicpsapi.dll bei allen 3 von dir genannten Seiten hochgeladen. Bei VirScan konnte sie nicht geladen werden. Bei den anderen 2 kam das heraus: Virustotal: 0 bytes size received / Se ha recibido un archivo vacio Jotti: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Weiß nicht ob es was hilft, aber immer wenn ich einen Systemdurchlauf starte (egal mit welchem Programm) kommt eine neue Fund-Meldung. Und wenn eine Meldung während eines Suchlaufs erscheint, hält der Suchlauf an, bis ich gelöscht oder in Quarantäne verschoben hab. Der Malwarebytes Log lautet wie folgt: Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1399 Windows 5.1.2600 Service Pack 3 15.11.2008 14:32:45 mbam-log-2008-11-15 (14-32-45).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 64697 Laufzeit: 21 minute(s), 23 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 21 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 2 Infizierte Dateien: 11 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{673a860d-47ec-48c8-a135-9373c88ad578} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{61bb3b9a-7c7b-405b-82ac-1547b88be9d0} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{f85c64ae-16b0-44c3-ba8b-ba0e08e54303} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{c6bfc16b-d6ff-47eb-b5d7-f91fb78f94ce} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c6bfc16b-d6ff-47eb-b5d7-f91fb78f94ce} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c6bfc16b-d6ff-47eb-b5d7-f91fb78f94ce} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\IEToolbar (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar (Adware.DosPopToolbar) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\tbhelper.dll (Trojan.BHO) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\amazon.bmp (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\amazon.crc (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\amazon.dll (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\basis.xml (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\icons.bmp (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\info.txt (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\uninstall.exe (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\update.exe (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\version.txt (Adware.DosPopToolbar) -> Quarantined and deleted successfully. |
15.11.2008, 15:13 | #4 | |
| Probleme mit TR/Hijack.AE.2 Hallo Zitat:
Killbox Installiere das Programm auf deinem Desktop -> http://download.bleepingcomputer.com/spyware/KillBox.exe]Pocket KILLBOX -Starte es mit Doppelklick -klick die Funktion -> "delete on reboot" -kopiere diesen Dateipfad in das weiße Feld unter: Full Path Code:
ATTFilter C:\WINDOWS\System32\dicpsapi.dll -nach dem Neustart diesen Ordner aufsuchen -> C:\!KillBox und die dort befindliche Datei bitte nochmal auswerten lassen. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Die Logs kannst du in Codetags posten (die Raute in der Antwortbox #) HTML-Code: [CODE]Logfiles hier zwischen[/CODE] MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
15.11.2008, 17:17 | #5 |
| Probleme mit TR/Hijack.AE.2 Ok. Killbox: Erledigt. Was meinst du mit nochmal auswerten? Habs mal mit Malewarebytes überprüft, wenn du das gemeint haben solltes (sorry): Code:
ATTFilter Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1399 Windows 5.1.2600 Service Pack 3 15.11.2008 17:14:31 mbam-log-2008-11-15 (17-14-31).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 1 Laufzeit: 1 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ComboFix: Code:
ATTFilter ComboFix 08-11-13.01 - Chris 2008-11-15 16:13:25.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.598 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Chris\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML . ((((((((((((((((((((((( Dateien erstellt von 2008-10-15 bis 2008-11-15 )))))))))))))))))))))))))))))) . 2008-11-15 15:58 . 2008-11-15 15:58 <DIR> d-------- c:\programme\CCleaner 2008-11-15 15:40 . 2008-11-15 15:40 <DIR> d----c--- C:\!KillBox 2008-11-15 14:09 . 2008-11-15 14:09 <DIR> d-------- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Malwarebytes 2008-11-15 14:09 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-15 14:09 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-15 14:08 . 2008-11-15 14:09 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-11-15 14:08 . 2008-11-15 14:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-11-15 10:50 . 2008-11-15 10:50 <DIR> d-------- c:\programme\Trend Micro 2008-11-15 00:24 . 2008-11-15 00:27 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2008-11-15 00:24 . 2008-11-15 16:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-11-14 23:18 . 2008-11-14 23:15 143,096 --a------ c:\windows\system32\guard32.dll 2008-11-14 23:00 . 2008-11-14 23:00 <DIR> d-------- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Comodo 2008-11-14 23:00 . 2008-11-14 23:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\comodo 2008-11-14 23:00 . 2008-11-14 23:15 99,856 --a------ c:\windows\system32\drivers\cmdguard.sys 2008-11-14 23:00 . 2008-11-14 23:15 31,504 --a------ c:\windows\system32\drivers\cmdhlp.sys 2008-11-14 22:54 . 2008-11-14 22:54 <DIR> d-------- c:\programme\Avira 2008-11-14 22:54 . 2008-11-14 22:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2008-11-14 22:47 . 2008-11-14 22:47 249,592 --a------ c:\windows\system32\cssdll32.dll 2008-11-14 22:46 . 2008-11-14 23:03 <DIR> d-------- c:\programme\COMODO 2008-11-14 21:59 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-14 21:58 . 2008-09-04 18:15 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll 2008-11-14 21:33 . 2008-11-14 22:37 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-11-14 21:16 . 2008-11-14 21:16 <DIR> d-------- c:\programme\Lavasoft 2008-11-14 21:16 . 2008-11-14 21:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-11-14 21:15 . 2008-11-14 21:15 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2008-11-14 20:47 . 2008-11-14 20:47 <DIR> d-------- c:\programme\Alwil Software 2008-11-14 20:40 . 2008-11-14 20:40 <DIR> d-------- c:\programme\AxBx 2008-11-14 20:39 . 2008-11-14 20:39 <DIR> d-------- c:\windows\system32\drivers\Avg(2) 2008-11-14 20:39 . 2008-11-14 21:09 <DIR> d-------- c:\programme\AVG(2) 2008-11-14 20:39 . 2008-11-14 21:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8(2) 2008-11-14 20:39 . 2008-11-14 20:39 10,520 --a------ c:\windows\system32\avgrsstx(2).dll 2008-11-14 17:19 . 2008-11-14 21:09 <DIR> d----c--- C:\Alles 2008-10-24 12:22 . 2008-10-15 17:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll 2008-10-17 12:07 . 2008-03-05 14:56 3,786,760 --a------ c:\windows\system32\D3DX9_37.dll 2008-10-17 12:07 . 2007-07-19 17:14 3,727,720 --a------ c:\windows\system32\d3dx9_35.dll 2008-10-17 12:07 . 2007-05-16 15:45 3,497,832 --a------ c:\windows\system32\d3dx9_34.dll 2008-10-17 12:07 . 2007-04-04 17:53 81,768 --a------ c:\windows\system32\xinput1_3.dll 2008-10-17 12:06 . 2007-03-12 15:42 3,495,784 --a------ c:\windows\system32\d3dx9_33.dll 2008-10-17 12:06 . 2006-11-29 12:06 3,426,072 --a------ c:\windows\system32\d3dx9_32.dll 2008-10-17 12:06 . 2006-09-28 15:05 2,414,360 --a------ c:\windows\system32\d3dx9_31.dll 2008-10-17 12:06 . 2005-05-26 14:34 2,297,552 --a------ c:\windows\system32\d3dx9_26.dll 2008-10-17 12:01 . 2008-10-17 12:05 <DIR> d-------- C:\FIFA 09 Demo . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-15 13:32 --------- d-----w c:\programme\ICQToolbar 2008-11-14 20:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2008-11-14 20:09 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-17 11:07 --------- d-----w c:\programme\EA SPORTS 2008-10-03 17:21 --------- d-----w c:\programme\Picasa2 2008-10-03 16:58 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll 2008-10-01 14:53 --------- d-----w c:\programme\NCH Swift Sound 2008-09-24 11:40 --------- d-----w c:\programme\ICQ6 2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-15 15:24 1,846,528 ------w c:\windows\system32\dllcache\win32k.sys 2008-09-10 01:13 1,307,648 ------w c:\windows\system32\msxml6.dll 2008-09-10 01:13 1,307,648 ------w c:\windows\system32\dllcache\msxml6.dll 2008-09-08 10:41 333,824 ------w c:\windows\system32\dllcache\srv.sys 2008-09-05 21:31 267,304 ------w c:\windows\system32\dllcache\wgaLogon.dll 2008-09-05 21:30 952,360 ------w c:\windows\system32\dllcache\WgaTray.exe 2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-08-27 08:57 3,593,216 ----a-w c:\windows\system32\dllcache\mshtml.dll 2008-08-25 08:38 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe 2008-08-25 08:37 70,656 ----a-w c:\windows\system32\dllcache\ie4uinit.exe 2008-08-23 05:56 635,848 ----a-w c:\windows\system32\dllcache\iexplore.exe 2008-08-23 05:54 161,792 ----a-w c:\windows\system32\dllcache\ieakui.dll 2007-03-08 11:15 14,730,232 ----a-w c:\programme\DivXInstaller.exe 2006-11-27 19:16 6,051,840 ----a-w c:\programme\icq5_1_german_setup.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 1937408] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-26 68856] "PhonostarAgent"="c:\programme\phonostar\ps_agent.exe" [2008-07-14 98304] "PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2008-07-14 126976] "ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-03-22 155648] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-03-22 126976] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "OdTray.exe"="c:\programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" [2005-05-18 1015871] "EPSON Stylus D68 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 98304] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-02-07 71216] "LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696] "COMODO SafeSurf"="c:\programme\COMODO\SafeSurf\cssurf.exe" [2008-11-14 278264] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "COMODO Firewall Pro"="c:\programme\COMODO\Firewall\cfp.exe" [2008-11-14 1797880] "COMODO Internet Security"="c:\programme\COMODO\Firewall\cfp.exe" [2008-11-14 1797880] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe] "SMSERIAL"="sm56hlpr.exe" [2005-04-26 c:\windows\sm56hlpr.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OdysseyClient] 2006-10-17 22:18 106496 c:\windows\system32\odyEvent.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.iv31"= c:\windows\system32\ir32_32.dll "vidc.iv32"= c:\windows\system32\ir32_32.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2008-11-14 99856] R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2008-11-14 31504] R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};c:\programme\CyberLink\PowerDVD\000.fcl [2006-11-02 15:51 13560] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456] R3 odysseyIM4;Odyssey Network Agent Miniport;c:\windows\system32\DRIVERS\odysseyIM4.sys [2005-05-18 173056] S3 Usblink;Usblink Driver;c:\windows\system32\Drivers\ulink.sys [2003-06-02 40060] . Inhalt des "geplante Tasks" Ordners 2008-11-06 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\52zg6syv.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official FF -: plugin - c:\programme\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll FF -: plugin - c:\programme\Picasa2\npPicasa2.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-15 16:24:40 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}] "ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl" . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe c:\programme\Lavasoft\Ad-Aware\aawservice.exe c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\COMODO\Firewall\cmdagent.exe c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe c:\programme\CyberLink\Shared files\RichVideo.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-11-15 16:48:29 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-11-15 15:44:24 Vor Suchlauf: 15 Verzeichnis(se), 12.994.191.360 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 13,856,464,896 Bytes frei 184 --- E O F --- 2008-11-14 23:44:10 |
15.11.2008, 17:18 | #6 |
| Probleme mit TR/Hijack.AE.2 Silentrunner: Code:
ATTFilter "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "NBJ" = ""C:\Programme\Ahead\Nero BackItUp\NBJ.exe"" ["Ahead Software AG"] "swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."] "PhonostarAgent" = "C:\Programme\phonostar\ps_agent.exe" ["phonostar"] "PhonostarTimer" = "C:\Programme\phonostar\ps_timer.exe" ["phonostar"] "ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Verknüpfung mit der High Definition Audio-Eigenschaftenseite" = "HDAShCut.exe" ["Windows (R) Server 2003 DDK provider"] "SMSERIAL" = "sm56hlpr.exe" ["Motorola Inc."] "IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"] "HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"] "SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."] "SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "OdTray.exe" = ""C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"" ["Funk Software, Inc."] "EPSON Stylus D68 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"" ["SEIKO EPSON CORPORATION"] "RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."] "LanguageShortcut" = "C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [null data] "Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."] "COMODO SafeSurf" = ""C:\Programme\COMODO\SafeSurf\cssurf.exe" -s" ["COMODO"] "avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "COMODO Firewall Pro" = ""C:\Programme\COMODO\Firewall\cfp.exe" -h" ["COMODO"] "COMODO Internet Security" = ""C:\Programme\COMODO\Firewall\cfp.exe" -h" ["COMODO"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = "Skype add-on (mastermind)" -> {HKLM...CLSID} = "Skype add-on (mastermind)" \InProcServer32\(Default) = "C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL" ["Skype Technologies S.A."] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll" ["Google Inc."] {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = (no title provided) -> {HKLM...CLSID} = "EpsonToolBandKicker Class" \InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS] <<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"] <<!>> OdysseyClient\DLLName = "odyEvent.dll" ["Funk Software, Inc."] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Secure Eraser\(Default) = "{2A8DEC8D-934E-4FF8-825A-05A800047649}" -> {HKLM...CLSID} = "Secure Eraser" \InProcServer32\(Default) = "C:\Programme\ASCOMP Software\Secure Eraser\SecEraser.dll" [null data] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"] Secure Eraser\(Default) = "{2A8DEC8D-934E-4FF8-825A-05A800047649}" -> {HKLM...CLSID} = "Secure Eraser" \InProcServer32\(Default) = "C:\Programme\ASCOMP Software\Secure Eraser\SecEraser.dll" [null data] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"] Default executables: -------------------- <<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile" Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoDrives" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoDrives" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideLogoffScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideStartupScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "RunLogonScriptSync" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "RunStartupScriptSync" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} "DisableRegistryTools" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideLogoffScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "RunLogonScriptSync" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "RunStartupScriptSync" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideStartupScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ EpsonCreativitySuite\ "Provider" = "FileManager" "InvokeProgID" = "EpsonCreativitySuite" "InvokeVerb" = "Play" HKLM\SOFTWARE\Classes\EpsonCreativitySuite\shell\Play\DropTarget\CLSID = "{7720BCC1-4F11-4f17-A80F-0BB69EF9788F}" -> {HKLM...CLSID} = (no title provided) \LocalServer32\(Default) = "C:\Programme\EPSON\Creativity Suite\File Manager\eppqcom.exe" [null data] MSWPDShellNamespaceHandler\ "Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501" "CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}" "InitCmdLine" = " " -> {HKLM...CLSID} = "WPDShextAutoplay" \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS] PDVDPlayCDAudioOnArrival\ "Provider" = "PowerDVD" "InvokeProgID" = "AudioCD" "InvokeVerb" = "PlayWithPowerDVD" HKLM\SOFTWARE\Classes\AudioCD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."] PDVDPlayDVDMovieOnArrival\ "Provider" = "PowerDVD" "InvokeProgID" = "DVD" "InvokeVerb" = "PlayWithPowerDVD" HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%l"" ["CyberLink Corp."] PDVDPlayVCDMovieOnArrival\ "Provider" = "PowerDVD" "InvokeProgID" = "VCD" "InvokeVerb" = "PlayWithPowerDVD" HKLM\SOFTWARE\Classes\VCD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%l"" ["CyberLink Corp."] Picasa2ImportPicturesOnArrival\ "Provider" = "Picasa2" "InvokeProgID" = "picasa2.autoplay" "InvokeVerb" = "import" HKLM\SOFTWARE\Classes\picasa2.autoplay\shell\import\command\(Default) = "C:\Programme\Picasa2\Picasa2.exe "%1"" ["Google Inc."] PSASE30ImportPicturesOnArrival\ "Provider" = "Adobe Photoshop Album Starter Edition" "InvokeProgID" = "PSASE30.autoplay" "InvokeVerb" = "launch" HKLM\SOFTWARE\Classes\PSASE30.autoplay\shell\launch\command\(Default) = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\psaproxy.exe" -v %1\" ["Adobe Systems Incorporated"] VLCPlayCDAudioOnArrival\ "Provider" = "VideoLAN VLC media player" "InvokeProgID" = "VLC.CDAudio" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"] VLCPlayDVDMovieOnArrival\ "Provider" = "VideoLAN VLC media player" "InvokeProgID" = "VLC.DVDMovie" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"] Startup items in "Chris" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."] "Critical Battery Alarm Program" -> WARNING -- The file "Critical Battery Alarm Program.job" is corrupt! (no executable) Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQToolBar" \InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" -> {HKLM...CLSID} = "EPSON Web-To-Page" \InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"] "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQToolBar" \InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = (no title provided) -> {HKLM...CLSID} = "EPSON Web-To-Page" \InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"] "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQToolBar" -> {HKLM...CLSID} = "ICQToolBar" \InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_07" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_07" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll" ["Sun Microsystems, Inc."] {77BF5300-1474-4EC7-9980-D32B190E9B07}\ "ButtonText" = "Skype" "CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}" -> {HKLM...CLSID} = "Skype add-on (button)" \InProcServer32\(Default) = "C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL" ["Skype Technologies S.A."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found] {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search & Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {E59EB121-F339-4851-A3BA-FE49C35617C2}\ "ButtonText" = "ICQ6" "MenuText" = "ICQ6" "Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQToolBar" \InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."] Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] COMODO Internet Security Helper Service, cmdAgent, ""C:\Programme\COMODO\Firewall\cmdagent.exe"" ["COMODO"] Cyberlink RichVideo Service(CRVS), RichVideo, ""C:\Programme\CyberLink\Shared files\RichVideo.exe"" [empty string] Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"] ICQ Service, ICQ Service, "C:\Programme\ICQ6Toolbar\ICQ Service.exe" [empty string] Lavasoft Ad-Aware Service, aawservice, "C:\Programme\Lavasoft\Ad-Aware\aawservice.exe" ["Lavasoft"] Odyssey Client for Fujitsu Siemens Computers, odClientService, ""C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe"" ["Funk Software, Inc."] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ EPSON Stylus D68 Series 2KMonitor5E\Driver = "E_FLMAAE.DLL" ["SEIKO EPSON CORPORATION"] ---------- (launch time: 2008-11-15 16:54:10) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 42 seconds, including 15 seconds for message boxes) |
15.11.2008, 17:20 | #7 |
| Probleme mit TR/Hijack.AE.2 Filelist: Code:
ATTFilter Datenträger in Laufwerk C: ist System Volumeseriennummer: 6457-FB20 Verzeichnis von C:\ 15.11.2008 16:48 13.158 ComboFix.txt 15.11.2008 16:23 1.063.440.384 hiberfil.sys 15.11.2008 16:23 1.598.029.824 pagefile.sys 09.10.2008 12:38 251.712 ntldr Code:
ATTFilter Datenträger in Laufwerk C: ist System Volumeseriennummer: 6457-FB20 Verzeichnis von C:\WINDOWS\system32 15.11.2008 16:24 1.158 wpa.dbl 14.11.2008 23:15 143.096 guard32.dll 14.11.2008 22:47 249.592 cssdll32.dll 14.11.2008 21:35 53.098 perfc009.dat 14.11.2008 21:35 63.976 perfc007.dat 14.11.2008 21:35 391.574 perfh007.dat 14.11.2008 21:35 380.684 perfh009.dat 14.11.2008 21:35 897.778 PerfStringBackup.INI 14.11.2008 20:47 3.002 CONFIG.NT 14.11.2008 20:39 10.520 avgrsstx(2).dll 04.11.2008 01:10 17.318.336 MRT.exe 15.10.2008 18:10 125.320 FNTCACHE.DAT 15.10.2008 17:35 337.408 netapi32.dll 12.10.2008 14:14 16.832 amcompat.tlb 12.10.2008 14:14 23.392 nscompat.tlb 10.10.2008 13:18 90 spupdwxp.log 03.10.2008 17:58 6.066.176 ieframe.dll Code:
ATTFilter Datenträger in Laufwerk C: ist System Volumeseriennummer: 6457-FB20 Verzeichnis von C:\WINDOWS\Prefetch 15.11.2008 16:56 52.168 WINRAR.EXE-3588DFE8.pf 15.11.2008 16:55 17.670 NOTEPAD.EXE-336351A9.pf 15.11.2008 16:55 18.538 VERCLSID.EXE-3667BD89.pf 15.11.2008 16:54 83.824 WMIPRVSE.EXE-28F301A9.pf 15.11.2008 16:49 113.554 FIREFOX.EXE-1D57670A.pf 15.11.2008 16:44 53.570 IMAPI.EXE-0BF740A4.pf 15.11.2008 16:44 79.862 EXPLORER.EXE-082F38A9.pf 15.11.2008 16:26 90.110 WUAUCLT.EXE-399A8E72.pf 15.11.2008 16:26 12.518 PS_TIMER.EXE-0EADA93A.pf 15.11.2008 16:26 1.855.598 NTOSBOOT-B00DFAAD.pf 15.11.2008 15:56 113.652 WINWORD.EXE-0AEA99D4.pf 15.11.2008 15:45 96.540 SVCHOST.EXE-3530F672.pf 15.11.2008 15:42 20.794 LOGONUI.EXE-0AF22957.pf 15.11.2008 15:18 76.040 DFRGNTFS.EXE-269967DF.pf 15.11.2008 15:18 18.030 DEFRAG.EXE-273F131E.pf 15.11.2008 15:18 994.258 Layout.ini 15.11.2008 14:09 23.852 REGSVR32.EXE-25EEFE2F.pf 15.11.2008 13:16 157.692 VLC.EXE-29851A71.pf 15.11.2008 12:47 46.552 AD-AWARE.EXE-2B8B58D1.pf 15.11.2008 12:47 70.610 DWWIN.EXE-30875ADC.pf 15.11.2008 12:47 147.086 DUMPREP.EXE-1B46F901.pf 15.11.2008 12:47 20.440 TASKMGR.EXE-20256C55.pf 15.11.2008 11:58 15.404 RUNDLL32.EXE-451FC2C0.pf 15.11.2008 11:34 48.758 DIVXSM.EXE-3407AB62.pf 15.11.2008 11:32 73.382 NERO.EXE-32314E31.pf 15.11.2008 11:18 68.836 NEROSTARTSMART.EXE-280EC446.pf 15.11.2008 10:33 22.226 OSA9.EXE-07EC1F61.pf 14.11.2008 23:05 82.672 ICQ.EXE-3425F561.pf 14.11.2008 22:38 30.490 AVWSC.EXE-2F6C3C95.pf 14.11.2008 22:36 48.420 AVCENTER.EXE-37584419.pf 14.11.2008 22:35 13.606 PCTSAUXS.EXE-248177B2.pf 14.11.2008 22:35 62.826 PCTSTRAY.EXE-19D5DE12.pf 14.11.2008 22:35 78.150 PCTSSVC.EXE-0922220E.pf 14.11.2008 22:35 69.662 PCTSGUI.EXE-1D6925CB.pf 14.11.2008 22:32 17.742 DRWTSN32.EXE-2B4B52AC.pf 14.11.2008 22:32 60.962 UPDATE.EXE-0C3CBDEF.pf 14.11.2008 22:24 26.830 RUNDLL32.EXE-1687FC74.pf 14.11.2008 21:57 46.248 ODCLIENTMGR.EXE-15F7DEB5.pf 14.11.2008 21:57 11.528 ODTRAY.EXE-2A86AEA3.pf 14.11.2008 21:34 33.356 WMIADAP.EXE-2DF425B2.pf 14.11.2008 21:23 31.482 GOOGLEUPDATER.EXE-36CE3796.pf 14.11.2008 21:16 23.316 LSUPDATEMANAGER.EXE-15358094.pf 14.11.2008 21:16 21.744 AAWLIC.EXE-0B74EF31.pf 14.11.2008 21:16 24.130 AAWSERVICE.EXE-1E1DE6D1.pf 14.11.2008 21:15 106.264 MSIEXEC.EXE-2F8A8CAE.pf 14.11.2008 21:15 12.294 AAW2008_11N.EXE-17032728.pf 14.11.2008 21:14 14.582 RUNDLL32.EXE-123FE521.pf 14.11.2008 21:14 52.374 AVSCAN.EXE-05AECC0E.pf 14.11.2008 21:13 13.628 PDVDSERV.EXE-15757141.pf 14.11.2008 21:13 10.582 JUSCHED.EXE-07D7A15E.pf 14.11.2008 21:13 14.836 SYNTPENH.EXE-3967AE36.pf 14.11.2008 21:13 13.442 MSMSGS.EXE-32066BA5.pf 14.11.2008 21:13 10.730 SYNTPLPR.EXE-0AB61C3B.pf 14.11.2008 21:13 10.180 IGFXTRAY.EXE-3391579A.pf 14.11.2008 21:13 16.050 HKCMD.EXE-1D05234B.pf 14.11.2008 21:13 14.586 SM56HLPR.EXE-354818CA.pf 14.11.2008 21:13 10.982 CTFMON.EXE-0E17969B.pf 14.11.2008 21:13 6.754 NEROCHECK.EXE-092C6DFA.pf 14.11.2008 21:13 12.952 HDASHCUT.EXE-1B000CA9.pf 14.11.2008 17:10 21.090 RUNDLL32.EXE-319B095C.pf 14.11.2008 17:09 36.106 WGATRAY.EXE-0ED38BED.pf 14.11.2008 17:09 18.330 USERINIT.EXE-30B18140.pf 14.11.2008 16:42 15.958 RUNDLL32.EXE-2916863D.pf 14.11.2008 16:41 79.454 UPDATE.EXE-13D57D76.pf 14.11.2008 16:41 19.322 PREUPD.EXE-358AA1C1.pf 10.11.2008 22:26 8.596 MSCONFIG.EXE-35E4DAE9.pf 10.11.2008 22:22 12.528 WINLOGON.EXE-32C57D49.pf 10.11.2008 22:22 55.076 CSRSS.EXE-12B63473.pf 10.11.2008 21:43 52.066 UNZIP.EXE-32783F55.pf 10.11.2008 21:42 43.780 AVCONFIG.EXE-3B8B9C26.pf 10.11.2008 21:41 41.480 SDSETUP.TMP-3AEA457E.pf 10.11.2008 21:41 15.400 SDSETUP.EXE-24A8568F.pf 10.11.2008 21:32 59.904 AVNOTIFY.EXE-22AE9451.pf 10.11.2008 21:25 29.054 GUARDGUI.EXE-1BD45C30.pf 10.11.2008 21:24 30.066 SETUP_WM.EXE-19AC5A9B.pf 10.11.2008 21:24 93.962 WMPLAYER.EXE-09969333.pf 10.11.2008 21:08 51.952 SSMYPICS.SCR-01C62024.pf 10.11.2008 20:32 256.846 HELPSVC.EXE-2878DDA2.pf 10.11.2008 18:05 18.370 E_FARNAAE.EXE-0B452111.pf 10.11.2008 18:05 35.504 E_FAMTAAE.EXE-0CD55C71.pf 10.11.2008 18:05 17.344 E_FBSRAAE.EXE-02DB0F43.pf 10.11.2008 18:05 64.582 ACRORD32.EXE-153330F0.pf 10.11.2008 18:04 70.820 ACRORD32INFO.EXE-19D979CC.pf 10.11.2008 15:55 80.264 GOOGLEEARTH.EXE-0978F2AD.pf 10.11.2008 15:22 39.318 AVGNT.EXE-36CA4640.pf 09.11.2008 18:03 19.852 WAVEPAD.EXE-0E37EF25.pf 09.11.2008 17:26 62.994 SNDVOL32.EXE-383480B7.pf 09.11.2008 14:25 61.056 SNDREC32.EXE-309776A8.pf 08.11.2008 20:06 72.482 FIFA09.EXE-025F97D2.pf 07.11.2008 22:35 128.848 EXCEL.EXE-0D2E9C6C.pf 06.11.2008 23:33 65.370 SOFTWAREUPDATE.EXE-1E90DF1F.pf 06.11.2008 23:33 18.296 DLLHOST.EXE-205D880D.pf 06.11.2008 22:04 36.476 ANTIVIR_WORKSTATION_WIN7U703_-2D5DFDC0.pf 06.11.2008 22:03 32.570 PICASAWEB-CURRENT-SETUP.EXE-2B33797E.pf 06.11.2008 22:03 31.982 PICASAUPDATE_876.EXE-11B2C411.pf 06.11.2008 22:03 29.414 PICASAUPDATE_145.EXE-31AF0AB3.pf 06.11.2008 22:00 69.198 HTMLSTUDIO.EXE-07C296C2.pf 06.11.2008 21:59 12.214 HTMLSTUDIO.EXE-130ABC1C.pf 06.11.2008 21:59 19.074 INS2D4.TMP-140C16BD.pf 06.11.2008 18:22 58.318 FIFA2002.EXE-2272F0E2.pf 06.11.2008 18:22 19.276 AUTORUN.EXE-055703AF.pf 06.11.2008 17:59 51.264 ADOBEUPDATER.EXE-370FC314.pf 06.11.2008 16:37 30.774 NTVDM.EXE-1A10A423.pf 05.11.2008 22:34 29.186 LM98FREE.EXE-0FF3BDD2.pf 05.11.2008 20:51 61.876 EXPORTCONTROLLER.EXE-2AE60AF2.pf 05.11.2008 20:51 94.660 QUICKTIMEPLAYER.EXE-1683395B.pf 04.11.2008 16:04 58.350 HELPCTR.EXE-3862B6F5.pf 04.11.2008 16:04 18.988 MSINFO32.EXE-20B2F2A1.pf 02.11.2008 19:07 71.504 RUNDLL32.EXE-2576181F.pf 02.11.2008 19:06 16.246 RUNDLL32.EXE-49A346FD.pf 02.11.2008 13:14 72.568 GP5.EXE-27A0382F.pf 31.10.2008 21:58 22.114 RUNDLL32.EXE-12E27DD0.pf 31.10.2008 19:20 84.576 CLEANMGR.EXE-1F86EA8E.pf 30.10.2008 20:24 28.634 MSPAINT.EXE-11CBB631.pf 30.10.2008 20:22 52.034 MSOHELP.EXE-1EDF2DDC.pf 30.10.2008 20:20 20.092 AGENTSVR.EXE-002E45AB.pf 28.10.2008 21:13 73.484 IEXPLORE.EXE-2CA9778D.pf 27.10.2008 21:13 33.536 MULTIDECODER.EXE-03536F86.pf 24.10.2008 14:26 85.568 UPDATE.EXE-10631781.pf 24.10.2008 12:25 18.224 SCHED.EXE-236A886F.pf 24.10.2008 12:24 49.772 AVGUARD.EXE-3490B18B.pf 21.10.2008 18:22 39.722 OUTLOOK.EXE-179DEC04.pf 19.10.2008 19:04 22.958 RUNDLL32.EXE-13F6A0BF.pf 19.10.2008 19:03 24.026 RUNDLL32.EXE-251BCF56.pf 19.10.2008 18:20 15.962 QUIZ.EXE-2D836186.pf 19.10.2008 18:20 17.806 FIFA2002.EXE-029488A4.pf 17.10.2008 12:06 6.312 DXDLLREG.EXE-087FAF0B.pf 17.10.2008 12:05 13.472 EASETUP.EXE-060B7B2A.pf 17.10.2008 12:05 15.350 AUTORUN.EXE-15FD24E5.pf 17.10.2008 12:01 39.278 FIFA09_DEMO_EU.EXE-223A21C3.pf 130 Datei(en) 8.567.892 Bytes 0 Verzeichnis(se), 13.862.006.784 Bytes frei Code:
ATTFilter Datenträger in Laufwerk C: ist System Volumeseriennummer: 6457-FB20 Verzeichnis von C:\WINDOWS 15.11.2008 16:24 1.875.687 WindowsUpdate.log 15.11.2008 16:24 274 system.ini 15.11.2008 16:23 0 0.log 15.11.2008 16:23 2.048 bootstat.dat 15.11.2008 16:22 50 wiaservc.log 15.11.2008 16:22 214 wiadebug.log 15.11.2008 16:12 32.602 SchedLgU.Txt 08.11.2008 16:42 54.156 QTFont.qfn 31.10.2008 21:20 116 NeroDigital.ini 27.10.2008 20:11 12.862 EPISMG00.SWB 17.10.2008 14:24 1.650 boxworld.ini 06.10.2008 14:07 1.409 QTFont.for Code:
ATTFilter Datenträger in Laufwerk C: ist System Volumeseriennummer: 6457-FB20 Verzeichnis von C:\WINDOWS\tasks 15.11.2008 16:23 6 SA.DAT 06.11.2008 23:33 276 AppleSoftwareUpdate.job Code:
ATTFilter Datenträger in Laufwerk C: ist System Volumeseriennummer: 6457-FB20 Verzeichnis von C:\DOKUME~1\Chris\LOKALE~1\Temp 15.11.2008 16:57 132.116 filelist.txt 15.11.2008 16:49 0 etilqs_jNgz0rvKyWd05JM2wS6o 2 Datei(en) 132.116 Bytes 0 Verzeichnis(se), 13.862.002.688 Bytes frei Code:
ATTFilter Datenträger in Laufwerk C: ist System Volumeseriennummer: 6457-FB20 Verzeichnis von C:\WINDOWS\temp |
15.11.2008, 18:19 | #8 | |
| Probleme mit TR/Hijack.AE.2 Hallo Zitat:
Wie stehts mit dem Problem? Die Logs werde ich mir noch genauer ansehen (heute Nacht oder morgen) MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
15.11.2008, 18:55 | #9 |
| Probleme mit TR/Hijack.AE.2 Du verwirrst mich. Ich versteh Onleinauswertung genausowenig wie das andere. Mit was für nem Programm denn? Also Antivir hat den Trojaner auch weiterhin angezeigt, wenn auch nich mehr so oft. Keine Ahnung ob das jetzt ne gute Nachricht ist. |
16.11.2008, 14:18 | #10 | |||
| Probleme mit TR/Hijack.AE.2 Hallo Zitat:
Zitat:
Bei der Gelegenheit werte bitte diese Dateien mit aus (müssten gesucht werden) GP5.EXE INS2D4.TMP Zitat:
Habt ihr Antivir von der Herstellerseite runtergeladen? MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
16.11.2008, 16:37 | #11 |
| Probleme mit TR/Hijack.AE.2 Hallo, ok jetzt hab ichs auch verstanden. Das hier kam raus bei der Killbox Datei: http://www.virustotal.com/de/analisi...dfc54ef116923e http://www.virscan.org/report/245a6f...67d79f03b.html Die anderen 2 Dateine GP5.EXE und INS2D4.TMP find ich nicht. Wobei GP5 Guitar Pro 5 ist und eigentlich ungefährlich sein sollte. Ich hab aber GP5 mal da hochgeladen und dabei kam dann das raus: Code:
ATTFilter Die Datei wurde bereits analysiert: MD5: 98dc124872bf52d65c8caaf2429ea008 First received: - Datum 2008.05.19 02:48:19 (CET) [>181D] Ergebnisse 0/32 Permalink: analisis/646e61ad1d2286faa60b69487d2fa99d C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081500.dll und zwar mehrfach, wobei der hintere Teil "A0081500" variiert. C:\ComboFix\N_\26712 C:\WINDOWS\system32\dicpsapi.dll (der kommt mehrfach vor) Allerdings waren das jetzt die, die ich in Quarantäne verschoben hab. Ich hab jetzt nochmal n Durchlauf machen lassen von Antivir und da waren 5 Funde, die ich glöscht hab. Auszug aus dem Report: Code:
ATTFilter Beginne mit der Suche in 'C:\' <System> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081500.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081501.dll [FUND] Ist das Trojanische Pferd TR/Killav.28714 [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081502.exe [FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081503.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081505.dll [FUND] Ist das Trojanische Pferd TR/Hijack.AE.2 [HINWEIS] Die Datei wurde gelöscht. Runtergeladen hab ich Antivir von der Herstellerseite (http://www.free-av.de/de/index.html) und dann als Downloadpartner Chip Online MfG |
16.11.2008, 17:21 | #12 | |
| Probleme mit TR/Hijack.AE.2 Hallo Zitat:
Deaktiviere bitte die Systemwiederherstellung --> System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden. Dann Antivir updaten und im abgesicherten Modus eine kompletten scan hinlegen, anschließend berichte bitte ob etwas gefunden wurde. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
17.11.2008, 17:17 | #13 | |
| Probleme mit TR/Hijack.AE.2 Und ein erneutes hallo Zitat:
Wie dem auch sein, das andere hab ich gemacht und im abgesicherten Modus wurde nix gefunden, nur eine Warnung: Code:
ATTFilter Beginne mit der Suche in 'C:\' <System> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Gruß Edit: Auch die Systemprüfung im normalen Modus ergab keine Funde. Heißt das jetzt ich bin befreit? Geändert von Maxell (17.11.2008 um 18:12 Uhr) |
17.11.2008, 18:18 | #14 | |||
| Probleme mit TR/Hijack.AE.2 Hallo Zitat:
Zitat:
Zitat:
Free Virus Scan - Kaspersky Lab und BitDefender Online Scanner - Free Online Virus Scan Poste bitte noch ein HijackThis Log, es muss noch ein wenig was aufgeräumt werden. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
17.11.2008, 20:58 | #15 |
| Probleme mit TR/Hijack.AE.2 So, Kaspersky Lab ergab keine Treffer. Bei BitDefender war ich mir nicht ganz sicher, wie ich das jetzt mach bzw. was ich da erst bestellen muss, um den Download starten zu können (*verwirrt*) Das ist dann noch das HijackThis Logergebnis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:52:11, on 17.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\COMODO\Firewall\cmdagent.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\sm56hlpr.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\COMODO\SafeSurf\cssurf.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\COMODO\Firewall\cfp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\phonostar\ps_agent.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\ICQ6\ICQ.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Programme\COMODO\SafeSurf\cssurf.exe" -s O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe -- End of file - 9301 bytes |
Themen zu Probleme mit TR/Hijack.AE.2 |
ad-aware, add-on, adobe, antivirus, ask toolbar, askbar, avira, bho, comodo internet security, downloader, explorer, firefox, firewall, google, helfen, hijackthis, hkus\s-1-5-18, ignorieren, internet, internet explorer, internet security, keine funde, löschen, mozilla, pdf, photoshop, programme, security, sekunden, software, spyware, system, urlsearchhook, usb, windows xp, windows xp sp3, xp sp3 |