|
Plagegeister aller Art und deren Bekämpfung: Probleme mit Antivirus2009Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.11.2008, 18:32 | #1 |
| Probleme mit Antivirus2009 Hallo Leute. Ich habe von einer Freundin den Laptop bekommen mit der bitte den trojaner zu entfernen. Leichter gesagt als getan da ich nicht genau weiß wie lange das teil da jetzt drauf war bzw. noch ist. Ich habe vorerst infos über google eingeholt. hab hier auch einige anleitungen und tools gefunden den Trojaner zu entfernen. Augenscheinlich sieht das auch alles gut aus. Dennoch kommt mir noch einiges Spanisch vor. Der Wurm war auf den ersten Blick runter, es war mir aber nicht möglich ohne weiteres HijackThis zu installieren, musste es umbenennen. Des weiteren wird mir angezeigt das ich zum Router verbunden bin, bekomme aber ums verrecken keine seite aufgerufen. Ebenso ist es mir nicht möglich diesen Laptop im abgesicherten Modus zu starten. Echt ätzendes Teil. Und nochmal, Google und die Sufu wurden vll nicht ausgereizt aber ich bin da angekommen das ich immer nur auf die selben Lösungsvorschläge stoße und ich nicht mehr weiter weiß. Ausserdem kann ich die Log´s nicht wirklich auswerten, habs versucht, hab aber einfach zu wenig Erfahrung zu 100% zu sagen das dieser shit Trojaner runter iss ;-) Kann mir hier wer helfen? Bin gerade dabei Log-Dateien mit sämtlichen Tools zu erstellen Hier HiJackthis: Code:
ATTFilter ogfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:15:03, on 20.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TOSHIBA\TME3\Tmesbs32.exe C:\Programme\TOSHIBA\TME3\Tmesrv31.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\00THotkey.exe C:\WINDOWS\system32\TPWRTRAY.EXE C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\WINDOWS\system32\TFNF5.exe C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE C:\Programme\TOSHIBA\TME3\TMEEJME.EXE C:\Programme\TOSHIBA\TME3\TMESBS32.EXE C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: 172.22.0.2 crmserver O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25 O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service O4 - HKLM\..\Run: [TMEEJME.EXE] C:\Programme\TOSHIBA\TME3\TMEEJME.EXE O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: SuperOffice - {CC88D81F-6166-4F46-AC89-B75CD9CEB292} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110968356771 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214223473711 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = brilon.heitzig-consult.de O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O20 - AppInit_DLLs: karna.dat O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 7775 bytes |
20.11.2008, 19:15 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit Antivirus2009 Hallo,
__________________Code:
ATTFilter O20 - AppInit_DLLs: karna.dat Acker diese Punkte für weitere Analysen ab, evtl. musst Du die Programme von einem anderen Rechner aus downloaden und auf das infizierte Notebook übertragen: 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Führe dieses MBR-Tool aus und poste die Ausgabe 3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 5.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ |
20.11.2008, 19:53 | #3 |
| Probleme mit Antivirus2009 Danke!
__________________Dachte ich es mir doch .... Fange dann mal an die Punkte abzuarbeiten und poste hier alles: 1. erledigt 2. Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Code:
ATTFilter 11/20/08 18:57:36 [Info]: BlackLight Engine 2.2.1092 initialized 11/20/08 18:57:36 [Info]: OS: 5.1 build 2600 (Service Pack 2) 11/20/08 18:57:36 [Note]: 7019 4 11/20/08 18:57:36 [Note]: 7005 0 11/20/08 18:57:41 [Note]: 7006 0 11/20/08 18:57:41 [Note]: 7011 2436 11/20/08 18:57:41 [Note]: 7035 0 11/20/08 18:57:41 [Note]: 7026 0 11/20/08 18:57:41 [Note]: 7026 0 11/20/08 18:57:44 [Note]: FSRAW library version 1.7.1024 11/20/08 18:57:50 [Note]: 2000 1012 11/20/08 19:00:15 [Note]: 7007 0 Malwarebytes startet nicht und ich kanns nicht deinstallieren bisher ... neuinstallieren ist auch nicht möglich da die datei nicht startet ... äusserst ärgerlich gerade und kein gutes ziechen oder?! 4. Silentrunner Code:
ATTFilter "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS] "nwiz" = "nwiz.exe /installquiet" ["NVIDIA Corporation"] "00THotkey" = "C:\WINDOWS\System32\00THotkey.exe" ["TOSHIBA Corp."] "000StTHK" = "000StTHK.exe" [null data] "Tpwrtray" = "TPWRTRAY.EXE" ["TOSHIBA Corporation"] "TFncKy" = "TFncKy.exe /Type 25" ["TOSHIBA Corporation"] "TFNF5" = "TFNF5.exe" ["Toshiba Corp."] "TosHKCW.exe" = ""C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"" ["TOSHIBA CORPORATION"] "Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."] "TMESRV.EXE" = "C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon" ["TOSHIBA"] "TMERzCtl.EXE" = "C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service" ["TOSHIBA"] "TMEEJME.EXE" = "C:\Programme\TOSHIBA\TME3\TMEEJME.EXE" ["TOSHIBA"] "TMESBS.EXE" = "C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client" ["TOSHIBA Corporation"] "DpUtil" = "C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe" ["TOSHIBA"] "Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."] "Synchronization Manager" = "C:\WINDOWS\system32\mobsync.exe /logon" "NDSTray.exe" = ""C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"" ["TOSHIBA CORPORATION"] "GrooveMonitor" = ""C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"" [MS] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "Easy-PrintToolBox" = "C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."] "PCSuiteTrayApplication" = "C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup" ["Nokia"] " Malwarebytes Anti-Malware (reboot)" = ""C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript" ["Malwarebytes Corporation"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer" -> {HKLM...CLSID} = "Desktop-Explorer" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"] "{72853161-30C5-4D22-B7F9-0BBC1D38A37E}" = "Groove GFS Browser Helper" -> {HKLM...CLSID} = "Groove GFS Browser Helper" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] "{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}" = "Groove GFS Explorer Bar" -> {HKLM...CLSID} = "Groove Folder Synchronization" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] "{A449600E-1DC6-4232-B948-9BD794D62056}" = "Groove GFS Stub Icon Handler" -> {HKLM...CLSID} = "Groove GFS Stub Icon Handler" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook" -> {HKLM...CLSID} = "Groove GFS Stub Execution Hook" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] "{6C467336-8281-4E60-8204-430CED96822D}" = "Groove GFS Context Menu Handler" -> {HKLM...CLSID} = "Groove GFS Context Menu Handler" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] "{387E725D-DC16-4D76-B310-2C93ED4752A0}" = "Groove XML Icon Handler" -> {HKLM...CLSID} = "Groove XML Icon Handler" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] "{16F3DD56-1AF5-4347-846D-7C10C4192619}" = "Groove Explorer Icon Overlay 3 (GFS Folder)" -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 3 (GFS Folder)" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] "{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}" = "Groove Explorer Icon Overlay 2 (GFS Stub)" -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2 (GFS Stub)" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] "{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}" = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] "{99FD978C-D287-4F50-827F-B2C658EDA8E7}" = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] "{920E6DB1-9907-4370-B3A0-BAFC03D81399}" = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook File Icon Extension" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS] "{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C}" = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" -> {HKLM...CLSID} = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS] "{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler" -> {HKLM...CLSID} = "Microsoft Office Metadata Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler" -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "Nokia Phone Browser" -> {HKLM...CLSID} = "Nokia Phone Browser" \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook" -> {HKLM...CLSID} = "Groove GFS Stub Execution Hook" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"] XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}" -> {HKLM...CLSID} = "Groove GFS Context Menu Handler" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"] XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}" -> {HKLM...CLSID} = "Groove GFS Context Menu Handler" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}" -> {HKLM...CLSID} = "Groove GFS Context Menu Handler" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"] XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}" -> {HKLM...CLSID} = "Groove GFS Context Menu Handler" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "ForceClassicControlPanel" = (REG_DWORD) dword:0x00000001 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ MSVideoCameraArrival\ "Provider" = "@C:\Programme\Movie Maker\1031\wmm2res.dll,-100" "ProgID" = "Shell.HWEventHandlerShellExecute" "InitCmdLine" = ""C:\Programme\Movie Maker\moviemk.exe" /RECORD" HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" -> {HKLM...CLSID} = "ShellExecute HW Event Handler" \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS] NMMPlayCDAudioOnArrival\ "Provider" = "Nokia Music Manager" "InvokeProgID" = "NokiaMusicManager" "InvokeVerb" = "NMMPlayCD" HKLM\SOFTWARE\Classes\NokiaMusicManager\shell\NMMPlayCD\command\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\MusicManager.exe /playCD "%L"" ["Nokia"] NMMRipCDAudioOnArrival\ "Provider" = "Nokia Music Manager" "InvokeProgID" = "NokiaMusicManager" "InvokeVerb" = "NMMRipCD" HKLM\SOFTWARE\Classes\NokiaMusicManager\shell\NMMRipCD\command\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\MusicManager.exe /ripCD "%L"" ["Nokia"] Geändert von Grethino (20.11.2008 um 20:22 Uhr) |
21.11.2008, 15:20 | #4 |
| Probleme mit Antivirus2009 Scan mit Combofix läuft jetzt ... ich hoffe das funktioniert ^^ so mal gucken obs was brauchbares iss, gefunden und gelöscht wurde wohl was 5. Code:
ATTFilter ComboFix 08-11-19.08 - *** 2008-11-21 14:31:55.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.249 [GMT 1:00] Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\dokumente und einstellungen\***\Cookies\afuf.bin c:\dokumente und einstellungen\***\Cookies\fanug.lib c:\dokumente und einstellungen\***\Cookies\ivylafy.db c:\dokumente und einstellungen\***\Cookies\rodavuxi.bat c:\dokumente und einstellungen\***\Cookies\wusafo.inf c:\windows\msacm32.drv c:\windows\regedit.com c:\windows\sdfinacs.dll c:\windows\sdfixwcs.dll c:\windows\system32\drivers\TDSSpaxt.sys c:\windows\system32\rtc.dat c:\windows\system32\taskmgr.com c:\windows\system32\TDSSciou.log c:\windows\system32\TDSSfpmp.dll c:\windows\system32\TDSSliqp.dll c:\windows\system32\TDSSnrse.dll c:\windows\system32\TDSSoexh.dll c:\windows\system32\TDSSoiqh.dll c:\windows\system32\TDSSosvn.dll c:\windows\system32\TDSSpqxt.dat c:\windows\system32\TDSSruma.log c:\windows\system32\TDSSsihc.log c:\windows\system32\wini108014.exe c:\windows\wuasirvy.dll E:\Autorun.inf ----- BITS: Eventuell infizierte Webseiten ----- hxxp://jupiter.brilon.heitzig-consult.de . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_TDSSSERV.SYS -------\Legacy_TDSSSERV.SYS ((((((((((((((((((((((( Dateien erstellt von 2008-10-21 bis 2008-11-21 )))))))))))))))))))))))))))))) . 2008-11-18 19:33 . 2008-11-18 19:33 <DIR> d-------- c:\programme\Trend Micro 2008-11-15 18:55 . 2008-11-15 18:55 <DIR> d-------- c:\programme\CCleaner 2008-11-15 16:30 . 2008-11-15 16:30 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-11-15 16:30 . 2008-11-15 16:30 <DIR> d-------- c:\dokumente und einstellungen\Inga\Anwendungsdaten\Malwarebytes 2008-11-15 16:30 . 2008-11-15 16:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-11-15 16:30 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-15 16:30 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-15 14:52 . 2008-11-15 14:52 <DIR> d-a------ c:\windows\zts2.exe 2008-11-15 14:52 . 2008-11-15 14:52 <DIR> d-a------ c:\windows\system32\iifgfgf.dll 2008-11-15 14:52 . 2008-11-15 14:52 <DIR> d-a------ c:\windows\rundl132.dll 2008-11-15 14:52 . 2008-11-15 14:53 5,943,340 --a------ c:\windows\REGBK00.ZIP 2008-11-15 14:41 . 2008-11-15 14:41 28 --a------ c:\windows\Lic.xxx 2008-11-15 14:40 . 2008-11-15 14:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld 2008-11-15 14:40 . 2008-11-15 14:40 626,688 --a------ c:\windows\system32\msvcr80.dll 2008-11-15 14:40 . 2008-11-15 14:40 548,864 --a------ c:\windows\system32\msvcp80.dll 2008-11-15 14:40 . 2004-08-04 00:58 153,600 --a------ c:\windows\R.COM 2008-11-15 14:40 . 2004-08-04 00:58 140,800 --a------ c:\windows\system32\T.COM 2008-11-15 14:40 . 2008-11-15 14:40 28,672 --a------ c:\windows\system32\eEmpty.exe 2008-11-15 14:40 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest 2008-11-13 17:10 . 2008-11-13 17:10 12,559 --a------ c:\dokumente und einstellungen\Inga\Anwendungsdaten\zytevu.sys 2008-11-07 17:27 . 2008-11-07 17:27 19,490 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\beqyq.dll 2008-11-07 17:27 . 2008-11-07 17:27 18,577 --a------ c:\windows\system32\peha.inf 2008-11-07 17:27 . 2008-11-07 17:27 15,449 --a------ c:\windows\qiwywoxot.inf 2008-11-07 17:27 . 2008-11-07 17:27 14,753 --a------ c:\windows\varyp._dl 2008-11-07 17:27 . 2008-11-07 17:27 14,714 --a------ c:\windows\examohu.dl 2008-11-07 17:27 . 2008-11-07 17:27 14,508 --a------ c:\windows\ziwajun.vbs 2008-11-07 17:27 . 2008-11-07 17:27 13,639 --a------ c:\windows\ogasykakus.db 2008-11-07 17:27 . 2008-11-07 17:27 13,162 --a------ c:\windows\itinome.vbs 2008-11-07 17:27 . 2008-11-07 17:27 12,096 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\ebisifyzyw.reg 2008-11-07 17:27 . 2008-11-07 17:27 10,640 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\digoge.dll 2008-11-07 17:27 . 2008-11-07 17:27 10,545 --a------ c:\windows\rajequ.com 2008-11-01 16:40 . 2008-11-01 16:40 <DIR> d-------- c:\dokumente und einstellungen\Inga\Phone Browser 2008-11-01 11:52 . 2008-11-01 16:40 <DIR> d-------- c:\dokumente und einstellungen\Inga\Anwendungsdaten\Nokia Multimedia Player 2008-10-31 19:26 . 2008-10-31 19:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite 2008-10-31 19:25 . 2008-11-01 13:09 <DIR> d-------- c:\dokumente und einstellungen\Inga\Anwendungsdaten\Nokia 2008-10-31 19:24 . 2008-10-31 19:24 <DIR> d-------- c:\programme\PC Connectivity Solution 2008-10-31 19:24 . 2008-10-31 19:24 <DIR> d-------- c:\programme\Gemeinsame Dateien\PCSuite 2008-10-31 19:24 . 2008-10-31 19:24 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nokia 2008-10-31 19:24 . 2008-10-31 19:24 <DIR> d-------- c:\programme\DIFX 2008-10-31 19:24 . 2008-10-31 19:24 <DIR> d-------- c:\dokumente und einstellungen\Inga\Anwendungsdaten\PC Suite 2008-10-31 19:24 . 2007-02-22 10:15 12,288 --a------ c:\windows\system32\drivers\nmwcdcm.sys 2008-10-31 19:24 . 2007-02-22 10:15 12,288 --a------ c:\windows\system32\drivers\nmwcdcj.sys 2008-10-31 19:23 . 2008-10-31 19:25 <DIR> d----c--- c:\windows\system32\DRVSTORE 2008-10-31 19:23 . 2008-10-31 19:24 <DIR> d-------- c:\programme\Nokia 2008-10-31 19:23 . 2007-02-22 10:15 137,216 --a------ c:\windows\system32\drivers\nmwcd.sys 2008-10-31 19:23 . 2007-02-22 10:15 90,624 --a------ c:\windows\system32\nmwcdcls.dll 2008-10-31 19:23 . 2007-02-22 10:15 65,536 --a------ c:\windows\system32\nmwcdcocls.dll 2008-10-31 19:23 . 2007-02-22 10:15 8,320 --a------ c:\windows\system32\drivers\nmwcdc.sys 2008-10-31 19:22 . 2008-10-31 19:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations 2008-10-30 15:14 . 2004-01-14 02:10 163,840 --a------ c:\windows\BJPSUNST.EXE 2008-10-30 15:13 . 2003-09-18 14:32 1,060,864 --a------ c:\windows\system32\MFC71.dll 2008-10-30 15:09 . 2008-10-30 15:09 <DIR> d-------- c:\windows\StartHtmico 2008-10-30 15:09 . 2005-08-26 06:00 140,288 --a------ c:\windows\system32\CNMLM78.DLL 2008-10-30 15:09 . 2005-03-08 19:17 90,112 --------- c:\windows\system32\CNMCP78.exe 2008-10-30 15:09 . 2005-03-08 19:17 90,112 -ra------ c:\windows\system32\cnm4C.tmp 2008-10-30 15:09 . 2005-08-26 06:00 8,704 --a------ c:\windows\system32\CNMVS78.DLL 2008-10-30 15:08 . 2008-10-30 15:08 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ 2008-10-30 15:05 . 2008-10-30 15:14 <DIR> d-------- c:\programme\Canon 2008-10-29 19:58 . 2008-10-29 19:58 <DIR> d-------- c:\programme\ICQ6Toolbar 2008-10-29 19:58 . 2008-10-29 19:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ 2008-10-29 19:57 . 2008-10-29 21:28 <DIR> d-------- c:\dokumente und einstellungen\Inga\Anwendungsdaten\ICQ 2008-10-29 19:56 . 2008-10-29 21:28 <DIR> d-------- c:\programme\ICQ6 2008-10-29 19:06 . 2008-10-29 19:06 <DIR> d-------- c:\programme\Avira 2008-10-29 19:06 . 2008-10-29 19:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2008-10-29 18:47 . 2008-10-29 19:07 <DIR> d-------- c:\programme\NOS 2008-10-29 18:47 . 2008-10-29 19:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS 2008-10-29 18:32 . 2008-10-03 17:58 6,066,176 --------- c:\windows\system32\dllcache\ieframe.dll 2008-10-29 18:32 . 2007-04-17 10:32 2,455,488 --------- c:\windows\system32\dllcache\ieapfltr.dat 2008-10-29 18:32 . 2007-03-08 06:09 1,040,384 --------- c:\windows\system32\dllcache\ieframe.dll.mui 2008-10-29 18:32 . 2008-08-26 08:57 459,264 --------- c:\windows\system32\dllcache\msfeeds.dll 2008-10-29 18:32 . 2008-08-26 08:57 383,488 --------- c:\windows\system32\dllcache\ieapfltr.dll 2008-10-29 18:32 . 2008-08-26 08:57 267,776 --------- c:\windows\system32\dllcache\iertutil.dll 2008-10-29 18:32 . 2008-08-26 08:57 63,488 --------- c:\windows\system32\dllcache\icardie.dll 2008-10-29 18:32 . 2008-08-26 08:57 52,224 --------- c:\windows\system32\dllcache\msfeedsbs.dll 2008-10-29 18:32 . 2008-08-25 09:38 13,824 --------- c:\windows\system32\dllcache\ieudinit.exe 2008-10-28 21:02 . 2008-10-28 21:02 <DIR> d---s---- c:\dokumente und einstellungen\Inga\UserData 2008-10-28 19:47 . 2006-10-26 19:56 32,592 --a------ c:\windows\system32\msonpmon.dll 2008-10-28 19:42 . 2008-10-28 19:42 <DIR> d-------- c:\programme\MSBuild 2008-10-28 19:42 . 2008-10-28 19:43 <DIR> d-------- c:\programme\Microsoft Works 2008-10-28 19:40 . 2008-10-28 19:40 <DIR> d-------- c:\programme\Microsoft.NET 2008-10-28 19:35 . 2008-10-28 19:41 <DIR> d-------- c:\windows\SHELLNEW 2008-10-28 19:34 . 2008-10-28 19:34 <DIR> dr-h----- C:\MSOCache 2008-10-28 19:34 . 2008-11-06 10:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-10-28 19:31 . 2008-10-28 19:31 <DIR> d-------- c:\programme\TuneUp Utilities 2008 2008-10-28 19:31 . 2008-10-28 19:31 <DIR> d-------- c:\dokumente und einstellungen\Inga\Anwendungsdaten\TuneUp Software 2008-10-28 19:31 . 2008-10-28 19:31 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-10-28 19:31 . 2008-10-28 19:31 306,432 --a------ c:\windows\system32\TuneUpDefragService.exe 2008-10-28 19:31 . 2007-09-04 11:59 29,704 --a------ c:\windows\system32\uxtuneup.dll 2008-10-28 19:30 . 2008-10-28 19:30 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2008-10-28 19:09 . 2008-10-28 19:09 <DIR> d-------- c:\dokumente und einstellungen\Inga\Anwendungsdaten\T-Online 2008-10-27 15:53 . 2008-10-27 15:53 <DIR> d-------- c:\dokumente und einstellungen\Inga\Anwendungsdaten\Drag'n Drop CD+DVD 2008-10-27 15:52 . 2003-02-13 14:21 <DIR> d--h----- c:\dokumente und einstellungen\Inga\Vorlagen 2008-10-27 15:52 . 2003-02-13 14:21 <DIR> dr------- c:\dokumente und einstellungen\Inga\Startmenü 2008-10-27 15:52 . 2008-11-02 17:43 <DIR> d--h----- c:\dokumente und einstellungen\Inga\Netzwerkumgebung 2008-10-27 15:52 . 2008-11-21 14:34 <DIR> d--h----- c:\dokumente und einstellungen\Inga\Lokale Einstellungen 2008-10-27 15:52 . 2008-11-02 17:51 <DIR> dr------- c:\dokumente und einstellungen\Inga\Favoriten 2008-10-27 15:52 . 2008-11-15 19:10 <DIR> dr------- c:\dokumente und einstellungen\Inga\Eigene Dateien 2008-10-27 15:52 . 2003-02-13 14:21 <DIR> d--h----- c:\dokumente und einstellungen\Inga\Druckumgebung 2008-10-27 15:52 . 2008-11-15 16:30 <DIR> dr-h----- c:\dokumente und einstellungen\Inga\Anwendungsdaten 2008-10-27 15:52 . 2008-11-15 19:12 <DIR> d-------- c:\dokumente und einstellungen\Inga . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-29 19:55 --------- d-----w c:\programme\Microsoft ActiveSync 2008-10-29 19:33 --------- d-----w c:\programme\Logitech 2008-10-29 19:31 --------- d-----w c:\programme\Gemeinsame Dateien\Logitech 2008-10-29 19:01 --------- d--h--w c:\programme\InstallShield Installation Information 2008-10-29 17:56 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2008-10-28 18:22 --------- d-----w c:\programme\Google 2008-10-28 18:21 --------- d-----w c:\programme\TOSHIBA 2008-10-28 18:17 --------- d-----w c:\programme\Mozilla Thunderbird 2008-10-27 14:10 --------- d-----w c:\programme\ErfolgsressourceICH 2008-10-27 14:00 --------- d-----w c:\programme\StarMoney 4.0 S-Edition 2008-10-27 13:59 --------- d-----w c:\programme\StarMoney 5.0 2008-10-15 16:57 332,800 ------w c:\windows\system32\dllcache\netapi32.dll 2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys 2008-09-15 15:37 1,846,144 ------w c:\windows\system32\dllcache\win32k.sys 2008-08-28 10:04 333,056 ------w c:\windows\system32\dllcache\srv.sys 2008-08-27 13:27 3,593,216 ------w c:\windows\system32\dllcache\mshtml.dll 2008-08-25 08:37 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe 2008-08-23 05:56 635,848 ------w c:\windows\system32\dllcache\iexplore.exe 2008-08-23 05:54 161,792 ------w c:\windows\system32\dllcache\ieakui.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="NvQTwk" [X] "00THotkey"="c:\windows\System32\00THotkey.exe" [2003-02-11 09:57 249856] "TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2002-09-09 49152] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2002-12-25 159744] "TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2003-02-12 110592] "TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2003-02-12 57344] "TMEEJME.EXE"="c:\programme\TOSHIBA\TME3\TMEEJME.EXE" [2003-02-12 49152] "TMESBS.EXE"="c:\programme\TOSHIBA\TME3\TMESBS32.EXE" [2003-02-12 65536] "DpUtil"="c:\programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2003-02-13 180224] "SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975] "Synchronization Manager"="c:\windows\system32\mobsync.exe" [2004-08-04 144384] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600] "PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328] " Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2008-10-22 1261200] "nwiz"="nwiz.exe" [2002-12-12 c:\windows\system32\nwiz.exe] "000StTHK"="000StTHK.exe" [2001-06-23 19:28 24576 c:\windows\system32\000StTHK.exe] "Tpwrtray"="TPWRTRAY.EXE" [2003-01-17 c:\windows\system32\TPWRTRAY.EXE] "TFncKy"="TFncKy.exe" [BU] "TFNF5"="TFNF5.exe" [2001-09-04 c:\windows\system32\TFNF5.exe] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 c:\windows\LOGI_MWX.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] "Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm "midi2"= c_355868.nls "aux1"= c_355868.nls "wave1"= c_355868.nls "mixer1"= c_355868.nls "midi1"= c_355868.nls "wave2"= c_355868.nls "mixer2"= c_355868.nls "aux2"= c_355868.nls [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= R1 TMEI3E;TMEI3E;c:\windows\system32\Drivers\TMEI3E.SYS [2003-03-03 5760] R2 Tmesbs;Tmesbs32;c:\programme\TOSHIBA\TME3\Tmesbs32.exe /Service [2003-03-03 65536] R2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe -k netsvcs [1979-12-31 14336] S3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\Drivers\LCcFltr.Sys [2004-07-19 14095] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;c:\windows\System32\TuneUpDefragService.exe [2008-10-28 306432] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-10-31 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 13:17] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.com mStart Page = hxxp://www.google.com IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: {CC88D81F-6166-4F46-AC89-B75CD9CEB292} - {76E2006B-AC76-4710-AC10-4ADE018779EB} - O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-21 14:34:39 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\TDSSserv.sys] "imagepath"="\systemroot\system32\drivers\TDSSpaxt.sys" . Zeit der Fertigstellung: 2008-11-21 14:36:05 ComboFix-quarantined-files.txt 2008-11-21 13:36:00 Vor Suchlauf: 16 Verzeichnis(se), 11,202,171,392 Bytes frei Nach Suchlauf: 16 Verzeichnis(se), 11,273,577,472 Bytes frei 271 --- E O F --- 2008-10-28 20:50:44 6. http://www.file-upload.net/download-...sting.txt.html Geändert von Grethino (21.11.2008 um 16:06 Uhr) |
21.11.2008, 16:06 | #5 |
| Probleme mit Antivirus2009 7. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:03:55, on 21.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TOSHIBA\TME3\Tmesbs32.exe C:\Programme\TOSHIBA\TME3\Tmesrv31.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\00THotkey.exe C:\WINDOWS\system32\TPWRTRAY.EXE C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\WINDOWS\system32\TFNF5.exe C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE C:\Programme\TOSHIBA\TME3\TMEEJME.EXE C:\Programme\TOSHIBA\TME3\TMESBS32.EXE C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: 172.22.0.2 crmserver O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25 O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service O4 - HKLM\..\Run: [TMEEJME.EXE] C:\Programme\TOSHIBA\TME3\TMEEJME.EXE O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: SuperOffice - {CC88D81F-6166-4F46-AC89-B75CD9CEB292} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110968356771 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214223473711 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = brilon.heitzig-consult.de O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 7651 bytes sooo fertig ?! scanne nochmal mit antivir das system ... augenscheinlich hat das update über internet geklappt und der scann läuft. das sicherheitscenter iss auch wieder da... scheint gewirkt zu haben ... danke erstmal. wenn mir nochmal wer ne bestätigung geben kann indem er die logs mal anschaut wäre ich nochmal sehr dankbar ;-) Geändert von Grethino (21.11.2008 um 16:38 Uhr) |
21.11.2008, 17:32 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit Antivirus2009 Sry, aber auch bei Dir verdichten sich Hinweise auf einen "verschleppten" Silentbanker => Formatieren und Neuaufsetzen empfohlen! Code:
ATTFilter [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm "midi2"= c_355868.nls "aux1"= c_355868.nls "wave1"= c_355868.nls Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter files to delete: c:\windows\system32\peha.inf c:\windows\system32\c_355868.nls c:\windows\qiwywoxot.inf c:\windows\varyp._dl c:\windows\examohu.dl c:\windows\ziwajun.vbs c:\windows\ogasykakus.db c:\windows\itinome.vbs c:\dokumente und einstellungen\All Users\Anwendungsdaten\ebisifyzyw.reg c:\dokumente und einstellungen\All Users\Anwendungsdaten\digoge.dll# c:\windows\rajequ.com registry keys to delete: HKEY_LOCAL_MACHINE\system\ControlSet003\Services\TDSSserv.sys
__________________ --> Probleme mit Antivirus2009 |
22.11.2008, 13:23 | #7 |
| Probleme mit Antivirus2009 alles klar, ich arbeite den punkt auch noch ab. bisher läuft der lappi reibungslos, ich hoffe das bleibt so da ich den ungern Neuaufsetzen möchte. zum lappi allgemein. der vater von meiner freundin hatte den vorher als ´normales arbeitsgerät, ist selbstständig tätig. sein IT-Mensch hätte den eigentlich reniigen sollen. d.h. alle daten der firma runter etc. hatte eigentlich auch erwartet das er den neuaufsetzt, allein weil man gelöschte daten eh wiederherstellen könnte .... frage mich jetzt wo der trojaner den einzug erhalen haben, ob die teile schon vorher drauf waren oder obs doch durch ein falsches handhaben des jetzigen benutzer war, sprich mails öffnen etc. kam das jetzt alles durch diesen "antivirus2009" ??? oder sind das mehrere trojaner/würmer gewesen? Avenger-log: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "c:\windows\system32\peha.inf" deleted successfully. File "c:\windows\system32\c_355868.nls" deleted successfully. File "c:\windows\qiwywoxot.inf" deleted successfully. File "c:\windows\varyp._dl" deleted successfully. File "c:\windows\examohu.dl" deleted successfully. File "c:\windows\ziwajun.vbs" deleted successfully. File "c:\windows\ogasykakus.db" deleted successfully. File "c:\windows\itinome.vbs" deleted successfully. File "c:\dokumente und einstellungen\All Users\Anwendungsdaten\ebisifyzyw.reg" deleted successfully. Error: file "c:\dokumente und einstellungen\All Users\Anwendungsdaten\digoge.dll#" not found! Deletion of file "c:\dokumente und einstellungen\All Users\Anwendungsdaten\digoge.dll#" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "c:\windows\rajequ.com" deleted successfully. Error: registry key "HKEY_LOCAL_MACHINE\system\ControlSet003\Services\TDSSserv.sys" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\system\ControlSet003\Services\TDSSserv.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:30:57, on 22.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\System32\00THotkey.exe C:\WINDOWS\system32\TPWRTRAY.EXE C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\WINDOWS\system32\TFNF5.exe C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE C:\Programme\TOSHIBA\TME3\TMEEJME.EXE C:\Programme\TOSHIBA\TME3\TMESBS32.EXE C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TOSHIBA\TME3\Tmesbs32.exe C:\Programme\TOSHIBA\TME3\Tmesrv31.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: 172.22.0.2 crmserver O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25 O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service O4 - HKLM\..\Run: [TMEEJME.EXE] C:\Programme\TOSHIBA\TME3\TMEEJME.EXE O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: SuperOffice - {CC88D81F-6166-4F46-AC89-B75CD9CEB292} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110968356771 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214223473711 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = brilon.heitzig-consult.de O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 7781 bytes Geändert von Grethino (22.11.2008 um 13:32 Uhr) |
23.11.2008, 12:17 | #8 |
| Probleme mit Antivirus2009 mahlzeit, also so ein bissel stehe ich doch noch aufm schlauch. ist nun alles in ordnung? hab das was root24 geschrieben hat mal durchgeführt ... siehe ein post weiter oben. |
23.11.2008, 14:39 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit Antivirus2009 Also Dein Rechner läuft wieder einwandfrei sagtest Du? Das HijackThis Logfile sieht ebenfalls OK aus, allerding könnte man diese Einträge noch fixen: Code:
ATTFilter R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: 172.22.0.2 crmserver
__________________ Logfiles bitte immer in CODE-Tags posten |
23.11.2008, 15:17 | #11 |
| Probleme mit Antivirus2009 hmh iss sicherlich vom firmennetzwerk, wie gesagt iss ein lappi von einer firma. der lappi läuft wieder einwandfrei, keine zocken mehr, antivir updatet ohne probleme, sicherheitscenter is wieder das alte. lediglich den abgesicherten modus habe ich nicht nochmal getestet. kann ich diesen crm eintrag entfernen ohne probleme? der lappi wird nicht weiter für die firma verwendet sondern nur noch privat. danke erstmal für die ganze hilfe, echt super :-) |
23.11.2008, 15:20 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit Antivirus2009Code:
ATTFilter C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe AntiVir Personal Edition (kostenlos) darf nur für den reinen privaten Einsatz (kostenlos) betrieben werden.
__________________ Logfiles bitte immer in CODE-Tags posten |
23.11.2008, 15:40 | #13 |
| Probleme mit Antivirus2009 vielleicht etwas falsch ausgedrückt ... keine sorge, der vater meiner freundin hat sich ein neues angeschafft und das alte seiner tochter gegeben. vorher hat der it-mensch seiner firma sich das gerät vorgeknöpft und "gereinigt". ich habe dann antivir draufgespielt, läuft alles legal ab ;-) somit ist es für sie rein privat, denke ich zumindest ;-) |
23.11.2008, 15:46 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit Antivirus2009 Na, das interessiert mich nicht wirklich, wollte nur die Warnung geben, da die Firma sonst in rechtliche Schwierigkeiten kommen könnte. Und das wollt ihr doch nicht oder
__________________ Logfiles bitte immer in CODE-Tags posten |
23.11.2008, 15:47 | #15 |
| Probleme mit Antivirus2009 das weiß ich und nein das wollen die nicht ;-) aber wie gesagt ist eh von mir aufgespielt worden und der lappi gehört ja der tochter und nicht der firma ;-) |
Themen zu Probleme mit Antivirus2009 |
100%, abgesicherten modus, adobe, antivir, antivirus, auswerten, avira, c.exe, canon, explorer, google, helfen, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, malwarebytes anti-malware, malwarebytes' anti-malware, microsoft, nicht möglich, nvidia, programme, router, rundll, senden, software, solution, system, trojaner, tuneup.defrag, windows, windows xp, wurm |