|
Plagegeister aller Art und deren Bekämpfung: Luefter dreht hoch, Firefox und Windows Desgin veraendert?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.11.2008, 20:42 | #1 |
| Luefter dreht hoch, Firefox und Windows Desgin veraendert? Hallo, Also ich hab gerade etwas herumgesurft und gechattet via MSN und ploetzlich merke ich wie das Design des Randes vom Firfox nicht mehr wie gewohnt blau ist (Windows XP halt) sondern so altmodisch wie bei Windows 200 wird. Kurz darauf aendert sich das gesamte Design von meinem PC von dem blauen XP-Stil zum klassischen Windows 2000-Stil. Und dann als Kroenung dreht auch noch mein Luefter voll auf 2500rpm auf. Was mir vorher schon aufgefallen ist, dass im processxp dauernd der Prozess wmiprvse.exe am laufen war und der ja von Windows fuer die Kontrolle von Rechnern in einem Netzwerk verwendet wird. Als dann der Luefter zum aufheulen angefangen hab, hab ich sofort den Resetknopf gedrueckt und an meinem Modem auch zwecks IP-Aenderung. Ich hab da naemlich einen verdacht, so 10 min bevor es angefangen hat, hat einer meiner MSN_Kontakte fuer mich einen Ordner freigeben wollen und da beommt man ja eine Anfrage von MSN und ich hab auf NEIN geklickt, koennt er sich vll dadurch meine IP Adresse ergaunert haben Auf jeden Fall hab ich meinen PC jetzt neu gestartet und im Abgesicherten Modus gestartet, als erstes hab ich einen Scan mit Spybot Search&Destroy gemacht, der hat nichts gefunden. Dann hab ich mal HijackThis drueberlaufen lassen Hier ist das Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:34:58, on 21.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe c:\programme\avira\antivir personaledition classic\avscan.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [Ai Nap] "C:\Programme\ASUS\AI Suite\AiNap\AiNap.exe" O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Programme\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe" O4 - HKLM\..\Run: [Cpu Level Up help] C:\Programme\ASUS\AI Suite\CpuLevelUpHelp.exe O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Programme\ASUS\PC Probe II\Probe2.exe" 1 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [P17Helper] Rundll32 SPIRun.dll,RunDLLEntry O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4400 bytes O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Programme\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe" O4 - HKLM\..\Run: [Cpu Level Up help] C:\Programme\ASUS\AI Suite\CpuLevelUpHelp.exe Lasse gerade AntiVir drueber laufen der hat aber auf der Systempartition nichts gefunden. Danke fuer eure Hilfe im Voraus mfg Geändert von somebody100 (21.11.2008 um 21:04 Uhr) |
21.11.2008, 20:43 | #2 |
Luefter dreht hoch, Firefox und Windows Desgin veraendert? Hallo,
__________________erstell bitte erneut ein HijackThis Logfile, bitte aber nicht mehr so verstümmelt. (Ohne Zeilenumbruch) Nebenbei bitte auch noch das: LADS für Alternate Data Streams:
Klicke nun auf Start => Ausführen => cmd eingeben und Enter drücken. Es öffnet sich nun die Eingabeaufforderung. Dort tippst du die folgenden Befehle der Reihe nach ein:
Öffne nun die C:\lads.txt mit dem Editor und kopiere dessen Inhalt in Deine nächste Antwort. Anmerkung:
__________________ |
21.11.2008, 20:52 | #3 |
| Luefter dreht hoch, Firefox und Windows Desgin veraendert? Hallo
__________________Danke erstmal lad mir gleich das Programm runter. Soll ich es im abgesicherten Modus oder im normalen laufen lassen? |
21.11.2008, 20:53 | #4 |
Luefter dreht hoch, Firefox und Windows Desgin veraendert? Steht glaub nichts vom Safe Mode dran.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
21.11.2008, 21:08 | #5 |
| Luefter dreht hoch, Firefox und Windows Desgin veraendert? Sodala Code:
ATTFilter LADS - Freeware version 4.10 (C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de) This program lists files with alternate data streams (ADS) Use LADS on your own risk! Scanning directory C:\ with subdirectories size ADS in file ---------- --------------------------------- 0 C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Thumbs.db:encryptable Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Error 32 opening C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Error 32 opening C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG 26 C:\Dokumente und Einstellungen\c\Desktop\05_-_I_Want_To_Be_Free.mp3:Zone.Identifier 26 C:\Dokumente und Einstellungen\c\Desktop\6704_karte_0229_manhattan.jpg:Zone.Identifier 26 C:\Dokumente und Einstellungen\c\Desktop\lads.zip:Zone.Identifier 26 C:\Dokumente und Einstellungen\c\Desktop\Queen_-_I_Want_It_All.mp3:Zone.Identifier 26 C:\Dokumente und Einstellungen\c\Desktop\Run - Snow Patrol.mp3:Zone.Identifier 26 C:\Dokumente und Einstellungen\c\Desktop\Setups\EraserSetup32_586a.exe:Zone.Identifier 26 C:\Dokumente und Einstellungen\c\Desktop\Setups\WindowsXP-KB936929-SP3-x86-DEU.exe:Zone.Identifier 26 C:\Dokumente und Einstellungen\c\Desktop\Systemzeuch\HJTInstall202.exe:Zone.Identifier 0 C:\Dokumente und Einstellungen\c\Desktop\Systemzeuch\Thumbs.db:encryptable 26 C:\Dokumente und Einstellungen\c\Desktop\ubuntu-8.10-desktop-i386.iso:Zone.Identifier 0 C:\Dokumente und Einstellungen\c\Eigene Dateien\Eigene Musik\Sarah Brightman\Thumbs.db:encryptable 0 C:\Dokumente und Einstellungen\c\Eigene Dateien\Eigene Musik\Sarah Brightman\Very Best of Sarah Brightman- 1990-2000\Thumbs.db:encryptable 0 C:\Dokumente und Einstellungen\c\Eigene Dateien\Eigene Musik\Various Artists\Thumbs.db:encryptable 26 C:\Dokumente und Einstellungen\c\Eigene Dateien\index.php.htm:Zone.Identifier Error 32 opening C:\Dokumente und Einstellungen\c\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Error 32 opening C:\Dokumente und Einstellungen\c\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Error 32 opening C:\Dokumente und Einstellungen\c\Lokale Einstellungen\Temp\Perflib_Perfdata_2cc.dat Error 32 opening C:\Dokumente und Einstellungen\c\Lokale Einstellungen\Temp\Perflib_Perfdata_768.dat Error 32 opening C:\Dokumente und Einstellungen\c\NTUSER.DAT Error 32 opening C:\Dokumente und Einstellungen\c\ntuser.dat.LOG Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Error 32 opening C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Error 32 opening C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Error 32 opening C:\pagefile.sys 26 C:\System Volume Information\_restore{BC2BDDA1-4132-4D96-A82F-F42BF168DDE9}\RP20\A0000653.exe:Zone.Identifier 0 C:\System Volume Information\_restore{BC2BDDA1-4132-4D96-A82F-F42BF168DDE9}\RP48\A0004869.tlb:Zone.Identifier 26 C:\System Volume Information\_restore{BC2BDDA1-4132-4D96-A82F-F42BF168DDE9}\RP53\A0005286.exe:Zone.Identifier Error 32 opening C:\WINDOWS\system32\config\default Error 32 opening C:\WINDOWS\system32\config\default.LOG Error 32 opening C:\WINDOWS\system32\config\SAM Error 32 opening C:\WINDOWS\system32\config\SAM.LOG Error 32 opening C:\WINDOWS\system32\config\SECURITY Error 32 opening C:\WINDOWS\system32\config\SECURITY.LOG Error 32 opening C:\WINDOWS\system32\config\software Error 32 opening C:\WINDOWS\system32\config\software.LOG Error 32 opening C:\WINDOWS\system32\config\system Error 32 opening C:\WINDOWS\system32\config\system.LOG The following summary might be incorrect because there was at least one error! 312 bytes in 20 ADS listed |
21.11.2008, 21:09 | #6 |
Luefter dreht hoch, Firefox und Windows Desgin veraendert? PS: Edit: Zu früh gelesen Edit2: Du hast Gromozonreste auf dem Rechner. Lass mal noch folgendes Tool drüberjagen: Gromozon Rootkit Removal Tool:
__________________ --> Luefter dreht hoch, Firefox und Windows Desgin veraendert? |
21.11.2008, 21:10 | #7 |
| Luefter dreht hoch, Firefox und Windows Desgin veraendert? Lads File ist eh schon oben |
21.11.2008, 21:14 | #8 |
Luefter dreht hoch, Firefox und Windows Desgin veraendert? Posts haben sich überschnitten. Hier nochmal: http://www.trojaner-board.de/64879-luefter-dreht-hoch-firefox-und-windows-desgin-veraendert.html#post393683
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
21.11.2008, 21:27 | #9 |
| Luefter dreht hoch, Firefox und Windows Desgin veraendert?Code:
ATTFilter Removal tool loaded into memory Gromozon rootkit component not detected - searching for other components Scanning: C:\WINDOWS Scanning: C:\Programme\Gemeinsame Dateien Trojan.Gromozon does not exist - your system is clean. |
21.11.2008, 21:29 | #10 |
Luefter dreht hoch, Firefox und Windows Desgin veraendert? Sieht gut aus, kein Gromozon auf dem Rechner. Da sich das jetzt als negativ erwiesen hat, machen wir so weiter: 1.) Mit HijackThis fixen:
2.) ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
21.11.2008, 21:48 | #11 |
| Luefter dreht hoch, Firefox und Windows Desgin veraendert? Mit HijackThis ist alles gefixed! Geändert von somebody100 (21.11.2008 um 21:58 Uhr) |
21.11.2008, 21:54 | #12 |
Luefter dreht hoch, Firefox und Windows Desgin veraendert? Bitte das komplette ComboFix Logfile posten.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
21.11.2008, 21:56 | #13 |
| Luefter dreht hoch, Firefox und Windows Desgin veraendert?Code:
ATTFilter ComboFix 08-11-21.03 - Mario 2008-11-21 21:44:46.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1657 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Mario\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-10-21 bis 2008-11-21 )))))))))))))))))))))))))))))) . 2008-11-21 21:39 . 2008-11-21 21:39 <DIR> d-------- c:\programme\CCleaner 2008-11-21 21:17 . 2008-11-21 21:27 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-11-21 20:57 . 2007-01-04 04:10 61,952 --a------ C:\lads.exe 2008-11-21 20:35 . 2008-11-21 20:35 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien 2008-11-21 17:53 . 2008-11-21 17:53 <DIR> d-------- c:\windows\Sun 2008-11-15 16:20 . 2008-10-25 20:15 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen 2008-11-15 16:20 . 2008-10-25 20:05 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü 2008-11-15 16:20 . 2008-10-25 20:05 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung 2008-11-15 16:20 . 2008-11-21 21:45 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen 2008-11-15 16:20 . 2008-10-25 20:05 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten 2008-11-15 16:20 . 2008-10-25 20:05 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung 2008-11-15 16:20 . 2008-10-25 20:05 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten 2008-11-15 16:20 . 2008-11-21 20:35 <DIR> d-------- c:\dokumente und einstellungen\Administrator 2008-11-15 15:37 . 2008-11-15 15:37 <DIR> d-------- c:\programme\Trend Micro 2008-11-13 16:07 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-13 16:06 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2008-10-30 16:06 . 2008-10-30 16:06 268 --ah----- C:\sqmdata02.sqm 2008-10-30 16:06 . 2008-10-30 16:06 244 --ah----- C:\sqmnoopt02.sqm 2008-10-29 23:03 . 2008-10-29 23:03 268 --ah----- C:\sqmdata01.sqm 2008-10-29 23:03 . 2008-10-29 23:03 244 --ah----- C:\sqmnoopt01.sqm 2008-10-29 18:39 . 2008-10-29 18:39 268 --ah----- C:\sqmdata00.sqm 2008-10-29 18:39 . 2008-10-29 18:39 244 --ah----- C:\sqmnoopt00.sqm 2008-10-29 16:29 . 2008-10-03 17:58 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll 2008-10-29 16:29 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat 2008-10-29 16:29 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui 2008-10-29 16:29 . 2008-08-26 08:57 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll 2008-10-29 16:29 . 2008-08-26 08:57 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll 2008-10-29 16:29 . 2008-08-26 08:57 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll 2008-10-29 16:29 . 2008-08-26 08:57 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll 2008-10-29 16:29 . 2008-08-26 08:57 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll 2008-10-29 16:29 . 2008-08-25 09:38 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe 2008-10-29 15:00 . 2008-11-21 18:44 116 --a------ c:\windows\NeroDigital.ini 2008-10-29 14:59 . 2008-10-29 14:59 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nero 2008-10-29 14:59 . 2008-10-29 14:59 <DIR> d-------- c:\programme\Gemeinsame Dateien\LightScribe 2008-10-29 14:58 . 2008-10-29 14:58 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead 2008-10-29 14:58 . 2008-10-29 14:58 <DIR> d-------- c:\programme\Ahead 2008-10-29 14:58 . 2004-07-26 17:16 1,568,768 --------- c:\windows\system32\ImagX7.dll 2008-10-29 14:58 . 2004-07-26 17:16 476,320 --------- c:\windows\system32\ImagXpr7.dll 2008-10-29 14:58 . 2004-07-26 17:16 471,040 --------- c:\windows\system32\ImagXRA7.dll 2008-10-29 14:58 . 2004-07-09 09:43 364,544 --------- c:\windows\system32\TwnLib4.dll 2008-10-29 14:58 . 2004-07-26 17:16 262,144 --------- c:\windows\system32\ImagXR7.dll 2008-10-29 14:58 . 2000-06-26 11:45 106,496 --a------ c:\windows\system32\TwnLib20.dll 2008-10-28 18:52 . 2008-10-30 18:50 <DIR> d-------- c:\dokumente und einstellungen\Mario\Contacts 2008-10-28 18:51 . 2008-10-28 18:51 <DIR> d----c--- c:\windows\system32\DRVSTORE 2008-10-28 18:51 . 2008-10-28 18:51 <DIR> d-------- c:\programme\MSN Messenger 2008-10-27 21:28 . 2008-10-27 21:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KONAMI 2008-10-27 21:05 . 2008-10-27 21:07 <DIR> d-------- c:\windows\ServicePackFiles 2008-10-27 21:03 . 2006-12-29 00:31 19,569 --a------ c:\windows\002681_.tmp 2008-10-27 21:01 . 2008-10-27 21:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited 2008-10-27 20:47 . 2008-04-14 07:28 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys 2008-10-27 20:46 . 2008-10-27 20:46 <DIR> d-------- c:\programme\Logitech 2008-10-27 20:46 . 2008-10-27 20:46 <DIR> d-------- c:\programme\Gemeinsame Dateien\Logitech 2008-10-27 20:46 . 2004-04-14 11:08 44,064 --a------ c:\windows\system32\drivers\WmXlCore.sys 2008-10-27 20:46 . 2004-04-14 11:08 21,280 --a------ c:\windows\system32\drivers\WmFilter.sys 2008-10-27 20:46 . 2004-04-14 11:08 10,144 --a------ c:\windows\system32\drivers\WmBEnum.sys 2008-10-27 20:46 . 2004-04-14 11:08 5,600 --a------ c:\windows\system32\drivers\WmVirHid.sys 2008-10-27 17:12 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys 2008-10-27 16:33 . 2008-06-14 18:32 273,024 --------- c:\windows\system32\drivers\bthport.sys 2008-10-27 16:33 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys 2008-10-27 15:16 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys 2008-10-27 15:07 . 2008-10-27 15:07 <DIR> d-------- c:\programme\Eraser 2008-10-27 15:07 . 2008-10-27 15:07 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646} 2008-10-27 15:07 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe 2008-10-27 15:07 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe 2008-10-27 15:07 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe 2008-10-27 15:07 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe 2008-10-27 15:00 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll 2008-10-27 15:00 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys 2008-10-27 14:53 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll 2008-10-25 22:58 . 2008-10-25 22:58 <DIR> d-------- c:\programme\Windows Media Connect 2 2008-10-25 22:58 . 2008-10-25 22:58 <DIR> d-------- C:\c841c7627ae639f544 2008-10-25 22:58 . 2006-02-28 13:00 221,184 --a------ c:\windows\system32\wmpns.dll 2008-10-25 22:57 . 2008-10-25 22:57 <DIR> d-------- c:\windows\system32\LogFiles 2008-10-25 22:57 . 2008-10-25 22:58 <DIR> d-------- c:\windows\system32\drivers\UMDF 2008-10-25 22:57 . 2007-08-10 20:44 26,488 --a------ c:\windows\system32\spupdsvc.exe 2008-10-25 22:53 . 2008-08-06 14:27 499,712 --a------ c:\windows\system32\msvcp71.dll 2008-10-25 22:53 . 2008-08-06 14:29 348,160 --a------ c:\windows\system32\msvcr71.dll 2008-10-25 22:52 . 2008-10-25 22:53 <DIR> d-------- c:\windows\system32\Adobe 2008-10-25 22:52 . 2008-11-11 20:43 <DIR> d-------- c:\programme\TweakNow RegCleaner Std 2008-10-25 22:50 . 2008-10-25 22:50 13,646 --a------ c:\windows\system32\wpa.bak 2008-10-25 22:44 . 2008-10-25 22:57 <DIR> d-------- c:\programme\Java 2008-10-25 22:44 . 2008-06-10 01:32 73,728 --a------ c:\windows\system32\javacpl.cpl 2008-10-25 22:42 . 2008-11-10 18:24 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2008-10-25 22:42 . 2008-11-21 21:41 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-10-25 22:41 . 2008-10-25 22:41 <DIR> d-------- c:\programme\VideoLAN 2008-10-25 22:41 . 2008-10-25 22:41 <DIR> d-------- c:\programme\Gemeinsame Dateien\Java 2008-10-25 22:41 . 2008-10-25 22:41 <DIR> d-------- c:\dokumente und einstellungen\Mario\Anwendungsdaten\vlc 2008-10-25 22:36 . 2008-10-25 22:36 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe 2008-10-25 22:34 . 2008-10-25 22:34 <DIR> d-------- c:\windows\Logs 2008-10-25 22:32 . 2008-10-25 22:32 <DIR> d-------- c:\programme\Avira 2008-10-25 22:32 . 2008-10-25 22:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2008-10-25 22:27 . 2008-10-25 22:27 <DIR> d-------- c:\programme\ZyXEL Communications Corporation 2008-10-25 22:27 . 2004-10-28 18:24 36,352 --a------ c:\windows\system32\uninst_Zyxel.exe 2008-10-25 22:27 . 2005-07-12 13:44 15,872 --a------ c:\windows\system32\InsDrvZD64.dll 2008-10-25 22:17 . 2005-08-16 13:50 278,016 --a------ c:\windows\system32\drivers\ZD1211U.sys 2008-10-25 22:17 . 2004-01-14 10:25 81,920 --a------ c:\windows\system32\ZDPN50.dll 2008-10-25 22:17 . 2004-04-28 15:32 81,920 --a------ c:\windows\system32\ZDBRGDLL.dll 2008-10-25 22:17 . 2004-03-23 15:38 28,672 --a------ c:\windows\system32\InsDrvZD.dll 2008-10-25 22:17 . 2003-03-14 11:24 24,576 --a------ c:\windows\system32\ZyDelReg.exe 2008-10-25 22:17 . 2004-06-30 12:54 19,200 --a------ c:\windows\system32\ZDBRGSYS.sys 2008-10-25 22:17 . 2004-01-14 10:30 17,151 --a------ c:\windows\system32\ZDPNDIS5.sys 2008-10-25 22:10 . 2008-10-25 22:10 0 --a------ c:\windows\nsreg.dat 2008-10-25 22:05 . 2008-10-25 22:05 <DIR> d-------- c:\programme\Creative 2008-10-25 22:05 . 2008-10-26 17:03 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Creative 2008-10-25 22:04 . 2008-03-18 16:02 22,833,304 --a------ c:\windows\system32\AppSetup.exe 2008-10-25 22:00 . 2008-10-25 22:00 <DIR> d-------- c:\windows\nview 2008-10-25 22:00 . 2008-05-16 10:48 446,464 --a------ c:\windows\system32\NVUNINST.EXE 2008-10-25 22:00 . 2008-05-16 13:01 446,464 --a------ c:\windows\system32\nvudisp.exe 2008-10-25 22:00 . 2008-11-21 21:37 186,097 --a------ c:\windows\system32\nvapps.xml 2008-10-25 22:00 . 2008-05-16 13:01 18,070 --a------ c:\windows\system32\nvdisp.nvu 2008-10-25 21:58 . 2008-10-25 21:59 <DIR> d-------- C:\NVIDIA 2008-10-25 21:42 . 2008-10-25 21:42 <DIR> d-------- c:\programme\ASUS 2008-10-25 21:42 . 2006-01-10 15:50 24,576 --a------ c:\windows\system32\AsIO.dll 2008-10-25 21:42 . 2007-12-17 16:14 12,400 --a------ c:\windows\system32\drivers\AsIO.sys 2008-10-25 21:42 . 2008-01-04 12:34 11,832 --a------ c:\windows\system32\drivers\AsInsHelp64.sys 2008-10-25 21:42 . 2008-01-04 12:34 10,216 --a------ c:\windows\system32\drivers\AsInsHelp32.sys 2008-10-25 21:41 . 2008-10-25 21:41 <DIR> d-------- c:\windows\RaidTool 2008-10-25 21:41 . 2008-10-25 21:41 <DIR> d-------- c:\windows\OPTIONS 2008-10-25 21:41 . 2008-10-25 21:41 <DIR> d-------- C:\RaidTool 2008-10-25 21:41 . 2008-10-25 21:41 <DIR> d-------- c:\programme\Realtek 2008-10-25 21:41 . 2008-10-27 20:46 <DIR> d--h----- c:\programme\InstallShield Installation Information 2008-10-25 21:41 . 2008-10-27 20:49 <DIR> d-------- c:\programme\Gemeinsame Dateien\InstallShield 2008-10-25 21:41 . 2007-03-21 15:23 1,953,792 --a------ c:\windows\system32\xRaidSetup.exe 2008-10-25 21:41 . 2007-03-20 20:15 143,360 --a------ c:\windows\system32\xRaidAPI.dll 2008-10-25 21:41 . 2006-06-28 15:25 81,920 --a------ c:\windows\system32\drivers\Rtenicxp.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-25 21:05 413,696 ----a-w c:\windows\system32\wrap_oal.dll 2008-10-25 21:05 102,400 ----a-w c:\windows\system32\OpenAL32.dll 2008-10-25 19:19 --------- d-----w c:\programme\microsoft frontpage 2008-10-25 19:17 --------- d-----w c:\programme\Online-Dienste 2008-10-25 19:17 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-10 01:13 1,307,648 ------w c:\windows\system32\msxml6.dll 2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-08-26 07:57 826,368 ----a-w c:\windows\system32\wininet.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-11-17 53341] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] "Eraser"="c:\programme\Eraser\Eraser.exe" [2007-12-23 916240] "MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864] "Ai Nap"="c:\programme\ASUS\AI Suite\AiNap\AiNap.exe" [2007-09-06 1426432] "CPU Power Monitor"="c:\programme\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe" [2007-10-04 626176] "Cpu Level Up help"="c:\programme\ASUS\AI Suite\CpuLevelUpHelp.exe" [2007-09-11 880640] "Launch PC Probe II"="c:\programme\ASUS\PC Probe II\Probe2.exe" [2008-01-24 2135552] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-10-25 266497] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe] "P17Helper"="SPIRun.dll" [2006-07-03 c:\windows\system32\SPIRun.dll] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ ZyXEL G-220 Utility GUI.lnk - c:\programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe [2008-10-25 1318912] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"= "c:\\WINDOWS\\system32\\java.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\PES\\pes2009.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\DRIVERS\zd1211u.sys [2008-10-25 278016] *Newly Created Service* - PROCEXP90 . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\c\Anwendungsdaten\Mozilla\Firefox\Profiles\il6aw0zo.default\ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-21 21:45:29 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run P17Helper = Rundll32 SPIRun.dll,RunDLLEntry? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-11-21 21:46:00 ComboFix-quarantined-files.txt 2008-11-21 20:45:50 Vor Suchlauf: 10 Verzeichnis(se), 229.357.293.568 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 229,346,512,896 Bytes frei 217 --- E O F --- 2008-11-14 13:37:22 sry |
21.11.2008, 22:04 | #14 | |
Luefter dreht hoch, Firefox und Windows Desgin veraendert? So, was ist in diesem Ordner: Zitat:
Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\002681_.tmp c:\windows\system32\SPIRun.dll
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
21.11.2008, 22:07 | #15 |
| Luefter dreht hoch, Firefox und Windows Desgin veraendert? In dem Ordner C:\c841c7627ae639f544 ist noch ein Unterordner der heisst Update und in dem ist eine Update.exe (Windows Service Pack Setup/ Microsoft Corporation) |
Themen zu Luefter dreht hoch, Firefox und Windows Desgin veraendert? |
0 bytes, abgesicherten modus, adobe, antivir, antivirus, avg, avgnt, avgnt.exe, avira, bho, cpu, explorer, firefox, firfox, frage, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, launch, logfile, monitor, netzwerk, prozess, rundll, scan, software, system, windows, windows xp, windows xp sp3, xp sp3 |