Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
ron ads by globaladsolution

ron ads by globaladsolution


Log-Analyse und Auswertung: ron ads by globaladsolution

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 22.11.2008, 10:09   #1
13galadriel
 
ron ads by globaladsolution - Standard

ron ads by globaladsolution


Hallo,
ich habe seit ca. 5 Tage ein Problem mit Pop Up Fenster. Auf der oberen blauen leiste erscheint RON ads by Globaladsolutions. Ich habe mich auf die suche bei google gemacht was dies sein könnte und landete auf diese seite. Nun habe ich ein HijackThis test durchlaufen lassen und folgende auswertung bekommen. Es wäre sehr nett wenn mir jemand helfen könnte.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:02:03, on 22.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\System Control Manager\edd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\System Control Manager\MGSysCtrl.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\regsvr32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: 61.129.115.198 www.xldd.com
O1 - Hosts: 61.129.115.198 www.ojiang.com
O1 - Hosts: 61.129.115.198 www.shuixian.net
O1 - Hosts: 61.129.115.198 www.xlarea.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: globaladsolution - {1a7790d3-a01d-c289-d033-7c0a67c48b46} - C:\WINDOWS\system32\nsgA8.dll
O2 - BHO: bxNewFolder - {51C8BCA8-2524-4523-BF09-738C4EEBFC58} - C:\Programme\bxNewFolder\bxNewFolder.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: globaladsolution browser enhancer - {895DC6CE-B8CA-0D96-AE8F-45DC859B277C} - C:\WINDOWS\system32\tqrcawwxfu.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: globaladsolution browser enhancer - {9588F306-D826-34BD-E5C8-E26A0283A5C2} - C:\WINDOWS\system32\tqrcawwxfu.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [rhpoylwctvqstthxb] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\tqrcawwxfu.dll"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [sahsqcmdqmn] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\tqrcawwxfu.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ppcb_32.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {4A3CBDDD-C4DC-4C38-B44F-704DAEF628AE} (PjAdoInfo3 Class) - http://130.149.52.201/ProjectServer/objects/pjclient.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195074226890
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF085927-5CFF-43D6-AD7A-949F087B822B} (Pj11deuC Class) - http://130.149.52.201/ProjectServer/objects/1031/pjcintl.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Programme\System Control Manager\edd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

--
End of file - 10574 bytes
Vielen Dank für eure schnelle hilfe

13galadriel

Alt 23.11.2008, 15:33   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
ron ads by globaladsolution - Standard

ron ads by globaladsolution


Hallo und

Code:
ATTFilter
O1 - Hosts: 61.129.115.198 www.xldd.com
O1 - Hosts: 61.129.115.198 www.ojiang.com
O1 - Hosts: 61.129.115.198 www.shuixian.net
O1 - Hosts: 61.129.115.198 www.xlarea.com
Da hat was Deine Hosts-Datei verändert (=> Pharming!)
Öffne bitte die datei c:\windows\system32\drivers\etc\hosts. Editiere sie so, dass dort nur das drinsteht:

Code:
ATTFilter
127.0.0.1       localhost
Abspeichern nicht vergessen! Du musst evtl. den Schreibschutz der Datei aufheben, bevor Du sie so abspeichern kannst. Das geht über ein Rechtsklick auf die Datei > Eigenschaften - dort den Haken unten bei Schreibgeschützt entfernen und übernehmen.


Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\nsgA8.dll
C:\Programme\bxNewFolder\bxNewFolder.dll
C:\WINDOWS\system32\tqrcawwxfu.dll
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________
Alt 23.11.2008, 21:46   #3
13galadriel
 
ron ads by globaladsolution - Standard

ron ads by globaladsolution


Hallo,

Danke für die hilfe, die host datei habe ich schon geändert.
hier die abgearbeiteten schritte:

1) für die C:\WINDOWS\system32\nsgA8.dll datei:

Code:
ATTFilter
Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.11.21.0 2008.11.23 - 
AntiVir 7.9.0.35 2008.11.23 - 
Authentium 5.1.0.4 2008.11.22 - 
Avast 4.8.1281.0 2008.11.22 - 
AVG 8.0.0.199 2008.11.23 - 
BitDefender 7.2 2008.11.23 - 
CAT-QuickHeal 10.00 2008.11.21 - 
ClamAV 0.94.1 2008.11.23 - 
DrWeb 4.44.0.09170 2008.11.23 - 
eSafe 7.0.17.0 2008.11.23 - 
eTrust-Vet 31.6.6221 2008.11.21 - 
Ewido 4.0 2008.11.23 - 
F-Prot 4.4.4.56 2008.11.22 - 
F-Secure 8.0.14332.0 2008.11.23 - 
Fortinet 3.117.0.0 2008.11.23 - 
GData 19 2008.11.23 - 
Ikarus T3.1.1.45.0 2008.11.23 AdWare.Win32.MxLiveMedia 
K7AntiVirus 7.10.531 2008.11.22 - 
Kaspersky 7.0.0.125 2008.11.23 - 
McAfee 5443 2008.11.23 - 
McAfee+Artemis 5443 2008.11.23 - 
Microsoft 1.4104 2008.11.23 Adware:Win32/MxLiveMedia 
NOD32 3632 2008.11.21 - 
Norman 5.80.02 2008.11.22 - 
Panda 9.0.0.4 2008.11.23 - 
PCTools 4.4.2.0 2008.11.23 - 
Prevx1 V2 2008.11.23 Adware 
Rising 21.04.62.00 2008.11.23 - 
SecureWeb-Gateway 6.7.6 2008.11.23 - 
Sophos 4.35.0 2008.11.23 - 
Sunbelt 3.1.1823.2 2008.11.22 - 
Symantec 10 2008.11.23 - 
TheHacker 6.3.1.1.160 2008.11.23 - 
TrendMicro 8.700.0.1004 2008.11.22 - 
VBA32 3.12.8.9 2008.11.22 - 
ViRobot 2008.11.18.1474 2008.11.18 - 
VirusBuster 4.5.11.0 2008.11.23 Adware.Adrotator.Gen.2 
weitere Informationen 
File size: 555008 bytes 
MD5...: 361e30650beba9a23ba69b287193de0a 
SHA1..: 9c71f0ff3a455ef874fc98d1a23deb39e098560e 
SHA256: 624a635f7f23ca9d8cbed349b8a16838461732b41c50be2283ea853438f9eae1 
SHA512: 948e9020a53f9e615cb96f11fb611f1341bf6fade56655cf48ae0271959e0e4c
ded16b9de6cb847c6cb06f3e8e58ff31ac8febebb3f323a96c28e0c1818753d8 
PEiD..: - 
TrID..: File type identification
DirectShow filter (77.7%)
Win32 Executable MS Visual C++ (generic) (14.5%)
Win32 Executable Generic (3.2%)
Win32 Dynamic Link Library (generic) (2.9%)
Generic Win/DOS Executable (0.7%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10047b11
timedatestamp.....: 0x490748f1 (Tue Oct 28 17:16:33 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x69383 0x69400 6.76 237102c549f5f86c34e83d74e6cad4f5
.rdata 0x6b000 0x136da 0x13800 4.85 6acac2965a8134830ce3f7098b17144b
.data 0x7f000 0x4efc 0x1800 3.68 eb26aa7c21b340ac0db60735523df18f
.rsrc 0x84000 0x4a0 0x600 4.54 74d9fe786082b42abeecaa5bed867691
.reloc 0x85000 0x889a 0x8a00 5.92 c71ecc578e3bd386fcfe0ef12721d5b3

( 10 imports ) 
> SHLWAPI.dll: StrStrIW, UrlGetPartW, UrlEscapeW, PathMatchSpecW, UrlUnescapeW, StrCmpIW
> KERNEL32.dll: GetCommandLineA, CompareStringW, CompareStringA, InterlockedIncrement, InterlockedDecrement, EnterCriticalSection, DeleteCriticalSection, GetProcAddress, LoadLibraryA, MultiByteToWideChar, GetDriveTypeA, GetProcessHeap, SetEndOfFile, CreateFileA, GetModuleHandleA, GetTimeZoneInformation, SetStdHandle, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, InitializeCriticalSectionAndSpinCount, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, GetCurrentDirectoryA, SetFilePointer, GetDateFormatA, GetTimeFormatA, IsValidCodePage, GetOEMCP, GetACP, FlushFileBuffers, GetConsoleMode, GetConsoleCP, ReadFile, WriteFile, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetFullPathNameW, InitializeCriticalSection, LeaveCriticalSection, FreeLibrary, WideCharToMultiByte, CreateMutexW, WaitForSingleObject, ReleaseMutex, CloseHandle, Sleep, GetModuleFileNameA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, HeapReAlloc, VirtualAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetLastError, HeapFree, GetCurrentThreadId, SetEnvironmentVariableA, GetSystemTimeAsFileTime, ExitThread, CreateThread, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, GetDriveTypeW, FindFirstFileW, RaiseException, RtlUnwind, LCMapStringA, LCMapStringW, GetCPInfo, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, HeapCreate, HeapDestroy, VirtualFree
> USER32.dll: GetWindowLongW, wsprintfW, SetWindowTextW, SetWindowPos, SetWindowLongW, EnumChildWindows, RealGetWindowClassW, GetWindowTextW, SendMessageW, CallWindowProcW
> ole32.dll: CoUninitialize, CoCreateInstance, CoTaskMemFree, CoInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> WS2_32.dll: -
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> urlmon.dll: UrlMkGetSessionOption
> imagehlp.dll: MapAndLoad, UnMapAndLoad
> SHELL32.dll: SHCreateDirectoryExW

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F34A282900ACA7AE789008BCA64C6200F80BB198
für die C:\Programme\bxNewFolder\bxNewFolder.dll
Code:
ATTFilter
Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.11.21.0 2008.11.23 - 
AntiVir 7.9.0.35 2008.11.23 - 
Authentium 5.1.0.4 2008.11.22 - 
Avast 4.8.1281.0 2008.11.22 - 
AVG 8.0.0.199 2008.11.23 - 
BitDefender 7.2 2008.11.23 - 
CAT-QuickHeal 10.00 2008.11.21 - 
ClamAV 0.94.1 2008.11.23 - 
DrWeb 4.44.0.09170 2008.11.23 - 
eSafe 7.0.17.0 2008.11.23 Suspicious File 
eTrust-Vet 31.6.6221 2008.11.21 - 
Ewido 4.0 2008.11.23 - 
F-Prot 4.4.4.56 2008.11.22 - 
F-Secure 8.0.14332.0 2008.11.23 - 
Fortinet 3.117.0.0 2008.11.23 - 
GData 19 2008.11.23 - 
Ikarus T3.1.1.45.0 2008.11.23 - 
K7AntiVirus 7.10.531 2008.11.22 - 
Kaspersky 7.0.0.125 2008.11.23 - 
McAfee 5443 2008.11.23 - 
McAfee+Artemis 5443 2008.11.23 - 
Microsoft 1.4104 2008.11.23 - 
NOD32 3632 2008.11.21 - 
Norman 5.80.02 2008.11.22 - 
Panda 9.0.0.4 2008.11.23 - 
PCTools 4.4.2.0 2008.11.23 - 
Prevx1 V2 2008.11.23 - 
Rising 21.04.62.00 2008.11.23 - 
SecureWeb-Gateway 6.7.6 2008.11.23 - 
Sophos 4.35.0 2008.11.23 - 
Sunbelt 3.1.1823.2 2008.11.22 - 
Symantec 10 2008.11.23 - 
TheHacker 6.3.1.1.160 2008.11.23 - 
TrendMicro 8.700.0.1004 2008.11.22 - 
VBA32 3.12.8.9 2008.11.22 - 
ViRobot 2008.11.18.1474 2008.11.18 - 
VirusBuster 4.5.11.0 2008.11.23 - 
weitere Informationen 
File size: 191488 bytes 
MD5...: bfe5ca69ca7b71d18c7de0bcdc3ba626 
SHA1..: ddce3521c30b8bdc61c11292eea7537a7e3b90f8 
SHA256: 9080b11b96a64ebe04c460be51060d20d0b7923f301b4ef4f570ff9da0ec2ee1 
SHA512: def956e848edc1a0dd609b36a7d798c2b8e1eaf896b4dbe79ab9922438f9c69c
6186b0129baaa4b1613fe46927c3af52072839e04a9e8e67b6dc0011c3164465 
PEiD..: ASPack v2.12 
TrID..: File type identification
Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x46f001
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x58000 0x24800 8.00 dfff83e22ba22c1aa3e70a2b80d9268e
DATA 0x59000 0x1000 0x800 7.00 6c2953cb113db9885d17783a0959913e
BSS 0x5a000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x5b000 0x3000 0xe00 7.72 f9a0ccb584742e750bca04c22d205ed4
.edata 0x5e000 0x1000 0x200 1.96 08ec433a5077c9df57602c421ae9e3ee
.reloc 0x5f000 0x7000 0x3c00 7.95 d05dce0a11f7ff0653c1eb2edf10a9d8
.rsrc 0x66000 0x9000 0x3800 6.65 bf449073a522b23ee6dc71b4d70694b9
.aspack 0x6f000 0x2000 0x1400 5.66 0deaebe52677e02bf8a104347069e0b6
.adata 0x71000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 12 imports ) 
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> user32.dll: GetKeyboardType
> advapi32.dll: RegQueryValueExA
> oleaut32.dll: VariantChangeTypeEx
> advapi32.dll: RegSetValueExA
> gdi32.dll: UnrealizeObject
> user32.dll: WindowFromPoint
> ole32.dll: CoTaskMemFree
> oleaut32.dll: CreateErrorInfo
> comctl32.dll: ImageList_SetIconSize
> shell32.dll: ShellExecuteA
> shell32.dll: SHGetPathFromIDListA

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
 
packers (Kaspersky): ASPack 
packers (F-Prot): Aspack
für C:\WINDOWS\system32\tqrcawwxfu.dll
Code:
ATTFilter
Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.11.21.0 2008.11.23 - 
AntiVir 7.9.0.35 2008.11.23 - 
Authentium 5.1.0.4 2008.11.22 W32/AdRotator.B.gen!Eldorado 
Avast 4.8.1281.0 2008.11.22 - 
AVG 8.0.0.199 2008.11.23 - 
BitDefender 7.2 2008.11.23 Generic.Adw.Rotator.F68A437D 
CAT-QuickHeal 10.00 2008.11.21 - 
ClamAV 0.94.1 2008.11.23 Adware.AdRotator-10 
DrWeb 4.44.0.09170 2008.11.23 - 
eSafe 7.0.17.0 2008.11.23 - 
eTrust-Vet 31.6.6221 2008.11.21 Win32/AdClicker 
Ewido 4.0 2008.11.23 - 
F-Prot 4.4.4.56 2008.11.22 W32/AdRotator.B.gen!Eldorado 
F-Secure 8.0.14332.0 2008.11.23 Trojan-Clicker.Win32.Agent.fid 
Fortinet 3.117.0.0 2008.11.23 Adware/AdClicker 
GData 19 2008.11.23 Generic.Adw.Rotator.F68A437D 
Ikarus T3.1.1.45.0 2008.11.23 Generic.Adw.Rotator 
K7AntiVirus 7.10.531 2008.11.22 - 
Kaspersky 7.0.0.125 2008.11.23 Trojan-Clicker.Win32.Agent.fid 
McAfee 5443 2008.11.23 AdClicker-GI 
McAfee+Artemis 5443 2008.11.23 AdClicker-GI 
Microsoft 1.4104 2008.11.23 Adware:Win32/AdRotator 
NOD32 3632 2008.11.21 - 
Norman 5.80.02 2008.11.22 - 
Panda 9.0.0.4 2008.11.23 - 
PCTools 4.4.2.0 2008.11.23 - 
Prevx1 V2 2008.11.23 - 
Rising 21.04.62.00 2008.11.23 - 
SecureWeb-Gateway 6.7.6 2008.11.23 Trojan.Click.LooksLike.Agent 
Sophos 4.35.0 2008.11.23 SuperiorAds 
Sunbelt 3.1.1823.2 2008.11.22 - 
Symantec 10 2008.11.23 - 
TheHacker 6.3.1.1.160 2008.11.23 - 
TrendMicro 8.700.0.1004 2008.11.22 - 
VBA32 3.12.8.9 2008.11.22 - 
ViRobot 2008.11.18.1474 2008.11.18 Trojan.Win32.Clicker.190976 
VirusBuster 4.5.11.0 2008.11.23 - 
weitere Informationen 
File size: 190976 bytes 
MD5...: e22552e451048ad49117dd50fac322f4 
SHA1..: 29db41c3aa2846090571a5efbfe20281a619956e 
SHA256: 6aa697922097ca59a1d797673599a2b5ff658f9ef51219db3b7621ed7c7d9d51 
SHA512: 10d297ce5d9b8f53ebd5896fd52eac69dda77b02eb2a4321a78423b82b92737e
927c1c9e83a9dab50538c6c5e58a11e791b4b0addd42c2a6e0a298adb0190bb3 
PEiD..: - 
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10013a08
timedatestamp.....: 0x4909e15e (Thu Oct 30 16:31:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x23150 0x23200 6.61 1a4096ba47a2bd7e0c9bc4b70e93f0f9
.rdata 0x25000 0x6d8b 0x6e00 5.41 20b9e2a0b3ce3de239f800f83d51c9d2
.data 0x2c000 0x33c4 0x1800 3.92 b5cecfc9a6cbf56a13c4d5ec5436339c
.rsrc 0x30000 0x34c 0x400 4.67 751dd3003ee54422d2ca82ad2956b370
.reloc 0x31000 0x28e4 0x2a00 4.96 20ed6d728a0b8bf51944ed3165354565

( 8 imports ) 
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW
> SHLWAPI.dll: StrCmpIW, StrStrIW, PathStripPathW, UrlEscapeW, SHDeleteKeyW
> KERNEL32.dll: ExitThread, WaitForSingleObject, CreateThread, Sleep, GetModuleFileNameW, OpenMutexW, GetSystemTime, CreateEventW, OpenProcess, CreateMutexW, GetLastError, InterlockedIncrement, InterlockedDecrement, lstrcmpW, GetTickCount, SystemTimeToFileTime, GetLocalTime, LocalFree, LoadLibraryA, FreeLibrary, ExpandEnvironmentStringsW, WideCharToMultiByte, MultiByteToWideChar, GetTempFileNameW, GetEnvironmentVariableW, LocalAlloc, VirtualQuery, GetVolumeInformationW, LoadLibraryW, GetSystemInfo, GetStringTypeW, GetStringTypeA, LCMapStringA, GetLocaleInfoA, InitializeCriticalSectionAndSpinCount, GetConsoleMode, GetConsoleCP, SetFilePointer, HeapReAlloc, VirtualAlloc, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, VirtualFree, HeapDestroy, HeapCreate, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetProcAddress, CreateProcessW, CloseHandle, SetEvent, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, lstrlenW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, GetWindowsDirectoryW, GetFileType, SetHandleCount, LCMapStringW, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, GetModuleFileNameA, GetStdHandle, WriteFile, ExitProcess, HeapSize, GetModuleHandleA, SetLastError, TlsFree, TlsSetValue, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, GetCurrentThreadId, GetCommandLineA, HeapFree, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc
> USER32.dll: GetWindowTextW, EnumChildWindows, RealGetWindowClassW, CallWindowProcW, SetWindowLongW, GetWindowThreadProcessId, SetActiveWindow, SendMessageW, GetPropW, RemovePropW, SetWindowTextW, SetPropW, IntersectRect, InflateRect, ClientToScreen, MsgWaitForMultipleObjects, PeekMessageW, TranslateMessage, DispatchMessageW, GetClassNameW, PostMessageW, OffsetRect
> ADVAPI32.dll: CryptCreateHash, CryptGetHashParam, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo, CryptGenRandom, CryptAcquireContextW, CryptHashData, CryptDestroyHash, CryptReleaseContext, RegQueryValueExW, RegCreateKeyW, RegCreateKeyExW, RegSetValueW, RegDeleteValueW, RegOpenKeyExW, RegSetValueExW, RegCloseKey
> ole32.dll: CoInitializeEx, CoCreateInstance, CoTaskMemFree, CoUninitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
 
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=e22552e451048ad49117dd50fac322f4
__________________
Alt 23.11.2008, 23:18   #4
13galadriel
 
ron ads by globaladsolution - Standard

ron ads by globaladsolution


und weiter gehts:

2) Schritt 2 lässt sich nicht ausführen sobald ich unter windows explorer bei eigenschaften die systemwiderherstellung abschalten will kommt ein fenster wo bei der datei rundll32.exe und drwts32.exe ein problem festgestellt wird und ich also die systemwiederherstellung nicht ausschalten kann.

3) auswertung des MBR tools

Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
4) bei *Blacklight* habe ich keine Logfile bekommen jedoch kam als ergebnis das ich keine hidden items habe und nichts musste "clean" werden.
bei *Malwarebytes Antimalware*
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1419
Windows 5.1.2600 Service Pack 2

23.11.2008 23:17:32
mbam-log-2008-11-23 (23-17-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 260680
Laufzeit: 1 hour(s), 9 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_globaladsolution (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\nohh06760.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cont_globaladsolution-remove.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\nsglobaladsolution.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Alt 23.11.2008, 23:22   #5
13galadriel
 
ron ads by globaladsolution - Standard

ron ads by globaladsolution


weiter

5)
Code:
ATTFilter
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [file not found]
"Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon" ["Sony Ericsson Mobile Communications AB"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"MGSysCtrl" = "C:\Programme\System Control Manager\MGSysCtrl.exe" ["MSI"]
"NWEReboot" = "(empty string)" [file not found]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" [null data]
"FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data]
"TerraTec Remote Control" = ""C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"" ["TerraTec Electronic GmbH"]
"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Malwarebytes' Anti-Malware" = "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent" ["Malwarebytes Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" [file not found]
{51C8BCA8-2524-4523-BF09-738C4EEBFC58}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "bxNewFolder"
                   \InProcServer32\(Default) = "C:\Programme\bxNewFolder\bxNewFolder.dll" [null data]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Groove GFS Browser Helper"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{72853161-30C5-4D22-B7F9-0BBC1D38A37E}" = "Groove GFS Browser Helper"
  -> {HKLM...CLSID} = "Groove GFS Browser Helper"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}" = "Groove GFS Explorer Bar"
  -> {HKLM...CLSID} = "Groove Folder Synchronization"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{A449600E-1DC6-4232-B948-9BD794D62056}" = "Groove GFS Stub Icon Handler"
  -> {HKLM...CLSID} = "Groove GFS Stub Icon Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
  -> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{6C467336-8281-4E60-8204-430CED96822D}" = "Groove GFS Context Menu Handler"
  -> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{387E725D-DC16-4D76-B310-2C93ED4752A0}" = "Groove XML Icon Handler"
  -> {HKLM...CLSID} = "Groove XML Icon Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{16F3DD56-1AF5-4347-846D-7C10C4192619}" = "Groove Explorer Icon Overlay 3 (GFS Folder)"
  -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 3 (GFS Folder)"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}" = "Groove Explorer Icon Overlay 2 (GFS Stub)"
  -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2 (GFS Stub)"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}" = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
  -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{99FD978C-D287-4F50-827F-B2C658EDA8E7}" = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
  -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{920E6DB1-9907-4370-B3A0-BAFC03D81399}" = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
  -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook File Icon Extension"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS]
"{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C}" = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
  -> {HKLM...CLSID} = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
  -> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
  -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
  -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
  -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"
                   \InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]
"{03DAACC5-10BA-4E3E-9D54-2A569F6B4B87}" = "Sony Ericsson File Manager"
  -> {HKLM...CLSID} = "Sony Ericsson File Manager"
                   \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{738D66C6-0149-4D40-84E4-A7BB2D0CE949}" = "Sony Ericsson File Manager"
  -> {HKLM...CLSID} = "Sony Ericsson File Manager"
                   \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
  -> {HKLM...CLSID} = "iTunes"
                   \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
  -> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]


Alt 23.11.2008, 23:55   #6
13galadriel
 
ron ads by globaladsolution - Standard

ron ads by globaladsolution


6) combo fix: dort komme ich nicht weiter da ich bei dem tutorial für den Combo Fix eine Wiederherstellungskonsole für Windows downloaden soll, und unter den dort angezeigten links zu microsoft den download hierfür nicht gefunden habe und ich mich deswegen nicht traue ohne wiedrherstellungs datei den combo fix auszuführen.

Alt 24.11.2008, 00:16   #7
13galadriel
 
ron ads by globaladsolution - Standard

ron ads by globaladsolution


6) ok hab das download gefunden hier die combofix logdatei

Code:
ATTFilter
ComboFix 08-11-22.02 - Galadriel 2008-11-24  0:12:10.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.577 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Galadriel\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Galadriel\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Galadriel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
c:\programme\ppcbooster
c:\programme\ppcbooster\ppcbu_32.exe
c:\windows\emMON.exe
c:\windows\h288.exe
c:\windows\nc605007.exe
c:\windows\pi.exe
c:\windows\winhelp.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2008-10-23 bis 2008-11-23  ))))))))))))))))))))))))))))))
.

2008-11-23 23:33 . 2008-11-23 23:33	<DIR>	d--------	c:\programme\CCleaner
2008-11-23 22:06 . 2008-11-23 22:06	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-23 22:06 . 2008-11-23 22:06	<DIR>	d--------	c:\dokumente und einstellungen\Galadriel\Anwendungsdaten\Malwarebytes
2008-11-23 22:06 . 2008-11-23 22:06	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-23 22:06 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-23 22:06 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-22 15:15 . 2008-11-22 16:04	<DIR>	d--------	c:\windows\system32\CatRoot_bak
2008-11-22 15:13 . 2008-06-14 18:57	273,024	---------	c:\windows\system32\drivers\bthport.sys
2008-11-22 15:13 . 2008-06-14 18:57	273,024	-----c---	c:\windows\system32\dllcache\bthport.sys
2008-11-22 14:45 . 2007-07-30 19:19	271,224	--a------	c:\windows\system32\mucltui.dll
2008-11-22 14:45 . 2007-07-30 19:19	207,736	--a------	c:\windows\system32\muweb.dll
2008-11-22 14:45 . 2007-07-30 19:18	30,072	--a------	c:\windows\system32\mucltui.dll.mui
2008-11-22 10:01 . 2008-11-22 10:01	<DIR>	d--------	c:\programme\Trend Micro
2008-11-20 13:21 . 2008-11-22 12:40	47,593	--a------	c:\windows\system32\gwwcklyhehmlmwxsf.exe
2008-11-15 09:02 . 2008-11-15 09:02	<DIR>	d--------	c:\programme\Synkron
2008-11-15 09:02 . 2008-11-15 10:19	<DIR>	d--------	c:\dokumente und einstellungen\Galadriel\Anwendungsdaten\Matus Tomlein
2008-11-14 22:21 . 2008-11-14 22:21	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-11-14 22:15 . 2006-02-23 07:59	176,128	--a------	c:\windows\system32\nvusmb.exe
2008-11-14 22:15 . 2006-02-23 07:59	176,128	--a------	c:\windows\system32\nvunrm.exe
2008-11-14 22:15 . 2006-03-04 06:30	101,888	--a------	c:\windows\system32\drivers\nvtcp.sys
2008-11-14 22:15 . 2006-02-21 04:00	3,903	--a------	c:\windows\system32\nvnrm.nvu
2008-11-14 22:15 . 2005-10-20 10:05	1,864	--a------	c:\windows\system32\nvsmb.nvu
2008-11-14 22:14 . 2006-02-23 07:59	176,128	--a------	c:\windows\system32\NVUNINST.EXE
2008-11-14 22:01 . 2006-03-04 06:30	305,024	--a------	c:\windows\system32\drivers\nvnrm.sys
2008-11-14 22:01 . 2006-03-04 06:30	222,592	--a------	c:\windows\system32\drivers\nvsnpu.sys
2008-11-14 22:01 . 2006-03-04 06:29	203,776	--a------	c:\windows\system32\fdco1.dll
2008-11-14 22:01 . 2006-02-23 08:00	35,840	--a------	c:\windows\system32\nvconrm.dll
2008-11-14 22:01 . 2006-03-04 06:31	34,176	--a------	c:\windows\system32\drivers\NVENETFD.sys
2008-11-14 22:01 . 2006-03-04 06:31	13,056	--a------	c:\windows\system32\drivers\nvnetbus.sys
2008-11-14 22:01 . 2006-03-04 06:29	9,728	--a------	c:\windows\system32\bdco1.dll
2008-11-14 21:48 . 2008-11-14 21:48	<DIR>	d--------	c:\programme\Symantec
2008-11-13 21:35 . 2008-11-13 21:35	60	--a------	c:\windows\crackpdf.INI
2008-11-13 21:01 . 2008-11-13 21:14	<DIR>	d--------	c:\programme\Ovis
2008-11-11 12:46 . 2008-11-11 12:46	<DIR>	d--------	c:\programme\SecureW2
2008-10-30 17:31 . 2008-10-30 17:31	190,976	--a------	c:\windows\system32\tqrcawwxfu.dll
2008-10-28 18:16 . 2008-10-28 18:16	555,008	--a------	c:\windows\system32\nsgA8.dll
2008-10-26 14:29 . 2008-10-26 14:32	160	--a------	c:\windows\mafosav.INI
2008-10-26 14:26 . 2008-10-26 14:26	<DIR>	d--------	C:\Buziol Games

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-23 23:04	---------	d-----w	c:\dokumente und einstellungen\Galadriel\Anwendungsdaten\U3
2008-11-23 08:57	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-22 15:12	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-10-24 11:10	453,632	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 20:18	---------	d-----w	c:\programme\DivX
2008-10-15 17:42	---------	d-----w	c:\programme\Gemeinsame Dateien\TerraTec
2008-10-15 17:42	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TerraTec
2008-10-15 17:41	---------	d-----w	c:\programme\TerraTec
2008-10-15 17:41	---------	d-----w	c:\dokumente und einstellungen\Galadriel\Anwendungsdaten\TerraTec
2008-10-15 15:29	---------	d-----w	c:\dokumente und einstellungen\Galadriel\Anwendungsdaten\FileZilla
2008-10-15 15:28	---------	d-----w	c:\programme\phase5
2008-10-15 15:28	---------	d-----w	c:\programme\FileZilla FTP Client
2008-10-14 17:26	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-10-11 08:52	---------	d-----w	c:\dokumente und einstellungen\Galadriel\Anwendungsdaten\Azureus
2008-10-11 06:31	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus
2008-10-10 20:34	---------	d-----w	c:\programme\Runtime Software
2008-10-04 09:10	21,840	----atw	c:\windows\system32\SIntfNT.dll
2008-10-04 09:10	17,212	----atw	c:\windows\system32\SIntf32.dll
2008-10-04 09:10	12,067	----atw	c:\windows\system32\SIntf16.dll
2008-09-30 15:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-09-19 21:55	200,704	----a-w	c:\windows\system32\ssldivx.dll
2008-09-19 21:55	1,044,480	----a-w	c:\windows\system32\libdivx.dll
2008-09-16 00:14	524,288	----a-w	c:\windows\system32\DivXsm.exe
2008-09-16 00:14	3,596,288	----a-w	c:\windows\system32\qt-dx331.dll
2008-09-16 00:12	81,920	----a-w	c:\windows\system32\dpl100.dll
2008-09-16 00:12	593,920	----a-w	c:\windows\system32\dpuGUI11.dll
2008-09-16 00:12	57,344	----a-w	c:\windows\system32\dpv11.dll
2008-09-16 00:12	53,248	----a-w	c:\windows\system32\dpuGUI10.dll
2008-09-16 00:12	344,064	----a-w	c:\windows\system32\dpus11.dll
2008-09-16 00:12	294,912	----a-w	c:\windows\system32\dpu11.dll
2008-09-16 00:12	294,912	----a-w	c:\windows\system32\dpu10.dll
2008-09-16 00:12	196,608	----a-w	c:\windows\system32\dtu100.dll
2008-09-16 00:11	823,296	----a-w	c:\windows\system32\divx_xx0c.dll
2008-09-16 00:11	823,296	----a-w	c:\windows\system32\divx_xx07.dll
2008-09-16 00:11	815,104	----a-w	c:\windows\system32\divx_xx0a.dll
2008-09-16 00:11	802,816	----a-w	c:\windows\system32\divx_xx11.dll
2008-09-16 00:11	683,520	----a-w	c:\windows\system32\DivX.dll
2008-09-16 00:11	161,096	----a-w	c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-16 00:11	12,288	----a-w	c:\windows\system32\DivXWMPExtType.dll
2008-09-15 15:37	1,846,144	----a-w	c:\windows\system32\win32k.sys
2008-09-04 16:43	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2008-08-29 08:18	87,336	----a-w	c:\windows\system32\dns-sd.exe
2008-08-29 07:53	61,440	----a-w	c:\windows\system32\dnssd.dll
2008-08-26 07:57	826,368	----a-w	c:\windows\system32\wininet.dll
2008-03-29 12:28	0	----a-w	c:\programme\temp01
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 94208]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MGSysCtrl"="c:\programme\System Control Manager\MGSysCtrl.exe" [2006-08-28 180224]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-12-14 495616]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"TerraTec Remote Control"="c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" [2008-05-14 1101824]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-15 7573504]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-09-09 c:\windows\AGRSMMSG.exe]
"nwiz"="nwiz.exe" [2006-06-15 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 20:27 312320 c:\programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-06-29 00:03 32768 c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Maple 7\\BIN.WNT\\mserver.exe"=
"d:\\Programas\\Spiele\\Age of Games\\AOE II\\AOEII\\age2_x1.exe"=
"c:\\Programme\\BearShare\\BearShare.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Programas\\Spiele\\Age of Games\\AOE I\\Microsoft Age of Empires - Rise of Rome\\AOE\\EMPIRESX.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrUpdate\\CinergyDVRUp_Date.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrHelper.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R0 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2006-02-27 34880]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\DRIVERS\o2sd.sys [2006-02-20 29056]
R2 NishService;SCM Driver Daemon;c:\programme\System Control Manager\edd.exe [2007-07-11 40960]
R3 MGHwCtrl;MGHwCtrl;\??\c:\windows\system32\drivers\MGHwCtrl.sys [2007-07-11 9088]
S3 hexmagic;hexmagic;\??\c:\windows\system32\drivers\hexmagic.sys [2008-02-01 4480]
S3 s3017bus;Sony Ericsson Device 3017 driver (WDM);c:\windows\system32\DRIVERS\s3017bus.sys [2008-09-11 83880]
S3 s3017mdfl;Sony Ericsson Device 3017 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s3017mdfl.sys [2008-09-11 15016]
S3 s3017mdm;Sony Ericsson Device 3017 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s3017mdm.sys [2008-09-11 110632]
S3 s3017mgmt;Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s3017mgmt.sys [2008-09-11 104616]
S3 s3017nd5;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS);c:\windows\system32\DRIVERS\s3017nd5.sys [2008-09-11 25512]
S3 s3017obex;Sony Ericsson Device 3017 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s3017obex.sys [2008-09-11 100648]
S3 s3017unic;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM);c:\windows\system32\DRIVERS\s3017unic.sys [2008-09-11 110120]
S3 USB28xxBGA;Cinergy EM28xx Capture;c:\windows\system32\DRIVERS\emBDA.sys [2006-11-15 378880]
S3 USB28xxOEM;Cinergy EM28xx OEM Filter;c:\windows\system32\DRIVERS\emOEM.sys [2006-11-15 27904]

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Galadriel\Anwendungsdaten\Mozilla\Firefox\Profiles\0ci4x8qc.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-24 00:13:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(960)
c:\windows\system32\rsaenh.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(1016)
c:\windows\system32\msprivs.dll
c:\windows\system32\rsaenh.dll
.
Zeit der Fertigstellung: 2008-11-24  0:14:05
ComboFix-quarantined-files.txt  2008-11-23 23:13:46

Vor Suchlauf: 22 Verzeichnis(se), 25.357.369.344 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 25,359,060,992 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

215	--- E O F ---	2008-11-22 15:12:10

Alt 24.11.2008, 00:23   #8
13galadriel
 
ron ads by globaladsolution - Standard

ron ads by globaladsolution


7) link für die listing datei
http://www.file-upload.net/download-1273254/listing.txt.html

8) hijackthis datei

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:21:07, on 24.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\System Control Manager\edd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: bxNewFolder - {51C8BCA8-2524-4523-BF09-738C4EEBFC58} - C:\Programme\bxNewFolder\bxNewFolder.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195074226890
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Programme\System Control Manager\edd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

--
End of file - 8577 bytes
danke für die bisherige hilfe

13galadriel

Antwort

Themen zu ron ads by globaladsolution
acroiehelper.dll, adobe, antivir, application, avira, bho, bonjour, browser, download, explorer, google, helfen, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, logfile, nvidia, problem, programme, remote control, ron ads by, rundll, senden, software, suche, system, windows, windows xp


« Werbung taucht plötzlich und ungewollt im IE auf! | Trojaner Erkannt »


Zum Thema ron ads by globaladsolution - Hallo, ich habe seit ca. 5 Tage ein Problem mit Pop Up Fenster. Auf der oberen blauen leiste erscheint RON ads by Globaladsolutions. Ich habe mich auf die suche bei - ron ads by globaladsolution...
Archiv
Du betrachtest: ron ads by globaladsolution auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130