| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Habe von t-online Post bekommen...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
30.11.2008, 13:37
| #1 |
| |  Habe von t-online Post bekommen... ... nachder über mein Account viel gespammt wurde. Zunächst habe ich das für einen HOAX gehalten und ziemlich unmotiviert meine HijackThis Logdatei hier: http://www.hijackthis.de/de ohne besondere Vorkommnisse überprüfen lassen. Weiter setzte ich dann Spybot S&D und Ad-Aware ein, welche wiederum nur ein, zwei Tracking-Cookies fanden und eliminierten. Sehr skeptisch ließ ich dann den in der Mail von t-online empfohlenen "Trend Micro HouseCall" über meinen Rechner laufen, welcher mich jedoch nur auf einige Lücken in meiner Office 2003 Installation hinwies, welche ich daraufhin schloss und nun keine weitern Beanstandungen erhalte. Das Thema war für mich bis dahin dann fast gegessen, ja wenn nicht meine Firwall gemeldet hätte, dass der Generic Host Process for Win32 Services zur (74.50.107.172) IP funken will. Die Ergebnisse der Googlesuche zu dieser IP beunruhigten mich dann schon. So wendete ich mich zunächst Malwarebytes' Anti-Malware 1.30 zu: Code:
ATTFilter Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1434
Windows 5.1.2600 Service Pack 3
29.11.2008 20:24:14
mbam-log-2008-11-29 (20-24-14).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 231750
Laufzeit: 1 hour(s), 23 minute(s), 8 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter 11/29/08 23:52:51 [Info]: BlackLight Engine 2.2.1092 initialized
11/29/08 23:52:51 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/29/08 23:52:52 [Note]: 7019 4
11/29/08 23:52:52 [Note]: 7005 0
11/29/08 23:52:55 [Note]: 7006 0
11/29/08 23:52:55 [Note]: 7011 3460
11/29/08 23:52:55 [Note]: 7035 0
11/29/08 23:52:55 [Note]: 7026 0
11/29/08 23:52:55 [Note]: 7026 0
11/29/08 23:52:58 [Note]: FSRAW library version 1.7.1024
11/30/08 00:01:29 [Note]: 7007 0
Code:
ATTFilter ComboFix 08-11-29.02 - Administrator 2008-11-29 21:08:55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1451 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
d:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
d:\dokumente und einstellungen\Chris\Anwendungsdaten\hidires
d:\dokumente und einstellungen\Chris\Anwendungsdaten\hidires\rosa.sys
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_rosa
((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-29 ))))))))))))))))))))))))))))))
.
2008-11-29 20:30 . 2008-11-29 20:30 <DIR> d-------- d:\dokumente und einstellungen\Administrator\DoctorWeb
2008-11-29 18:59 . 2008-11-29 18:59 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-29 18:59 . 2008-11-29 18:59 <DIR> d-------- d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-11-29 18:59 . 2008-11-29 18:59 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-29 10:47 . 2008-11-29 18:15 <DIR> d-------- d:\dokumente und einstellungen\Administrator\.housecall6.6
2008-11-28 19:29 . 2008-11-28 19:29 <DIR> d-------- c:\programme\PC Inspector File Recovery
2008-11-28 17:52 . 2008-11-29 16:45 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-25 11:33 . 2008-11-25 12:55 <DIR> d-------- c:\programme\Exifer
2008-11-25 11:33 . 2008-11-25 11:33 <DIR> d-------- c:\programme\EXIF Date Changer
2008-11-23 15:59 . 2008-11-23 15:59 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\LightScribe
2008-11-23 15:19 . 2008-11-23 15:19 <DIR> d-------- c:\programme\LightScribe
2008-11-23 12:23 . 2008-11-23 12:26 <DIR> d-------- c:\programme\Combined Community Codec Pack
2008-11-23 11:54 . 2008-11-23 11:54 <DIR> d-------- d:\dokumente und einstellungen\Chris\Anwendungsdaten\vlc
2008-11-23 11:53 . 2008-11-23 11:53 <DIR> d-------- d:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2008-11-21 11:06 . 2008-11-21 11:06 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\{deef362040caa3f2c46d3ca419a5b7ab}
2008-11-21 10:35 . 2008-11-21 10:50 <DIR> d-------- c:\programme\HDD Regenerator
2008-11-20 22:00 . 2008-11-20 22:00 <DIR> d-------- c:\programme\GetData
2008-11-20 21:35 . 2008-11-20 21:35 <DIR> d-------- c:\programme\JPEG Recovery Pro
2008-11-20 20:55 . 2008-11-20 20:55 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\{bd78f9f661583e4dbb3c3468a905e704}
2008-11-20 20:50 . 2008-11-20 20:53 <DIR> d-------- c:\programme\MagicRecovery Pro DEMO
2008-11-20 20:36 . 2008-11-20 22:24 <DIR> d-------- c:\programme\Digital Photo Recovery
2008-11-20 20:26 . 2008-11-21 11:09 <DIR> d-------- d:\dokumente und einstellungen\Administrator\Programs
2008-11-19 13:04 . 2008-11-19 13:04 <DIR> d-------- c:\programme\GetDatBack
2008-11-18 21:10 . 2008-11-21 11:08 <DIR> d-------- c:\programme\Data Recovery Pro
2008-11-18 21:05 . 2008-11-18 21:06 <DIR> d-------- c:\programme\Toolstar Filerepair Pro
2008-11-18 20:26 . 2008-11-18 21:04 <DIR> d-------- c:\programme\Data Recovery
2008-11-18 20:20 . 2008-11-18 21:03 <DIR> d-------- c:\programme\Filerecovery Pro 3.5
2008-11-10 21:36 . 2008-11-29 21:20 <DIR> d-------- c:\programme\Plaxo
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-29 15:45 --------- d-----w d:\dokumente und einstellungen\Administrator\Anwendungsdaten\SolidDocuments
2008-11-29 09:48 102,664 ----a-w c:\windows\system32\drivers\tmcomm.sys
2008-11-29 08:52 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\skypePM
2008-11-28 18:29 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-28 16:38 --------- d-----w c:\programme\Ad-Aware 2008
2008-11-28 11:29 --------- d-----w c:\programme\EasyRecovery Professional
2008-11-27 23:18 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\foobar2000
2008-11-27 22:13 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\Skype
2008-11-27 22:03 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\SolidDocuments
2008-11-27 18:12 --------- d-----w c:\programme\StarMoney 5.0 APO-Edition Vollversion
2008-11-26 22:34 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\dvdcss
2008-11-23 14:59 --------- d-----w c:\programme\Gemeinsame Dateien\LightScribe
2008-11-23 11:29 --------- d-----w c:\programme\DivX
2008-11-23 11:26 --------- d-----w c:\programme\Media Player Classic
2008-11-23 10:51 --------- d-----w c:\programme\VLC Player
2008-11-20 19:49 286,720 ----a-w c:\windows\iun507.exe
2008-11-20 19:45 --------- d-----w c:\programme\Digital Image Recovery
2008-11-18 23:54 65,856 ----a-w c:\windows\system32\drivers\snapman.sys
2008-11-18 23:54 37,888 ----a-w c:\windows\system32\setupnt.dll
2008-11-18 20:37 --------- d-----w c:\programme\SeaTools for Windows
2008-11-09 22:33 --------- d-----w c:\programme\StarMoney 6.0
2008-11-05 20:25 --------- d-----w c:\programme\Sunbelt Personal Firewall
2008-11-05 19:20 113,706 ----a-w c:\windows\system32\drivers\fwdrv.err
2008-11-03 18:32 --------- d-----w c:\programme\Opera
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-15 12:06 --------- d-----w c:\programme\FreePDF_XP
2008-10-12 10:19 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\MakeitOne
2008-10-12 10:19 --------- d-----w c:\programme\mp3 Joiner
2008-10-12 10:04 --------- d-----w d:\dokumente und einstellungen\Administrator\Anwendungsdaten\MakeitOne
2008-10-06 19:12 --------- d---a-w c:\programme\VectorWorks Pro 2008
2008-10-05 16:40 --------- d-----w d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nemetschek
2008-10-02 22:33 --------- d-----w c:\programme\Microstation
2008-10-02 22:32 --------- d-----w c:\programme\Gemeinsame Dateien\Bentley Shared
2008-10-02 09:31 --------- d-----w c:\programme\Rhinoceros 4.0
2008-10-02 09:17 --------- d-----w c:\programme\Langenscheidt T1 6.0
2008-10-02 08:18 --------- d-----w c:\programme\Gemeinsame Dateien\McNeel Shared
2008-09-30 19:34 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\Nemetschek
2008-09-30 19:23 --------- d-----w c:\programme\VectorWorks 2008
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-29 17:00 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-09-29 09:26 --------- d-----w c:\programme\eMule
2008-09-28 21:18 --------- d-----w d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Canneverbe_Limited
2008-09-28 19:30 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\Canneverbe_Limited
2008-09-28 19:28 --------- d-----w c:\programme\CDBurnerXP
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-06-22 09:14 56 ---ha-w d:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsidmv.dat
2004-08-03 22:57 67,518 ----a-w c:\windows\inf\i386\cmprops.dll
2008-04-14 05:52 93,184 --sha-w c:\windows\ServicePackFiles\i386\iexplore.exe
2008-04-14 05:52 60,416 --sha-w c:\windows\ServicePackFiles\i386\msimn.exe
2008-08-14 09:30 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008081420080815\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"PlaxoUpdate"="c:\programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe" [2008-10-04 382023]
"PlaxoSysTray"="c:\programme\Plaxo\3.16.0.49\PlaxoSysTray.exe" [2008-10-04 20480]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-10-22 2363392]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"FlashIcon"="c:\programme\USB Card Reader Driver v2.3\FlashIcon.exe" [2004-07-21 40960]
"SmartSync - ScheduleSync"="c:\progra~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [2006-08-31 45056]
"Acrobat Assistant 7.0"="c:\programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 c:\windows\LOGI_MWX.EXE]
"Xfire"="Xfire.exe" [2001-11-13 c:\windows\system32\xfire.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 c:\windows\system32\nvmctray.dll]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
d:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-09-28 25214]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psnppagn32]
2004-11-20 22:53 12288 c:\windows\system32\psnppagn32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= pdvcodec.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\V-Ray for 3ds max 9\\vrlserver.exe"=
"c:\\Programme\\3ds Max 9\\3dsmax.exe"=
"c:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"c:\\Programme\\Autodesk\\Backburner\\server.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"2116:TCP"= 2116:TCP:messenger
R0 m5289;m5289;c:\windows\system32\drivers\m5289.sys [2007-02-12 51840]
R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2008-11-05 269736]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [2008-06-21 66600]
R2 ARCGIS License Manager;ARCGIS License Manager;c:\programme\ESRI\License\arcgis9x\lmgrd.exe [2006-08-13 467968]
R2 MicroGuard;MicroGuard Copy Protection;\??\c:\windows\system32\drivers\mgnt.sys [2007-01-29 40288]
R2 psnppagn32;DCOM Proxy for NPPAgent Object;rundll32.exe c:\windows\system32\psnppagn32.dll,ehet []
R2 SbPF.Launcher;SbPF.Launcher;"c:\programme\Sunbelt Personal Firewall\SbPFLnch.exe" [2008-07-30 95528]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\DRIVERS\sbfwim.sys [2008-11-05 65576]
R3 ULI5261;ULi Based Ethernet NT Driver;c:\windows\system32\DRIVERS\ULILAN.SYS [2006-05-11 29696]
S2 SPF4;Sunbelt Personal Firewall 4;"c:\programme\Sunbelt Personal Firewall\SbPFSvc.exe" [2008-07-30 1361192]
S3 ALI5261;ALi-basierte Ethernet-NT-Treiber;c:\windows\system32\DRIVERS\ALI5261.SYS [2008-03-26 27678]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Everest Home Edition 2.20\kerneld.wnt [2005-08-17 7168]
S3 filter;filter;c:\windows\system32\drivers\filter.sys [2004-07-05 8832]
S3 HWACCESS;HWACCESS;\??\c:\windows\SYSTEM32\HWACCESS.SYS [2006-06-19 6808]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
ShellExecuteHooks-{54697F09-BAF4-422E-8E7A-A563B020B1A5} - (no file)
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\lf3rst3f.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
FF -: plugin - c:\programme\Creative Suite 2\Adobe Acrobat 7.0\Acrobat\browser\nppdf32.dll
FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-29 21:19:49
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet006\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Everest Home Edition 2.20\kerneld.wnt"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(860)
c:\windows\system32\psnppagn32.dll
- - - - - - - > 'explorer.exe'(1764)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\programme\Plaxo\3.16.0.49\plx_hook.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\programme\Office 2003\OFFICE11\msohev.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
c:\programme\Belkin Wireless Network Utility\WLService.exe
c:\programme\ESRI\License\arcgis9x\ARCGIS.EXE
c:\programme\Belkin Wireless Network Utility\WLanCfgG.exe
c:\programme\VPN Client\cvpnd.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Raxco\PerfectDisk\PDAgent.exe
c:\windows\system32\rundll32.exe
c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-29 21:30:01 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2008-11-29 20:29:55
Vor Suchlauf: 1,346,199,552 Bytes frei
Nach Suchlauf: 1,050,558,464 Bytes frei
225 --- E O F --- 2008-11-18 15:34:18
Geändert von zonk (30.11.2008 um 14:35 Uhr) |
|
30.11.2008, 13:45
| #2 |
 | Habe von t-online Post bekommen... Hi
__________________poste mal bitte auch deinen Hjt-Logfile und dein System  Gruß Lumitu |
|
30.11.2008, 13:55
| #3 |
| | Habe von t-online Post bekommen... mann seid ihr schnell RESPEKT
__________________.....aber hier erstmal hier die Fortsetzung: Eine weitere Überprüfung ließ ich mit escan folgen. Außer merkwürdigen Reg-Einträgen fand aber auch dieses nichts besonderes. Die „Virus Information“: Code:
ATTFilter Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "virusguardplus Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "lop.com Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "lop.com Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "backdoor (ircbot) trojans Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "diskknight Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "spyware.expresskeylog Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "personalantispy Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Adobe.Illustrator.dwg" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Adobe.Illustrator.dxf" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Adobe.Illustrator.pict" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Rhino3.Document" verweist auf das ungültige Objekt "{7AF36560-D11A-4F56-BE27-AE20F8CDDFEB}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\SharePoint.WebPartPage.Document.1.0" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "". Maßnahme ergriffen: Keine Maßnahme ergriffen.
AA??AA Datei D:\Dokumente und Einstellungen\Administrator\.housecall6.6\Quarantine\dbxDgrevCheck.dll.bac_a02344//CryptFF.b markiert als "not-a-virus:AdWare.Win32.Agent.cb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\RECYCLER\S-1-5-21-2052111302-1659004503-682003330-1007\Dd5\UTL\PowerDesk5.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\RECYCLER\S-1-5-21-861567501-842925246-839522115-1003\Dd8\installservice.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Übrigends der Link zu find.dat (ebenso wie der zur unauffindbar find.bat von haui) ist nicht mehr gerade aktuell Code:
ATTFilter 30 Nov 2008 00:14:15 - **********************************************************
30 Nov 2008 00:14:15 - eScan-AntiViren- und Antispywarewerkzeugsatz.
30 Nov 2008 00:14:15 - Copyright © MicroWorld Technologies
30 Nov 2008 00:14:15 - **********************************************************
30 Nov 2008 00:14:15 - Version 10.0.36 (D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\MWAV\MEXE.COM)
30 Nov 2008 00:14:15 - Logdatei: D:\Dokumente und Einstellungen\Administrator\Desktop\mwav\MWAV.LOG
30 Nov 2008 00:14:15 - Datum und Uhrzeit des letzten Scannens: 29.11.2008 22:09:57
30 Nov 2008 00:14:15 - MWAV Registered: FALSE
30 Nov 2008 00:14:15 - User Account: Administrator (Administrator Mode)
30 Nov 2008 00:14:15 - OS Type: Windows Workstation
30 Nov 2008 00:14:15 - OS: Windows XP [OS Install Date: 12 Feb 2007 16:40:38]
30 Nov 2008 00:14:15 - Ver: Service Pack 3 (Build 2600)
30 Nov 2008 00:14:15 - System Up Time: 5 Minutes, 26 Seconds
30 Nov 2008 00:14:15 - Parent Process Name : C:\WINDOWS\Explorer.EXE
30 Nov 2008 00:14:15 - Windows Root Folder: C:\WINDOWS
30 Nov 2008 00:14:15 - Windows Sys32 Folder: C:\WINDOWS\system32
30 Nov 2008 00:14:15 - Local Fixed Drives: c:\,d:\,n:\
30 Nov 2008 00:14:15 - MWAV Mode: Only Scan files
30 Nov 2008 00:14:16 - [CREATED ZIP FILE: D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\pinfect.zip]
…..
30 Nov 2008 00:50:50 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
30 Nov 2008 00:50:54 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Größe: 866983]…
30 Nov 2008 00:50:54 - Indexed Spyware Databases Successfully Created...
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9bd3a001-42a2-491e-aaca-9512f6cf4cdb})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{c5da1f2b-b2bf-4dfc-bc9a-439133543a67})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{d2129738-6a78-4bcb-915a-412982caa23d})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{dc90eaa6-69b8-4de4-9a7b-5b2c5b3feacd})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1edfd7df-030d-4144-952e-9d7d86691cdb})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459a91bc-193f-4a70-959c-bff69d781142})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464d3e06-7d5b-416f-a6ee-0ffb1a5e931b})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497b84d4-fb2f-4ab0-a280-8aacfb4b355f})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718b8e-a382-4fe2-aa7a-926f9d8c4621})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:03 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{bc39a57d-df2c-45b4-bffd-7d55e911c1b2})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:03 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{cca2e620-b807-451f-bafd-2057af9025fe})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:08 - Offending Key found: HKCU\Software\kazaa !!!
30 Nov 2008 00:51:08 - Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:08 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
30 Nov 2008 00:51:08 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:08 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
30 Nov 2008 00:51:08 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:12 - Offending file found: C:\WINDOWS\system32\borlndmm.dll
30 Nov 2008 00:51:12 - System found infected with virusguardplus Corrupted Adware/Spyware (borlndmm.dll)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:23 - Offending file found: D:\Dateien von Administrator\backup.reg
30 Nov 2008 00:51:23 - System found infected with lop.com Spyware/Adware (backup.reg)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:41 - Offending file found: D:\Dateien von Administrator\backup.reg
30 Nov 2008 00:51:41 - System found infected with lop.com Spyware/Adware (backup.reg)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:55 - Offending Registry Entry found: hkcu\software\microsoft\ole
30 Nov 2008 00:51:55 - System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\microsoft\ole)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:57 - Offending Registry Entry found: hklm\software\knight
30 Nov 2008 00:51:57 - System found infected with diskknight Adware (hklm\software\knight)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:58 - Offending Registry Entry found: hkcu\software\microsoft\windows\currentversion\policies\associations
30 Nov 2008 00:51:58 - System found infected with spyware.expresskeylog Corrupted Adware/Spyware (hkcu\software\microsoft\windows\currentversion\policies\associations)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:58 - Offending Registry Entry found: hklm\software\microsoft\internet explorer\urlsearchhooks
30 Nov 2008 00:51:58 - System found infected with personalantispy Corrupted Adware/Spyware (hklm\software\microsoft\internet explorer\urlsearchhooks)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:14 - Checking MountPoints2 Registry Key...
30 Nov 2008 00:52:14 - Checking CLSID Reference Entries...
30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.dwg" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.dxf" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.pict" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:23 - Eintrag "HKCR\Rhino3.Document" verweist auf das ungültige Objekt "{7AF36560-D11A-4F56-BE27-AE20F8CDDFEB}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:23 - Eintrag "HKCR\SharePoint.WebPartPage.Document.1.0" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:24 - Checking Module Usage Entries...
30 Nov 2008 00:52:24 - Checking User Trusted External App Entries...
30 Nov 2008 00:52:24 - Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:24 - Checking Shared DLL Entries...
30 Nov 2008 00:52:32 - Checking Installer Entries...
30 Nov 2008 00:52:43 - Checking Shared Tools Entries...
30 Nov 2008 00:52:43 - Checking File Extension Entries...
30 Nov 2008 00:52:43 - Checking Application Cache Entries...
…
30 Nov 2008 01:24:38 - AA??AA Datei D:\Dokumente und Einstellungen\Administrator\.housecall6.6\Quarantine\dbxDgrevCheck.dll.bac_a02344//CryptFF.b markiert als "not-a-virus:AdWare.Win32.Agent.cb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
….
30 Nov 2008 01:34:51 - Datei D:\RECYCLER\S-1-5-21-2052111302-1659004503-682003330-1007\Dd5\UTL\PowerDesk5.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
….
30 Nov 2008 01:34:53 - Datei D:\RECYCLER\S-1-5-21-861567501-842925246-839522115-1003\Dd8\installservice.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
….
Wenn Ihr also Vorschläge hättet, ob und wie man jetzt dagegen vorgehen soll, dann wäre ich euch dafür sehr dankbar. Ohne größere Ergebnisse lief dann noch die ganze Nacht DrWeb: Code:
ATTFilter C.bat;C:\32788R22FWJFW;Wahrscheinlich BATCH.Virus
psexec.cfexe;C:\32788R22FWJFW ;Program.PsExec.171
ComboFix.exe\32788R22FWJFW\C.bat;D:\Dateien von Administrator\Software\ComboFix.exe;Wahrscheinlich BATCH.Virus
ComboFix.exe\32788R22FWJFW\psexec.cfexe;D:\Dateien von Administrator\Software\ComboFix.exe;Program.PsExec.171
ComboFix.exe;D:\Dateien von Administrator\Software;Archiv enthält infizierte Objekte
SPECViewperf10.exe\data125;D:\Dateien von Administrator\Software\SPECViewperf10.exe;Tool.ShutDown.10
SPECViewperf10.exe;D:\Dateien von Administrator\Software;Archiv enthält infizierte Objekte
Oiloncanvas.html ;D:\Dateien von Chris\Dokumente\Architektur\nach Themen\www.usc.edu\schools\annenberg\asc\projects\comm544\library\mediums;Win32.HLLM.Graz
Also so richtig weiß ich mit Alledem jetzt nichts anzufangen. Daher meine Fragen an Euch: 1. Wie kann ich überprüfen ob mein Rechner noch spammt? 2. Was sollte/könnte ich noch unternehmen? 3. Ist eine Systemwiederherstellung vor Ausführung des wahrscheinlichen schuldigen „Trojan-Dropper.Win.32.Kgen.gen“ (befindet sich nicht mehr auf dem Rechner) sinnvoll? 4. Was mache ich mit der wohl beim Start von esacn angelegten Datei „pinfect.zip“? (siehe auch hier: http://www.trojaner-board.de/47803-w...m-analyse.html) Schon mal vielen Dank und noch einen schönen Sonntag Chris Geändert von zonk (30.11.2008 um 14:18 Uhr) Grund: codefenster |
|
30.11.2008, 14:01
| #4 |
| | Habe von t-online Post bekommen... ... und zu guter Letzt natürlich auch noch die HijackThis File: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:28:41, on 29.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ESRI\License\arcgis9x\lmgrd.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Belkin Wireless Network Utility\WLService.exe C:\Programme\ESRI\License\arcgis9x\ARCGIS.EXE C:\Programme\Belkin Wireless Network Utility\WLanCfgG.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Raxco\PerfectDisk\PDAgent.exe C:\Programme\Sunbelt Personal Firewall\SbPFLnch.exe C:\Programme\Sunbelt Personal Firewall\SbPFSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\Xfire.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe C:\Programme\Sunbelt Personal Firewall\SbPFCl.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Opera\opera.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [FlashIcon] C:\Programme\USB Card Reader Driver v2.3\FlashIcon.exe O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe -a O4 - HKCU\..\Run: [PlaxoSysTray] C:\Programme\Plaxo\3.16.0.49\PlaxoSysTray.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\Autodesk Architectural Desktop 3\AcDcToday.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\Autodesk Architectural Desktop 3\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\Autodesk Architectural Desktop 3\AcPreview.ocx O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: psnppagn32 - C:\WINDOWS\SYSTEM32\psnppagn32.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ARCGIS License Manager - Unknown owner - C:\Programme\ESRI\License\arcgis9x\lmgrd.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin Wireless Network Utility\WLService.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Programme\Kerio Personal Firewall 4.2.3.912\Personal Firewall 4\kpf4ss.exe (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDAgent.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: DCOM Proxy for NPPAgent Object (psnppagn32) - Unknown owner - rundll32.exe (file missing) O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Personal Firewall\SbPFLnch.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Personal Firewall\SbPFSvc.exe -- End of file - 8034 bytes Warum klappt das nicht mehr mit'm "CODE".. naja egal auf jeden Fall viel Spaß damit und auch schon gleich ein Dankeschön Geändert von zonk (30.11.2008 um 14:10 Uhr) Grund: code-fenster |
|
30.11.2008, 14:08
| #5 |
| /// Helfer-Team    | Habe von t-online Post bekommen... Auf deinem Rechner sollte es einen Ordner Code:
ATTFilter C:\Qoobox\Quarantine
Übrigens, zu den Code-Tags: Slash, nicht Backslash.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
30.11.2008, 14:25
| #6 |
| | Habe von t-online Post bekommen... In C:\Qoobox\Quarantine befindet sich: ein leerer Odner namens "C" ein Odner namens "Registry_backups" mit den Dateien: HKLM-Run-CFSServ.exe.reg.dat, HKLM-Run-NDSTray.exe.reg.dat, HKLM-Run-TFncKy.reg.dat, Service_rosa.reg.dat, ShellExecuteHooks-{54697F09-BAF4-422E-8E7A-A563B020B1A5}.reg.dat und tcpip.reg der catchme.log: Code:
ATTFilter -------- 29.11.2008 - 20:57:19,29 -------------
-------- 2008-11-29 - 21:08:05.81 -------------
|
|
| Themen zu Habe von t-online Post bekommen... |
| 1.exe, ad-aware, administrator, browser, combofix, components, data recovery, desktop, einstellungen, generic, generic host, generic host process, hijack, hijackthis, home, installation, jusched.exe, laufende prozesse, logon.exe, malwarebytes' anti-malware, monitor.exe, mozilla, mp3, object, opera, programme, proxy, registrierungsschlüssel, rundll, security, skype.exe, software, starmoney, suchlauf, system, tcp, usb, windows xp, winlogon.exe |
Hybrid-Darstellung
