|
Log-Analyse und Auswertung: SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IEWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.12.2008, 23:54 | #1 |
| SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE Hallo, während dem Surfen im Internet hat mein AVG Virenscanner plötzlich den Trojaner "SHeur2.FJD" entdeckt und konnte ihn nicht automatisch entfernen. Anschließend wurde probiert, in regelmäßigen Abständen Werbe-Webseiten aufzurufen (zu dem Zeitpunkt war ich dann bereits offline). Zusätzlich sind mehrere Fehlermeldungen mit unsinnigem Text erschienen, die von Prozessen geöffnet wurden, die laut Google nichts auf meinem Computer zu tun haben sollten. Ein vollständiger Scan mit AVG hat den Trojaner "SHeur2.FJD" in folgender Datei gefunden und die Datei anschließend gelöscht: Code:
ATTFilter C:\Dokumente und Einstellungen\***\Lokale Einstellungen\TEMP\prun.tmp Es wäre super, wenn mir jemand sagen könnte, ob mein Rechner wieder clean ist! Vielen Dank für die Hilfe & dieses fantastische Forum! Code:
ATTFilter Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1456 Windows 5.1.2600 Service Pack 3 12.12.2008 22:21:13 mbam-log-2008-12-12 (22-21-02).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 164610 Laufzeit: 29 minute(s), 51 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\jkkIBSmk.dll (Trojan.Vundo.H) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkibsmk (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\jkkIBSmk.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\cbXOIbBu.dll (Trojan.Vundo.H) -> No action taken. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\TEMP\winvsnet.tmp (Rogue.Installer) -> No action taken. Code:
ATTFilter ComboFix 08-12-12.01 - *** 2008-12-12 23:17:04.1 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1780 [GMT 1:00] ausgeführt von:: d:\desktop\virus\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\***\Anwendungsdaten\inst.exe c:\windows\IE4 Error Log.txt c:\windows\system32\ddcDuSMG.dll c:\windows\Tasks\nffxwdbz.job . ((((((((((((((((((((((( Dateien erstellt von 2008-11-12 bis 2008-12-12 )))))))))))))))))))))))))))))) . 2008-12-12 21:43 . 2008-12-12 21:43 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-12 21:43 . 2008-12-12 21:43 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2008-12-12 21:43 . 2008-12-12 21:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-12 21:43 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-12 21:43 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-10 15:44 . 2008-12-10 15:44 410,984 --a------ c:\windows\system32\deploytk.dll 2008-11-18 00:09 . 2008-11-18 00:08 33,846 --a------ c:\windows\system32\SpoonUninstall-dBpoweramp Monkeys Audio Codec.bmp 2008-11-18 00:09 . 2008-11-18 00:09 3,103 --a------ c:\windows\system32\SpoonUninstall-dBpoweramp Monkeys Audio Codec.dat 2008-11-12 11:30 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-12 11:29 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-12 22:21 --------- d-----w c:\programme\Mozilla Thunderbird 2008-12-12 22:09 --------- d-----w c:\programme\foobar2000 2008-12-12 21:07 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Skype 2008-12-12 20:07 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM 2008-12-12 19:27 --------- d-----w c:\programme\eMule 2008-12-10 14:44 --------- d-----w c:\programme\Java 2008-12-04 23:21 --------- d-----w c:\programme\MediaCoder 2008-12-04 22:04 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0 2008-12-04 22:02 --------- d-----w c:\programme\Avidemux 2.4 2008-11-29 03:21 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla 2008-11-25 12:15 99,216 ----a-w c:\windows\system32\drivers\cmdguard.sys 2008-11-25 12:15 31,504 ----a-w c:\windows\system32\drivers\cmdhlp.sys 2008-11-20 02:46 --------- d-----w c:\programme\Skype 2008-11-12 14:03 --------- d-----w c:\programme\DivX 2008-11-08 16:40 --------- d-----w c:\programme\Notepad++ 2008-10-24 13:23 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\BOM 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-22 23:14 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\avidemux 2008-10-22 23:07 --------- d-----w c:\programme\123 AVI to GIF Converter 2008-10-22 22:05 --------- d-----w c:\programme\Biet-O-Matic 2008-10-19 21:16 --------- d-----w c:\programme\MKVtoolnix 2008-10-18 00:04 --------- d-----w c:\programme\uTorrent 2008-10-14 13:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI 2008-10-14 13:30 --------- d-----w c:\programme\ATI Technologies 2008-09-11 10:38 47,360 ----a-w c:\dokumente und einstellungen\***\Anwendungsdaten\pcouffin.sys 2008-04-15 07:58 8,390 ----a-w c:\programme\Gemeinsame Dateien\IssProcLanguage.ini 2008-04-15 07:58 188,918 ----a-w c:\programme\Gemeinsame Dateien\IssProc.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MiriServAutoStart"="c:\programme\MiriServer\MiriServer.exe" [2005-08-08 1652224] "Google Update"="c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-11-07 21633320] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "COMODO Firewall Pro"="c:\programme\COMODO\Firewall\cfp.exe" [2008-11-25 1796856] "AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336] "zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928] "Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152] "Adobe_ID0EYTHM"="c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-10 136600] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-04-20 136472] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-04-21 2622296] "AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-04-21 911168] "WinVNC"="c:\programme\TightVNC\WinVNC.exe" [2007-05-07 589824] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440] "Thunderbird"="c:\programme\Mozilla Thunderbird\thunderbird.exe" [2008-11-20 8502888] "RTHDCPL"="RTHDCPL.EXE" [2008-01-29 c:\windows\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ foobar2000.lnk - c:\programme\foobar2000\foobar2000.exe [2008-11-19 1252352] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-06-02 295606] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 00000000 "NoSMMyDocs"= 01000000 "NoSMMyPictures"= 01000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=avgrsstx.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.ac3filter"= ac3filter.acm [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\AVG\\AVG8\\avgupd.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"= "c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe"= "c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-05-26 97928] R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2008-05-26 99216] R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2008-05-26 31504] R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [2005-12-18 141184] R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-05-26 231704] S3 RTCore32;RTCore32;\??\c:\programme\RightMark Memory Analyzer\RTCore32.sys [] S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe [2008-10-01 98488] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4bacc890-449a-11dd-9ed8-001d922fc53d}] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe \Shell\Explore\command - system.exe \Shell\Open\command - system.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe" . Inhalt des "geplante Tasks" Ordners 2008-12-12 c:\windows\Tasks\GoogleUpdateTaskUser.job - c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 13:40] 2008-12-11 c:\windows\Tasks\NSSstub.job - c:\windows\system32\Adobe\Shockwave 11\nssstub.exe [] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe HKLM-Run-NBKeyScan - c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe . ------- Zusätzlicher Suchlauf ------- . uInternet Connection Wizard,ShellNext = hxxp://tw.msi.com.tw/autobios/VerChk/LSeries.asp?MSIOCXVersion=3.90&WorkFunction=LMonitor uInternet Settings,ProxyOverride = *.local IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O16 -: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab c:\windows\Downloaded Program Files\MSIWDev.inf FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\pp59o7kq.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/ FF - plugin: c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.27\npGoogleOneClick6.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npjp2.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeploytk.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-12 23:21:21 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(960) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(1016) c:\windows\system32\relog_ap.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\COMODO\Firewall\cmdagent.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe c:\programme\NetLimiter 2 Pro\nlsvc.exe c:\windows\system32\oodag.exe c:\programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe c:\programme\NetLimiter 2 Pro\NLClient.exe c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe c:\programme\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe c:\programme\Skype\Plugin Manager\skypePM.exe c:\programme\AVG\AVG8\avgrsx.exe c:\programme\AVG\AVG8\avgrsx.exe c:\programme\AVG\AVG8\avgrsx.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-12-12 23:25:07 - PC wurde neu gestartet [***] ComboFix-quarantined-files.txt 2008-12-12 22:25:03 Vor Suchlauf: 13 Verzeichnis(se), 10.113.404.928 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 10,059,972,608 Bytes frei 203 --- E O F --- 2008-12-12 03:01:19 |
12.12.2008, 23:55 | #2 |
| SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE Nach MOM und ComboFix findet HijackThis noch folgendes:
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:31:26, on 12.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\COMODO\Firewall\cmdagent.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\NetLimiter 2 Pro\nlsvc.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe C:\Programme\TightVNC\WinVNC.exe C:\Programme\NetLimiter 2 Pro\NLClient.exe C:\Programme\COMODO\Firewall\cfp.exe C:\WINDOWS\RTHDCPL.EXE C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MiriServer\MiriServer.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Programme\foobar2000\foobar2000.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\AVG\AVG8\avgrsx.exe C:\WINDOWS\explorer.exe C:\Programme\AVG\AVG8\avgrsx.exe C:\Programme\AVG\AVG8\avgrsx.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe D:\Desktop\virus\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://tw.msi.com.tw/autobios/VerChk/LSeries.asp?MSIOCXVersion=3.90&WorkFunction=LMonitor R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [Thunderbird] "C:\Programme\Mozilla Thunderbird\thunderbird.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MiriServAutoStart] "C:\Programme\MiriServer\MiriServer.exe" /NoSplash /Sleep O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: foobar2000.lnk = C:\Programme\foobar2000\foobar2000.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O15 - Trusted Zone: h**p://asia.msi.com.tw O15 - Trusted Zone: h**p://global.msi.com.tw O15 - Trusted Zone: h**p://www.msi.com.tw O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - h**p://liveupdate.msi.com.tw/autobios/LOnline/install.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Programme\TightVNC\WinVNC.exe -- End of file - 10862 bytes |
Themen zu SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE |
autorun, avg, bonjour, broken.opencommand, browser, c.exe, c:\windows\system32\rundll32.exe, combofix, components, computer, desktop, einstellungen, error, excel, firefox, google, google update, helper, internet, jusched.exe, konvertieren, laufende prozesse, logon.exe, malwarebytes' anti-malware, mozilla, pdf-datei, prozesse, registrierungsschlüssel, rthdcpl.exe, rundll, scan, shell32.dll, skype.exe, software, suchlauf, super, system, tcp, trojan.downloader, trojaner, virus, windows xp |