|
Plagegeister aller Art und deren Bekämpfung: Bekomme Google/Firefox Wurm/Trojaner nicht wegWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.01.2009, 13:18 | #1 |
| Bekomme Google/Firefox Wurm/Trojaner nicht weg Hallo zusammen, ja hab folgendes problem: Seid einiger zeit ist es mir aufgefallen das es mit der zeit immer Länger gedauert hat bis mein Firefox 3.0.5 die seiten aufgebaut hat.Desweiteren hatte ich aufeinmal das Problem das wenn ich auf einen Google link klicke auf eine andere seite verlinkt werde. Nun da wir zwei Rechner im haus haben konnte ich in ruhe googlen und kam direkt auf eure seite wo es einen Thread mit dem gleichen problem und einer Lösung mit CCleaner und ComboFix gab. Im vorfeld habe ich schon mein system mit Kaspersky untersucht und mit CCleaner alles bereinigt aber ohne erfolg. Ich würde euch ja gerne einen HJT Bericht posten aber das Programm lässt sich nicht ausführen.Wenn ich auf das Icon auf dem Desktop klicke kommt nur kurz die Sanduhr und das wars. Dann wollte ich einfach mal ComboFix ausführen,da aber das selbe Problem; Anklick,Sanduhr und Nix weiter. Ich kann auch die Testversion von Kaspersky nicht Online freischalten um damit das Program updaten zu können.Ich konnte auch die zwei Progs. nicht ohne weiteres runterladen,bekam immer ne meldung daß das nicht ginge,auf unserem anderen Rechner geht das aber ohne Probleme,von diesem schreibe ich auch grade. Ich weiß ist ne menge aber wäre unendlich dankbar wenn mir hier geholfen werden würde. |
24.01.2009, 16:53 | #2 |
| Bekomme Google/Firefox Wurm/Trojaner nicht weg Also,ich habe den namen von ComboFix in oder1so1 geändert und siehe da es hat geklappt.Nachdem Combo mit denm Scannen fertig war konnte ich Kaspersky Online Regestrieren und auch Google funkte wieder richtig.
__________________Juchuuuuu:aplaus: Hier noch mal der LogFile von Combo und ein super Lob an diese Platform ist echt klasse hier und werde euch weiter empfehlen. ComboFix 09-01-21.04 - Handiel 2009-01-24 16:01:59.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.512.240 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\oder1so2.exe AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\***\Anwendungsdaten\install.dat c:\programme\INSTALL.LOG c:\programme\Mozilla Firefox\plugins\npclntax.dll c:\windows\msacm32.drv c:\windows\rasqervy.dll c:\windows\sdfinacs.dll c:\windows\sdfixwcs.dll c:\windows\system32\c_157869.nls c:\windows\system32\drivers\TDSSrfdc.sys c:\windows\system32\TDSSblat.dat c:\windows\system32\TDSSdlpb.dll c:\windows\system32\TDSSkfkl.dll c:\windows\system32\TDSSnmxh.log c:\windows\system32\TDSSoctp.dll c:\windows\system32\TDSSqogd.log c:\windows\system32\TDSSqshc.dll c:\windows\system32\TDSSshbe.log c:\windows\system32\TDSSurev.dll c:\windows\system32\TDSSxnyq.dll c:\windows\wuasirvy.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_TDSSserv.sys -------\Legacy_TDSSserv.sys ((((((((((((((((((((((( Dateien erstellt von 2008-12-24 bis 2009-01-24 )))))))))))))))))))))))))))))) . 2009-01-24 15:51 . 2009-01-24 16:07 752,672 --ahs---- c:\windows\system32\drivers\fidbox.dat 2009-01-24 15:51 . 2009-01-24 16:11 122,912 --ahs---- c:\windows\system32\drivers\fidbox2.dat 2009-01-24 15:51 . 2009-01-24 16:07 9,056 --ahs---- c:\windows\system32\drivers\fidbox.idx 2009-01-24 15:51 . 2009-01-24 16:11 2,548 --ahs---- c:\windows\system32\drivers\fidbox2.idx 2009-01-24 10:51 . 2009-01-24 15:56 96,976 --a------ c:\windows\system32\drivers\klin.dat 2009-01-24 10:51 . 2009-01-24 15:56 87,855 --a------ c:\windows\system32\drivers\klick.dat 2009-01-24 10:50 . 2009-01-24 16:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-01-20 09:38 . 2009-01-20 09:38 410,984 --a------ c:\windows\system32\deploytk.dll 2009-01-12 19:11 . 2009-01-23 14:56 <DIR> d-------- c:\programme\7-Zip . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-24 13:50 --------- d-----w c:\programme\*** 2009-01-24 12:27 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\DVD Profiler 2009-01-24 11:43 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2 2009-01-23 14:04 --------- d-----w c:\programme\Spybot - Search & Destroy 2009-01-23 14:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-01-20 08:38 --------- d-----w c:\programme\Java 2008-12-20 11:53 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2008-12-20 11:50 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS 2008-12-20 11:43 --------- d-----w c:\programme\NOS 2008-12-11 17:06 --------- d-----w c:\programme\Gemeinsame Dateien\Labtec 2008-12-11 17:05 --------- d-----w c:\programme\Labtec 2008-12-11 17:05 --------- d-----w c:\programme\Gemeinsame Dateien\LogiShrd 2008-11-24 19:13 --------- d-----w c:\programme\SHARP . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "H/PC Connection Agent"="c:\progra~1\MICROS~3\wcescomm.exe" [2006-06-26 1211176] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-20 136600] "LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-03-06 488984] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776] "AVP"="d:\programme\kaspersky\avp.exe" [2008-04-25 201992] "Anvshell"="anvshell.exe" [2003-03-13 c:\windows\anvshell.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MIDI1"= c_157869.nls "VIDC.MJPG"= Pvmjpg21.dll "VIDC.PIM1"= pclepim1.dll "68157900"= 31394139413536332d314432412d343536342d383837302d324541434346303930424642 "68157889"= 2958442cc23cf2aaf7326c0d5864032e0d3eab5294362a443cb70dc88c8f5aba968ce83e2cde2ae2a4bbc0ab76b799d0014cfd229dd5f111702af02f00103212c1e5e87be79858dc53bc27 df3423b36eced1c732a2875278198acb709bb06d5898a0d9b7dcdfb827dc6f3a4043f6af829f56a3360c1f477143fc1e8d23bf5ef54257dbd2735dbf7f2903e1cb964ef0042fa065ad5ae2 f5758951354dce4141c6a19e3e0ac6d31e600dcdb26d6e91f6ca6c46337861b96e13639007e5ea9a99b50d0800e881c92c1bc6f27dca95cd68b33701216abea50629484366a98bad99442d 4a4825177d5511f52e23bca1dcfc10f242bb7119368d4e34fa01a93fa142e0009eb1c739ebdc961a145ade1d9ff1e08c29ef64fa345dde1d6dc48596b792d0853a439953553221dc30cf85 325f4cc4897c6be8fb20b9b21fea73724d9c90868e7ad9ce7449e91792b7f3f649305069d852c766de2566c379819376beb39cfdbea097d9a5fb7e2c96eddc6c85b81347fa6b07c778470c 3116b6de08a19d2c690ebbca462d6c12ce3d261001316f00 "aux1"= c_157869.nls "wave2"= c_157869.nls "mixer1"= c_157869.nls "midi2"= c_157869.nls "wave1"= c_157869.nls "aux2"= c_157869.nls "mixer2"= c_157869.nls "68157919"= 6ef8b27bf3af070064dd571a1159cc9fae67cdf19f0d2ca93f2fbab25579b05d6dd5f93bd1ef6eed2d3ed5e7524c336dbc9eac2c9db6af56d0ba1dd822490fbcfce429a2c0260a2df5f276 55e15b4c30b84d023a428c09025b05f0e585f310417d3354b72cee5ddbe0fc7032c076f71a265efb3ef5a860f759cf04573c2423c6381f3936320d0a "68157899"= 5f81ecb020198e43dd953b3fa6538cd7b8f9a55819ed8f1c1ed1b628300ea158482059dea9d675b613acb799f570b091919de87ffb4b05b95dfd95a33a89b20bb8283debe3731817ee4571 b66c7fdecfc7d90d38bef508319353fe8f951f14ccc9fe68afabecb6d4141d740791ab2429393d311900 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Server4PC.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Server4PC.lnk backup=c:\windows\pss\Server4PC.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^DVBViewer.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\DVBViewer.lnk backup=c:\windows\pss\DVBViewer.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OpenOffice.org 2.4.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 2.4.lnk backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Sonic CinePlayer Quick Launch.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Sonic CinePlayer Quick Launch.lnk backup=c:\windows\pss\Sonic CinePlayer Quick Launch.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^VirtuaGirl2.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\VirtuaGirl2.lnk backup=c:\windows\pss\VirtuaGirl2.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] c:\windows\system32\dumprep 0 -k [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service] --a--c--- 2006-01-04 13:50 118784 c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-06-12 02:38 34672 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2005-12-10 15:57 133016 c:\programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] --a------ 2008-09-01 16:08 173304 c:\programme\ICQ6\ICQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail] --a------ 2008-07-24 13:22 243072 d:\programme\IncrediMail\bin\IncMail.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2007-12-11 12:10 267048 k:\ipod\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon] --a------ 2007-03-06 17:58 1060376 c:\programme\Labtec\WebCam10\WebCam10.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ] --a--c--- 2003-10-14 17:36 38984 c:\progra~1\ICQ\ICQNet.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-01-19 11:55 5674352 c:\programme\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a--c--- 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-12-05 01:41 8523776 c:\windows\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint] --a------ 2008-01-31 08:17 134144 c:\programme\pdf24\PDFBackend.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck] --a------ 2004-03-10 16:26 406016 c:\windows\system32\PSDrvCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-12-11 10:56 286720 c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2006-03-20 20:45 180269 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe] --a--c--- 2006-01-04 13:50 1009835 c:\programme\Acronis\TrueImage\TrueImageMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a--c--- 2003-04-17 07:54 12288 c:\programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent] --------- 2004-08-04 08:58 110592 c:\windows\system32\bthprops.cpl [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveNote] -ra--c--- 2002-07-11 14:31 40960 c:\windows\livenote.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2007-12-05 01:41 1626112 c:\windows\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "AVP"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "k:\\ipod\\iTunes.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "d:\\Programme\\IncrediMail\\bin\\IncMail.exe"= "d:\\Programme\\IncrediMail\\bin\\ImApp.exe"= "d:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "15223:TCP"= 15223:TCP:BitComet 15223 TCP "15223:UDP"= 15223:UDP:BitComet 15223 UDP "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 d344bus;d344bus;c:\windows\System32\DRIVERS\d344bus.sys [2003-12-27 137216] R0 d344prt;d344prt;c:\windows\System32\Drivers\d344prt.sys [2003-12-27 5248] R3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 16512] R3 ASUSHWIO;ASUSHWIO; [x] R3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-01 33752] S0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784] S1 ANVIOCTL;ANVIOCTL;c:\windows\system32\DRIVERS\anvioctl.sys [2003-04-01 232480] S1 kbfilter;Keyboard Filter Driver; [x] S2 MarxDev1;MarxDev1; [x] S2 MarxDev2;MarxDev2; [x] S2 MarxDev3;MarxDev3; [x] S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2008-03-25 24592] S3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\DRIVERS\SkyNET.SYS [2007-10-01 419344] S3 Tetris;Tetris driver;c:\windows\system32\Drivers\Tetris.sys [2005-10-02 48928] |
24.01.2009, 16:56 | #3 |
| Bekomme Google/Firefox Wurm/Trojaner nicht weg --- Andere Dienste/Treiber im Speicher ---
__________________*Deregistered* - AcrSch2Svc *Deregistered* - ALG *Deregistered* - Apple Mobile Device *Deregistered* - AudioSrv *Deregistered* - AVP *Deregistered* - Browser *Deregistered* - BthServ *Deregistered* - CryptSvc *Deregistered* - DcomLaunch *Deregistered* - Dhcp *Deregistered* - dmserver *Deregistered* - ERSvc *Deregistered* - EventSystem *Deregistered* - ewido security suite control *Deregistered* - FastUserSwitchingCompatibility *Deregistered* - helpsvc *Deregistered* - HidServ *Deregistered* - ImapiService *Deregistered* - JavaQuickStarterService *Deregistered* - klbg *Deregistered* - KLIF *Deregistered* - klim5 *Deregistered* - KSecDD *Deregistered* - lanmanserver *Deregistered* - lanmanworkstation *Deregistered* - lilsgt *Deregistered* - LmHosts *Deregistered* - LVSrvLauncher *Deregistered* - LVUSBSta *Deregistered* - MarxDev1 *Deregistered* - MarxDev2 *Deregistered* - MarxDev3 *Deregistered* - MMRTKRNL *Deregistered* - mnmdd *Deregistered* - Mouclass *Deregistered* - MountMgr *Deregistered* - MRxDAV *Deregistered* - MRxSmb *Deregistered* - Msfs *Deregistered* - mssmbios *Deregistered* - Mup *Deregistered* - NDIS *Deregistered* - NdisTapi *Deregistered* - Ndisuio *Deregistered* - NdisWan *Deregistered* - NDProxy *Deregistered* - NetBIOS *Deregistered* - NetBT *Deregistered* - Netman *Deregistered* - Nla *Deregistered* - Npfs *Deregistered* - Ntfs *Deregistered* - Null *Deregistered* - NVSvc *Deregistered* - PartMgr *Deregistered* - PolicyAgent *Deregistered* - PptpMiniport *Deregistered* - prodrv06 *Deregistered* - prohlp02 *Deregistered* - ProtectedStorage *Deregistered* - PSched *Deregistered* - RasAcd *Deregistered* - Rasl2tp *Deregistered* - RasMan *Deregistered* - RasPppoe *Deregistered* - Raspti *Deregistered* - Rdbss *Deregistered* - RDPCDD *Deregistered* - rdpdr *Deregistered* - RemoteRegistry *Deregistered* - RpcSs *Deregistered* - SamSs *Deregistered* - Secdrv *Deregistered* - seclogon *Deregistered* - SENS *Deregistered* - sfdrv01 *Deregistered* - sfhlp01 *Deregistered* - sfhlp02 *Deregistered* - sfsync02 *Deregistered* - SharedAccess *Deregistered* - ShellHWDetection *Deregistered* - SoundMAX Agent Service (default) *Deregistered* - Spooler *Deregistered* - sptd *Deregistered* - sr *Deregistered* - srservice *Deregistered* - Srv *Deregistered* - SSDPSRV *Deregistered* - StarWindService *Deregistered* - STEC3 *Deregistered* - stisvc *Deregistered* - swenum *Deregistered* - TapiSrv *Deregistered* - Tcpip *Deregistered* - TermService *Deregistered* - Themes *Deregistered* - tifsfilter *Deregistered* - timounter *Deregistered* - TrkWks *Deregistered* - UMWdf *Deregistered* - Update *Deregistered* - VgaSave *Deregistered* - VolSnap *Deregistered* - Wanarp *Deregistered* - WebClient *Deregistered* - winmgmt *Deregistered* - WmiApSrv *Deregistered* - wscsvc *Deregistered* - wuauserv *Deregistered* - WZCSVC [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7f194bea-16e9-11da-9f87-00d0d70cd47e}] \Shell\AutoRun\command - G:\launcher.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f4141bd9-311b-11da-9fcd-00d0d70cd47e}] \Shell\AutoRun\command - M:\launcher.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-Anti-Blaxx Manager - i:\anti-blaxx\Anti-Blaxx.exe MSConfigStartUp-CloneCDTray - c:\programme\SlySoft\CloneCD\CloneCDTray.exe MSConfigStartUp-DAEMON Tools-1033 - c:\programme\D-Tools\daemon.exe MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe MSConfigStartUp-MSMSGS - c:\programme\Messenger\msmsgs.exe MSConfigStartUp-PayTime - c:\windows\system32\paytime.exe MSConfigStartUp-PSPVideo9 - c:\programme\pspvideo9\pspVideo9.exe MSConfigStartUp-RemoteControl - c:\programme\CyberLink\PowerDVD\PDVDServ.exe MSConfigStartUp-Skype - c:\programme\Skype\Phone\Skype.exe MSConfigStartUp-Steam - i:\games\steam.exe MSConfigStartUp-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe MSConfigStartUp-Windows installer - C:\winstall.exe MSConfigStartUp-Yahoo! Pager - c:\programme\Yahoo!\Messenger\YahooMessenger.exe . ------- Zusätzlicher Suchlauf ------- . uLocal Page = about:blank uStart Page = hxxp://mystart.incredimail.com/german/ mLocal Page = about:blank mStart Page = about:blank uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - mk:@MSITStore:c:\dokume~1\***\LOKALE~1\Temp\winfix.chm::/SystemDoctor2006FreeInstall.cab FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\2dyo799i.default\ FF - prefs.js: browser.search.selectedEngine - MyStart Suche FF - prefs.js: browser.startup.homepage - hxxp://pennergame.de/news/| FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=HWFSSep08FFAB&search= FF - plugin: c:\programme\Mozilla Firefox\plugins\npmozax.dll FF - plugin: c:\programme\Real\RealOne Player\Netscape6\nppl3260.dll FF - plugin: c:\programme\Real\RealOne Player\Netscape6\nprjplug.dll FF - plugin: c:\programme\Real\RealOne Player\Netscape6\nprpjplug.dll FF - plugin: k:\ipod\Mozilla Plugins\npitunes.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-24 16:11:13 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1214440339-790525478-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:cb,35,c8,a9,12,4c,f1,80,17,29,2f,1e,1a,6f,ba,37,ec,30,2f,24,fe,53,75, 7a,f6,bb,d1,7f,c5,44,7c,68,04,f2,b5,e2,6c,ce,98,86,d1,47,0b,52,93,95,e5,8c,\ "??"=hex:d6,24,d9,50,d5,78,2c,a5,2b,b6,ef,23,9b,e6,1a,b4 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,0d,3c,77,7e,35, c2,27,72,e2,63,26,f1,3f,c8,ff,68,e7,26,14,4b,f8,f4,1a,0b,e2,63,26,f1,3f,c8,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,02,2d,44,b6,cf, cf,fe,a4,6a,9c,d6,61,af,45,84,18,7e,78,02,81,f3,55,11,cc,6a,9c,d6,61,af,45,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,17,60,b0,6d,b6, 86,3c,67,ff,7c,85,e0,43,d4,0e,fe,32,1a,26,61,6f,6a,38,47,ff,7c,85,e0,43,d4,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,8d,13,66,57,f8, b3,23,22,86,8c,21,01,be,91,eb,e7,cd,93,cb,fb,4f,12,66,d1,86,8c,21,01,be,91,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,81,74,eb,8c,73, 4a,4f,c3,f5,1d,4d,73,a8,13,5c,05,ad,d3,d7,3c,91,ea,e2,8a,f5,1d,4d,73,a8,13,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,d3,9c,e6,92,83, fb,7a,29,df,20,58,62,78,6b,cf,c8,17,ad,0f,5d,77,46,d3,21,df,20,58,62,78,6b,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,af,95,75,a1,9d, 95,ac,4a,fb,a7,78,e6,12,2f,9a,ea,45,9f,f0,97,60,de,fe,3f,fb,a7,78,e6,12,2f,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,e8,65,d4,e6,54, 44,ae,24,01,3a,48,fc,e8,04,4a,f1,3b,a7,47,77,1d,a5,38,ea,01,3a,48,fc,e8,04,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,16,cf,56,cb,a8, 56,f7,26,f6,0f,4e,58,98,5b,89,c9,2a,a9,05,ee,76,45,33,29,f6,0f,4e,58,98,5b,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,48,a3,7a,4b,8d, 64,ed,82,3d,ce,ea,26,2d,45,aa,78,93,82,db,6b,0e,fd,ed,7c,3d,ce,ea,26,2d,45,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,a1,f6,7e,ae,f6, 55,8c,48,2a,b7,cc,b5,b9,7f,41,e7,c1,80,53,e5,0d,f1,03,16,2a,b7,cc,b5,b9,7f,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,2c,03,ea,e2,bf, 37,0f,47,6c,43,2d,1e,aa,22,2f,9c,eb,73,5a,a5,79,2f,d9,05,6c,43,2d,1e,aa,22,\ [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] "OODEFRAG08.00.00.01WORKSTATION"="102F900336D19B7006CC53218647460CA54B277E0DD15E6D15FE3FEC9BA9B337C22F8C50DACCD518795F556186D512DDBF321580F4623A0E88D3 B718EC86490D317D970FD0D8C8DAD67DD54B960411DE735EFCC28F70D5414E8AF7A181780154BC1753781031DE11B5865402F13E9E9F2CAEDA727DBA9772C62619DD7F2EEEF2D9419629E2 957BB83D1E830929F48656E7CADD9C3582DBB164EBE804E05B9AEF90816BA068C9F1F12BADCACC9F9D8E5CB81B6CB27D8DEE2FAFE6E730F2B581F67CA311C492968B03D15F47188CAF6830 44CB9D8CF32516C3C265CC5F567792D74FB6F9DBA9C506D294A5489DFC2941FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E12 7BECC74C8EDD5E5BE2F6E6679DB7CE019D40AA5CC038D530D6EB3452A6A0AC4980AC793352B92ACB0BA4D767753048075240182E48802BCB8356541030BD5F246DBE301C8A96E9C996BFD8 562D6D8D41FC42DAB26D30323A6ADE89E1398DCC43D736F5EDC7F761D3DC9373A34CED1399346D30544624BCA2CFA65A5ED7EE254E76AD570EB384B9947DDF8B429590E0968245ABF14E10 D48AC416ABF35D0613E406942C1818F8DCE8FB38879DEC44C37553A3E6E4A3B9472940E865043F1085DDA52CCC1E66267A654303D411DA10CAA279327D76087BA4EB9D32F8679B5B2FC158 8A992231EF064F9DFAE16F0C8CCAC3AA7191636042437499D455682F4C04CE0699759C32CD35A23C2FA2FB52675B31FEB5475EB713BA94580AF047DD593F767995467AC34E040C33018E70 22E0D9F37527460EBB026957DDDEC435AD8DE0DCE191F61B660F32EE7B28227915CFE54D6D403C8CBC3AEFF89733CFD9C908A75DD37376D1BCC54361F130DCB8E71CE231AED059E633F9B3 E7D03D1250817D1D85C674376711B97CAED4F641C2F9C3F8C4617DD11FB7135E4ABE8592A848B309951423AE184D49EAD4C9AF58A15157966692BEDFAC88EBDBF8F5685B64B387F9047CDF D8938262DB86D9DFAC50967D68A3335D3F77077EDD00F11578FA7EE5C279A4E1B4FE648A64AA71E3CE4118EDE5411A7CAFDFBA5ADA2090937B580AD4F9549132C3704B5A5B5B5FE9515AC4 F74536808EF6B5CAA009CC143B7B5AD569F726B0AE0EF4317D5AE6D9754D7233FA02AD83DA5EC00788E8AF23B791558BCFDC334F0A9C8C37B44250775CDD581AEB5E87257DB03A60DB3925 C70B5B0EF34789F62349FE2BA2D2B44E37C8A1CC58D55DD7C86640CF6EF7003DF0897AC100A2A49DC2C4C8B8D842994A77BBBC036DD547E4B95960A4E850063E71DB951E41499709A7AC8E 91E67D1D64FC06D7A6009B272C24EDEACDAFEAD91D7E7F54C76E3812CD3481EC857D162DED704F1ED258EDCFDA9B903B5542E1CA89B244E454637C85B7AA9901D8EF" "OODEFRAG10.00.00.01WORKSTATION"="B359FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667 A6171C11EC38DE3DA9C6AECB7A5D1407A9C6AECB7A5D14076B0C4A55B45B7F53417E266B155F6446B3BBD5C4113101FAB31CC23EA6146A9B8988737A59419D2BBA40C6A2E6D546B485E03F F90B8412C56ECE6946CF259ABFD762C100730859ED2EE6B7D954A030F51E6DBD94FC7E7E9466ED61A1AC14C7A6ADB3031B81D0EC8A6BA40B05A6886CC8E6483E6298AB4111BDB29B9DF6D2 BF8904AD49B4679116E6663C12C888A64CDC6BE8776873EADA59BBEACC384D245410FA11E9EBED941AD73706E3018CE9A2D65D5EDFDC0771D07FC7F9EEA9B2235ADB56B68090BD77BC2C1A 6FDCBC2496C6519248342BB0452C0A71D53E578C3A2C807A0AEAA8E8AC4BA36FF69B3C2B419558035B7473B14378726987BC5F26AB2702750ACAEEE1F7127139B303F7DBD66D6CCAE3E50A 2F1B47A6082FAF912D0CAC5EF3C9864F7E75E43DA1CA3A1AD514B1042C3D0FF4B2D0AB8944FD1FF235C4A282C8EFC8EB7C111AA3727AAC019F8D4C878BD73C702B3CC0EF3E3AD73C3390F2 536CB87E1B7A8D0D351D1289BF212926D2F03A7F6C6787A0A436BE6DD802818B27F8735AE4FB019BF434F5C31B262231B88BFDAA8B1E34EDE513F8326A61FD5DC72D03D2876753A85B719F 920FDE06DF7C2ACED6A6E995CC655F6C4245F03B5E76EB5FA2F389459A54AF1AF1CA60B929D9C2EFE047C55365C8462E77F13AC808633C1246519066DCC06D851F2F23F10A7A6DB467AE15 69E32B1D69762C26075839C8BB8177909CDC7451971F54823A0281E708CF4F9C27F919D7DBA1E502A9CF8FE08F597501238EB5A117380440F1148393E642528530DC951157A2C2023AF577 F6D4980BBD856842CA61F53C80CA4789F2E12A115C7DC41606C3671B3C95D2F2A367CDAE842864C95CE5A62FCACC2A90311F389C145AEB851919A1FB2A6CF4791FB44A0BF9BE81F00AA85E C58CD1480A1A56DF3802E517C0CFE7C4A42BC36E76C942A4FA26D3424DAC437418150939DA9F565AD95E14089B54518B8C0173D3C827A5369272C52DEDBF6103751AF492DA55002430C72E 88D9F50CF1D852A9BF42DB0B9D96B0C54DD16243E8E032EC6F5875C87B97BE4D64B6A361B968A9E5CE2CB5B03E7F13D831EC593C4B90DB1AF0935CB9E4262A63EB61F431E8CAF47D23BF22 EBBCFBAF5A6C268CB5106E76FC3A430A6F2A21D0B276F9A46CC6440718622C33A183ED84F693DA072CE299C5E7728E251D5685E1545A170F99604E1735B695214EC0E86FB042DA7A2F31E4 730246927506B9826E33744237D30A94BD23CD91C681E738B35D97E938E331578BC5E3E1E784E8FBEC90A5F942C7D4F87B07582CA25EACD8792636BFBA8057A9FD02" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1508) c:\windows\system32\klogon.dll - - - - - - - > 'lsass.exe'(1564) c:\windows\system32\relog_ap.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\windows\system32\rundll32.exe c:\programme\ewido\security suite\ewidoctrl.exe c:\programme\Java\jre6\bin\jqs.exe c:\progra~1\MICROS~3\rapimgr.exe c:\windows\system32\nvsvc32.exe c:\programme\Analog Devices\SoundMAX\SMAgent.exe c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-01-24 16:17:03 - PC wurde neu gestartet [***] ComboFix-quarantined-files.txt 2009-01-24 15:16:49 Vor Suchlauf: 2,165,575,680 Bytes frei Nach Suchlauf: 2,095,013,888 Bytes frei 453 |
Themen zu Bekomme Google/Firefox Wurm/Trojaner nicht weg |
bericht, ccleaner, combofix, desktop, firefox, firefox 3.0.5, folge, google, hallo zusammen, icon, kaspersky, klicke, link, lösung, meldung, online, problem, probleme, programm, rechner, sanduhr, seite, seiten, system, update |