| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Monder.bbwm und TR/Vundo.Gen im System32 OrdnerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
22.02.2009, 19:50
| #16 |
 |  TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner So als erstes hab ich Spybot durchlaufen lassen, der hat noch ne Menge gefunden. Das hab ich bereinigen lassen und danach f-secure durchlaufen lassen und auch diese fixen lassen. Dies ist das Resultat: Scanning Report Sunday, February 22, 2009 19:17:12 - 19:46:00 Computer name: ***** Scanning type: Scan system for malware, rootkits Target: C:\ E:\ H:\ -------------------------------------------------------------------------------- Result: 2 malware found Suspicious_Y.gen (virus) C:\PROGRAMME\ABBYY FINEREADER 9.0\FINEREADER.EXE (Submitted) TrackingCookie.Atwola (spyware) System -------------------------------------------------------------------------------- Statistics Scanned: Files: 29178 System: 4301 Not scanned: 8 Actions: Disinfected: 0 Renamed: 0 Deleted: 0 None: 2 Submitted: 1 Files not scanned: C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SYSTEM32\CONFIG\SAM C:\WINDOWS\SYSTEM32\CONFIG\SECURITY C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM C:\DOKUMENTE UND EINSTELLUNGEN\****\LOKALE EINSTELLUNGEN\TEMP\ETILQS_E0A3YTNYGKA9GDVE6TBV Jetzt hab ich mal noch ne blöde Frage:  Warum hat der 8 Dateien nicht gescannt? |
|
22.02.2009, 20:02
| #17 |
| /// Selecta Jahrusso   | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner Einiges wurde ja gefunden von Spybot
__________________ So poste mir bitte ein aktuelles HJT-File und dann suchen wir uns die beiden Einträge
__________________ |
|
22.02.2009, 20:10
| #18 |
| | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner Und das wars dann?? Hab ich dann endlich wieder ein sauberes System? Achja kennt ihr euch auch mit Systembremsen aus, also welche Dateien zB. überflüssig sind speziell in diesem log?! Mir schmiert zB. immer die "cftmon" beim herunterfahren ab also das man dann auf "sofort beenden" klicken muss.
__________________Hier der log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:04:36, on 22.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\Programme\NetMeter\NetMeter.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe C:\WINDOWS\System32\svchost.exe I:\PhoneConnectorVMC.exe C:\Programme\vodafone\vmclite\vmc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe E:\-=ProgZ=-\Mozilla Firefox\firefox.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*tp://www.myfanbase.de/index.php?mid=1 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*tp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*ttp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*tp://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {96EBC9C5-E726-4CE0-B3B6-D0FF65D4B5FA} - (no file) O2 - BHO: (no name) - {DEE208DE-6B84-4F8E-B679-F502BFB5E446} - (no file) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunOnce: [SpybotDeletingA59] command.com /c del "c:\Program Files\Altnet\Download Manager\asmps.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC9151] cmd.exe /c del "c:\Program Files\Altnet\Download Manager\asmps.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA3288] command.com /c del "c:\Program Files\Altnet\Download Manager\asmend.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingC4205] cmd.exe /c del "c:\Program Files\Altnet\Download Manager\asmend.exe" O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe" O4 - HKCU\..\Run: [C:\Programme\NetMeter\NetMeter.exe] C:\Programme\NetMeter\NetMeter.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [SpybotDeletingB1594] command.com /c del "c:\Program Files\Altnet\Download Manager\asmps.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD6542] cmd.exe /c del "c:\Program Files\Altnet\Download Manager\asmps.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingB7562] command.com /c del "c:\Program Files\Altnet\Download Manager\asmend.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD5829] cmd.exe /c del "c:\Program Files\Altnet\Download Manager\asmend.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://E:\-=ProgZ=-\LeechGet 2007\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://E:\-=ProgZ=-\LeechGet 2007\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://E:\-=ProgZ=-\LeechGet 2007\\Parser.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\-=ProgZ=-\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\-=ProgZ=-\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\-=ProgZ=-\ICQ\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\-=ProgZ=-\ICQ\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O16 - DPF: {06293FDE-E099-48D1-BAF7-7ED9DFFB5513} (o2c - simple online objectcreation) - http://www.o2c.de/download/O2CAreas.CAB O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file:///E:/-=ProgZ=-/autocad02/InstFred.ocx O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - h*ttp://www3.snapfish.de/SnapfishActivia.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ht*tp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1235256942906 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ht*tp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235257628297 O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - ht*tp://www.navigram.com/engine/v911/Navigram.cab O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file:///E:/-=ProgZ=-/autocad02/AcDcToday.ocx O16 - DPF: {813A45F9-744F-435F-A815-19E2DF35A9D8} (O2C-Player - area constructor view (ELECO Software GmbH)) - ht*tp://www.o2c.de/download/o2cplayerac.cab O16 - DPF: {98474E4F-5229-4CAC-9E28-6D52D992268D} (AS_AR_Control Light Control) - ht*tp://kpscdhaendler.ar-live.de/afc-frontend/main/Setup_AFC_ONLINE_2_7_0_3_STANDARD.cab O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file:///E:/-=ProgZ=-/autocad02/InstBanr.ocx O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (mb Software AG)) - h*ttp://www.o2c.de/download/o2cplayer.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - ht*tp://support.f-secure.com/ols/fscax.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h*ttp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file:///E:/-=ProgZ=-/autocad02/AcPreview.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{9B970805-F873-407E-8723-746AEF4ECB6D}: NameServer = 139.7.30.125 139.7.30.126 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe -- End of file - 10456 bytes |
|
22.02.2009, 20:38
| #19 | |
| /// Selecta Jahrusso | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner Ne das wars noch nicht  Deaktivier die Systemwiederherstellung Fixe bitte Code:
ATTFilter O2 - BHO: (no name) - {96EBC9C5-E726-4CE0-B3B6-D0FF65D4B5FA} - (no file)
O2 - BHO: (no name) - {DEE208DE-6B84-4F8E-B679-F502BFB5E446} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\-=ProgZ=-\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\-=ProgZ=-\ICQLite\ICQLite.exe (file missing)
O4 - HKCU\..\RunOnce: [SpybotDeletingB1594] command.com /c del "c:\Program Files\Altnet\Download Manager\asmps.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6542] cmd.exe /c del "c:\Program Files\Altnet\Download Manager\asmps.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7562] command.com /c del "c:\Program Files\Altnet\Download Manager\asmend.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5829] cmd.exe /c del "c:\Program Files\Altnet\Download Manager\asmend.exe"
Alle O16
Lösche folgendes: Zitat:
Start-->Ausführen-->cleanmgr(reinschreiben) Häckchen bei-->Übertragbare Datein;Temporäre Internetdatein;Papierkörb;Temporäre Datein--->OK Systemwiederherstellung wieder aktivieren Lade dir ComboFix von bleepingComputer.com Speicher es auf deinem Desktop Trenne dich vom Netz Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen Starte nun combofix.exe Lese dir nun die Warnmeldung und Disclaimer genau durch-->mit Ja bestätigen Es öffnet sich ein blaues Fenster Schreibe 1-->enter Nun musst du einen Systemwiederherstellungspunkt erstellen-->Folge dazu genau den Anweisungen der Scan folgt Das log wird unter combofix.txt erscheinen Alles markieren-->strg+C-->und mit strg+v in den Thread einfügen
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
22.02.2009, 20:42
| #20 |
| | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner Habe jetzt erst SUPERAntiSpyware zum laufen gebracht ist das schlimm?? Soll ich das abrechen, da er gerade eine System Durchsuchung macht. |
|
22.02.2009, 21:42
| #21 |
| /// Selecta Jahrusso | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner Auswertung bitte posten Scannen kann man nie zu wenig 
__________________ --> TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner |
|
22.02.2009, 21:54
| #22 |
| | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner So habe alles soweit gemacht. Combofix habe ich bisher nur heruntergeladen. Diese Dateien konnte ich nicht löschen, da sie gar nicht existieren: c:\Program Files\Altnet\Download Manager\asmps.dll" c:\Program Files\Altnet\Download Manager\asmend.ex Dann habe ich SUPERAntiSpyware ausgeführt und die gefundenen Sachen behandelt. Dann habe ich nochmal HijackThis ausgeführt und den log angehängt. SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 02/22/2009 at 09:43 PM Application Version : 4.25.1012 Core Rules Database Version : 3769 Trace Rules Database Version: 1729 Scan type : Complete Scan Total Scan Time : 00:29:57 Memory items scanned : 517 Memory threats detected : 0 Registry items scanned : 7453 Registry threats detected : 5 File items scanned : 39775 File threats detected : 31 Browser Hijacker.Apropos Media/PeopleOnPage HKLM\Software\Classes\CLSID\{7DD95801-9882-11CF-9FA9-00AA006C42C4} HKCR\CLSID\{7DD95801-9882-11CF-9FA9-00AA006C42C4} HKCR\CLSID\{7DD95801-9882-11CF-9FA9-00AA006C42C4}\Implemented Categories HKCR\CLSID\{7DD95801-9882-11CF-9FA9-00AA006C42C4}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4} Unclassified.Unknown Origin HKU\S-1-5-21-507921405-2000478354-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2B159383-78BB-4D21-A799-95AABC81ACED} Adware.Tracking Cookie C:\Dokumente und Einstellungen\**\Cookies\spezi@atwola[1].txt C:\Dokumente und Einstellungen\**\Cookies\spezi@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\**\Cookies\spezi@ad.71i[1].txt E:\Users\**\AppData\Local\Temp\Cookies\spezi@www.usenext[1].txt E:\Users\**\AppData\Local\Temp\Cookies\spezi@msnportal.112.2o7[1].txt E:\Users\**\AppData\Local\Temp\Cookies\spezi@ad.yieldmanager[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@media6degrees[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@bs.serving-sys[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@serving-sys[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@www.netdebit-counter[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@atdmt[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@adfarm1.adition[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@euros4click[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@komtrack[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@ad.yieldmanager[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@media.adrevolver[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@ad.zanox[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@edge.download.newmedia.nacamar[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@www.etracker[1].txt E:\Users\spezi\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@msnportal.112.2o7[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@ads.quartermedia[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@nacamar.adbureau[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@toplist[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@statcounter[1].txt E:\Users\spezi\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@adopt.euroclick[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@www.pro-advertise[1].txt E:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@tradedoubler[1].txt E:\Users\spezi\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@xiti[1].txt E:\Users\**\AppData\Roaming\Microsoft\Windows\Cookies\Low\spezi@statse.webtrendslive[1].txt Adware.180solutions/Seekmo/Zango E:\-=PROGZ=-\MOZILLA FIREFOX\PLUGINS\NPCLNTAX_ZANGOSA.DLL Adware.Need2Find E:\-=PROGZ=-\MOZILLA FIREFOX\PLUGINS\NPND2FN.DLL Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:53:58, on 22.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\Programme\NetMeter\NetMeter.exe C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Spezi\Desktop\xyz\SUPERAntiSpyware.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe c:\programme\avira\antivir personaledition classic\avcenter.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe I:\PhoneConnectorVMC.exe C:\Programme\vodafone\vmclite\vmc.exe E:\-=ProgZ=-\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myfanbase.de/index.php?mid=1 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe" O4 - HKCU\..\Run: [C:\Programme\NetMeter\NetMeter.exe] C:\Programme\NetMeter\NetMeter.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Dokumente und Einstellungen\Spezi\Desktop\xyz\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://E:\-=ProgZ=-\LeechGet 2007\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://E:\-=ProgZ=-\LeechGet 2007\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://E:\-=ProgZ=-\LeechGet 2007\\Parser.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\-=ProgZ=-\ICQ\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\-=ProgZ=-\ICQ\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{9B970805-F873-407E-8723-746AEF4ECB6D}: NameServer = 139.7.30.125 139.7.30.126 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe -- End of file - 7395 bytes |
|
22.02.2009, 22:52
| #23 |
| | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner cOMBOFIX habe ich jetzt auch ausgeführt hier ist der Log: ComboFix 09-02-21.01 - ** 2009-02-22 22:37:17.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.3582.3115 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\**\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\Need2Find c:\programme\Need2Find\bar\History\search c:\windows\system32\BKUvCJjl.ini c:\windows\system32\tmp.reg c:\windows\system32\tmp58.tmp E:\install.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-01-22 bis 2009-02-22 )))))))))))))))))))))))))))))) . 2009-02-22 22:25 . 2008-04-28 14:53 805,400 -ra------ c:\windows\system32\tmp9.tmp 2009-02-22 20:32 . 2009-02-22 20:32 <DIR> d-------- c:\dokumente und einstellungen\Spezi\Anwendungsdaten\SUPERAntiSpyware.com 2009-02-22 20:32 . 2009-02-22 20:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-02-22 18:56 . 2009-02-22 18:56 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2009-02-22 18:56 . 2009-02-22 22:33 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-02-22 17:35 . 2009-02-22 17:35 <DIR> d-------- C:\fsaua.data 2009-02-22 14:58 . 2009-02-22 14:58 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-02-22 14:58 . 2009-02-22 14:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-02-22 14:58 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-22 14:58 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-22 14:39 . 2009-02-22 14:39 <DIR> d-------- c:\programme\Trend Micro 2009-02-22 14:38 . 2009-02-22 14:38 <DIR> d-------- c:\programme\ClearProg 2009-02-22 12:42 . 2009-02-22 12:42 24,576 --a------ c:\windows\system32\VundoFixSVC.exe 2009-02-22 00:13 . 2009-02-22 00:13 <DIR> d-------- c:\windows\system32\CatRoot_bak 2009-02-22 00:00 . 2009-02-22 00:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage 2009-02-21 23:56 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui 2009-02-20 21:24 . 2009-02-20 21:24 572 --a------ c:\windows\GRID.lnk 2009-01-31 23:25 . 2009-01-31 23:25 125,176 --a------ C:\GDIPFONTCACHEV1.DAT 2009-01-31 14:04 . 2009-01-31 14:04 <DIR> d-------- C:\PFiles 2009-01-30 21:56 . 2009-01-30 21:56 <DIR> d-------- C:\Windows_7_Cracks 2009-01-30 21:18 . 2009-01-30 21:18 <DIR> d--hs---- C:\$RECYCLE.BIN 2009-01-30 20:45 . 2009-01-30 20:55 8,192 -rahs---- C:\BOOTSECT.BAK 2009-01-30 20:44 . 2009-01-30 20:55 <DIR> d--hs---- C:\Boot 2009-01-30 20:44 . 2008-12-13 08:03 377,151 -rahs---- C:\bootmgr 2009-01-30 20:30 . 2009-01-30 20:30 2,544 --a------ c:\windows\diagwrn.xml 2009-01-30 20:30 . 2009-01-30 20:30 1,890 --a------ c:\windows\diagerr.xml 2009-01-26 18:26 . 2005-01-27 12:40 6,510,510 --a------ C:\Windows_7_Cracks.rar 2009-01-24 13:56 . 2009-02-18 20:41 <DIR> d-------- c:\dokumente und einstellungen\Spezi\Anwendungsdaten\skypePM 2009-01-24 13:56 . 2009-01-24 13:56 56 --ah----- c:\windows\system32\ezsidmv.dat 2009-01-24 13:52 . 2009-01-24 13:52 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-22 21:26 --------- d--h--w c:\programme\InstallShield Installation Information 2009-02-22 21:26 --------- d-----w c:\programme\vtplus 2009-02-22 21:25 --------- d-----w c:\programme\Gemeinsame Dateien\Buhl Data Service 2009-02-22 21:25 --------- d-----w c:\dokumente und einstellungen\**\Anwendungsdaten\TVcentral-Core 2009-02-22 19:03 --------- d-----w c:\programme\PhotoZoom Pro 2 2009-02-22 19:02 --------- d-----w c:\programme\Zoom Player 2009-02-22 17:50 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-02-22 17:49 --------- d-----w c:\programme\Lavasoft 2009-02-22 13:53 --------- d-----w c:\programme\CCleaner 2009-02-21 00:24 --------- d-----w c:\programme\RealMedia 2009-02-21 00:24 --------- d-----w c:\programme\OpenSource Flash Video Splitter 2009-02-21 00:23 --------- d-----w c:\programme\MONOGRAM AMR SplitterDecoder 2009-02-21 00:22 --------- d-----w c:\programme\SHOUTcast Source 2009-01-08 16:32 --------- d-----w c:\dokumente und einstellungen\**\Anwendungsdaten\Autodesk 2009-01-08 15:49 --------- d-----w c:\programme\Volo View Express 2009-01-08 15:49 --------- d-----w c:\programme\Gemeinsame Dateien\Wextech Shared 2009-01-08 15:49 --------- d-----w c:\programme\Gemeinsame Dateien\LHSPF 2009-01-08 15:49 --------- d-----w c:\programme\Gemeinsame Dateien\Autodesk Shared 2009-01-01 22:02 --------- d-----w c:\programme\ffdshow 2009-01-01 22:02 --------- d-----w c:\programme\DScaler5 2008-12-26 14:01 --------- d-----w c:\programme\DirectVobSub 2008-12-21 20:12 69 ----a-w C:\setres.bat 2008-05-17 18:16 1,874 -c--a-w c:\dokumente und einstellungen\**\Anwendungsdaten\SAS7_000.DAT 2008-08-26 01:54 8,192 --sha-w c:\windows\o2cLicStore.bin . ------- Sigcheck ------- 2002-08-29 13:00 521728 616896b708286da98d6a099293f181d7 c:\windows\$NtServicePackUninstall$\winlogon.exe 2004-08-04 00:58 507392 2b6a0baf33a9918f09442d873848ff72 c:\windows\ServicePackFiles\i386\winlogon.exe 2007-11-15 00:04 507392 33aa1f31de9099bb306f4195fec61421 c:\windows\system32\winlogon.exe 2002-08-29 13:00 202240 bcfe30696bae8b0a7889dcc571e2b43d c:\windows\$NtServicePackUninstall$\termsrv.dll 2005-01-03 19:16 215552 a77219a971029dc2fb683e8513713803 c:\windows\system32\termsrv.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UberIcon"="c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe" [2006-05-21 180224] "c:\programme\NetMeter\NetMeter.exe"="c:\programme\NetMeter\NetMeter.exe" [2007-08-11 331264] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "SUPERAntiSpyware"="c:\dokumente und einstellungen\Spezi\Desktop\xyz\SUPERAntiSpyware.exe" [2009-01-15 1830128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GBB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-07-12 356352] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-06 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\Spezi\Startmen\Programme\Autostart\ RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784] TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536] UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224] Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm "VIDC.SP54"= SP5X_32.DLL "VIDC.SP55"= SP5X_32.DLL "VIDC.SP56"= SP5X_32.DLL "VIDC.SP57"= SP5X_32.DLL "VIDC.SP58"= SP5X_32.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck] c:\windows\system32\dumprep 0 -u [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] --a------ 2004-02-09 11:32 401491 c:\programme\Microsoft ActiveSync\wcescomm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM] --a------ 2007-03-29 15:41 222128 c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] --a------ 2005-02-16 15:15 221184 c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect] --a------ 2007-07-13 15:37 3383296 c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect.EXE] --a------ 2007-07-13 15:37 3383296 c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote Control Editor] --a------ 2008-11-04 11:06 1105920 c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\setres] --a------ 2006-03-06 11:46 86016 c:\programme\SwiftTec\Screen Resolution Utility\setres.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] --a------ 2008-08-01 14:23 61440 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 c:\programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UberIcon] --a------ 2006-05-21 08:43 180224 c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange] --a------ 2008-09-24 03:06 26112 c:\windows\system32\Ati2mdxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "NMIndexingService"=3 (0x3) "bmwebcfg"=2 (0x2) "EPGService"=2 (0x2) "C-DillaSrv"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "e:\\-=ProgZ=-\\ICQLite\\ICQLite.exe"= "c:\\WINDOWS\\system32\\mmc.exe"= "e:\\-=ProgZ=-\\ICQ\\ICQ6\\ICQ.exe"= "e:\\-=ProgZ=-\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"= "c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"= "c:\\Programme\\NetMeeting\\conf.exe"= "c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"= "c:\\Programme\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"= "c:\\Programme\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programme\\Motorola\\RSD Lite\\SDL.exe"= "c:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:* isabled:@xpsp2res.dll,-22009R1 SASDIFSV;SASDIFSV;c:\dokumente und einstellungen\**\Desktop\xyz\sasdifsv.sys [2009-01-15 8944] R1 SASKUTIL;SASKUTIL;c:\dokumente und einstellungen\**\Desktop\xyz\SASKUTIL.SYS [2009-01-15 55024] R2 ccdglsvc;ccDglSvc.sys;c:\windows\system32\drivers\CCDGLSVC.SYS [2004-02-21 52060] R3 HCW713x;Hauppauge 713x VU PCI TV Card;c:\windows\system32\drivers\HCW713x.sys [2007-11-15 827776] R3 SASENUM;SASENUM;c:\dokumente und einstellungen\**\Desktop\xyz\SASENUM.SYS [2009-01-15 7408] S1 aiptektp;HyperPen;c:\windows\system32\drivers\aiptektp.sys [2008-06-22 22272] S2 Ca533av;PocketCam 3Mega, WDM Video Capture;c:\windows\system32\drivers\CA533AV.SYS [2008-04-19 514929] S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?] S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [2007-12-06 18176] S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [2007-12-06 7680] S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [2007-12-06 42112] S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [2008-01-25 25088] S3 USBCamera;DSC Still Image Capture (CA100);c:\windows\system32\drivers\Bulk533.sys [2008-04-19 10986] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1af221ec-a15a-11dd-82e0-92329e7eff82}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1af221ed-a15a-11dd-82e0-92329e7eff82}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1fdcb499-a163-11dd-82e5-a9aa9e3b0482}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3197ab21-b4a0-11dc-a5d1-95d88f2ddb67}] \Shell\AutoRun\command - I:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3197ab22-b4a0-11dc-a5d1-95d88f2ddb67}] \shell\AutoRun\command - I:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4559ce50-9e3d-11dd-82d2-b942b143f3eb}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4559ce51-9e3d-11dd-82d2-b942b143f3eb}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5af83d66-9e8b-11dd-82d6-d1017ceaef89}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{918436cc-9307-11dc-9f89-b7d8360e9081}] \Shell\AutoRun\command - F:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{94a0f958-fada-11dd-ae1a-c640d30ce78f}] \Shell\AutoRun\command - I:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{957cdc6e-a15e-11dd-82e2-da75ba414182}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f368132-a0f6-11dd-82dc-bc91bd80be8d}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a7630129-93be-11dc-a587-806d6172696f}] \Shell\AutoRun\command - F:\Setup.exe -auto [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8e83d9f-a167-11dd-82e7-cc95b39e9d8c}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8e83da0-a167-11dd-82e7-cc95b39e9d8c}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8e83da1-a167-11dd-82e7-cc95b39e9d8c}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aa27c589-9305-11dc-9518-806d6172696f}] \Shell\AutoRun\command - G:\autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aa27c58a-9305-11dc-9518-806d6172696f}] \Shell\AutoRun\command - H:\Run.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed5db76-80c6-11dd-82a9-b2944009435c}] \Shell\AutoRun\command - I:\starter.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed5db78-80c6-11dd-82a9-b132056f0de8}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed5db7a-80c6-11dd-82a9-b132056f0de8}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed5db7c-80c6-11dd-82a9-b132056f0de8}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed5db7d-80c6-11dd-82a9-b132056f0de8}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7e312c8-916e-11dd-82b1-eda05afce9d1}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9c4c304-a161-11dd-82e4-ed06c9e13f8d}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beade9be-fad9-11dd-ae19-b738d1ce6b7d}] \Shell\AutoRun\command - I:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beade9bf-fad9-11dd-ae19-b738d1ce6b7d}] \Shell\AutoRun\command - I:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c107ccb2-9c8c-11dd-82c5-9d0fd0c21fe9}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd8e6acc-ba1f-11dc-81ea-d21d43442187}] \Shell\AutoRun\command - I:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd8e6acd-ba1f-11dc-81ea-d21d43442187}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df987944-9e25-11dc-a595-b2a1701b5f80}] \Shell\AutoRun\command - G:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ea088615-91ac-11dd-82b4-0016e6d5b5b5}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ece7ad07-96c6-11dd-82bc-0016e6d5b5b5}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ece7ad08-96c6-11dd-82bc-0016e6d5b5b5}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef84699f-93b9-11dc-9f90-ab0d704fbc0b}] \Shell\AutoRun\command - G:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fafe3682-a163-11dd-82e6-cd2efb6fca82}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7a03ad-a16b-11dd-82e8-f91c650b9105}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7a03ae-a16b-11dd-82e8-e56b5adfd506}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7a03b1-a16b-11dd-82e8-cf5b01c39d31}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7a03b2-a16b-11dd-82e8-cf5b01c39d31}] \Shell\AutoRun\command - J:\StartVMCLite.exe . Inhalt des "geplante Tasks" Ordners 2009-02-20 c:\windows\Tasks\1-Klick-Wartung.job - e:\-=progz=-\TuneUp07\SystemOptimizer.exe [] 2008-12-30 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2009-02-22 c:\windows\Tasks\User_Feed_Synchronization-{6A8DCAD0-C3B3-4E64-9BAA-3281DF9609DC}.job - c:\windows\system32\msfeedssync.exe [2007-08-13 18:36] . - - - - Entfernte verwaiste Registrierungseinträge - - - - ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file) Notify-!SASWinLogon - c:\programme\SUPERAntiSpyware\SASWINLO.dll MSConfigStartUp-ATICustomerCare - c:\programme\ATI\ATICustomerCare\ATICustomerCare.exe MSConfigStartUp-VodafoneVMCLiteLauncher - c:\programme\Vodafone\VMCLite\\VodafoneVMCLiteLauncher.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.myfanbase.de/index.php?mid=1 LSP: bmnet.dll DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\**\Anwendungsdaten\Mozilla\Firefox\Profiles\z5sgf6re.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.menoffaith.de FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\programme\Adobe\Reader\browser\nppdf32.dll FF - plugin: c:\programme\innoPlus\Rundum-Betrachter-innoPlus\npirsviewer.dll FF - plugin: c:\programme\INNOVA-engineering GmbH\3D-Viewer-innoPlus\npIno3DViewer.dll FF - plugin: e:\-=progz=-\Mozilla Firefox\plugins\npclntax_ZangoSA.dll FF - plugin: e:\-=progz=-\Mozilla Firefox\plugins\npsnapfish.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-connections-per-server - 6 FF - user.js: network.http.max-persistent-connections-per-server - 3 FF - user.js: content.max.tokenizing.time - 1500000 FF - user.js: content.notify.interval - 750000 FF - user.js: nglayout.initialpaint.delay - 100 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-22 22:38:16 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-507921405-2000478354-725345543-1004\Software\SecuROM\License information*] "datasecu"=hex:9a,45,ed,7a,38,31,e9,07,a9,ad,74,35,fd,eb,2c,5c,57,f4,60,16,44, c8,55,b1,43,45,78,33,69,dc,9d,f0,e7,d4,20,d3,78,0a,35,b0,2b,00,b3,0f,6b,92,\ "rkeysecu"=hex:1b,b5,52,6d,b9,b0,2c,c1,55,51,23,8c,25,8e,a7,8c . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(604) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(660) c:\windows\system32\bmnet.dll . Zeit der Fertigstellung: 2009-02-22 22:39:17 ComboFix-quarantined-files.txt 2009-02-22 21:39:12 Vor Suchlauf: 9.841.532.928 Bytes frei Nach Suchlauf: 9,971,204,096 Bytes frei 334 |
|
22.02.2009, 22:52
| #24 |
| /// Selecta Jahrusso | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner Sehe ich mir morgen an @Team Wenn jemand Zeit hat kann er ruhig posten
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
22.02.2009, 22:53
| #25 |
| | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner Gerade gemacht ein post zuvor.. |
|
23.02.2009, 14:02
| #26 |
| /// Selecta Jahrusso | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner Hallo Frage vorweg: Hattst du im Jänner mal irgendwas gecrackt oder Crack herunter geladen?
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
23.02.2009, 14:05
| #27 |
| | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner Hi. was meinst du mit jänner?  Edit: Achso du meinst Januar (Google ist spitze) Du meinst bestimmt den Windows7 crack, den brauch ich nicht mehr kann gelöscht werden. Geändert von speziTech (23.02.2009 um 14:17 Uhr) |
|
23.02.2009, 14:17
| #28 | |
| /// Selecta Jahrusso | TR/Monder.bbwm und TR/Vundo.Gen im System32 OrdnerZitat:
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
23.02.2009, 14:22
| #29 |
| | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner Also weiss ich doch jetzt nicht mehr. Wenn du den Windows7 crack meinst, ja den hab ich benutzt. |
|
23.02.2009, 14:40
| #30 |
| /// Selecta Jahrusso | TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner Cracks Hacks und Keygens sind illegal und egal wo dir diese downloadest steckt immer Malware dahinter. Ich unterstütze niemand der nicht bereit ist wenigstens für Software zu zahlen und so die Programmierer um ihr Geld bringt. Bedenke auch die Freeware Tools was wir hier zur Bereiningung einsetzten haben gewisse,sehr gute Leute geschrieben und halten sie auch immer am neuesten Stand-->das als Freeware herauszubringen zeigt ein hohes Mas an Charakter Einen Tipp hab ich noch-->Neu Aufsetzten Tut mir Leid aber auch ich mach mich eventuell strafbar wenn ich hier weiter mache Hoffe du hast daraus was gelernt Ich bin raus
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
| Themen zu TR/Monder.bbwm und TR/Vundo.Gen im System32 Ordner |
| ad-aware, add-on, antivir, antvir, avira, bho, browser, canon, desktop, einstellungen, error, firefox, helper, hijackthis log, hkus\s-1-5-18, home, immer wieder, internet, internet explorer, mozilla, msevents, problem, registry, rundll, software, system, toolbars, tr/vundo.gen, viren, virus, vista, vodafone, windows, windows xp |
Linear-Darstellung
