|
Plagegeister aller Art und deren Bekämpfung: Redirect auf Pornoseiten, Wurm ?? Hilfe !!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.04.2009, 22:22 | #31 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! http://www.materialordner.de/f1kYAD9cHe5EeWvczXlmYY8V8WaaCg.html |
06.04.2009, 22:27 | #32 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! Welche Dateigröße wird dir angezeigt, wenn du die Datei im Windowsexplorer anzeigen lässt?
__________________ciao, andreas
__________________ |
06.04.2009, 22:29 | #33 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! 1 kb
__________________gruß und vielen Dank für Deine Hilfe !!! Michael |
06.04.2009, 22:31 | #34 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! ne frage bin habe keine anung wie mach ich mein eigenen eintrag habe nemlich ein problem! |
06.04.2009, 22:32 | #35 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! also meine mein eigenes thema wo ich hilfe bzw. Antworten bekomme! |
06.04.2009, 22:34 | #36 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! @Computers Um welches Problem geht es denn? ciao, andreas
__________________ --> Redirect auf Pornoseiten, Wurm ?? Hilfe !! |
06.04.2009, 22:48 | #37 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! ComboFix 09-04-04.01 - Michael Sand 2009-04-06 23:41:57.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1447 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) FW: Norton Internet Worm Protection *disabled* * Resident AV is active Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 )))))))))))))))))))))))))))))) . 2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer 2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll 2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\programme\AskBarDis 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit 2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software 2009-04-06 20:32 . 2009-04-06 20:32 <DIR> d-------- c:\windows\LastGood 2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP 2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes 2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod 2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime 2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple 2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll 2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys 2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll 2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll 2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax 2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx 2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm 2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm 2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm 2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll 2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm 2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes 2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache 2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner 2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro 2009-03-28 02:34 . 2009-04-06 23:45 6,092,832 --a------ c:\windows\system32\drivers\fidbox.dat 2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll 2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll 2009-03-28 02:34 . 2009-04-06 20:05 75,140 --------- c:\windows\system32\drivers\fidbox.idx 2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe 2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest 2009-03-27 01:31 . 2009-04-06 23:44 238,368 --a------ c:\windows\system32\drivers\fidbox2.dat 2009-03-27 01:31 . 2009-04-06 20:05 18,764 --------- c:\windows\system32\drivers\fidbox2.idx 2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB 2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$ 2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg 2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM 2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM 2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg 2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins 2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE 2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll 2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll 2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll 2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL 2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL 2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe 2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe 2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll 2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe 2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE 2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache 2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8 2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat 2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5 2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui 2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui 2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui 2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-06 21:36 --------- d-----w c:\programme\Java 2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3 2009-04-03 03:14 --------- d-----w c:\programme\SPSS 2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2 2009-03-25 14:06 --------- d-----w c:\programme\Palm 2009-03-18 22:34 --------- d-----w c:\programme\ICQ6 2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin 2009-03-08 03:34 914,944 ----a-w c:\windows\system32\wininet.dll 2009-03-08 03:34 43,008 ----a-w c:\windows\system32\licmgr10.dll 2009-03-08 03:33 420,352 ----a-w c:\windows\system32\vbscript.dll 2009-03-08 03:33 18,944 ----a-w c:\windows\system32\corpol.dll 2009-03-08 03:32 72,704 ----a-w c:\windows\system32\admparse.dll 2009-03-08 03:32 71,680 ----a-w c:\windows\system32\iesetup.dll 2009-03-08 03:31 48,128 ----a-w c:\windows\system32\mshtmler.dll 2009-03-08 03:31 45,568 ----a-w c:\windows\system32\mshta.exe 2009-03-08 03:31 34,816 ----a-w c:\windows\system32\imgutil.dll 2009-03-08 03:22 156,160 ----a-w c:\windows\system32\msls31.dll 2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software 2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys 2009-01-07 17:20 265,720 ----a-w c:\windows\system32\msdbg2.dll 2009-01-07 17:20 26,144 ----a-w c:\windows\system32\spupdsvc.exe 2009-01-07 17:20 26,112 ----a-w c:\windows\system32\idndl.dll 2009-01-07 17:20 24,576 ----a-w c:\windows\system32\nlsdl.dll 2009-01-07 17:20 23,552 ----a-w c:\windows\system32\normaliz.dll 2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat 2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 ))))))))))))))))))))))))))))))))))))))))) . + 2008-02-04 16:34:00 194,320 ----a-w c:\windows\LastGood\system32\DRIVERS\klif.sys - 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe - 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe - 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:37:05 16,384 ----atw c:\windows\temp\Perflib_Perfdata_180.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] 2008-11-18 12:58 333192 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThpSrv"="thpsrv" [X] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182] "00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952] "RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056] "RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888] "SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe] "000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe] "AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe] "TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe] "TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux8"= c:\windows\system32\..\qjqea.uwe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 "TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe "CTFMON.EXE"=c:\windows\system32\ctfmon.exe "MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "CFSServ.exe"=CFSServ.exe -NoClient "DLA"=c:\windows\System32\DLA\DLACTRLW.EXE "TPSODDCtl"=TPSODDCtl.exe "StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto "igfxhkcmd"=c:\windows\system32\hkcmd.exe "TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe "ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "igfxtray"=c:\windows\system32\igfxtray.exe "igfxpers"=c:\windows\system32\igfxpers.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" "CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon "TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service "OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "NDSTray.exe"=NDSTray.exe "TOSDCR"=TOSDCR.EXE "TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe "TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min "eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\Palm\\HOTSYNC.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\StubInstaller.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\DNA\\btdna.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384] R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864] R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400] S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - JAVAQUICKSTARTERSERVICE *NewlyCreated* - WMIAPSRV *Deregistered* - ProcObsrves [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}] \Shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 LSP: c:\programme\FRITZ!DSL\\sarah.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-06 23:45:01 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-04-06 23:46:49 ComboFix-quarantined-files.txt 2009-04-06 21:46:47 ComboFix2.txt 2009-04-06 18:14:01 Vor Suchlauf: 7.187.730.432 Bytes frei Nach Suchlauf: 7,262,691,328 Bytes frei 288 --- E O F --- 2009-03-18 06:13:36 |
06.04.2009, 22:51 | #38 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! wobei Avira im Hintegrund lief und er eine Datei gefunden hat die verdächtig ist. AV-test.txt enthält Code des Eica Test Signature Virus Eicar-Test-Signature - Malware Siehe auch Kurzfassung Vollständig Statistik Wie würden Sie diese Information bewerten? Wertlos Hervorragend Name: Eicar-Test-Signature Art: Testdatei In freier Wildbahn: Nein Gemeldete Infektionen: Niedrig Verbreitungspotenzial: Niedrig Schadenspotenzial: Niedrig Statische Datei: Ja Dateigröße: 68 Bytes MD5 Prüfsumme: 44d88612fea8a8f36de82e1278abb02 Wichtige Information Der Zweck dieses Programms ist es Antivirensoftware zu testen und um eine korrekte Installation sicherzustellen. Das Programm selbst ist daher kein Virus. Der Name dieses Testprogramms kommt von der EICAR (European Institute for Computer Anti-Virus Research) Organisation. Weitere Informationen sind auf deren Webseite www.eicar.com verfügbar. Bitte beachten Sie, dass das EICAR Testprogramm größer als 68 Bytes sein könnte. Die korrekte Dateigröße ist jedoch 68 Bytes und Funktionstests sollten nur damit durchgeführt werden. General Aliases: • Symantec: EICAR Test String • Mcafee: EICAR test file • Kaspersky: EICAR-Test-File • TrendMicro: Eicar_test_file • F-Secure: EICAR-Test-File • Sophos: EICAR-AV-Test • Panda: EICAR-AV-TEST-FILE • Eset: EICAR_test_file • Bitdefender: EICAR-Test-File Weitere Details finden Sie hier . Beschreibung erstellt von Oliver Auerbach am Tue, 13 Dec 2005 15:20 (GMT+1) ich hab die Datei in Quarantäne gepackt |
06.04.2009, 23:06 | #39 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! so hab jetzt nach dem ganzen löschen und installieren noch mal einen Neustart gemacht und nochmal einen neuen Combofix: ComboFix 09-04-04.01 - Michael Sand 2009-04-07 0:00:10.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1509 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) FW: Norton Internet Worm Protection *disabled* Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 )))))))))))))))))))))))))))))) . 2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer 2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll 2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\programme\AskBarDis 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit 2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software 2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP 2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes 2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod 2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime 2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple 2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll 2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys 2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll 2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll 2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax 2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx 2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm 2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm 2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm 2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll 2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm 2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes 2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache 2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner 2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro 2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll 2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll 2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe 2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest 2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB 2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$ 2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg 2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM 2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM 2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg 2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins 2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE 2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll 2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll 2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll 2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL 2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL 2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe 2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe 2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll 2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe 2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE 2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache 2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8 2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat 2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5 2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui 2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui 2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui 2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-06 21:36 --------- d-----w c:\programme\Java 2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3 2009-04-03 03:14 --------- d-----w c:\programme\SPSS 2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2 2009-03-25 14:06 --------- d-----w c:\programme\Palm 2009-03-18 22:34 --------- d-----w c:\programme\ICQ6 2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin 2009-03-08 03:34 914,944 ----a-w c:\windows\system32\wininet.dll 2009-03-08 03:34 43,008 ----a-w c:\windows\system32\licmgr10.dll 2009-03-08 03:33 420,352 ----a-w c:\windows\system32\vbscript.dll 2009-03-08 03:33 18,944 ----a-w c:\windows\system32\corpol.dll 2009-03-08 03:32 72,704 ----a-w c:\windows\system32\admparse.dll 2009-03-08 03:32 71,680 ----a-w c:\windows\system32\iesetup.dll 2009-03-08 03:31 48,128 ----a-w c:\windows\system32\mshtmler.dll 2009-03-08 03:31 45,568 ----a-w c:\windows\system32\mshta.exe 2009-03-08 03:31 34,816 ----a-w c:\windows\system32\imgutil.dll 2009-03-08 03:22 156,160 ----a-w c:\windows\system32\msls31.dll 2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software 2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys 2009-01-07 17:20 265,720 ----a-w c:\windows\system32\msdbg2.dll 2009-01-07 17:20 26,144 ----a-w c:\windows\system32\spupdsvc.exe 2009-01-07 17:20 26,112 ----a-w c:\windows\system32\idndl.dll 2009-01-07 17:20 24,576 ----a-w c:\windows\system32\nlsdl.dll 2009-01-07 17:20 23,552 ----a-w c:\windows\system32\normaliz.dll 2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat 2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe - 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe - 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:55:37 16,384 ----atw c:\windows\temp\Perflib_Perfdata_578.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] 2008-11-18 12:58 333192 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThpSrv"="thpsrv" [X] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182] "00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952] "RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056] "RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888] "SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe] "000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe] "AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe] "TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe] "TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux8"= c:\windows\system32\..\qjqea.uwe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 "TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe "CTFMON.EXE"=c:\windows\system32\ctfmon.exe "MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "CFSServ.exe"=CFSServ.exe -NoClient "DLA"=c:\windows\System32\DLA\DLACTRLW.EXE "TPSODDCtl"=TPSODDCtl.exe "StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto "igfxhkcmd"=c:\windows\system32\hkcmd.exe "TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe "ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "igfxtray"=c:\windows\system32\igfxtray.exe "igfxpers"=c:\windows\system32\igfxpers.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" "CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon "TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service "OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "NDSTray.exe"=NDSTray.exe "TOSDCR"=TOSDCR.EXE "TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe "TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min "eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\Palm\\HOTSYNC.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\StubInstaller.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\DNA\\btdna.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384] R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864] R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400] S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - MESSENGER [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}] \Shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 LSP: c:\programme\FRITZ!DSL\\sarah.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-07 00:02:47 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-04-07 0:04:20 ComboFix-quarantined-files.txt 2009-04-06 22:04:19 ComboFix2.txt 2009-04-06 21:46:51 ComboFix3.txt 2009-04-06 18:14:01 Vor Suchlauf: 7.292.051.456 Bytes frei Nach Suchlauf: 7,269,343,232 Bytes frei 284 --- E O F --- 2009-03-18 06:13:36 |
06.04.2009, 23:22 | #40 | ||
| Redirect auf Pornoseiten, Wurm ?? Hilfe !!Zitat:
EICAR-Testdatei ? Wikipedia 1.) Download und Ausführung des Norton-Entfernungsprogramms 2.) Was hab ich nochmal geschrieben? Zitat:
Danach deinstallierst du die Ask-/Foxit-Toolbar. 3.) Scripten mit Combofix
Code:
ATTFilter KILLALL:: Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] [-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThpSrv"=- "QuickTime Task"=- "iTunesHelper"=- "SunJavaUpdateSched"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux8"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\BitTorrent\\bittorrent.exe"=- "c:\\Programme\\DNA\\btdna.exe"=- "c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}] Folder:: c:\programme\AskBarDis c:\programme\Spybot - Search & Destroy c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy File:: c:\windows\system32\drivers\fidbox.dat c:\windows\system32\drivers\fidbox.idx c:\windows\system32\drivers\fidbox2.dat c:\windows\system32\drivers\fidbox2.idx C:\23990098.$$$ c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT DirLook:: c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} C:\PUB c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
06.04.2009, 23:25 | #41 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! was bist Du eigentlich für ne Hammer Maschine ?!??? ... danke. FoxIt hat es selber installiert ... wirklich !!! dann werd ich das mal alles machen. gruss m |
06.04.2009, 23:54 | #42 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! ComboFix 09-04-04.01 - Michael Sand 2009-04-07 0:40:21.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1500 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael Sand\Desktop\cfscript.txt AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt * Resident AV is active Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 )))))))))))))))))))))))))))))) . 2009-04-07 00:26 . 2009-04-07 00:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller 2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer 2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll 2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit 2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software 2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP 2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes 2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod 2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime 2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple 2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll 2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys 2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll 2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll 2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax 2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx 2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm 2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm 2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm 2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll 2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm 2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes 2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache 2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner 2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro 2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll 2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll 2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe 2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest 2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB 2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$ 2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg 2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM 2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM 2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg 2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins 2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE 2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll 2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll 2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll 2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL 2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL 2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe 2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe 2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll 2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe 2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE 2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache 2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8 2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat 2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5 2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui 2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui 2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui 2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-06 21:36 --------- d-----w c:\programme\Java 2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3 2009-04-03 03:14 --------- d-----w c:\programme\SPSS 2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2 2009-03-25 14:06 --------- d-----w c:\programme\Palm 2009-03-18 22:34 --------- d-----w c:\programme\ICQ6 2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin 2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software 2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat 2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe - 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe - 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 22:45:42 16,384 ----atw c:\windows\temp\Perflib_Perfdata_458.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThpSrv"="thpsrv" [X] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182] "00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952] "RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056] "RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888] "SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe] "000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe] "AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe] "TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe] "TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux8"= c:\windows\system32\..\qjqea.uwe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 "TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe "CTFMON.EXE"=c:\windows\system32\ctfmon.exe "MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "CFSServ.exe"=CFSServ.exe -NoClient "DLA"=c:\windows\System32\DLA\DLACTRLW.EXE "TPSODDCtl"=TPSODDCtl.exe "StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto "igfxhkcmd"=c:\windows\system32\hkcmd.exe "TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe "ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "igfxtray"=c:\windows\system32\igfxtray.exe "igfxpers"=c:\windows\system32\igfxpers.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" "CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon "TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service "OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "NDSTray.exe"=NDSTray.exe "TOSDCR"=TOSDCR.EXE "TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe "TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min "eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\Palm\\HOTSYNC.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\StubInstaller.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\DNA\\btdna.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384] R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864] R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400] S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}] \Shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 LSP: c:\programme\FRITZ!DSL\\sarah.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-07 00:46:51 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Toshiba\ConfigFree\CFSvcs.exe c:\windows\system32\ThpSrv.exe c:\windows\system32\TPSBattM.exe c:\windows\system32\igfxext.exe c:\windows\system32\igfxsrvc.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Apoint2K\ApntEx.exe c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\ThpSrv.exe c:\programme\Toshiba\TME3\TMEEJME.exe c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-04-07 0:53:01 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-04-06 22:52:58 ComboFix2.txt 2009-04-06 22:04:21 ComboFix3.txt 2009-04-06 21:46:51 ComboFix4.txt 2009-04-06 18:14:01 Vor Suchlauf: 7.214.071.808 Bytes frei Nach Suchlauf: 7,231,037,440 Bytes frei 285 --- E O F --- 2009-03-18 06:13:36 |
07.04.2009, 17:07 | #43 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! Irgendetwas hat da nicht funktioniert. Lösche die cfscript.txt und erstelle sie nocheinmal. Deinstalliere Escan. Scripten mit Combofix
Code:
ATTFilter KILLALL:: Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] [-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThpSrv"=- "QuickTime Task"=- "iTunesHelper"=- "SunJavaUpdateSched"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux8"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\BitTorrent\\bittorrent.exe"=- "c:\\Programme\\DNA\\btdna.exe"=- "c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}] Folder:: c:\windows\system32\FLCSS.EXE c:\programme\AskBarDis c:\programme\Spybot - Search & Destroy c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software File:: c:\windows\system32\mwnsp.dll c:\windows\system32\mwtsp.dll c:\windows\system32\contfilt.dll C:\bootini.ins c:\windows\winsbak.reg c:\windows\system32\T.COM c:\windows\R.COM c:\windows\winsbak2.reg c:\windows\REGBK00.ZIP c:\windows\system32\drivers\fidbox.dat c:\windows\system32\drivers\fidbox.idx c:\windows\system32\drivers\fidbox2.dat c:\windows\system32\drivers\fidbox2.idx C:\23990098.$$$ c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT DirLook:: c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} C:\PUB c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
07.04.2009, 17:27 | #44 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! ComboFix 09-04-04.01 - Michael Sand 2009-04-07 18:13:15.5 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1467 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael Sand\Desktop\cfscript.txt AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-03-07 bis 2009-04-07 )))))))))))))))))))))))))))))) . 2009-04-07 00:26 . 2009-04-07 00:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller 2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer 2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll 2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit 2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software 2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP 2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes 2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod 2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime 2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple 2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll 2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys 2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll 2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll 2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax 2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx 2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm 2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm 2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm 2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll 2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm 2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes 2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache 2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner 2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro 2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll 2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll 2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe 2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest 2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB 2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$ 2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg 2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM 2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM 2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg 2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins 2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE 2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll 2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll 2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll 2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL 2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL 2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe 2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe 2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll 2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe 2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE 2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache 2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8 2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat 2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5 2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui 2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui 2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui 2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-07 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-04-06 21:36 --------- d-----w c:\programme\Java 2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3 2009-04-03 03:14 --------- d-----w c:\programme\SPSS 2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2 2009-03-25 14:06 --------- d-----w c:\programme\Palm 2009-03-18 22:34 --------- d-----w c:\programme\ICQ6 2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin 2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software 2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat 2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe - 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe - 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe + 2009-04-07 16:18:22 16,384 ----atw c:\windows\temp\Perflib_Perfdata_430.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThpSrv"="thpsrv" [X] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182] "00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952] "RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056] "RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888] "SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe] "000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe] "AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe] "TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe] "TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux8"= c:\windows\system32\..\qjqea.uwe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 "TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe "CTFMON.EXE"=c:\windows\system32\ctfmon.exe "MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "CFSServ.exe"=CFSServ.exe -NoClient "DLA"=c:\windows\System32\DLA\DLACTRLW.EXE "TPSODDCtl"=TPSODDCtl.exe "StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto "igfxhkcmd"=c:\windows\system32\hkcmd.exe "TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe "ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "igfxtray"=c:\windows\system32\igfxtray.exe "igfxpers"=c:\windows\system32\igfxpers.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" "CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon "TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service "OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "NDSTray.exe"=NDSTray.exe "TOSDCR"=TOSDCR.EXE "TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe "TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min "eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\Palm\\HOTSYNC.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\StubInstaller.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\DNA\\btdna.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384] R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864] R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400] S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}] \Shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 LSP: c:\programme\FRITZ!DSL\\sarah.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-07 18:19:35 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Toshiba\ConfigFree\CFSvcs.exe c:\windows\system32\TPSBattM.exe c:\windows\system32\ThpSrv.exe c:\windows\system32\igfxext.exe c:\windows\system32\igfxsrvc.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Apoint2K\ApntEx.exe c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\ThpSrv.exe c:\programme\Toshiba\TME3\TMEEJME.exe c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe c:\programme\iPod\bin\iPodService.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-04-07 18:25:33 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-04-07 16:25:31 ComboFix2.txt 2009-04-06 22:53:02 ComboFix3.txt 2009-04-06 22:04:21 ComboFix4.txt 2009-04-06 21:46:51 ComboFix5.txt 2009-04-07 16:12:21 Vor Suchlauf: 7.155.499.008 Bytes frei Nach Suchlauf: 7,263,866,880 Bytes frei 285 --- E O F --- 2009-03-18 06:13:36 |
07.04.2009, 17:30 | #45 |
| Redirect auf Pornoseiten, Wurm ?? Hilfe !! hi ! zwei Sachen: 1) wenn ich das Script im Editor in eine txt datei packe geht die Formatierung verloren, sprich der gesamte Text ist in einer Zeile. Ist das ok ? 2) ich kann die Textdatei nur mit der linken Maustaste auf das Combofix Icon ziehen, nach dem Combofix gelaufen ist ist die Datei nicht mehr auf dem Desktop ?! richtig ? danke, gruss... M |
Themen zu Redirect auf Pornoseiten, Wurm ?? Hilfe !! |
antivir, avira, bho, browser, dsl, excel, festplatte, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log datei, mozilla, object, programm, registry, schutz, software, system, tuneup.defrag, vista, windows, windows xp, wurm, wurm ? |