| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Probleme mit der Google-SucheWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.04.2009, 19:19
| #1 | |
 |  Probleme mit der Google-Suche Hallo Ich habe seit einer Weile das Problem, dass, wenn ich etwas bei Google suche, statt im selben Tab (Firefox) in einem neuen Tab irgend eine Werbeseite geöffnet wird (im Google-Tab tut sich hingegen nichts.) Wenn ich danach die Adresse hinter dem Link, der mich auf die Werbeseite umgeleitet hat, anschaue, steht dort nicht mehr der "Original Link" sondern so etwas: Zitat:
Und ebenfalls dieses GMER laufen lassen. Auch bei mir findet es hauffenweise Dateien/Einträge von der Art UACd...(irgendetwas). Antivir zeigt nichts an und andere Programme/Online-Checks haben ebenfalls nichts gefunden. Was soll ich tun? Ebenfalls die gleiche Anleitung befolgen. Oder muss ich etwas anderes machen? Als Notlösung habe ich die firefox.exe umbenannt. Danach tritt dieses Problem nicht mehr auf. Dies bekämpft jedoch leider nicht die Ursache, sondern nur die Symptome. Gruss black messiah Ps: GMER Log werde ich schnellstmöglich nachliefern. |
|
03.04.2009, 21:29
| #2 |
| | Probleme mit der Google-Suche Und so hier noch das GMER-Log: (in Teilen wegen der Längenbegrenzung)
__________________Teil 1: Code:
ATTFilter GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-03 22:18:57
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
Code 8A9753B0 ZwEnumerateKey
Code 8A94E4F8 ZwFlushInstructionCache
Code 8AA1C0BE IofCallDriver
Code 8A98173E IofCompleteRequest
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!IofCallDriver 804EF0BC 5 Bytes JMP 8AA1C0C3
.text ntkrnlpa.exe!IofCompleteRequest 804EF14C 5 Bytes JMP 8A981743
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528A 5 Bytes JMP 8A94E4FC
PAGE ntkrnlpa.exe!ZwEnumerateKey 80622950 4 Bytes JMP 8A9753B4
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe[180] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A8000A
.text C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe[180] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A9000A
.text C:\WINDOWS\system32\spoolsv.exe[436] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0097000A
.text C:\WINDOWS\system32\spoolsv.exe[436] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0098000A
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[548] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 009C000A
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[548] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 009E000A
.text C:\WINDOWS\system32\winlogon.exe[944] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0068000A
.text C:\WINDOWS\system32\winlogon.exe[944] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0069000A
.text C:\WINDOWS\system32\services.exe[992] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0064000A
.text C:\WINDOWS\system32\services.exe[992] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0065000A
.text C:\WINDOWS\system32\lsass.exe[1004] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0071000A
.text C:\WINDOWS\system32\lsass.exe[1004] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0075000A
.text C:\WINDOWS\system32\spider.exe[1156] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0096000A
.text C:\WINDOWS\system32\spider.exe[1156] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0097000A
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1336] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 009B000A
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1336] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 009C000A
.text C:\Programme\Windows Defender\MsMpEng.exe[1396] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 008C000A
.text C:\Programme\Windows Defender\MsMpEng.exe[1396] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 008D000A
.text C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe[1416] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A2000A
.text C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe[1416] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A4000A
.text C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe[1768] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0073000A
.text C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe[1768] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0074000A
.text C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE[1812] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0094000A
.text C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE[1812] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0095000A
.text C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe[1824] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 009B000A
.text C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe[1824] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 009C000A
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[1932] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 009A000A
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[1932] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 009B000A
.text C:\WINDOWS\system32\nvsvc32.exe[1960] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006C000A
.text C:\WINDOWS\system32\nvsvc32.exe[1960] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 006D000A
.text C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe[2288] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B2000A
.text C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe[2288] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B3000A
.text C:\WINDOWS\system32\rundll32.exe[2296] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A7000A
.text C:\WINDOWS\system32\rundll32.exe[2296] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A8000A
.text C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe[2336] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00AE000A
.text C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe[2336] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00AF000A
.text C:\Programme\iTunes\iTunes.exe[2924] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0228000A
.text C:\Programme\iTunes\iTunes.exe[2924] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0229000A
.text C:\WINDOWS\Explorer.EXE[2944] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00BF000A
.text C:\WINDOWS\Explorer.EXE[2944] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00C0000A
.text Q:\Eigene Dateien\system programme (sysinternals)\Trallala.exe[2960] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 009E000A
.text Q:\Eigene Dateien\system programme (sysinternals)\Trallala.exe[2960] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 009F000A
.text C:\WINDOWS\system32\HPZipm12.exe[2980] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006F000A
.text C:\WINDOWS\system32\HPZipm12.exe[2980] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0070000A
.text C:\WINDOWS\system32\CTHELPER.EXE[3272] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 008D000A
.text C:\WINDOWS\system32\CTHELPER.EXE[3272] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 008E000A
.text C:\Programme\iPod\bin\iPodService.exe[3372] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0072000A
.text C:\Programme\iPod\bin\iPodService.exe[3372] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0073000A
.text C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe[3516] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A8000A
.text C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe[3516] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A9000A
.text C:\WINDOWS\system32\hphmon05.exe[3524] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 009F000A
.text C:\WINDOWS\system32\hphmon05.exe[3524] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A0000A
.text C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe[3532] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0099000A
.text C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe[3532] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 009A000A
.text C:\WINDOWS\system32\taskswitch.exe[3548] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0087000A
.text C:\WINDOWS\system32\taskswitch.exe[3548] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0088000A
.text C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe[3624] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A7000A
.text C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe[3624] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A8000A
.text C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe[3648] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B6000A
.text C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe[3648] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B7000A
.text C:\Programme\Mozilla Firefox\firefox1.exe[3664] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00AB000A
.text C:\Programme\Mozilla Firefox\firefox1.exe[3664] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00AC000A
.text C:\WINDOWS\Explorer.EXE[3696] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00BF000A
.text C:\WINDOWS\Explorer.EXE[3696] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00C0000A
.text C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe[3732] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 007E000A
.text C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe[3732] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 007F000A
.text C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE[3856] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 009E000A
.text C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE[3856] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 009F000A
.text C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe[3908] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00C1000A
.text C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe[3908] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00C2000A
.text C:\WINDOWS\system32\RUNDLL32.EXE[3964] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A7000A
.text C:\WINDOWS\system32\RUNDLL32.EXE[3964] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A8000A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3976] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B5000A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3976] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B6000A
.text C:\Programme\Windows Defender\MSASCui.exe[3984] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00BD000A
.text C:\Programme\Windows Defender\MSASCui.exe[3984] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00BE000A
.text C:\WINDOWS\system32\ctfmon.exe[3992] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0098000A
.text C:\WINDOWS\system32\ctfmon.exe[3992] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0099000A
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0134000A
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0135000A
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] kernel32.dll!LoadResource 7C809FB5 7 Bytes JMP 28001E20
|
|
03.04.2009, 21:30
| #3 |
| | Probleme mit der Google-Suche Teil 2:
__________________Code:
ATTFilter C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] kernel32.dll!FindResourceExW 7C80AC88 7 Bytes JMP 28001C60 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] kernel32.dll!FindResourceW 7C80BBCE 7 Bytes JMP 28001BE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] kernel32.dll!SizeofResource 7C80BC69 7 Bytes JMP 28001EE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] kernel32.dll!FindResourceA 7C80BE89 7 Bytes JMP 28001CF0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] kernel32.dll!LockResource 7C80CC97 5 Bytes JMP 28001F50 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] kernel32.dll!CreateEventA 7C8308AD 5 Bytes JMP 28001840 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] kernel32.dll!FindResourceExA 7C835F78 7 Bytes JMP 28001D80 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] kernel32.dll!OutputDebugStringW 7C85A42D 5 Bytes JMP 28001FB0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] ADVAPI32.dll!CryptDeriveKey 77DBA685 7 Bytes JMP 28001000 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] ADVAPI32.dll!CryptDecrypt 77DBA7B1 2 Bytes JMP 28001060 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] ADVAPI32.dll!CryptDecrypt + 3 77DBA7B4 4 Bytes [24, B0, CC, CC] {AND AL, 0xb0; INT 3 ; INT 3 }
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] USER32.dll!PeekMessageW 7E36929B 5 Bytes JMP 280045E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] USER32.dll!CreateWindowExW 7E36FC25 5 Bytes JMP 28003CA0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] USER32.dll!SetWindowRgn 7E36FFB2 7 Bytes JMP 28005F00 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] USER32.dll!LoadIconW 7E370894 5 Bytes JMP 28006880 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] USER32.dll!LoadImageW 7E372CFE 5 Bytes JMP 28006690 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] USER32.dll!CreateDialogParamW 7E377D4F 5 Bytes JMP 28006040 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] USER32.dll!SetWindowPlacement 7E37D84C 5 Bytes JMP 28005DC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 28006230 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] USER32.dll!TrackPopupMenuEx 7E3BCD28 5 Bytes JMP 28004EC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] WS2_32.dll!send 71A1428A 5 Bytes JMP 2800B800 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 2800B5E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] WS2_32.dll!recv 71A1615A 5 Bytes JMP 2800B440 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 2800B9E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 2800BC20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] SHELL32.dll!Shell_NotifyIconW 7E6D62A5 5 Bytes JMP 28003400 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] ole32.dll!CoInitializeEx 774CEF6B 5 Bytes JMP 28002260 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] ole32.dll!CoRegisterClassObject 774E8720 5 Bytes JMP 28002360 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] WININET.dll!InternetCloseHandle 441EDA59 5 Bytes JMP 2800A600 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] WININET.dll!HttpOpenRequestA 441F4341 5 Bytes JMP 2800A2C0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] WININET.dll!InternetReadFile 441FABB4 5 Bytes JMP 2800A450 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[4000] WININET.dll!HttpSendRequestA 441FCD40 5 Bytes JMP 2800A530 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Media Player\WMPNSCFG.exe[4012] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0087000A
.text C:\Programme\Windows Media Player\WMPNSCFG.exe[4012] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0088000A
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[4032] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B5000A
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[4032] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B6000A
|
|
03.04.2009, 21:31
| #4 |
| | Probleme mit der Google-Suche Teil 3: Code:
ATTFilter ---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
---- Modules - GMER 1.0.15 ----
Module \systemroot\system32\drivers\UACpxxtpdvi.sys (*** hidden *** ) BAA58000-BAA67000 (61440 bytes)
---- Processes - GMER 1.0.15 ----
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe [180] 0x00F20000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [436] 0x00D50000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Avira\AntiVir Desktop\sched.exe [548] 0x00E70000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [944] 0x00970000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\services.exe [992] 0x00A30000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [1004] 0x00B20000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\spider.exe [1156] 0x00D40000
Library \\?\globalroot\systemroot\system32\UACbevdpuwq.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1200] 0x00A00000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1200] 0x00AC0000
Library \\?\globalroot\systemroot\system32\UACbevdpuwq.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1268] 0x00A00000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1268] 0x00AC0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Avira\AntiVir Desktop\avguard.exe [1336] 0x00E50000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Windows Defender\MsMpEng.exe [1396] 0x00A60000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe [1416] 0x00ED0000
Library \\?\globalroot\systemroot\system32\UACbevdpuwq.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1452] 0x00A00000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1452] 0x00AC0000
Library \\?\globalroot\systemroot\system32\UACbevdpuwq.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1532] 0x00A00000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1532] 0x00AC0000
Library \\?\globalroot\systemroot\system32\UACbevdpuwq.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1732] 0x00A00000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1732] 0x00AC0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [1768] 0x00BE0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE [1812] 0x00DF0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [1824] 0x00E60000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [1932] 0x00E40000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\nvsvc32.exe [1960] 0x00B70000
Library \\?\globalroot\systemroot\system32\UACbevdpuwq.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2012] 0x00A00000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2012] 0x00AC0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe [2288] 0x00FC0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\rundll32.exe [2296] 0x00D50000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe [2336] 0x00F80000
Library \\?\globalroot\systemroot\system32\UACbevdpuwq.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2824] 0x00A00000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2824] 0x00AC0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\iTunes\iTunes.exe [2924] 0x02400000
Library \\?\globalroot\systemroot\system32\UACbevdpuwq.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [2944] 0x00CF0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [2944] 0x00E70000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ Q:\Eigene Dateien\system programme (sysinternals)\Trallala.exe [2960] 0x00E90000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\HPZipm12.exe [2980] 0x00BA0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\CTHELPER.EXE [3272] 0x00CC0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\iPod\bin\iPodService.exe [3372] 0x00BD0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [3516] 0x00E20000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\hphmon05.exe [3524] 0x00E90000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe [3532] 0x00E30000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\taskswitch.exe [3548] 0x00C50000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe [3624] 0x00F10000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe [3648] 0x00F00000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox1.exe [3664] 0x00F50000
Library \\?\globalroot\systemroot\system32\UACbevdpuwq.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [3696] 0x00CF0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [3696] 0x00E60000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe [3732] 0x00C90000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE [3856] 0x00E80000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [3908] 0x010B0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\RUNDLL32.EXE [3964] 0x00D50000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Avira\AntiVir Desktop\avgnt.exe [3976] 0x00FF0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Windows Defender\MSASCui.exe [3984] 0x00E70000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\WINDOWS\system32\ctfmon.exe [3992] 0x00D60000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [4000] 0x014C0000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Windows Media Player\WMPNSCFG.exe [4012] 0x00C60000
Library \\?\globalroot\systemroot\system32\UACjoskrnqp.dll (*** hidden *** ) @ C:\Programme\Logitech\SetPoint\SetPoint.exe [4032] 0x00FF0000
|
|
03.04.2009, 21:32
| #5 |
| | Probleme mit der Google-Suche Und noch Teil 4: Code:
ATTFilter ---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\drivers\UACpxxtpdvi.sys (*** hidden *** ) [SYSTEM] UACd.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACpxxtpdvi.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACpxxtpdvi.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACkbneolwb.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACyrihvbxu.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uaclog \\?\globalroot\systemroot\system32\UACnwjlktrt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACretkygrj.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACafvamrfw.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACslsepnow.db
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACbevdpuwq.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACjoskrnqp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACproc \\?\globalroot\systemroot\system32\UACejwswemo.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacurls \\?\globalroot\systemroot\system32\UACtofrirry.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacerrors \\?\globalroot\systemroot\system32\UACxrcdmmpq.log
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACpxxtpdvi.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACpxxtpdvi.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACkbneolwb.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACyrihvbxu.dat
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uaclog \\?\globalroot\systemroot\system32\UACnwjlktrt.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACretkygrj.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACafvamrfw.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACslsepnow.db
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACbevdpuwq.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACjoskrnqp.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACproc \\?\globalroot\systemroot\system32\UACejwswemo.log
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacurls \\?\globalroot\systemroot\system32\UACtofrirry.log
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacerrors \\?\globalroot\systemroot\system32\UACxrcdmmpq.log
---- Files - GMER 1.0.15 ----
File C:\Dokumente und Einstellungen\[Benutzerkonto]\Lokale Einstellungen\Temp\UACb420.tmp 343040 bytes executable
File C:\Programme\MiKTeX 2.7\tpm\packages\uaclasses.tpm 1423 bytes
File C:\WINDOWS\system32\drivers\UACpxxtpdvi.sys 49664 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\drivers\UACxbrqtoqxylhonio.sys 50176 bytes executable
File C:\WINDOWS\system32\UACafvamrfw.dll 18944 bytes executable
File C:\WINDOWS\system32\UACbevdpuwq.dll 34816 bytes executable
File C:\WINDOWS\system32\uacbevdpuwq.dll.uss_dis 34816 bytes executable
File C:\WINDOWS\system32\UACejwswemo.log 3510 bytes
File C:\WINDOWS\system32\uacinit.dll 5208 bytes
File C:\WINDOWS\system32\UACjoskrnqp.dll 66048 bytes
File C:\WINDOWS\system32\uacjoskrnqp.dll.uss_dis 66048 bytes
File C:\WINDOWS\system32\UACkbneolwb.dll 23552 bytes executable
File C:\WINDOWS\system32\UACnwjlktrt.dll 19968 bytes executable
File C:\WINDOWS\system32\UACretkygrj.dll 17408 bytes executable
File C:\WINDOWS\system32\UACslsepnow.db 414144 bytes
File C:\WINDOWS\system32\uactmp.db 1896749 bytes
File C:\WINDOWS\system32\UACxrcdmmpq.log 111 bytes
File C:\WINDOWS\system32\UACyrihvbxu.dat 127 bytes
---- EOF - GMER 1.0.15 ----
Gruss black messiah |
|
03.04.2009, 21:45
| #6 |
  | Probleme mit der Google-Suche Hallo und  Seit wann hast du Probleme? Ist dir der Auslöser bekannt? Irgendetwas runtergeladen und installiert? 1.) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter Drivers to delete:
UACd.sys
Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\UACd.sys
Files to delete:
C:\Dokumente und Einstellungen\[Benutzerkonto]\Lokale Einstellungen\Temp\UACb420.tmp
C:\WINDOWS\system32\drivers\UACpxxtpdvi.sys
C:\WINDOWS\system32\drivers\UACxbrqtoqxylhonio.sys
C:\WINDOWS\system32\UACafvamrfw.dll
C:\WINDOWS\system32\UACbevdpuwq.dll
C:\WINDOWS\system32\uacbevdpuwq.dll.uss_dis
C:\WINDOWS\system32\UACejwswemo.log
C:\WINDOWS\system32\uacinit.dll
C:\WINDOWS\system32\UACjoskrnqp.dll
C:\WINDOWS\system32\uacjoskrnqp.dll.uss_dis
C:\WINDOWS\system32\UACkbneolwb.dll
C:\WINDOWS\system32\UACnwjlktrt.dll
C:\WINDOWS\system32\UACretkygrj.dll
C:\WINDOWS\system32\UACslsepnow.db
C:\WINDOWS\system32\uactmp.db
C:\WINDOWS\system32\UACxrcdmmpq.log
C:\WINDOWS\system32\UACyrihvbxu.dat
2.) Poste ein neues Gmer-Log. ciao, andreas
__________________ --> Probleme mit der Google-Suche |
|
03.04.2009, 22:04
| #7 |
| | Probleme mit der Google-Suche Hallo Also die Probleme habe ich seit ungefähr 2-3 Tagen. In dieser Zeit habe ich jedoch meines Wissens nach keine Programme installiert odr direkt ausführbare Programme gestartet (mit Ausnahme von ProcessExplorer). Ist es möglich sich sowas übrs Internet (präparierte html-Seite odr so ähnlich) einzufangen? Hier noch das Log von Hopsassa/Avenger: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver "UACd.sys" found!
ImagePath: \systemroot\system32\drivers\UACpxxtpdvi.sys
Start Type: 4 (Disabled)
Rootkit scan completed.
Driver "UACd.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" deleted successfully.
Error: could not open file "C:\Dokumente und Einstellungen\[Benutzerkonto]\Lokale Einstellungen\Temp\UACb420.tmp"
Deletion of file "C:\Dokumente und Einstellungen\[Benutzerkonto]\Lokale Einstellungen\Temp\UACb420.tmp" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
File "C:\WINDOWS\system32\drivers\UACpxxtpdvi.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\UACxbrqtoqxylhonio.sys" deleted successfully.
File "C:\WINDOWS\system32\UACafvamrfw.dll" deleted successfully.
File "C:\WINDOWS\system32\UACbevdpuwq.dll" deleted successfully.
File "C:\WINDOWS\system32\uacbevdpuwq.dll.uss_dis" deleted successfully.
File "C:\WINDOWS\system32\UACejwswemo.log" deleted successfully.
File "C:\WINDOWS\system32\uacinit.dll" deleted successfully.
File "C:\WINDOWS\system32\UACjoskrnqp.dll" deleted successfully.
File "C:\WINDOWS\system32\uacjoskrnqp.dll.uss_dis" deleted successfully.
File "C:\WINDOWS\system32\UACkbneolwb.dll" deleted successfully.
File "C:\WINDOWS\system32\UACnwjlktrt.dll" deleted successfully.
File "C:\WINDOWS\system32\UACretkygrj.dll" deleted successfully.
File "C:\WINDOWS\system32\UACslsepnow.db" deleted successfully.
File "C:\WINDOWS\system32\uactmp.db" deleted successfully.
File "C:\WINDOWS\system32\UACxrcdmmpq.log" deleted successfully.
File "C:\WINDOWS\system32\UACyrihvbxu.dat" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
GMER ist am laufen. Vor morgen (was ja schon in einer Stunde ist) wird das sicher nichts. Aber schon mal Danke (im Voraus) für deine schnelle Hilfe. Gruss black messiah |
|
03.04.2009, 22:10
| #8 | |
| | Probleme mit der Google-SucheZitat:
 Bitte nur in HJT-Logs editieren, die anderen Logs so lassen, wie sie sind. Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Kamera, Handy, Memorysticks, Speicherkarten, externe Laufwerke, ... dann stecke alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
03.04.2009, 22:18
| #9 |
| | Probleme mit der Google-Suche Ups....das kann passieren.... Combofix lasse ich dann morgen laufen. Erstmal GMER fertig werden lassen. Muss ich dann alle Geräte anschliessen oder nur die jenigen, die ich seit dem Befall angeschlossen habe? (habe eben zu wenig USB Stecker) Wie es aber bis jetzt aussieht ist alles wieder in Ordnung (hoffentlich) Gruss black messiah |
|
04.04.2009, 00:37
| #10 |
| | Probleme mit der Google-Suche So hier noch das Log-File von GMER (nach der Reinigung): Code:
ATTFilter GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-04 01:36:38
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT 88CDA870 ZwAlertResumeThread
SSDT 87B96958 ZwAlertThread
SSDT 87B552E0 ZwAllocateVirtualMemory
SSDT 895424A8 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xB342AEB0]
SSDT 87BD86E8 ZwCreateMutant
SSDT 87AF2390 ZwCreateThread
SSDT 87B2B198 ZwDebugActiveProcess
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xB342B130]
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xB342B690]
SSDT 87D832C0 ZwFreeVirtualMemory
SSDT 87CFA170 ZwImpersonateAnonymousToken
SSDT 87C3DE68 ZwImpersonateThread
SSDT BAF70292 ZwLoadKey
SSDT 87D288B8 ZwMapViewOfSection
SSDT 8A92CF20 ZwOpenEvent
SSDT BAF70260 ZwOpenProcess
SSDT 87C8BC48 ZwOpenProcessToken
SSDT 87B7B868 ZwOpenSection
SSDT BAF70265 ZwOpenThread
SSDT 87BB0D98 ZwOpenThreadToken
SSDT BAF7029C ZwReplaceKey
SSDT BAF70297 ZwRestoreKey
SSDT 87BA1E70 ZwResumeThread
SSDT 87C34CD8 ZwSetContextThread
SSDT 87BA2D98 ZwSetInformationProcess
SSDT 8958F608 ZwSetInformationThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xB342B8E0]
SSDT 87CB0178 ZwSuspendProcess
SSDT 87D103C8 ZwSuspendThread
SSDT 87CE5F28 ZwTerminateProcess
SSDT 87C50F88 ZwTerminateThread
SSDT 87D7F0E8 ZwUnmapViewOfSection
SSDT 87C7A388 ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2C38 80503A0C 4 Bytes CALL 8CD7F797
.text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80503D8C 4 Bytes CALL 5ED81581
? cnoy.sys Das System kann die angegebene Datei nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] kernel32.dll!LoadResource 7C809FB5 7 Bytes JMP 28001E20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] kernel32.dll!FindResourceExW 7C80AC88 7 Bytes JMP 28001C60 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] kernel32.dll!FindResourceW 7C80BBCE 7 Bytes JMP 28001BE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] kernel32.dll!SizeofResource 7C80BC69 7 Bytes JMP 28001EE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] kernel32.dll!FindResourceA 7C80BE89 7 Bytes JMP 28001CF0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] kernel32.dll!LockResource 7C80CC97 5 Bytes JMP 28001F50 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] kernel32.dll!CreateEventA 7C8308AD 5 Bytes JMP 28001840 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] kernel32.dll!FindResourceExA 7C835F78 7 Bytes JMP 28001D80 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] kernel32.dll!OutputDebugStringW 7C85A42D 5 Bytes JMP 28001FB0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] ADVAPI32.dll!CryptDeriveKey 77DBA685 7 Bytes JMP 28001000 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] ADVAPI32.dll!CryptDecrypt 77DBA7B1 2 Bytes JMP 28001060 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] ADVAPI32.dll!CryptDecrypt + 3 77DBA7B4 4 Bytes [24, B0, CC, CC] {AND AL, 0xb0; INT 3 ; INT 3 }
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] USER32.dll!PeekMessageW 7E36929B 5 Bytes JMP 280045E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] USER32.dll!CreateWindowExW 7E36FC25 5 Bytes JMP 28003CA0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] USER32.dll!SetWindowRgn 7E36FFB2 7 Bytes JMP 28005F00 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] USER32.dll!LoadIconW 7E370894 5 Bytes JMP 28006880 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] USER32.dll!LoadImageW 7E372CFE 5 Bytes JMP 28006690 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] USER32.dll!CreateDialogParamW 7E377D4F 5 Bytes JMP 28006040 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] USER32.dll!SetWindowPlacement 7E37D84C 5 Bytes JMP 28005DC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 28006230 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] USER32.dll!TrackPopupMenuEx 7E3BCD28 5 Bytes JMP 28004EC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] WS2_32.dll!send 71A1428A 5 Bytes JMP 2800B800 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 2800B5E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] WS2_32.dll!recv 71A1615A 5 Bytes JMP 2800B440 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 2800B9E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 2800BC20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] SHELL32.dll!Shell_NotifyIconW 7E6D62A5 5 Bytes JMP 28003400 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] ole32.dll!CoInitializeEx 774CEF6B 5 Bytes JMP 28002260 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] ole32.dll!CoRegisterClassObject 774E8720 5 Bytes JMP 28002360 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] WININET.dll!InternetCloseHandle 441EDA59 5 Bytes JMP 2800A600 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] WININET.dll!HttpOpenRequestA 441F4341 5 Bytes JMP 2800A2C0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] WININET.dll!InternetReadFile 441FABB4 5 Bytes JMP 2800A450 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3228] WININET.dll!HttpSendRequestA 441FCD40 5 Bytes JMP 2800A530 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\config\SOFTWARE.LOG (size mismatch) 1024/24576 bytes
---- EOF - GMER 1.0.15 ----
|
|
04.04.2009, 08:30
| #11 |
| | Probleme mit der Google-Suche Gut, den Rootkit bist du los und dem Rechner geht es besser, aber durch sind wir noch lange nicht. Die Teile laden üblicherweise Unmengen nach. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
04.04.2009, 10:51
| #12 |
| | Probleme mit der Google-Suche Hallo so Combofix ist auch fertig. Hier das Log: Code:
ATTFilter ComboFix 09-04-03.01 - g_hegi 2009-04-04 11:46:16.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.2047.1441 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\g_hegi\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated)
AV: Norton Internet Security *On-access scanning disabled* (Outdated)
FW: Norton Internet Security *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2009-03-04 bis 2009-04-04 ))))))))))))))))))))))))))))))
.
2009-04-02 23:19 . 2009-04-02 23:19 <DIR> d-------- c:\programme\Windows Defender
2009-04-02 18:50 . 2009-04-02 18:50 <DIR> d-------- C:\fsaua.data
2009-04-01 18:47 . 2009-04-01 18:47 <DIR> d-------- c:\programme\Avira
2009-04-01 18:47 . 2009-04-01 18:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-04-01 18:47 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-04-01 18:42 . 2009-04-01 18:42 118 --a------ c:\windows\system32\MRT.INI
2009-04-01 18:26 . 2009-04-01 18:26 15,600 --a------ c:\windows\system32\drivers\PROCEXP100.SYS
2009-03-27 17:35 . 2009-01-09 21:18 1,089,891 -----c--- c:\windows\system32\dllcache\ntprint.cat
2009-03-18 20:22 . 2009-03-18 20:22 33,846 --a------ c:\windows\system32\SpoonUninstall-dBpoweramp [Arrange Audio] Codec.bmp
2009-03-18 20:22 . 2009-03-18 20:22 2,869 --a------ c:\windows\system32\SpoonUninstall-dBpoweramp [Arrange Audio] Codec.dat
2009-03-18 20:21 . 2009-03-18 20:20 33,846 --a------ c:\windows\system32\SpoonUninstall-dBpoweramp [Length Split] Codec.bmp
2009-03-18 20:21 . 2009-03-18 20:21 2,852 --a------ c:\windows\system32\SpoonUninstall-dBpoweramp [Length Split] Codec.dat
2009-03-12 19:24 . 2009-03-12 19:24 <DIR> d--hs---- C:\found.000
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-04 09:42 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-04-03 14:42 --------- d-----w c:\programme\PowerArchiver
2009-04-01 16:51 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-04-01 16:29 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-23 21:59 --------- d-----w c:\dokumente und einstellungen\g_hegi\Anwendungsdaten\BitTorrent
2009-03-18 18:22 293,240 ----a-w c:\windows\system32\SpoonUninstall.exe
2009-03-07 12:16 --------- d-----w c:\programme\Messenger Plus! Live
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"HPHmon05"="c:\windows\system32\hphmon05.exe" [2005-07-06 491520]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2005-07-06 176128]
"CoolSwitch"="c:\windows\system32\taskswitch.exe" [2001-10-19 45632]
"Launch LCDMon"="c:\programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" [2006-11-09 549376]
"Launch LGDCore"="c:\programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-11-09 1126400]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-02-14 51048]
"osCheck"="c:\programme\Norton Internet Security\osCheck.exe" [2007-08-24 714608]
"CTDVDDET"="c:\programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE" [2003-06-18 45056]
"RCSystem"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [2005-07-11 122880]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-31 385024]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" [2008-09-17 c:\windows\system32\nwiz.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
"CTHelper"="CTHELPER.EXE" [2006-12-12 c:\windows\system32\CtHelper.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-09-06 805392]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^g_hegi^Startmenü^Programme^Autostart^Check Windows Disk Protection.lnk]
path=c:\dokumente und einstellungen\g_hegi\Startmenü\Programme\Autostart\Check Windows Disk Protection.lnk
backup=c:\windows\pss\Check Windows Disk Protection.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 13:10 267048 c:\programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
--------- 2003-05-08 13:00 49152 c:\programme\ScanSoft\OmniPageSE2.0\opwareSE2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--a------ 2006-11-03 09:56 204288 c:\programme\Windows Media Player\wmpnscfg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp]
--a------ 2006-12-12 11:46 20480 c:\windows\system32\Ctxfihlp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SCTRunGettingStarted]
--a------ 2007-08-13 18:32 45568 c:\windows\system32\mshta.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)
"WZCSVC"=2 (0x2)
"wuauserv"=3 (0x3)
"TapiSrv"=3 (0x3)
"SharedAccess"=2 (0x2)
"ImapiService"=3 (0x3)
"helpsvc"=3 (0x3)
"VMware NAT Service"=2 (0x2)
"VMnetDHCP"=2 (0x2)
"VMAuthdService"=2 (0x2)
"UPS"=3 (0x3)
"UPHClean"=2 (0x2)
"mnmsrvc"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"WMPNetworkSvc"=2 (0x2)
"WMConnectCDS"=3 (0x3)
"idsvc"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"InCDsrv"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
R0 iteraid;ITERAID_Service_Install;c:\windows\system32\drivers\iteraid.sys [2005-10-23 25067]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-04-01 108289]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2006-08-07 3712]
R2 LiveUpdate Notice;LiveUpdate Notice;c:\programme\Gemeinsame Dateien\Symantec Shared\CCSVCHST.EXE [2007-08-24 149864]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-07-26 109616]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\programme\Symantec\LiveUpdate\AluSchedulerSvc.exe [2007-08-31 243064]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [2008-05-17 13352]
S3 GVTDrv;GVTDrv;c:\windows\system32\drivers\GVTDrv.sys [2005-11-06 23524]
S3 Inpmgmtc;Inpmgmtc; [x]
S3 MarkFun_NT;MarkFun_NT;\??\c:\programme\Gigabyte\ET5\markfun.w32 --> c:\programme\Gigabyte\ET5\markfun.w32 [?]
S3 pnicml;pnicml;\??\c:\dokume~1\g_hegi\LOKALE~1\Temp\pnicml.sys --> c:\dokume~1\g_hegi\LOKALE~1\Temp\pnicml.sys [?]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2008-05-17 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [2008-05-17 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [2008-05-17 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [2008-05-17 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [2008-05-17 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [2008-05-17 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [2008-05-17 97704]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
2009-04-04 c:\windows\Tasks\HP Usg Daily.job
- c:\programme\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\pexpress\hphped05.exe [2005-07-06 04:27]
2009-04-04 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
2009-03-30 c:\windows\Tasks\Norton Internet Security - Systemprüfung ausführen - g_hegi.job
- c:\programme\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-26 19:19]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-CloneCDTray - c:\programme\SlySoft\CloneCD\CloneCDTray.exe
MSConfigStartUp-EasyTuneV - c:\programme\Gigabyte\ET5\GUI.exe
MSConfigStartUp-Google Desktop Search - c:\programme\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-MessengerPlus3 - c:\programme\MessengerPlus! 3\MsgPlus.exe
MSConfigStartUp-Skype - c:\programme\Skype\Phone\Skype.exe
MSConfigStartUp-SSS6_SAFE - c:\programme\Steganos Security Suite 6\safe.exe
MSConfigStartUp-VirtualCloneDrive - c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.ch/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
.
------- Dateityp-Verknüpfung -------
.
inifile=%SystemRoot%\System32\NOTEPAD.EXE %1"
.
**************************************************************************
catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-04 11:47:24
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MarkFun_NT]
"ImagePath"="\??\c:\programme\Gigabyte\ET5\markfun.w32"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1177238915-1604221776-1801674531-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
[HKEY_USERS\S-1-5-21-1177238915-1604221776-1801674531-1004\Software\Zepter Software\RegLib*d8fb0f56\AnyDVD/1]
"1"=dword:447323eb
"2"=dword:449cf230
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(944)
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2009-04-04 11:49:11
ComboFix-quarantined-files.txt 2009-04-04 09:49:10
Vor Suchlauf: 26 Verzeichnis(se), 13'229'027'328 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 13,211,500,544 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /NOEXECUTE=OPTIN /FASTDETECT
237
Gruss black messiah |
|
04.04.2009, 12:05
| #13 | |
| | Probleme mit der Google-SucheZitat:
Download und Ausführung des Norton-Entfernungsprogramms Scripten mit Combofix
Code:
ATTFilter KILLALL::
Driver::
LiveUpdate Notice
EraserUtilRebootDrv
Automatisches LiveUpdate - Scheduler
Inpmgmtc
pnicml
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=-
"WMPNSCFG"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"=-
"tscuninstall"=-
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=-
"UpdatesDisableNotify"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\BitTorrent\\bittorrent.exe"=-
Folder::
C:\fsaua.data
C:\found.000
c:\programme\Gemeinsame Dateien\Symantec Shared
c:\programme\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\g_hegi\Anwendungsdaten\BitTorrent
c:\programme\BitTorrent
File::
c:\windows\Tasks\Norton Internet Security - Systemprüfung ausführen - g_hegi.job
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? Geändert von john.doe (04.04.2009 um 12:41 Uhr) |
|
04.04.2009, 12:32
| #14 |
| | Probleme mit der Google-Suche Hallo Edit: Ich will/wollte Combofix starten, und es meldete Antivir Desktop wäre noch aktiv, aber ich habe denn LiveGuard deaktiviert. Und jetzt weiss ich nicht was ich tun soll? Combofix starten (nur noch OK drücken) oder wie kann ich Antivir abschalten? Bitte um schnelle/dringende Hilfe! Wieso Spybot deinstallieren? Der sollte doch auch dafür sorgen, dass solche Sachen nicht passieren (oder?) ist damit die Reinigung/Desinfektion des Computers fertig? Danke für deine schnelle Hilfe  Gruss black messiah Geändert von black messia (04.04.2009 um 12:53 Uhr) |
|
04.04.2009, 12:56
| #15 |
| | Probleme mit der Google-Suche Ich will/wollte Combofix starten, und es meldete Antivir Desktop wäre noch aktiv, aber ich habe denn LiveGuard deaktiviert. Und jetzt weiss ich nicht was ich tun soll? Combofix starten (nur noch OK drücken) oder wie kann ich Antivir abschalten? Bitte um schnelle/dringende Hilfe! Inhalt des Fensters: *Antivir Desktop Die obigen Real-Time-Scanner sind immernoch aktiv aber ComboFix wird trozdem mit dem Suchlauf fortfahren. Bitte nehme zur Kenntniss, dass dies in deiner eigenen Verantwortung geschieht. (OK-Button) Geändert von black messia (04.04.2009 um 13:10 Uhr) |
|
| Themen zu Probleme mit der Google-Suche |
| adresse, andere, anderes, anleitung, clean, ebenfalls, firefox, firefox.exe, forum, gmer, google, irgendetwas, laufen, link, log, lösung, neue, neuen, nicht mehr, original, problem, probleme, suche, tab, umgeleitet, werbeseite |
Linear-Darstellung
