|
Antiviren-, Firewall- und andere Schutzprogramme: Tojaner weg oder noch aktiv..Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
10.04.2009, 16:05 | #1 |
| Tojaner weg oder noch aktiv.. hallo zusammen, ich hatte in letzter zeit immer wieder von Avira meldungen über Trojaner seit dem 19.03.09 ist ruhe. seit dem ich den trojaner drauf hab/hatte mache ich keine aktionen wie ebay, onlinebanking usw mehr..... jetzt meine gross frage wie kann ich sicher gehen das ich davon befreit bin? der viren scanner findet nichts mehr bin mir aber trotzdem unsicher. hijackthis hab ich gemcht eventuell hilft es euch ja weiter.. ich benutze opera als browser.... gruss und schoene ostertage wünsche ich euch. PS: wo der trojaner weg kommt weiss ich,, hab scheisse ausm i-net geladen.. Letzten 2 aktionen mit Avira In der Datei 'D:\media\Music\Madonna\Madonna - 2008 - Hard Candy 192Kbps\00 Madonna - Hard Candy [2008].m3u.exe' wurde ein Virus oder unerwünschtes Programm 'DR/Agent.xlm.53' [dropper] gefunden. Ausgeführte Aktion: Datei löschen ---------------------- In der Datei 'C:\Programme\HLSW\update.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Small.cjq.1' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:44:41, on 10.04.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Syslogd\Syslogd_Service.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Opera\opera.exe C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://search.conduit.com?SearchSource=10&ctid=CT2046651 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by USER1 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de :8080 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: FCBHOBHO Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - C:\Programme\FlashCapture\fcbho.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O2 - BHO: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll O2 - BHO: (no name) - {98E0D6C5-2C0E-4415-91A3-D1583FD55708} - C:\WINDOWS\system32\msjftoledb40.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O3 - Toolbar: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Save F&lash with FlashCapture - res://C:\Programme\FlashCapture\fciext.dll/FCIEXT.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - C:\Programme\FlashCapture\fciext.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ht*p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134412311328 O17 - HKLM\System\CCS\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{7D6D7C5C-5B59-42FA-9CEF-76E288BAA57D}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{FD40DCDC-FF56-4B5B-A527-CA42994FFE9B}: NameServer = 192.168.2.2,212.6.108.140 O17 - HKLM\System\CS1\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kiwi Syslog Daemon - Kiwi Enterprises - C:\Programme\Syslogd\Syslogd_Service.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 9377 bytes |
13.04.2009, 00:33 | #2 | ||
| Tojaner weg oder noch aktiv.. Hallo wkr!
__________________Mal ne Frage: Findet Antivir jetzt nichts mehr oder wie sieht das aus? Führe mal einen Kaspersky Onlinescan durch und scane mit eScan die Platte *klick*. Poste das Logfile von eScan. Bei Antivir kann es sich auch um eine Fehlermeldung handeln. Lade deshalb Zitat:
Zu deinem HijackThis log. Bitte fixe Zitat:
.keNNy# |
14.04.2009, 18:06 | #3 | |
| Tojaner weg oder noch aktiv.. hallo,
__________________jetzt findet avira nix mehr. so hier das ergebnis von VirusTotal Zitat:
Datei update.exe empfangen 2009.04.14 18:52:57 (CET) Status: Beendet Ergebnis: 24/40 (60%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.04.14 Trojan-Dropper.Win32.Small!IK AhnLab-V3 5.0.0.2 2009.04.14 Dropper/Downloader.749568 AntiVir 7.9.0.143 2009.04.14 - Antiy-AVL 2.0.3.1 2009.04.14 - Authentium 5.1.2.4 2009.04.14 - Avast 4.8.1335.0 2009.04.14 Win32:Trojan-gen {Other} AVG 8.5.0.285 2009.04.14 Dropper.Generic.AITJ BitDefender 7.2 2009.04.14 - CAT-QuickHeal 10.00 2009.04.14 TrojanDropper.Small.cjq ClamAV 0.94.1 2009.04.14 - Comodo 1113 2009.04.14 - DrWeb 4.44.0.09170 2009.04.14 - eSafe 7.0.17.0 2009.04.13 Win32.Dropper.Small eTrust-Vet 31.6.6455 2009.04.14 - F-Prot 4.4.4.56 2009.04.14 - F-Secure 8.0.14470.0 2009.04.14 Trojan-Dropper.Win32.Small.cjq Fortinet 3.117.0.0 2009.04.14 W32/Small.CJQ!tr GData 19 2009.04.14 Win32:Trojan-gen {Other} Ikarus T3.1.1.49.0 2009.04.14 Trojan-Dropper.Win32.Small K7AntiVirus 7.10.703 2009.04.14 Trojan-Dropper.Win32.Small.cjq Kaspersky 7.0.0.125 2009.04.14 Trojan-Dropper.Win32.Small.cjq McAfee 5584 2009.04.14 Generic Dropper McAfee+Artemis 5584 2009.04.14 Generic Dropper McAfee-GW-Edition 6.7.6 2009.04.14 Trojan.Drop.LooksLike.Small Microsoft 1.4502 2009.04.14 - NOD32 4007 2009.04.14 - Norman 6.00.06 2009.04.14 W32/Smalldrp.AUNR nProtect 2009.1.8.0 2009.04.14 Trojan-Dropper/W32.Small.749568 Panda 10.0.0.14 2009.04.14 Suspicious file PCTools 4.4.2.0 2009.04.14 - Prevx1 V2 2009.04.14 High Risk Worm Rising 21.25.14.00 2009.04.14 - Sophos 4.40.0 2009.04.14 Mal/Generic-A Sunbelt 3.2.1858.2 2009.04.13 Trojan-Dropper.Win32.Small.cjq Symantec 1.4.4.12 2009.04.14 Trojan Horse TheHacker 6.3.4.0.306 2009.04.12 - TrendMicro 8.700.0.1004 2009.04.14 - VBA32 3.12.10.2 2009.04.12 Trojan-Dropper.Win32.Small.cjq ViRobot 2009.4.14.1692 2009.04.14 - VirusBuster 4.6.5.0 2009.04.14 Trojan.DR.Small.BOJB |
16.04.2009, 16:05 | #4 |
| Tojaner weg oder noch aktiv.. Alles klar! Dann führe mal einen Scan mit Malwarebytes durch und poste das Ergebnis. Anschließend lässt du mal Gmer drüberlaufen und entfernst alles was er findet. Während GMER scannt am besten Antivirguard deaktivieren, das Internet ausschalten und nicht mal die Maus berühren. .keNNy# Geändert von .keNNy# (16.04.2009 um 16:10 Uhr) |
18.04.2009, 11:24 | #5 |
| Tojaner weg oder noch aktiv.. so hier der bericht von mailware habe alle infizierten registrierungsschlüssel entfernt, lasse jetzt den GMER nochmal drüberlaufen... Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1992 Windows 5.1.2600 Service Pack 2 18.04.2009 12:14:32 mbam-log-2009-04-18 (12-14-24).txt Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|) Durchsuchte Objekte: 238274 Laufzeit: 19 hour(s), 18 minute(s), 34 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> No action taken. HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> No action taken. HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProcObsrv (Rogue.NetCom3) -> No action taken. HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
18.04.2009, 12:13 | #6 |
| Tojaner weg oder noch aktiv.. So, hat GMER was gefunden? Hast du mit Malwarebytes die gefundenen Objekte entfernt? Arbeite diese Anleitung von SUPERAntispyware bitte ab. Poste das Ergebnis. Anschließend folge der Anleitung von CCleaner. Poste dann bitte nochmal ein Aktuelles HijackThis-log. .keNNy# |
18.04.2009, 16:37 | #7 |
| Tojaner weg oder noch aktiv.. so hier der logfile vom GMER hat denke ich nichts mehr gefunden. mit Malwarebytes habe ich die gefundenen entfernt.. GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-04-18 17:29:43 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- SSDT sptd.sys ZwCreateKey [0xF7740AC8] SSDT \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.) ZwCreateSection [0xBA3EFE50] SSDT ED94161C ZwCreateThread SSDT sptd.sys ZwEnumerateKey [0xF7740C22] SSDT sptd.sys ZwEnumerateValueKey [0xF7740F9A] SSDT sptd.sys ZwOpenKey [0xF774098E] SSDT ED941608 ZwOpenProcess SSDT ED94160D ZwOpenThread SSDT sptd.sys ZwQueryKey [0xF7741064] SSDT sptd.sys ZwQueryValueKey [0xF7740EFC] SSDT sptd.sys ZwSetValueKey [0xF77410EC] SSDT \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.) ZwTerminateProcess [0xBA3F0120] SSDT ED941612 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. ? C:\WINDOWS\System32\Drivers\SPTD9997.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 F5A364F0 16 Bytes [1C, 1A, 92, 84, 8E, 01, 60, ...] .text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11 F5A36501 31 Bytes [50, A3, F5, 53, CF, A2, 05, ...] ? C:\WINDOWS\System32\Drivers\dtscsi.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F773CAD2] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F773CC0E] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F773CB96] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F773D76C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F773D642] sptd.sys IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F775F056] sptd.sys IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [ED503FE0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [ED504050] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [ED504370] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [ED5043B0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [ED504370] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [ED504050] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [ED503FE0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [ED503FE0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [ED504050] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [ED5043B0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [ED504370] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [ED504370] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [ED5043B0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [ED503FE0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [ED504050] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 867A2550 Device \FileSystem\Fastfat \FatCdrom 84BCF8C0 Device \FileSystem\Udfs \UdfsCdRom 85E10688 Device \FileSystem\Udfs \UdfsDisk 85E10688 Device \Driver\dmio \Device\DmControl\DmIoDaemon 867A3A40 Device \Driver\dmio \Device\DmControl\DmConfig 867A3A40 Device \Driver\dmio \Device\DmControl\DmPnP 867A3A40 Device \Driver\dmio \Device\DmControl\DmInfo 867A3A40 Device \Driver\Ftdisk \Device\HarddiskVolume1 867A3C78 Device \Driver\Ftdisk \Device\HarddiskVolume2 867A3C78 Device \Driver\Cdrom \Device\CdRom0 86651C20 Device \FileSystem\Rdbss \Device\FsWrap 85E2A5C0 Device \Driver\Ftdisk \Device\HarddiskVolume3 867A3C78 Device \Driver\Cdrom \Device\CdRom1 86651C20 Device \Driver\00000040 \Device\00000066 sptd.sys Device \Driver\NetBT \Device\NetBT_Tcpip_{FD40DCDC-FF56-4B5B-A527-CA42994FFE9B} 85FD2688 Device \Driver\Cdrom \Device\CdRom2 86651C20 Device \Driver\Cdrom \Device\CdRom3 86651C20 Device \Driver\NetBT \Device\NetBt_Wins_Export 85FD2688 Device \Driver\NetBT \Device\NetbiosSmb 85FD2688 Device \Driver\nvata \Device\00000089 867A2C78 Device \Driver\Disk \Device\Harddisk0\DR0 867A2788 Device \Driver\Disk \Device\Harddisk1\DR1 867A2788 Device \Driver\nvata \Device\NvAta0 867A2C78 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 860AEA00 Device \Driver\nvata \Device\NvAta1 867A2C78 Device \FileSystem\MRxSmb \Device\LanmanRedirector 860AEA00 Device \Driver\nvata \Device\NvAta2 867A2C78 Device \FileSystem\Npfs \Device\NamedPipe 85FB1688 Device \Driver\Ftdisk \Device\FtControl 867A3C78 Device \Driver\nvata \Device\0000008a 867A2C78 Device \FileSystem\Msfs \Device\Mailslot 86031208 Device \Driver\nvata \Device\0000008b 867A2C78 Device \Driver\VClone \Device\Scsi\VClone1 867A3808 Device \Driver\si3114r5 \Device\Scsi\si3114r51 867A2EB0 Device \Driver\dtscsi \Device\Scsi\dtscsi1Port5Path0Target0Lun0 8616F500 Device \Driver\VClone \Device\Scsi\VClone1Port0Path0Target0Lun0 867A3808 Device \Driver\si3114r5 \Device\Scsi\si3114r51Port1Path3Target1fLun0 867A2EB0 Device \Driver\dtscsi \Device\Scsi\dtscsi1 8616F500 Device \Driver\si3114r5 \Device\Scsi\si3114r51Port1Path0Target10Lun0 867A2EB0 Device \FileSystem\Fastfat \Fat 84BCF8C0 AttachedDevice \FileSystem\Fastfat \Fat 867A2A40 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs 84BD08C0 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\com\AllowedPaths Reg HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\com\AllowedPaths@ 0xDB 0x67 0x83 0x47 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 239675826 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -959332954 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 397411701 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x01 0x6C 0x83 0xB6 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x99 0xA7 0x64 0x8B ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xB8 0xCF 0x2A ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xC3 0xB3 0x9E 0x07 ... Reg HKLM\SYSTEM\ControlSet002\Control\SecurePipeServers\com\AllowedPaths Reg HKLM\SYSTEM\ControlSet002\Control\SecurePipeServers\com\AllowedPaths@ 0xDB 0x67 0x83 0x47 ... Reg HKLM\SYSTEM\ControlSet003\Control\SecurePipeServers\com\AllowedPaths Reg HKLM\SYSTEM\ControlSet003\Control\SecurePipeServers\com\AllowedPaths@ 0xDB 0x67 0x83 0x47 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x01 0x6C 0x83 0xB6 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x99 0xA7 0x64 0x8B ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xB8 0xCF 0x2A ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xC3 0xB3 0x9E 0x07 ... ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\system32\config\software.LOG (size mismatch) 1024/12288 bytes ---- EOF - GMER 1.0.15 ---- |
18.04.2009, 19:55 | #8 |
| Tojaner weg oder noch aktiv.. so hier der log,,,,,, hab die 60 einträge entfernt mache jetzt noch den boot test... danach kommt die hjthis SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 04/18/2009 at 07:24 PM Application Version : 4.26.1000 Core Rules Database Version : 3851 Trace Rules Database Version: 1805 Scan type : Complete Scan Total Scan Time : 01:36:49 Memory items scanned : 465 Memory threats detected : 0 Registry items scanned : 6692 Registry threats detected : 9 File items scanned : 151890 File threats detected : 61 Adware.Tracking Cookie C:\Dokumente und Einstellungen\willi\Cookies\willi@adserver.sup4u[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@rambler[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@zbox.zanox[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@ad.triplemind[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@opodo.122.2o7[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@adserver.71i[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@xiti[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@1071459391[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@1069365257[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@ad1.clickhype[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@adtech[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@serving-sys[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@adserver.easyad[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@2o7[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@mb[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@1067311067[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@1068935504[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@realmedia[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@as-eu.falkag[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@usenext[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@komtrack[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@indextools[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@tacoda[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@www.one-tracker[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@ads.heias[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@1071417819[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@edge.ru4[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@cgi-bin[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@forum.usenext[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@ads.pointroll[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@atdmt[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@stats.searchtrack[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@cracks[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@adopt.euroclick[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@advertising[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@ad.adition[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@tracking.quisma[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@msnportal.112.2o7[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@1070017076[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@overture[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@ad.zanox[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@partners.webmasterplan[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@ad.71i[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@one-tracker[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@hmt.connexpromotions[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@revenue[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@bs.serving-sys[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@mb[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@cgi-bin[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@ads[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@sevenoneintermedia.112.2o7[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@adbrite[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@njhc[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@atwola[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@insightexpressai[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@stats.drivecleaner[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@microsoftwga.112.2o7[1].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@as1.falkag[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@questionmarket[2].txt C:\Dokumente und Einstellungen\willi\Cookies\willi@adfarm1.adition[1].txt Adware.WhenU HKCR\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0} HKCR\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\ProxyStubClsid HKCR\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\ProxyStubClsid32 HKCR\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842} HKCR\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\ProxyStubClsid HKCR\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\ProxyStubClsid32 HKCR\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086} HKCR\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\ProxyStubClsid HKCR\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\ProxyStubClsid32 Adware.GAIN/Gator C:\DOKUMENTE UND EINSTELLUNGEN\TEST\LOKALE EINSTELLUNGEN\TEMP\GINSTALL.EXE.MWT |
21.04.2009, 19:15 | #10 |
| Tojaner weg oder noch aktiv.. so hier der logfile. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:58:00, on 21.04.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Bonjour\mDNSResponder.exe c:\progra~1\escan\EconSer.exe C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe c:\progra~1\escan\eConceal.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\Programme\Syslogd\Syslogd_Service.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\PROGRA~1\eScan\consctl.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\ESCAN\SPOOLER.EXE C:\PROGRA~1\eScan\Vista\eScanMon.exe C:\PROGRA~1\eScan\MAILSCAN.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de :8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: FCBHOBHO Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - C:\Programme\FlashCapture\fcbho.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O2 - BHO: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O3 - Toolbar: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Save F&lash with FlashCapture - res://C:\Programme\FlashCapture\fciext.dll/FCIEXT.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - C:\Programme\FlashCapture\fciext.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1134412311328 O17 - HKLM\System\CCS\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{7D6D7C5C-5B59-42FA-9CEF-76E288BAA57D}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{FD40DCDC-FF56-4B5B-A527-CA42994FFE9B}: NameServer = 192.168.2.2,212.6.108.140 O17 - HKLM\System\CS1\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: eSLogOn - C:\WINDOWS\SYSTEM32\eSLogOn.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: eConServ (EconService) - MicroWorld Technologies Inc. - c:\progra~1\escan\EconSer.exe O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kiwi Syslog Daemon - Kiwi Enterprises - C:\Programme\Syslogd\Syslogd_Service.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 10374 bytes teil 2 der anweisung kann nicht durchgefürhrt werden weil ich den text nicht gelesen habe so wie es scheint bin ich jetzt frei von viren und etc.. danke dir keNNy# the brain :aplaus: was mit dem programm eScan?! die evaluation läuft am 14mai ab?! wird das dann kostenpflichtig? das scheint ja etwas umfangreicher zu sein wie mein Avira. |
21.04.2009, 19:36 | #11 |
| Tojaner weg oder noch aktiv.. Sollte ok sein jetzt. Kannst dir ja nochmal Blacklight laden *klick*. Das Programm sucht auch nochmal nach Rootkits. Haste zwar schon mit GMER gemacht aber sicher ist sicher. Das Programm eScan kannst du wieder deinstallieren. Nutze lieber Malwarebytes oder SUPERAntiSpyware um ab und zu mal die Platte zu scannen. Beide sind On-Demand Scanner also scannen nur wenn du das willst. Kannst ja noch einen Scan mit Kaspersky Online machen. *klick* Musste allerdings im IE ausführen. .keNNy# |
Themen zu Tojaner weg oder noch aktiv.. |
antivir, avira, bho, candy, computer, ebanking, ebay, einstellungen, excel, frage, hacked, helper, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, programm, rundll, scan, scheisse, software, system, tojaner, trojaner, uleadburninghelper, viren, virus, web companion, windows, windows xp |