hacked by...

john.doe · 26.04.2009, 10:34

Das habe ich befolgt.

Quelle: Benutzerkontensteuerung ? Wikipedia

Zitat:

Kritische Würdigung[Bearbeiten]

Die UAC wurde implementiert, um die Sicherheit der Systeme zu erhöhen. Dies gilt insbesondere für das Anzeigen von Webseiten, die eine potenzielle Sicherheitsgefahr darstellen. Auf der anderen Seite gibt es Beschwerden, dass UAC verschiedene Arbeitsabläufe am Computer verlangsamt, insbesondere das erstmalige Einrichten eines Windows-Vista-Systems. Deswegen ist es möglich, die UAC-Benachrichtigungen auszuschalten, um beispielsweise ungefährliche Software automatisch installieren zu können. Das UAC kann anschließend wieder aktiviert werden.

Allerdings gibt es auch die Befürchtung, dass ein dauerhaft eingeschaltetes UAC die Benutzer dazu verführt, jeden Dialog zu bestätigen. Insbesondere, da die Dialoge oft zu wenige oder gar keine Informationen über den aktuellen Vorgang beinhalten. Dies würde das System ad absurdum führen.

VISTA SUCKS

1.) Deinstalliere (falls möglich):

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Reader 8.1.2 - Deutsch
Adobe Shockwave Player
Browser Address Error Redirector
GData Internet Security
Google Updater
ICQ Toolbar
Java(TM) SE Runtime Environment 6
LiveUpdate 3.2 (Symantec Corporation)
LiveUpdate Notice (Symantec Corporation)
Panda Internet Security 2009
SUPERAntiSpyware Free Edition

2.) Download und Ausführung des Norton-Entfernungsprogramms

3.) Download und Ausführung des GData-Entfernungsprogramms

4.) Download und Ausführung des Panda-Entfernungsprogramms

5.) Installiere (Toolbars immer abwählen, Haken weg):

6.) Scripten mit Combofix

Lade eine neue ComboFixversion auf deinen Desktop.

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
G Data Tuner Service
pavboot
KLIM6
NETFLTDI
ShldDrv
AmFSM
Automatisches LiveUpdate - Scheduler
ComFiltr
Gwmsrv
PavProc
PskSvcRetail
AvFlt
NETIMFLT01060034
PavSRK.sys
PavTPK.sys

NetSvc::
panda

RegLock::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7b3ff9ce-02d9-11dc-ab5d-c94fd32c6c30}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Symantec PIF AlertEng"=-
"Adobe Reader Speed Launcher"=-
"APVXDWIN"=-
"SCANINICIO"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"InternetSettingsDisableNotify"=-
"AutoUpdateDisableNotify"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"=-

Folder::
c:\program files\Common Files\Symantec Shared
c:\programdata\SUPERAntiSpyware.com
c:\program files\SUPERAntiSpyware
c:\users\trulli\AppData\Roaming\SUPERAntiSpyware.com
C:\#GDATA.Trash.Store#
c:\program files\Common Files\G DATA
c:\programdata\G DATA
c:\program files\G DATA
c:\programdata\Google Updater
c:\program files\Google\Common\Google Updater

File::
c:\windows\Tasks\Google Software Updater.job
c:\windows\system32\drivers\GRD.sys
c:\users\trulli\AppData\Local\GDIPFONTCACHEV1.DAT
c:\windows\System32\perfh007.dat
c:\windows\System32\perfc007.dat
c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

7.) CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

ciao, andreas

miauu · 28.04.2009, 09:41

so also hab die ganze nacht mit cure it zu tun gehabt. beim scan wurde zweimal stressreducers.exe als poker punch (oder so ähnlich) gefunden. habe dann auftrag zum löschen gegeben. der erste konnte gelöscht werden. bei dem nächsten stand was von wegen zielpfad konnte nicht gefunden werden.
als ich dann das protokoll speichern wollte ist genau in dem moment ein blauer bildschirm mit einem countdown zum herunterfahren erschienen

also habe ich das ganze noch einmal gemacht. diesmal wurden keine viren gefunden und konnte leider wieder kein protokoll speichern, da das feld hellgrau war.

jetzt virustotal für undoreal:

Datei wininet.dll empfangen 2009.04.28 10:32:24 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.28 -
AhnLab-V3 5.0.0.2 2009.04.28 -
AntiVir 7.9.0.156 2009.04.28 -
Antiy-AVL 2.0.3.1 2009.04.28 -
Authentium 5.1.2.4 2009.04.27 -
Avast 4.8.1335.0 2009.04.27 -
AVG 8.5.0.287 2009.04.27 -
BitDefender 7.2 2009.04.28 -
CAT-QuickHeal 10.00 2009.04.28 -
ClamAV 0.94.1 2009.04.27 -
Comodo 1138 2009.04.27 -
DrWeb 4.44.0.09170 2009.04.28 -
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6478 2009.04.27 -
F-Prot 4.4.4.56 2009.04.27 -
F-Secure 8.0.14470.0 2009.04.28 -
Fortinet 3.117.0.0 2009.04.28 -
GData 19 2009.04.28 -
Ikarus T3.1.1.49.0 2009.04.28 -
K7AntiVirus 7.10.717 2009.04.27 -
Kaspersky 7.0.0.125 2009.04.28 -
McAfee 5598 2009.04.27 -
McAfee+Artemis 5598 2009.04.27 -
McAfee-GW-Edition 6.7.6 2009.04.28 -
Microsoft 1.4602 2009.04.28 -
NOD32 4038 2009.04.27 -
Norman 6.00.06 2009.04.27 -
nProtect 2009.1.8.0 2009.04.28 -
Panda 10.0.0.14 2009.04.27 -
PCTools 4.4.2.0 2009.04.27 -
Prevx1 3.0 2009.04.28 -
Rising 21.27.11.00 2009.04.28 -
Sophos 4.41.0 2009.04.28 -
Sunbelt 3.2.1858.2 2009.04.24 -
Symantec 1.4.4.12 2009.04.28 -
TheHacker 6.3.4.1.315 2009.04.28 -
TrendMicro 8.700.0.1004 2009.04.28 -
VBA32 3.12.10.3 2009.04.28 -
ViRobot 2009.4.28.1711 2009.04.28 -
VirusBuster 4.6.5.0 2009.04.27 -
weitere Informationen
File size: 914944 bytes
MD5...: 6ce32f7778061ccc5814d5e0f282d369
SHA1..: 9853eaaab2a0e543df0ec7a5f6c4019ae11a6d71
SHA256: 750701728ca521ac32163e571ba8d38d4954fb93cfc2964da0b9c4a975ebaa12
SHA512: fd2a279b9271f14e02fb3a132e60beea14860818dab368dbaab1f50ffc9770db
ec1d1052f23fe75e780034e55a9a0399716b77aa4ce541082612238ba915cab7
ssdeep: 24576:VsKc4niKTt9PfMHbx5ODCb3MtL9KHfviWf/xYpgfoQ6hzkMMIMMu6:+Kc6
dTti33+KHf9oQ4kMMIMMu6

PEiD..: -
TrID..: File type identification
InstallShield setup (46.1%)
Win32 Executable MS Visual C++ (generic) (40.4%)
Win32 Executable Generic (9.1%)
Generic Win/DOS Executable (2.1%)
DOS Executable Generic (2.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x172c
timedatestamp.....: 0x49b3ad54 (Sun Mar 08 11:34:44 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xaf348 0xaf400 6.59 301bf510b8bc9feb69acfa431fb3c90a
.data 0xb1000 0x6838 0x3400 1.77 f9af0e4d19e1f613d7b9e9c476607590
.rsrc 0xb8000 0x261d0 0x26200 4.72 95e911a299b8c2182709b28e6bd8b7ec
.reloc 0xdf000 0x6790 0x6800 6.78 a825a5ba61f84f4e19b7a10be6b0921f

( 9 imports )
> msvcrt.dll: memset, _vsnwprintf, _lock, wcsncmp, bsearch, ___V@YAXPAX@Z, ___U@YAPAXI@Z, _onexit, _wtoi, _wcsicmp, isupper, strncmp, wcsstr, _purecall, _mbstok, iscntrl, ispunct, _strtoui64, __dllonexit, iswdigit, isalpha, atol, isalnum, _errno, isspace, strpbrk, isdigit, isxdigit, memchr, memcpy, mbtowc, __mb_cur_max, isleadbyte, _iob, _snprintf, _itoa, wctomb, ferror, __badioinfo, __pioinfo, _fileno, _lseeki64, _write, _isatty, _unlock, _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, iswlower, iswascii, iswxdigit, wcstol, islower, __isascii, strtol, memmove, iswspace, wcsrchr, strrchr, atoi, realloc, free, malloc, wcstok, time, _wcsnicmp, _vsnprintf
> ntdll.dll: RtlUnwind, RtlConvertSidToUnicodeString, RtlMoveMemory
> SHLWAPI.dll: SHRegGetValueW, -, SHRegGetValueA, PathAddBackslashW, PathFindFileNameW, StrRChrW, PathRemoveBackslashA, PathRemoveFileSpecA, -, PathRemoveBlanksA, PathAddBackslashA, -, PathAppendA, -, PathUnExpandEnvStringsA, PathRenameExtensionA, SHDeleteKeyA, SHDeleteValueW, StrCmpNIW, StrCmpNIA, StrStrIA, -, StrChrW, StrChrA, -, -, UrlCombineW, UrlCanonicalizeW, -, PathCreateFromUrlW, UrlUnescapeA, UrlCombineA, UrlCanonicalizeA, StrToIntW, StrCmpW, StrCmpNA, StrRChrA, StrToIntA, StrStrIW, SHGetValueA, SHSetValueA, SHGetValueW, SHSetValueW, -, -, StrStrA, PathCombineW, StrChrNW, StrTrimW
> ADVAPI32.dll: RegDeleteValueW, RegQueryValueExW, CryptAcquireContextA, CryptGenRandom, CryptReleaseContext, RegOpenKeyA, RegEnumKeyA, RegSetValueExW, RegCreateKeyExW, RegDeleteKeyW, TraceEvent, DuplicateTokenEx, CreateWellKnownSid, SetTokenInformation, CreateProcessAsUserA, ConvertStringSecurityDescriptorToSecurityDescriptorA, GetSidSubAuthorityCount, GetSidSubAuthority, AllocateAndInitializeSid, CheckTokenMembership, FreeSid, RegDeleteValueA, OpenThreadToken, OpenProcessToken, GetTokenInformation, RegOpenKeyExW, RegDeleteKeyA, UnregisterTraceGuids, RegisterTraceGuidsA, ConvertSidToStringSidW, ConvertStringSecurityDescriptorToSecurityDescriptorW, CryptAcquireContextW, CryptGetProvParam, GetTraceLoggerHandle, GetTraceEnableLevel, GetTraceEnableFlags, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegQueryInfoKeyA, RegEnumKeyExA, RegCloseKey, GetUserNameA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, QueryServiceStatus
> KERNEL32.dll: OpenFileMappingA, CreateFileMappingA, MapViewOfFileEx, FlushViewOfFile, SetEndOfFile, UnmapViewOfFile, OutputDebugStringA, DosDateTimeToFileTime, lstrcmpiW, GetEnvironmentVariableA, GetShortPathNameA, GetShortPathNameW, FindFirstFileA, RemoveDirectoryA, FindNextFileA, FindClose, GetDiskFreeSpaceExA, CopyFileA, SetFileTime, CreateDirectoryA, GetWindowsDirectoryA, GetPrivateProfileStringA, GetFileAttributesA, SetFileAttributesA, GetFileAttributesExA, FileTimeToDosDateTime, GetFileSizeEx, lstrcmpW, RaiseException, MoveFileExA, MoveFileExW, MoveFileW, MoveFileA, SetFilePointerEx, LocalFileTimeToFileTime, CreateSemaphoreA, ReleaseSemaphore, GetCurrentProcessId, GetFileTime, lstrcmpA, GetModuleHandleExA, ResumeThread, LoadLibraryW, ResetEvent, ExpandEnvironmentStringsA, GetSystemTimeAsFileTime, DeleteFileW, GetACP, InterlockedExchangeAdd, CreateThread, Sleep, OpenMutexA, GetSystemDirectoryA, FormatMessageA, SetErrorMode, IsDBCSLeadByteEx, SystemTimeToFileTime, GetTickCount, SizeofResource, TlsGetValue, TlsSetValue, TlsAlloc, GetDateFormatA, GetTimeFormatA, GlobalAlloc, InterlockedCompareExchange, GetCurrentThread, GetCurrentProcess, IsDBCSLeadByte, IsValidCodePage, GlobalFree, GetLongPathNameW, lstrlenW, GetLongPathNameA, DeleteFileA, FormatMessageW, GetModuleHandleA, GetSystemTime, GetModuleHandleW, WritePrivateProfileStringA, GetVersionExA, GetModuleFileNameA, WriteFile, SetFilePointer, CreateFileW, CreateFileA, GetFileSize, ReadFile, FileTimeToSystemTime, LocalReAlloc, InitializeCriticalSectionAndSpinCount, HeapFree, HeapAlloc, GetProcessHeap, GetTimeFormatW, GetDateFormatW, GetUserDefaultLCID, GetComputerNameA, GlobalUnlock, GlobalLock, QueryPerformanceCounter, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LoadResource, FindResourceExW, LoadLibraryExW, MapViewOfFile, CreateFileMappingW, GetLocaleInfoW, GetVersionExW, GetSystemDefaultUILanguage, GetUserDefaultUILanguage, FindResourceW, SearchPathW, CreateActCtxW, ReleaseActCtx, ActivateActCtx, DeactivateActCtx, SetFileAttributesW, CompareFileTime, WritePrivateProfileStringW, GetFileAttributesW, CreateMutexW, DuplicateHandle, OpenMutexW, OpenEventW, LockResource, FreeLibraryAndExitThread, TlsFree, GetProcAddress, LoadLibraryA, FreeLibrary, InterlockedExchange, CloseHandle, GetLastError, SetLastError, EnterCriticalSection, LeaveCriticalSection, CompareStringW, WaitForSingleObject, WideCharToMultiByte, MultiByteToWideChar, CreateEventA, CreateMutexA, CompareStringA, ReleaseMutex, GetCurrentThreadId, LocalFree, LocalAlloc, DeleteCriticalSection, SetEvent, InterlockedIncrement, lstrcmpiA, lstrlenA, InterlockedDecrement, GetModuleFileNameW
> USER32.dll: FindWindowW, PostMessageW, RegisterWindowMessageW, ReleaseDC, GetDC, SendDlgItemMessageW, LoadImageW, GetSystemMetrics, IntersectRect, EqualRect, GetWindowRect, GetWindow, SetForegroundWindow, DestroyIcon, SetDlgItemTextW, SetWindowPos, IsWindow, PostMessageA, CharNextExA, EnumWindows, GetAncestor, IsWindowVisible, EnumChildWindows, GetWindowThreadProcessId, IsCharAlphaNumericA, CharLowerW, CharUpperA, CharToOemA, GetWindowInfo, LoadStringW, DialogBoxParamW, GetDesktopWindow, SendDlgItemMessageA, LoadIconA, LoadImageA, LoadStringA, CharLowerA, DestroyWindow, KillTimer, EnableWindow, SetWindowTextW, GetDlgItem, SetFocus, EndDialog, CheckDlgButton, SendMessageW, SendMessageA, IsDlgButtonChecked, DefWindowProcA, SetWindowLongA, GetWindowLongA, RegisterClassW, CreateWindowExW, SetTimer, GetWindowTextW, MessageBoxW, CharNextA
> Normaliz.dll: IdnToAscii, IdnToUnicode
> urlmon.dll: -, -, -, -, -, -
> iertutil.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 231 exports )
CommitUrlCacheEntryA, CommitUrlCacheEntryW, CreateMD5SSOHash, CreateUrlCacheContainerA, CreateUrlCacheContainerW, CreateUrlCacheEntryA, CreateUrlCacheEntryW, CreateUrlCacheGroup, DeleteIE3Cache, DeleteUrlCacheContainerA, DeleteUrlCacheContainerW, DeleteUrlCacheEntry, DeleteUrlCacheEntryA, DeleteUrlCacheEntryW, DeleteUrlCacheGroup, DeleteWpadCacheForNetworks, DetectAutoProxyUrl, DispatchAPICall, DllInstall, FindCloseUrlCache, FindFirstUrlCacheContainerA, FindFirstUrlCacheContainerW, FindFirstUrlCacheEntryA, FindFirstUrlCacheEntryExA, FindFirstUrlCacheEntryExW, FindFirstUrlCacheEntryW, FindFirstUrlCacheGroup, FindNextUrlCacheContainerA, FindNextUrlCacheContainerW, FindNextUrlCacheEntryA, FindNextUrlCacheEntryExA, FindNextUrlCacheEntryExW, FindNextUrlCacheEntryW, FindNextUrlCacheGroup, ForceNexusLookup, ForceNexusLookupExW, FreeUrlCacheSpaceA, FreeUrlCacheSpaceW, FtpCommandA, FtpCommandW, FtpCreateDirectoryA, FtpCreateDirectoryW, FtpDeleteFileA, FtpDeleteFileW, FtpFindFirstFileA, FtpFindFirstFileW, FtpGetCurrentDirectoryA, FtpGetCurrentDirectoryW, FtpGetFileA, FtpGetFileEx, FtpGetFileSize, FtpGetFileW, FtpOpenFileA, FtpOpenFileW, FtpPutFileA, FtpPutFileEx, FtpPutFileW, FtpRemoveDirectoryA, FtpRemoveDirectoryW, FtpRenameFileA, FtpRenameFileW, FtpSetCurrentDirectoryA, FtpSetCurrentDirectoryW, GetUrlCacheConfigInfoA, GetUrlCacheConfigInfoW, GetUrlCacheEntryInfoA, GetUrlCacheEntryInfoExA, GetUrlCacheEntryInfoExW, GetUrlCacheEntryInfoW, GetUrlCacheGroupAttributeA, GetUrlCacheGroupAttributeW, GetUrlCacheHeaderData, GopherCreateLocatorA, GopherCreateLocatorW, GopherFindFirstFileA, GopherFindFirstFileW, GopherGetAttributeA, GopherGetAttributeW, GopherGetLocatorTypeA, GopherGetLocatorTypeW, GopherOpenFileA, GopherOpenFileW, HttpAddRequestHeadersA, HttpAddRequestHeadersW, HttpCheckDavCompliance, HttpEndRequestA, HttpEndRequestW, HttpOpenRequestA, HttpOpenRequestW, HttpQueryInfoA, HttpQueryInfoW, HttpSendRequestA, HttpSendRequestExA, HttpSendRequestExW, HttpSendRequestW, IncrementUrlCacheHeaderData, InternetAlgIdToStringA, InternetAlgIdToStringW, InternetAttemptConnect, InternetAutodial, InternetAutodialCallback, InternetAutodialHangup, InternetCanonicalizeUrlA, InternetCanonicalizeUrlW, InternetCheckConnectionA, InternetCheckConnectionW, InternetClearAllPerSiteCookieDecisions, InternetCloseHandle, InternetCombineUrlA, InternetCombineUrlW, InternetConfirmZoneCrossing, InternetConfirmZoneCrossingA, InternetConfirmZoneCrossingW, InternetConnectA, InternetConnectW, InternetCrackUrlA, InternetCrackUrlW, InternetCreateUrlA, InternetCreateUrlW, InternetDial, InternetDialA, InternetDialW, InternetEnumPerSiteCookieDecisionA, InternetEnumPerSiteCookieDecisionW, InternetErrorDlg, InternetFindNextFileA, InternetFindNextFileW, InternetFortezzaCommand, InternetGetCertByURL, InternetGetCertByURLA, InternetGetConnectedState, InternetGetConnectedStateEx, InternetGetConnectedStateExA, InternetGetConnectedStateExW, InternetGetCookieA, InternetGetCookieExA, InternetGetCookieExW, InternetGetCookieW, InternetGetLastResponseInfoA, InternetGetLastResponseInfoW, InternetGetPerSiteCookieDecisionA, InternetGetPerSiteCookieDecisionW, InternetGetSecurityInfoByURL, InternetGetSecurityInfoByURLA, InternetGetSecurityInfoByURLW, InternetGoOnline, InternetGoOnlineA, InternetGoOnlineW, InternetHangUp, InternetInitializeAutoProxyDll, InternetLockRequestFile, InternetOpenA, InternetOpenUrlA, InternetOpenUrlW, InternetOpenW, InternetQueryDataAvailable, InternetQueryFortezzaStatus, InternetQueryOptionA, InternetQueryOptionW, InternetReadFile, InternetReadFileExA, InternetReadFileExW, InternetSecurityProtocolToStringA, InternetSecurityProtocolToStringW, InternetSetCookieA, InternetSetCookieExA, InternetSetCookieExW, InternetSetCookieW, InternetSetDialState, InternetSetDialStateA, InternetSetDialStateW, InternetSetFilePointer, InternetSetOptionA, InternetSetOptionExA, InternetSetOptionExW, InternetSetOptionW, InternetSetPerSiteCookieDecisionA, InternetSetPerSiteCookieDecisionW, InternetSetStatusCallback, InternetSetStatusCallbackA, InternetSetStatusCallbackW, InternetShowSecurityInfoByURL, InternetShowSecurityInfoByURLA, InternetShowSecurityInfoByURLW, InternetTimeFromSystemTime, InternetTimeFromSystemTimeA, InternetTimeFromSystemTimeW, InternetTimeToSystemTime, InternetTimeToSystemTimeA, InternetTimeToSystemTimeW, InternetUnlockRequestFile, InternetWriteFile, InternetWriteFileExA, InternetWriteFileExW, IsHostInProxyBypassList, IsUrlCacheEntryExpiredA, IsUrlCacheEntryExpiredW, LoadUrlCacheContent, ParseX509EncodedCertificateForListBoxEntry, PrivacyGetZonePreferenceW, PrivacySetZonePreferenceW, ReadUrlCacheEntryStream, ReadUrlCacheEntryStreamEx, RegisterUrlCacheNotification, ResumeSuspendedDownload, RetrieveUrlCacheEntryFileA, RetrieveUrlCacheEntryFileW, RetrieveUrlCacheEntryStreamA, RetrieveUrlCacheEntryStreamW, RunOnceUrlCache, SetUrlCacheConfigInfoA, SetUrlCacheConfigInfoW, SetUrlCacheEntryGroup, SetUrlCacheEntryGroupA, SetUrlCacheEntryGroupW, SetUrlCacheEntryInfoA, SetUrlCacheEntryInfoW, SetUrlCacheGroupAttributeA, SetUrlCacheGroupAttributeW, SetUrlCacheHeaderData, ShowCertificate, ShowClientAuthCerts, ShowSecurityInfo, ShowX509EncodedCertificate, UnlockUrlCacheEntryFile, UnlockUrlCacheEntryFileA, UnlockUrlCacheEntryFileW, UnlockUrlCacheEntryStream, UpdateUrlCacheContentPath, UrlZonesDetach, _GetFileExtensionFromUrl

PDFiD.: -
RDS...: NSRL Reference Data Set
-

undoreal · 28.04.2009, 11:25

Die dll selber scheint sauber zu sein.

Ich würde dir übrigens empfehlen den Rechner neuaufzusetzen um die Integrität deines Systems nicht auf's Spiel zu setzen.
Auch wenn wir hier tausend Analyse-Progs laufen lassen kann ohne Prüfsumme niemand sagen dein Rechner wäre sauber.
Wir können hinterher nur vermuten er sei es. Von wissen kann da keine Rede sein.

Deine Entscheidung.

Wenn's weitergehen soll würde ich vorschlagen, dass wir mit dem eigentlichen Plan fortfahren und du ein Smitdfraudfix log postest.

miauu · 28.04.2009, 17:37

was heißt denn neu aufsetzen? was müsste ich denn da machen und wäre er dann 100% pro sauber?

meine eigentliches problem mit dem hacked by... im inetexplorer ist ja immerhin schon mal weg.

was speziell vermutet ihr denn noch auf meinem pc und was kann das anrichten?

miauu · 19.04.2009, 22:52

ComboFix 09-04-20.02 - trulli 19.04.2009 23:39.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2045.1072 [GMT 2:00]
ausgeführt von:: c:\users\trulli\Desktop\ComboFix.exe
AV: Panda Internet Security 2009 *On-access scanning disabled* (Updated)
FW: Panda Personal Firewall 2009 *disabled*
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-20 bis 2009-04-20 ))))))))))))))))))))))))))))))
.

2009-04-17 18:54 . 2009-04-17 18:54 -------- d-----w c:\programdata\WindowsSearch
2009-04-17 18:48 . 2009-04-17 18:48 -------- d-----w c:\program files\CCleaner
2009-04-15 16:35 . 2009-04-15 16:35 -------- d-----w c:\users\trulli\AppData\Roaming\Yahoo!
2009-04-15 16:35 . 2009-04-15 17:11 -------- d-----w c:\program files\Yahoo!
2009-04-15 09:10 . 2009-04-15 09:10 -------- d-----w c:\programdata\SUPERAntiSpyware.com
2009-04-15 09:09 . 2009-04-15 17:07 -------- d-----w c:\program files\SUPERAntiSpyware
2009-04-15 09:09 . 2009-04-15 17:08 -------- d-----w c:\users\trulli\AppData\Roaming\SUPERAntiSpyware.com
2009-04-15 09:08 . 2009-04-15 09:08 -------- d-----w c:\users\trulli\AppData\Roaming\Malwarebytes
2009-04-15 09:08 . 2009-04-15 09:08 -------- d-----w c:\programdata\Malwarebytes
2009-04-15 08:57 . 2009-04-15 08:57 -------- d-----w c:\program files\Trend Micro
2009-04-14 23:24 . 2009-04-14 23:24 -------- d-----w c:\program files\Enigma Software Group
2009-04-14 20:24 . 2008-12-06 04:42 376832 ----a-w c:\windows\system32\winhttp.dll
2009-04-14 20:24 . 2008-06-06 03:27 38912 ----a-w c:\windows\system32\xolehlp.dll
2009-04-14 20:24 . 2008-06-06 03:27 562176 ----a-w c:\windows\system32\msdtcprx.dll
2009-04-14 15:28 . 2009-04-17 18:11 8627 ----a-w c:\windows\system32\PAV_FOG.OPC
2009-04-14 15:19 . 2009-04-14 15:19 -------- d-----w c:\users\trulli\AppData\Local\Panda Security
2009-04-14 15:15 . 2009-04-14 15:15 13880 ----a-w c:\windows\system32\drivers\COMFiltr.sys
2009-04-14 15:14 . 2008-02-13 20:14 49208 ----a-w c:\windows\system32\drivers\amm8660.sys
2009-04-14 15:14 . 2009-04-14 15:14 261 ----a-w c:\windows\system32\PavCPL.dat
2009-04-14 15:14 . 2009-04-19 21:36 195236 ----a-w c:\windows\system32\drivers\APPFCONT.DAT.bck
2009-04-14 15:14 . 2009-04-19 21:36 195236 ----a-w c:\windows\system32\drivers\APPFCONT.DAT
2009-04-14 15:14 . 2009-04-19 21:36 1132 ----a-w c:\windows\system32\drivers\APPFLTR.CFG.bck
2009-04-14 15:14 . 2009-04-19 21:36 1132 ----a-w c:\windows\system32\drivers\APPFLTR.CFG
2009-04-14 15:13 . 2008-06-18 14:06 46720 ----a-w c:\windows\system32\drivers\wnmflt.sys
2009-04-14 15:13 . 2008-06-18 14:06 193792 ----a-w c:\windows\system32\drivers\idsflt.sys
2009-04-14 15:13 . 2008-06-18 14:06 52992 ----a-w c:\windows\system32\drivers\dsaflt.sys
2009-04-14 15:06 . 2008-07-11 12:58 158848 ----a-w c:\windows\system32\drivers\NETFLTDI.SYS
2009-04-14 15:06 . 2008-06-25 13:42 73728 ----a-w c:\windows\system32\drivers\APPFLT.SYS
2009-04-14 15:06 . 2008-03-28 09:25 22072 ----a-w c:\windows\system32\drivers\fnetmon.sys
2009-04-14 15:05 . 2009-04-14 15:05 -------- d-----w c:\programdata\Backup
2009-04-14 15:05 . 2007-03-15 17:38 54832 ----a-w c:\windows\system32\pavcpl.cpl
2009-04-14 15:04 . 2003-10-22 16:23 446464 ----a-w c:\windows\system32\HHActiveX.dll
2009-04-14 15:04 . 2008-06-24 12:48 193280 ----a-w c:\windows\system32\TpUtil.dll
2009-04-14 15:04 . 2008-06-18 16:03 87296 ----a-w c:\windows\system32\PavLspHook.dll
2009-04-14 15:04 . 2008-06-18 16:03 55552 ----a-w c:\windows\system32\pavipc.dll
2009-04-14 15:04 . 2007-02-08 09:53 107568 ----a-w c:\windows\system32\SYSTOOLS.DLL
2009-04-14 15:04 . 2008-06-18 16:03 520448 ----a-w c:\windows\system32\PavSHook.dll
2009-04-14 15:04 . 2008-06-26 09:25 197888 ----a-w c:\windows\system32\drivers\neti1634.sys
2009-04-14 15:04 . 2009-04-14 15:04 -------- d-----w c:\windows\system32\PAV
2009-04-14 15:04 . 2009-04-14 15:04 -------- d-----w c:\users\trulli\AppData\Roaming\Panda Security
2009-04-14 15:04 . 2009-04-14 15:04 -------- d-----w c:\programdata\Panda Security
2009-04-14 15:04 . 2009-04-14 15:04 -------- d-----w c:\program files\Panda Security
2009-04-14 14:59 . 2008-06-19 15:24 28544 ----a-w c:\windows\system32\drivers\pavboot.sys
2009-04-14 14:58 . 2009-04-14 14:58 -------- d-----w c:\program files\Common Files\Panda Security
2009-04-14 14:58 . 2008-03-04 13:59 41144 ----a-w c:\windows\system32\drivers\ShlDrv51.sys
2009-04-14 14:58 . 2008-02-07 10:03 179640 ----a-w c:\windows\system32\drivers\PavProc.sys
2009-04-14 09:17 . 2009-04-14 09:17 29128 ----a-w c:\windows\system32\drivers\GRD.sys
2009-04-14 09:08 . 2009-04-14 09:08 50632 ----a-w c:\windows\system32\drivers\MiniIcpt.sys
2009-04-14 09:07 . 2009-04-14 09:07 51656 ----a-w c:\windows\system32\drivers\PktIcpt.sys
2009-04-14 09:06 . 2009-04-14 09:06 40392 ----a-w c:\windows\system32\drivers\gdwfpcd32.sys
2009-04-14 09:05 . 2009-04-14 09:05 -------- d-sh--w C:\#GDATA.Trash.Store#
2009-04-14 09:04 . 2009-04-14 14:48 -------- d-----w c:\program files\Common Files\G DATA
2009-04-14 09:04 . 2009-04-14 14:48 -------- d-----w c:\programdata\G DATA
2009-04-14 09:04 . 2009-04-14 14:48 -------- d-----w c:\program files\G DATA
2009-04-14 08:59 . 2009-04-14 08:59 -------- d-----w c:\users\trulli\AppData\Local\Downloaded Installations
2009-03-21 09:36 . 2009-03-21 09:53 -------- d-----w c:\program files\ICQ6.5

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-18 22:40 . 2009-03-15 20:05 -------- d-----w c:\programdata\Google Updater
2009-04-16 11:01 . 2007-04-21 14:40 70160 ----a-w c:\users\trulli\AppData\Local\GDIPFONTCACHEV1.DAT
2009-04-15 17:09 . 2006-11-02 10:25 86016 ----a-w c:\windows\Inf\infstor.dat
2009-04-15 17:09 . 2006-11-02 10:25 51200 ----a-w c:\windows\Inf\infpub.dat
2009-04-15 17:09 . 2006-11-02 10:25 143360 ----a-w c:\windows\Inf\infstrng.dat
2009-04-15 17:07 . 2008-05-31 13:32 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-04-15 16:19 . 2008-03-14 12:11 -------- d-----w c:\program files\myTouch
2009-04-15 08:02 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-04-14 15:18 . 2006-11-02 15:33 678912 ----a-w c:\windows\System32\perfh007.dat
2009-04-14 15:18 . 2006-11-02 15:33 147252 ----a-w c:\windows\System32\perfc007.dat
2009-04-14 15:04 . 2006-11-30 14:02 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-14 11:03 . 2007-10-03 20:32 -------- d-----w c:\program files\Google
2009-04-14 08:41 . 2008-12-22 09:37 -------- d-----w c:\program files\Exact Audio Copy
2009-03-21 09:37 . 2007-12-08 00:13 -------- d-----w c:\program files\ICQ6
2009-03-17 03:38 . 2009-04-14 20:23 40960 ----a-w c:\windows\AppPatch\apihex86.dll
2009-03-17 03:38 . 2009-04-14 20:23 13824 ----a-w c:\windows\System32\apilogen.dll
2009-03-17 03:38 . 2009-04-14 20:23 24064 ----a-w c:\windows\System32\amxread.dll
2009-03-08 11:34 . 2009-04-14 13:44 914944 ----a-w c:\windows\System32\wininet.dll
2009-03-08 11:34 . 2009-04-14 13:44 43008 ----a-w c:\windows\System32\licmgr10.dll
2009-03-08 11:33 . 2009-04-14 13:44 18944 ----a-w c:\windows\System32\corpol.dll
2009-03-08 11:33 . 2009-04-14 13:44 109056 ----a-w c:\windows\System32\iesysprep.dll
2009-03-08 11:33 . 2009-04-14 13:44 109568 ----a-w c:\windows\System32\PDMSetup.exe
2009-03-08 11:33 . 2009-04-14 13:44 132608 ----a-w c:\windows\System32\ieUnatt.exe
2009-03-08 11:33 . 2009-04-14 13:44 107520 ----a-w c:\windows\System32\RegisterIEPKEYs.exe
2009-03-08 11:33 . 2009-04-14 13:44 107008 ----a-w c:\windows\System32\SetIEInstalledDate.exe
2009-03-08 11:33 . 2009-04-14 13:44 103936 ----a-w c:\windows\System32\SetDepNx.exe
2009-03-08 11:33 . 2009-04-14 13:44 420352 ----a-w c:\windows\System32\vbscript.dll
2009-03-08 11:32 . 2009-04-14 13:44 72704 ----a-w c:\windows\System32\admparse.dll
2009-03-08 11:32 . 2009-04-14 13:44 71680 ----a-w c:\windows\System32\iesetup.dll
2009-03-08 11:32 . 2009-04-14 13:44 66560 ----a-w c:\windows\System32\wextract.exe
2009-03-08 11:32 . 2009-04-14 13:44 169472 ----a-w c:\windows\System32\iexpress.exe
2009-03-08 11:31 . 2009-04-14 13:44 34816 ----a-w c:\windows\System32\imgutil.dll
2009-03-08 11:31 . 2009-04-14 13:44 48128 ----a-w c:\windows\System32\mshtmler.dll
2009-03-08 11:31 . 2009-04-14 13:44 45568 ----a-w c:\windows\System32\mshta.exe
2009-03-08 11:22 . 2009-04-14 13:44 156160 ----a-w c:\windows\System32\msls31.dll
2009-03-03 04:46 . 2009-04-14 20:23 3599328 ----a-w c:\windows\System32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-14 20:23 3547632 ----a-w c:\windows\System32\ntoskrnl.exe
2009-03-03 04:39 . 2009-04-14 20:23 183296 ----a-w c:\windows\System32\sdohlp.dll
2009-03-03 04:39 . 2009-04-14 20:23 551424 ----a-w c:\windows\System32\rpcss.dll
2009-03-03 04:39 . 2009-04-14 20:23 26112 ----a-w c:\windows\System32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-14 20:23 98304 ----a-w c:\windows\System32\iasrecst.dll
2009-03-03 04:37 . 2009-04-14 20:23 44032 ----a-w c:\windows\System32\iasdatastore.dll
2009-03-03 04:37 . 2009-04-14 20:23 54784 ----a-w c:\windows\System32\iasads.dll
2009-03-03 03:04 . 2009-04-14 20:23 666624 ----a-w c:\windows\System32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-14 20:23 17408 ----a-w c:\windows\System32\iashost.exe
2009-02-13 08:49 . 2009-04-14 20:23 72704 ----a-w c:\windows\System32\secur32.dll
2009-02-13 08:49 . 2009-04-14 20:23 1255936 ----a-w c:\windows\System32\lsasrv.dll
2009-02-09 03:10 . 2009-03-11 09:51 2033152 ----a-w c:\windows\System32\win32k.sys
2008-09-27 19:31 . 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini
2007-09-22 18:51 . 2007-09-22 18:51 2020539 ----a-w c:\program files\cdbxp_setup_4.0.013.220.exe
2007-09-01 12:14 . 2007-09-01 12:14 8412160 ----a-w c:\users\trulli\SetupKitchen_V2008_DE.exe
2007-04-24 13:24 . 2007-04-24 13:23 202428 ----a-w c:\users\trulli\SecureW2_TTLS_320_VISTA_BETA1.zip
2007-04-24 12:44 . 2007-04-24 12:44 206481 ----a-w c:\users\trulli\SecureW2_TTLS_320_2KXP.zip
2007-04-24 09:54 . 2007-04-24 09:54 8568320 ----a-w c:\users\trulli\VPNClient-Windows.exe
2006-12-15 13:47 . 2007-04-21 14:40 1356 ----a-w c:\users\trulli\AppData\Local\d3d9caps.dat
2007-08-11 13:08 . 2007-04-24 10:39 16384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-08-11 13:08 . 2007-04-24 10:39 32768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-08-11 13:08 . 2007-04-24 10:39 16384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-04-15_16.57.25 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-11-30 13:48 . 2009-04-17 20:07 63502 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2007-04-21 14:41 . 2009-04-19 11:55 22364 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-893307856-2463230274-1463802655-1003_UserData.bin
+ 2007-04-21 14:38 . 2009-04-19 21:31 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2007-04-21 14:38 . 2009-04-15 16:49 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2007-04-21 14:38 . 2009-04-19 21:31 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2007-04-21 14:38 . 2009-04-15 16:49 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2007-04-21 14:38 . 2009-04-15 16:49 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2007-04-21 14:38 . 2009-04-19 21:31 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-04-15 16:22 . 2009-04-15 16:22 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-04-19 11:38 . 2009-04-19 11:38 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-04-15 16:22 . 2009-04-15 16:22 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-04-19 11:38 . 2009-04-19 11:38 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2006-11-02 13:05 . 2009-04-19 11:55 178718 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 12:47 . 2009-04-15 17:12 290584 c:\windows\System32\FNTCACHE.DAT
+ 2006-11-02 12:43 . 2009-04-19 21:39 262144 c:\windows\System32\config\systemprofile\ntuser.dat
- 2006-11-02 12:43 . 2009-04-15 16:51 262144 c:\windows\System32\config\systemprofile\ntuser.dat
- 2009-04-14 14:25 . 2009-04-15 16:13 245760 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2009-04-14 14:25 . 2009-04-19 15:53 245760 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2006-11-02 12:47 . 2009-04-15 16:57 262144 c:\windows\ServiceProfiles\NetworkService\ntuser.dat
+ 2006-11-02 12:47 . 2009-04-19 11:51 262144 c:\windows\ServiceProfiles\NetworkService\ntuser.dat
- 2006-11-02 12:47 . 2009-04-15 16:24 262144 c:\windows\ServiceProfiles\LocalService\ntuser.dat
+ 2006-11-02 12:47 . 2009-04-19 11:51 262144 c:\windows\ServiceProfiles\LocalService\ntuser.dat
- 2006-11-02 10:22 . 2009-04-15 16:18 6553600 c:\windows\System32\SMI\Store\Machine\schema.dat
+ 2006-11-02 10:22 . 2009-04-17 20:18 6553600 c:\windows\System32\SMI\Store\Machine\schema.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2006-09-11 118784]
"VAIOCameraUtility"="c:\program files\Sony\VAIO Camera Utility\VCUServe.exe" [2006-11-14 411768]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2006-11-11 43128]
"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 517768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-12-07 7766016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-12-07 81920]
"APVXDWIN"="c:\program files\Panda Security\Panda Internet Security 2009\APVXDWIN.EXE" [2008-12-03 869632]
"SCANINICIO"="c:\program files\Panda Security\Panda Internet Security 2009\Inicio.exe" [2008-07-07 50432]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2006-11-25 2134016]
Cisco Systems VPN Client.lnk - c:\program files\Cisco Systems\VPN Client\vpngui.exe [2007-5-8 1528880]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2006-11-24 09:36 73728 ----a-w c:\windows\System32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{802C9CBD-2FBF-4765-86E9-F622DD1CDDF1}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{2B673FE7-10BD-4C1E-B680-6A4EA84B4694}"= Disabled:TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"{B5A8C109-D3A3-40B6-A9DE-3FDD952458A4}"= Disabled:UDP:c:\program files\Adobe\Photoshop Elements 5.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{42B49CC9-C2B2-4FE2-AA42-AC2790764599}"= Disabled:TCP:c:\program files\Adobe\Photoshop Elements 5.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{0A28C359-D69B-4EE5-9282-5EA70E64AF79}"= Disabled:UDP:c:\program files\Sony\VAIO Media 6.0\Vc.exe:[VAIO Media] VAIO Media
"{37BA6C12-8279-4757-9895-054BD443A7A2}"= Disabled:TCP:c:\program files\Sony\VAIO Media 6.0\Vc.exe:[VAIO Media] VAIO Media
"{61FF8E3A-1E5B-4317-A552-07C516BEAC5C}"= Disabled:UDP:c:\program files\Sony\VAIO Media 6.0\Vc.exe:[VAIO Media] VAIO Media
"{8CB46ADC-5B6F-4DB0-B2BB-FB4A5A84D87F}"= Disabled:TCP:c:\program files\Sony\VAIO Media 6.0\Vc.exe:[VAIO Media] VAIO Media
"{5E87D7A3-F4ED-48C2-A291-7370E1DDA378}"= UDP:c:\windows\System32\lxbccoms.exe:Lexmark Communications System
"{122FF1D0-49C2-42E1-992C-52B42A798D76}"= TCP:c:\windows\System32\lxbccoms.exe:Lexmark Communications System
"{60A44290-2CEF-49E3-ADCD-DF4F4EAE1C7F}"= UDP:c:\windows\System32\spool\drivers\w32x86\3\lxbcpswx.exe:Printer Status Window
"{87F194ED-C6FC-426B-80F3-1FB9568B0733}"= TCP:c:\windows\System32\spool\drivers\w32x86\3\lxbcpswx.exe:Printer Status Window

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

R3 G Data Tuner Service;G Data Tuner Service; [x]
R3 VAIOMediaPlatform-UCLS-AppServer;VAIO Media Content Collection;c:\program files\Sony\VAIO Media Integrated Server\UCLS.exe [2007-01-10 745472]
R3 VAIOMediaPlatform-UCLS-HTTP;VAIO Media Content Collection (HTTP);c:\program files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe [2007-01-08 397312]
R3 VAIOMediaPlatform-UCLS-UPnP;VAIO Media Content Collection (UPnP);c:\program files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe [2007-01-16 1089536]
S0 pavboot;Panda boot driver;c:\windows\system32\Drivers\pavboot.sys [2008-06-19 28544]
S1 APPFLT;App Filter Plugin;c:\windows\system32\Drivers\APPFLT.SYS [2008-06-25 73728]
S1 DSAFLT;DSA Filter Plugin;c:\windows\system32\Drivers\DSAFLT.SYS [2008-06-18 52992]
S1 FNETMON;NetMon Filter Plugin;c:\windows\system32\Drivers\fnetmon.SYS [2008-03-28 22072]
S1 IDSFLT;Ids Filter Plugin;c:\windows\system32\Drivers\IDSFLT.SYS [2008-06-18 193792]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2007-04-04 20760]
S1 NETFLTDI;Panda Net Driver [TDI Layer];c:\windows\system32\Drivers\NETFLTDI.SYS [2008-07-11 12:58 158848]
S1 ShldDrv;Panda File Shield Driver;c:\windows\system32\DRIVERS\ShlDrv51.sys [2008-03-04 41144]
S1 WNMFLT;Wifi Monitor Filter Plugin;c:\windows\system32\Drivers\WNMFLT.SYS [2008-06-18 46720]
S2 AmFSM;AmFSM;c:\windows\system32\DRIVERS\amm8660.sys [2008-02-13 49208]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2007-09-26 554352]
S2 ComFiltr;Panda Anti-Dialer;c:\windows\system32\DRIVERS\COMFiltr.sys [2009-04-14 13880]
S2 Gwmsrv;Panda Goodware Cache Manager; [x]
S2 lxbc_device;lxbc_device;c:\windows\system32\lxbccoms.exe [2007-03-16 537520]
S2 MSSQL$VAIO_VEDB;SQL Server (VAIO_VEDB);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-11-15 28933976]
S2 PavProc;Panda Process Protection Driver;c:\windows\system32\DRIVERS\PavProc.sys [2008-02-07 179640]
S2 PskSvcRetail;Panda PSK service;c:\program files\Panda Security\Panda Internet Security 2009\PskSvc.exe [2008-06-25 28928]
S3 AvFlt;Antivirus Filter Driver; [x]
S3 NETIMFLT01060034;PANDA NDIS IM Filter Miniport v1.6.0.34;c:\windows\system32\DRIVERS\neti1634.sys [2008-06-26 197888]
S3 PavSRK.sys;PavSRK.sys; [x]
S3 PavTPK.sys;PavTPK.sys; [x]
S3 R5U870FLx86;R5U870 UVC Lower Filter ;c:\windows\system32\Drivers\R5U870FLx86.sys [2006-10-27 72704]
S3 R5U870FUx86;R5U870 UVC Upper Filter ;c:\windows\system32\Drivers\R5U870FUx86.sys [2006-10-27 43904]
S3 SonyImgF;Sony Image Conversion Filter Driver;c:\windows\system32\DRIVERS\SonyImgF.sys [2006-09-06 30976]
S3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [2006-11-06 227328]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - AvFlt
*Deregistered* - PavSRK.sys
*Deregistered* - PavTPK.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
panda REG_MULTI_SZ Gwmsrv

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\shell\AutoRun\command - G:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7b3ff9ce-02d9-11dc-ab5d-c94fd32c6c30}]
\shell\Auto\command - fun.xls.exe
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-04-19 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-15 12:07]

2009-04-19 c:\windows\Tasks\User_Feed_Synchronization-{15A120CC-DE56-4CA8-A7F1-B6A324B7FAC3}.job
- c:\windows\system32\msfeedssync.exe [2009-04-14 11:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: RSS-Support-Site zu VAIO Information FLOW hinzufügen - c:\program files\Sony\VAIO Information FLOW\aiesc.html
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
DPF: {B85537E9-2D9C-400A-BC92-B04F4D9FF17D} - hxxp://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab
DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} - hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-27-0.cab
DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} - hxxp://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab
DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-19 23:46
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.

miauu · 19.04.2009, 22:53

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(5676)
c:\program files\Panda Security\Panda Internet Security 2009\pavoepl.dll
.
Zeit der Fertigstellung: 2009-04-19 23:49
ComboFix-quarantined-files.txt 2009-04-19 21:49
ComboFix2.txt 2009-04-15 17:00

Vor Suchlauf: 24 Verzeichnis(se), 65.964.273.664 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 65.935.687.680 Bytes frei

305 --- E O F --- 2009-04-15 07:56

miauu · 03.05.2009, 16:39

und was kann ich bis dahin machen? bin erst in 3 monaten daheim. dort habe ich die visat cd.

john.doe · 03.05.2009, 16:55

Von Grund auf reinigen, darauf hat dir undoreal schon die Antwort gegeben. Allerdings sehe ich kein Anzeichen für Befall mehr. Der Regeintrag, der sich nicht löschen lässt, ist auf ein Berechtigungsproblem zurückzuführen.

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

hacked by...

Log-Analyse und Auswertung: hacked by...

hacked by...

hacked by...

hacked by...

hacked by...

hacked by...

hacked by...

hacked by...

hacked by...

Ähnliche Themen: hacked by...

28.04.2009, 17:37	#4
miauu	hacked by... was heißt denn neu aufsetzen? was müsste ich denn da machen und wäre er dann 100% pro sauber? meine eigentliches problem mit dem hacked by... im inetexplorer ist ja immerhin schon mal weg. was speziell vermutet ihr denn noch auf meinem pc und was kann das anrichten?

03.05.2009, 16:39	#7
miauu	hacked by... und was kann ich bis dahin machen? bin erst in 3 monaten daheim. dort habe ich die visat cd.