| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ich Glaube ich bin Infeziert...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.04.2009, 12:51
| #1 |
 |  Ich Glaube ich bin Infeziert... Alsooo ^^ Seit paar Tagen (4 denk ich ^^) bekomm ich von meim Anti virenprogramm (Eset Smart Security) Dauerhaft meldungen wie z.B Winglsetup.exe Quarantined, Loader49.exe Quarantined, Loader266.exe Quarantined und und und (das sind die häufigsten ^^) Da ich gesehn habe, das dies sys32 datein sind war mir klar warum diese warnungen immer wieder kommen. Kann mir jemand sagen was ich mir da eingefangen hab und wie ich das wieder wegbekomm ^^. Danke schonmal im vorraus.. ..Mfg |
|
28.04.2009, 15:20
| #2 |
  | Ich Glaube ich bin Infeziert... Hallo und
__________________ Bitte klicke in meiner Signatur auf "Für alle Neuen", lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. ciao, andreas
__________________ |
|
28.04.2009, 16:04
| #3 |
| | Ich Glaube ich bin Infeziert... Ja hab den hijack report vergessen mom
__________________Malewarebyte's log kommt noch falls nötig Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:00:55, on 28.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\ESET\ESET Smart Security\egui.exe D:\Program Files\Razer\DeathAdder\razerhid.exe C:\Program Files\Steam\Steam.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\Program Files\RocketDock\RocketDock.exe C:\Program Files\Windows Media Player\wmpnscfg.exe D:\Program Files\Razer\DeathAdder\razertra.exe D:\Program Files\Razer\DeathAdder\razerofa.exe C:\Windows\system32\WTablet\Pen_TabletUser.exe C:\Windows\System32\mobsync.exe C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O1 - Hosts: ::1 localhost O2 - BHO: (no name) - AutorunsDisabled - (no file) O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [DeathAdder] D:\Program Files\Razer\DeathAdder\razerhid.exe O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [fsc-reg] C:\ProgramData\fsc-reg\fscreg.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user') O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O13 - Gopher Prefix: O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file) O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe -- End of file - 6729 bytes
__________________ |
|
28.04.2009, 16:08
| #4 | |
| | Ich Glaube ich bin Infeziert...Zitat:
 Jeden Punkt unter Punkt 2 abarbeiten.  ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
28.04.2009, 17:03
| #5 |
| | Ich Glaube ich bin Infeziert... 1.Hijack unninstall log Code:
ATTFilter Adobe AIR
Adobe AIR
Adobe Anchor Service CS3
Adobe Anchor Service CS4
Adobe Asset Services CS3
Adobe Bridge CS3
Adobe Bridge CS4
Adobe Bridge Start Meeting
Adobe BridgeTalk Plugin CS3
Adobe Camera Raw 4.0
Adobe CMaps CS4
Adobe Color - Photoshop Specific CS4
Adobe Color EU Recommended Settings CS4
Adobe Color JA Extra Settings CS4
Adobe Color NA Extra Settings CS4
Adobe Color Video Profiles CS CS4
Adobe Contribute CS3
Adobe Creative Suite 3 Web Premium
Adobe Creative Suite 3 Web Premium hinzufügen oder entfernen
Adobe CSI CS4
Adobe Default Language CS4
Adobe Device Central CS3
Adobe Dreamweaver CS3
Adobe ExtendScript Toolkit 2
Adobe ExtendScript Toolkit CS4
Adobe Extension Manager CS3
Adobe Fireworks CS3
Adobe Flash CS3
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Flash Player 9 ActiveX
Adobe Flash Video Encoder
Adobe Fonts All
Adobe Help Viewer CS3
Adobe Illustrator CS3
Adobe Linguistics CS3
Adobe Linguistics CS4
Adobe Media Player
Adobe Media Player
Adobe MotionPicture Color Files
Adobe Output Module
Adobe PDF Library Files CS4
Adobe Photoshop CS3
Adobe Photoshop CS4
Adobe Photoshop CS4
Adobe Photoshop CS4
Adobe Photoshop CS4 Support
Adobe Reader 8.1.2 - Deutsch
Adobe Search for Help
Adobe Service Manager Extension
Adobe Setup
Adobe Setup
Adobe Shockwave Player 11
Adobe Stock Photos CS3
Adobe Type Support CS4
Adobe Update Manager CS3
Adobe Update Manager CS4
Adobe Version Cue CS3 Client
Adobe Version Cue CS3 Server
Adobe WAS CS3
Adobe WinSoft Linguistics Plugin
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS3
Adobe XMP Panels CS4
AdobeColorCommonSetCMYK
AdobeColorCommonSetRGB
AHV content for Acrobat and Flash
Apple Software Update
Audiosurf
Bamboo Dock
Bamboo Dock 1.0.3
Battlefield Heroes
Catalyst Control Center - Branding
CCleaner (remove only)
CloneCD
Company of Heroes
Connect
Counter-Strike: Source
Day of Defeat: Source
Dead Space™
Defraggler (remove only)
Die Schlacht um Mittelerde(tm)
DivX Codec
DivX Converter
DivX Web Player
Elvenstar Mod 6.0
Enemy Territory: QUAKE Wars
ESET Smart Security
Eset-NOD32: Fix Dasumo v3.1 until 2029
EVEREST Home Edition v2.20
Far Cry 2
FileZilla Client 3.2.0
Fraps
Gothic III
Gothic III - Götterdämmerung
Half-Life 2: Deathmatch
Hamachi 1.0.3.0
HijackThis 2.0.2
ICQ6
Java(TM) 6 Update 13
Java(TM) 6 Update 7
kuler
Malwarebytes' Anti-Malware
Microsoft Games for Windows - LIVE Redistributable
Microsoft Visual C++ 2005 Redistributable
MobMap 3.17
Mozilla Firefox (2.0.0.20)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
NCH Toolbox
Need for Speed Underground 2
Nero 8
neroxml
NfS:U2 Language Patch
NVIDIA PhysX
Oblivion
ŒN‚ªŒÄ‚ÔAƒƒMƒh‚Ì‹u‚Å
OpenAL
OpenOffice.org 3.0
Outspark Sharp Launcher
PDF Settings CS4
Photoshop Camera Raw
PunkBuster Services
Quake Live Mozilla Plugin
QuickTime
RagnarokOnline
Razer DeathAdder(TM) Mouse
Realtek High Definition Audio Driver
REAPER
RocketDock 1.3.5
RouterControl 1.92
Saitek Dual Analog Rumble Pad
Silent Hill Homecoming
Skype™ 3.8
Steam
StepMania (remove only)
Stifttablett
Suite Shared Configuration CS4
SUPER © Version 2009.bld.35 (Jan 5, 2009)
System Requirements Lab
SystemDiagnostics
Team Fortress 2
TeamSpeak 2 RC2
TeamViewer 4
TmNationsForever
TuneUp Utilities 2009
Uninstall 1.0.0.1
VCRedistSetup
VLC media player 0.9.4
Wanted: Weapons of Fate
Warcraft III
WarRock
Winamp
WinRAR
World of Warcraft
Zattoo 3.3.3 Beta
Zombie Panic! Source
Code:
ATTFilter Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2053
Windows 6.0.6001 Service Pack 1
28.04.2009 17:57:39
mbam-log-2009-04-28 (17-57-29).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 390077
Laufzeit: 38 minute(s), 13 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Windows\Temp\msb.dll (Worm.Autorun) -> No action taken.
__________________ BB Code IMG nicht erlaubt! :'( |
|
28.04.2009, 17:38
| #6 | |
| | Ich Glaube ich bin Infeziert... 1.) Was ist denn das? Zitat:
3.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas
__________________ --> Ich Glaube ich bin Infeziert... |
|
28.04.2009, 17:40
| #7 |
| | Ich Glaube ich bin Infeziert... Das is ein Japano rpg Spiel (jah japano fan orgassmus ^^) Hintergrund wächter wie z.b? windows defender anti vir softwar usw ? zu 3. gild da auch handy ?
__________________ BB Code IMG nicht erlaubt! :'( |
|
28.04.2009, 17:48
| #8 | ||
| | Ich Glaube ich bin Infeziert...Zitat:
Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
28.04.2009, 18:08
| #9 |
| | Ich Glaube ich bin Infeziert... mir is noch ein kleiner fehler unterlaufen. Beim Deinstallieren der dinge die du/sie ^^ aufgelistest hast hab ich ausversehn bei Uninstall auf entfernen nicht auf deinstallieren geklickt (also im cccleaner) WIe bekomm ich die jetzt deinstalliert
__________________ BB Code IMG nicht erlaubt! :'( |
|
28.04.2009, 18:14
| #10 |
| | Ich Glaube ich bin Infeziert... Ist nicht so wichtig. Du könntest schauen, ob im entsprechneden Programmordner eine uninstall.exe o.ä. ist, aber das spielt bei dem nicht wirklich die Rolle. Oder manchmal gibt es das Uninstall auch im Startmenü. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
28.04.2009, 18:28
| #11 |
| | Ich Glaube ich bin Infeziert... aber(noobalarm xD) wie beedne ich mein eset smart security ich habs schon aus der autostart genommen und neu gestartet aber combo fix sagt mir immernoch ich solle es schliessen ^^
__________________ BB Code IMG nicht erlaubt! :'( |
|
28.04.2009, 18:46
| #12 |
| | Ich Glaube ich bin Infeziert... Da kann ich jetzt leider nicht helfen, da ich Eset nicht kenne. Gibt es ein Verwaltungstool von Eset, bei dem sich der Wächter deaktiviern lässt? Oder lassen sich rechts unten, die Symbole von Eset mit Doppelklick konfigurieren oder mit Mausklick rechts beenden? sorry, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
28.04.2009, 19:04
| #13 |
| | Ich Glaube ich bin Infeziert... Soo ich glaub ich habs geschaft hier der log... Code:
ATTFilter ComboFix 09-04-27.05 - Sebastian 28.04.2009 19:53.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3070.2449 [GMT 2:00]
ausgeführt von:: c:\users\Sebastian\Desktop\ComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
FW: ESET Personal firewall *disabled*
.
/wow section - STAGE 41
Die Datei "temp4001" kann nicht gefunden werden.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\ovfsthxsbkretnp.sys
c:\windows\system32\ovfsthxdcntpxla.dll
c:\windows\system32\ovfsthxeklibvqx.dll
c:\windows\system32\ovfsthxfxvogbde.dll
c:\windows\system32\ovfsthxunvpcihq.dat
c:\windows\system32\ovfsthxwyorpbrs.dat
.
---- Vorheriger Suchlauf -------
.
c:\windows\system32\drivers\ovfsthxsbkretnp.sys
c:\windows\system32\loader266.exe
c:\windows\system32\ovfsthxirfpmtpj.dll
c:\windows\system32\ovfsthxpyykytwn.dat
c:\windows\system32\ovfsthxurqvqbuo.dat
c:\windows\system32\ovfsthxwhkbxfxc.dll
c:\windows\system32\ovfsthxyiutfreu.dll
c:\windows\system32\uniq.tll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_ovfsthxqpcdvede
((((((((((((((((((((((( Dateien erstellt von 2009-05-28 bis 2009-4-28 ))))))))))))))))))))))))))))))
.
2009-04-28 17:27 . 2009-04-28 17:42 27648 ----a-w c:\windows\system32\lmppcsetup.exe
2009-04-28 12:07 . 2009-04-28 12:07 -------- d-----w c:\users\Sebastian\AppData\Roaming\Malwarebytes
2009-04-28 12:07 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-28 12:07 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-28 12:07 . 2009-04-28 12:07 -------- d-----w c:\programdata\Malwarebytes
2009-04-28 12:07 . 2009-04-28 12:07 -------- d-----w c:\users\All Users\Malwarebytes
2009-04-28 10:06 . 2009-04-28 12:06 28672 ----a-w c:\windows\system32\loader49.exe
2009-04-27 17:50 . 2009-04-27 17:54 -------- d-----w c:\users\Sebastian\AppData\Roaming\REAPER
2009-04-27 12:51 . 2009-04-27 12:51 -------- d-----w c:\programdata\id Software
2009-04-27 12:51 . 2009-04-27 12:51 -------- d-----w c:\users\All Users\id Software
2009-04-26 11:42 . 2009-04-26 11:42 -------- d-----w c:\users\Sebastian\AppData\Roaming\My Battle for Middle-earth Files
2009-04-25 12:22 . 2008-11-18 08:50 330344 ----a-w c:\windows\RCoUn.EXE
2009-04-25 12:22 . 2009-04-25 12:22 -------- d-----w C:\RouterControl
2009-04-18 23:01 . 2009-04-24 19:34 -------- d-----w c:\users\Sebastian\AppData\Roaming\Meine Die Schlacht um Mittelerde-Dateien
2009-04-18 21:08 . 2009-04-18 21:20 -------- d-----w c:\users\Sebastian\AppData\Local\Oblivion
2009-04-17 22:33 . 2009-04-17 22:33 -------- d-----w c:\users\Sebastian\AppData\Roaming\StepMania 4
2009-04-17 08:56 . 2009-02-13 08:49 1255936 ----a-w c:\windows\system32\lsasrv.dll
2009-04-09 14:45 . 2009-04-09 14:45 -------- d-----w c:\programdata\wanted
2009-04-09 14:45 . 2009-04-09 14:45 -------- d-----w c:\users\All Users\wanted
2009-04-09 14:45 . 2009-04-10 22:24 -------- d-----w c:\users\Sebastian\AppData\Local\wanted
2009-04-09 14:41 . 2008-10-10 02:52 2036576 ----a-w c:\windows\system32\D3DCompiler_40.dll
2009-04-09 14:41 . 2008-10-10 02:52 452440 ----a-w c:\windows\system32\d3dx10_40.dll
2009-04-09 14:41 . 2008-10-10 02:52 4379984 ----a-w c:\windows\system32\D3DX9_40.dll
2009-04-09 14:41 . 2008-10-27 08:04 70992 ----a-w c:\windows\system32\XAPOFX1_2.dll
2009-04-09 14:41 . 2008-10-27 08:04 514384 ----a-w c:\windows\system32\XAudio2_3.dll
2009-04-09 14:41 . 2008-10-27 08:04 235856 ----a-w c:\windows\system32\xactengine3_3.dll
2009-04-09 14:41 . 2008-10-27 08:04 23376 ----a-w c:\windows\system32\X3DAudio1_5.dll
2009-04-07 18:58 . 2009-04-08 15:02 -------- d-----w c:\users\Sebastian\AppData\Local\NFS Underground 2
2009-04-05 09:08 . 2009-04-05 09:08 -------- d-----w c:\users\Sebastian\AppData\Local\Apple Computer
2009-04-05 09:05 . 2009-04-05 09:05 -------- d-----w c:\programdata\Apple Computer
2009-04-05 09:05 . 2009-04-05 09:05 -------- d-----w c:\users\All Users\Apple Computer
2009-04-05 09:05 . 2009-04-05 09:05 -------- d-----w c:\users\Sebastian\AppData\Local\Apple
2009-04-02 19:06 . 2009-04-02 19:06 -------- d-----w c:\program files\EA Games
2009-04-01 12:06 . 2009-04-01 12:12 -------- d-----w c:\users\Sebastian\AppData\Local\ZattooPlayer
2009-04-01 12:06 . 2009-04-19 20:35 -------- d-----w c:\users\Sebastian\AppData\Local\Zattoo
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-28 17:57 . 2008-10-29 20:35 -------- d-----w c:\program files\Steam
2009-04-28 17:55 . 2008-01-21 07:15 618204 ----a-w c:\windows\system32\perfh007.dat
2009-04-28 17:55 . 2008-01-21 07:15 122636 ----a-w c:\windows\system32\perfc007.dat
2009-04-28 17:05 . 2008-10-10 22:38 -------- d-----w c:\program files\Java
2009-04-27 19:31 . 2008-10-09 13:34 138944 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-04-27 19:31 . 2008-10-09 13:34 189784 ----a-w c:\windows\system32\PnkBstrB.exe
2009-04-27 14:21 . 2008-10-09 13:34 75064 ----a-w c:\windows\system32\PnkBstrA.exe
2009-04-27 12:51 . 2008-10-22 13:00 22328 ----a-w c:\users\Sebastian\AppData\Roaming\PnkBstrK.sys
2009-04-27 12:51 . 2008-10-22 13:00 2246144 ----a-w c:\windows\system32\pbsvc.exe
2009-04-19 01:45 . 2008-10-29 20:35 -------- d-----w c:\program files\Common Files\Steam
2009-04-18 21:09 . 2008-10-09 13:10 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-18 17:58 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-04-09 14:42 . 2008-10-24 19:17 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-04-09 14:42 . 2008-10-24 19:17 -------- d-----w c:\program files\AGEIA Technologies
2009-04-09 14:40 . 2008-10-23 18:44 418480 ----a-w c:\windows\system32\wrap_oal.dll
2009-04-09 14:40 . 2008-10-23 18:44 115432 ----a-w c:\windows\system32\OpenAL32.dll
2009-04-05 09:06 . 2008-10-16 12:47 -------- d-----w c:\program files\QuickTime
2009-03-25 16:21 . 2009-03-25 16:20 -------- d-----w c:\program files\Common Files\DVDVideoSoft
2009-03-25 16:16 . 2008-10-21 19:43 -------- d-----w c:\program files\Free YouTube Downloader Converter
2009-03-21 21:35 . 2008-10-09 11:50 81776 ----a-w c:\users\Sebastian\AppData\Local\GDIPFONTCACHEV1.DAT
2009-03-21 14:11 . 2009-03-21 14:11 603904 ----a-w c:\windows\system32\TUProgSt.exe
2009-03-21 14:11 . 2009-03-21 14:11 362240 ----a-w c:\windows\system32\TuneUpDefragService.exe
2009-03-21 14:11 . 2009-03-21 14:10 -------- d-----w c:\program files\TuneUp Utilities 2009
2009-03-17 03:38 . 2009-04-17 08:56 40960 ----a-w c:\windows\AppPatch\apihex86.dll
2009-03-17 03:38 . 2009-04-17 08:56 13824 ----a-w c:\windows\system32\apilogen.dll
2009-03-17 03:38 . 2009-04-17 08:56 24064 ----a-w c:\windows\system32\amxread.dll
2009-03-15 14:14 . 2009-01-30 23:57 -------- d-----w c:\program files\ICQ6
2009-03-09 03:19 . 2008-12-25 21:39 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-03 11:02 . 2008-11-21 14:51 680 ----a-w c:\users\Sebastian\AppData\Local\d3d9caps.dat
2009-03-03 04:46 . 2009-04-17 08:57 3599328 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-17 08:57 3547632 ----a-w c:\windows\system32\ntoskrnl.exe
2009-03-03 04:40 . 2009-04-17 08:56 827392 ----a-w c:\windows\system32\wininet.dll
2009-03-03 04:39 . 2009-04-17 08:57 183296 ----a-w c:\windows\system32\sdohlp.dll
2009-03-03 04:39 . 2009-04-17 08:57 551424 ----a-w c:\windows\system32\rpcss.dll
2009-03-03 04:39 . 2009-04-17 08:57 26112 ----a-w c:\windows\system32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-17 08:56 78336 ----a-w c:\windows\system32\ieencode.dll
2009-03-03 04:37 . 2009-04-17 08:57 98304 ----a-w c:\windows\system32\iasrecst.dll
2009-03-03 04:37 . 2009-04-17 08:57 54784 ----a-w c:\windows\system32\iasads.dll
2009-03-03 04:37 . 2009-04-17 08:57 44032 ----a-w c:\windows\system32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-17 08:57 666624 ----a-w c:\windows\system32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-17 08:57 17408 ----a-w c:\windows\system32\iashost.exe
2009-03-03 02:28 . 2009-04-17 08:56 26624 ----a-w c:\windows\system32\ieUnatt.exe
2009-03-01 10:40 . 2008-10-20 15:23 -------- d-----w c:\program files\UseNeXT
2009-02-22 16:03 . 2009-02-22 15:15 81615 ----a-w c:\windows\War3Unin.dat
2009-02-22 15:21 . 2009-02-22 15:15 2829 ----a-w c:\windows\War3Unin.pif
2009-02-22 15:21 . 2009-02-22 15:15 139264 ----a-w c:\windows\War3Unin.exe
2009-02-15 00:08 . 2009-02-15 00:08 56 ---ha-w c:\users\All Users\ezsidmv.dat
2009-02-15 00:08 . 2009-02-15 00:08 56 ---ha-w c:\programdata\ezsidmv.dat
2009-02-13 08:49 . 2009-04-17 08:56 72704 ----a-w c:\windows\system32\secur32.dll
2009-02-09 03:10 . 2009-03-11 12:30 2033152 ----a-w c:\windows\system32\win32k.sys
2009-02-05 13:47 . 2006-11-02 10:25 86016 ----a-w c:\windows\inf\infstrng.dat
2009-02-05 13:47 . 2006-11-02 10:25 51200 ----a-w c:\windows\inf\infpub.dat
2009-02-05 13:47 . 2006-11-02 10:25 86016 ----a-w c:\windows\inf\infstor.dat
2009-02-03 03:09 . 2009-02-03 03:09 368640 ----a-w c:\windows\system32\ReWire.dll
2008-01-21 02:43 . 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini
2008-12-23 21:13 . 2008-10-27 21:27 67688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-12-23 21:13 . 2008-10-27 21:27 54368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-23 21:13 . 2008-10-27 21:27 34944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-12-23 21:13 . 2008-10-27 21:27 46712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-12-23 21:13 . 2008-10-27 21:27 172136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
2008-12-09 17:36 . 2008-12-09 17:34 24 --sh--w c:\windows\S2CC32CAF.tmp
2006-05-03 10:06 . 2009-01-13 20:39 163328 --sh--r c:\windows\System32\flvDX.dll
2007-02-21 11:47 . 2009-01-13 20:39 31232 --sh--r c:\windows\System32\msfDX.dll
2008-03-16 13:30 . 2009-01-13 20:39 216064 --sh--r c:\windows\System32\nbDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\program files\steam\steam.exe" [2009-01-13 1410296]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-10 216520]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"DeathAdder"="d:\program files\Razer\DeathAdder\razerhid.exe" [2007-05-07 159744]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-11-01 3772416]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"fsc-reg"="c:\programdata\fsc-reg\fscreg.exe" [2007-11-08 533264]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Acrobat - Schnellstart.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^Users^Sebastian^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^hamachi.lnk]
path=c:\users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hamachi.lnk
backup=c:\windows\pss\hamachi.lnk.Startup
backupExtension=.Startup
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CollaborationHost"=c:\windows\system32\p2phost.exe -s
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Acrobat Assistant 8.0"="d:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" /s
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3622106172-2588214691-1172252104-1000]
"EnableNotificationsRef"=dword:00000004
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\AuthorizedApplications\List]
"c:\\Program Files\\NCsoft\\Exteel (US)\\System\\Exteel.exe"= c:\program files\NCsoft\Exteel (US)\System\Exteel.exe:*:Enabled:Exteel
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{420CF7A8-6220-49F8-A14F-816A66C47A9F}"= UDP:d:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{9A260409-1E46-409B-945C-AE20225F18FB}"= TCP:d:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"{69A619F8-3940-4B13-B8B4-ECAE5C2076EE}"= UDP:3703:Adobe Version Cue CS3 Server
"{3AF84910-B168-42AD-9B0D-804DBA7D39EE}"= UDP:3704:Adobe Version Cue CS3 Server
"{62610A79-1628-4B3D-9058-CBEBF56E00D7}"= UDP:50900:Adobe Version Cue CS3 Server
"{5D7A2548-E2D0-483C-8F72-0354B5863597}"= UDP:50901:Adobe Version Cue CS3 Server
"{F3535030-3F2F-483F-81F9-0FB155217638}"= UDP:c:\program files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe:Adobe Version Cue CS3 Server
"{A67BEA41-7D45-44B4-B944-EC1837FCA673}"= TCP:c:\program files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe:Adobe Version Cue CS3 Server
"{B1C950BD-8B2B-41F9-B006-10E0E108521D}"= UDP:d:\program files\Outspark\Blackshot\System\BlackShot.exe:BlackShot
"{8981CD66-B621-4780-8935-F9202B57B307}"= TCP:d:\program files\Outspark\Blackshot\System\BlackShot.exe:BlackShot
"{F1DAC8E7-EF5C-441B-A3C9-758EA6E9E3CE}"= UDP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{F9CF04FD-22BF-41EC-9B31-65A8744723C1}"= TCP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{4F85A7D0-F9A0-4DC8-978A-D3FB3591CB3B}"= UDP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{D142E2F4-AE0C-4060-AFDE-8E2BE0D5B0C1}"= TCP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{EDB0FA15-2789-4696-AC65-D021A23E1094}"= UDP:d:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9
"{86790AA2-1A7D-4642-953E-E3DADB56D2D6}"= TCP:d:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9
"{CDC03954-1BA3-49C8-94E0-D2FA75B1315F}"= UDP:d:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10
"{17BF99E0-CA1A-4D6C-B7C2-858D1C46A76E}"= TCP:d:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10
"{3577C7BF-E77B-4063-93DC-66CF5FFCE9C5}"= UDP:d:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update
"{96D10A8D-0DC3-495D-A2B1-4D3CEECC670B}"= TCP:d:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update
"{81EA2D64-AB42-4209-B2B0-129AFA2068FD}"= UDP:c:\programdata\NexonEU\NGM\NGM.exe:Nexon Game Manager
"{C675FF21-531D-4B3F-9750-543FC32817BC}"= TCP:c:\programdata\NexonEU\NGM\NGM.exe:Nexon Game Manager
"{95B92FB9-1C78-438D-A090-D51067200E78}"= UDP:c:\nexon\Combat Arms EU\NMService.exe:Nexon Messenger Core
"{73A643AC-E587-427B-ACD7-A205BE5A0882}"= TCP:c:\nexon\Combat Arms EU\NMService.exe:Nexon Messenger Core
"{976B6246-2E0D-4279-8E11-FB87BA1A6E13}"= UDP:d:\program files\Activision\Call of Duty - World at War\CoDWaWmp.exe:Call of Duty(R) - World at War(TM)
"{1FF639F2-C190-4157-A276-DF79C3272546}"= TCP:d:\program files\Activision\Call of Duty - World at War\CoDWaWmp.exe:Call of Duty(R) - World at War(TM)
"{53085A04-28E1-4A9E-BB96-5F78FBC5E880}"= UDP:d:\program files\Activision\Call of Duty - World at War\CoDWaW.exe:Call of Duty(R) - World at War(TM)
"{CD877B16-EE4B-4FD3-A666-E94CCD7F0F1B}"= TCP:d:\program files\Activision\Call of Duty - World at War\CoDWaW.exe:Call of Duty(R) - World at War(TM)
"{1F6AA9F3-F6C6-49E3-ADEA-5B56F3F92BB7}"= UDP:5353:Adobe CSI CS4
"{6557981E-A034-41AD-ADB8-598D51B03463}"= UDP:c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe:Adobe CSI CS4
"{EE8532F0-14F7-4EB7-BC14-3FDA309F39FA}"= TCP:c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe:Adobe CSI CS4
"{51C6C71C-CB6E-49D7-A14F-F06BEC8B4610}"= c:\program files\Skype\Phone\Skype.exe:Skype
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\NCsoft\\Exteel (US)\\System\\Exteel.exe"= c:\program files\NCsoft\Exteel (US)\System\Exteel.exe:*:Enabled:Exteel
R2 EsetNod32Fix;Nod32 AV;c:\windows\Regedit.exe [2008-01-21 134656]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-02-17 2736890]
R3 XDva190;XDva190; [x]
R3 XDva208;XDva208; [x]
S2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2007-12-21 468224]
S2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [2008-05-01 3032360]
S2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [2009-01-28 185640]
S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2009-03-21 603904]
S3 DAdderFltr;DeathAdder Mouse;c:\windows\system32\drivers\dadder.sys [2007-04-12 10880]
S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\DRIVERS\wacmoumonitor.sys [2008-03-17 15144]
Also das der erste tei
__________________ BB Code IMG nicht erlaubt! :'( |
|
28.04.2009, 19:05
| #14 |
| | Ich Glaube ich bin Infeziert... 2. teil ^^ erster is drunter war zu lang Code:
ATTFilter --- Andere Dienste/Treiber im Speicher ---
*Deregistered* - sptd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2009-04-28 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-20 15:28]
2009-04-28 c:\windows\Tasks\User_Feed_Synchronization-{333793A4-2076-4470-A6E5-F45FB962AD71}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - d:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\users\Sebastian\AppData\Roaming\Mozilla\Firefox\Profiles\d9syqjq2.default\
FF - prefs.js: browser.startup.homepage - hxxp://anime-freaks.org/
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.allow_platform_file_picker", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.hideGoButton", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("signon.prefillForms", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.remoteLookups", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.updateURL", "http://sb.google.com/safebrowsing/update?client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.lookupURL", "http://sb.google.com/safebrowsing/lookup?sourceid=firefox-antiphish&features=TrustRank&client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.reportURL", "http://sb.google.com/safebrowsing/report?");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-28 19:59
Windows 6.0.6001 Service Pack 1 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
c:\windows\system32\drivers\ovfsthxsbkretnp.sys 81920 bytes executable
c:\windows\system32\ovfsthxbnmiirxq.dll 60928 bytes executable
c:\windows\system32\ovfsthxcxyeropb.dat 43 bytes
c:\windows\system32\ovfsthxdssvimxu.dat 1945 bytes
c:\windows\system32\ovfsthxfpnqieub.dll 18432 bytes executable
c:\windows\system32\ovfsthxvnrtwmpx.dll 18944 bytes executable
Scan erfolgreich abgeschlossen
versteckte Dateien: 6
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\Flash9f.ocx"
"ThreadingModel"="Apartment"
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.9"
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\system32\\Macromed\\Flash\\Flash9f.ocx, 1"
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\Flash9f.ocx"
"ThreadingModel"="Apartment"
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\system32\\Macromed\\Flash\\Flash9f.ocx, 1"
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
[HKEY_USERS\software\Classes\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil9f.exe,-101"
[HKEY_USERS\software\Classes\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}\Elevation]
"Enabled"=dword:00000001
[HKEY_USERS\software\Classes\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil9f.exe"
[HKEY_USERS\software\Classes\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_USERS\software\Classes\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}]
@Denied: (A 2) (Everyone)
@="IFlashBroker"
[HKEY_USERS\software\Classes\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_USERS\software\Classes\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
[HKEY_USERS\software\Classes\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
[HKEY_USERS\software\Classes\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
[HKEY_USERS\software\Classes\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
[HKEY_USERS\software\Classes\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
[HKEY_USERS\system\ControlSet002\Services\ovfsthxqpcdvede]
@DACL=(02 0000)
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=expand:"\\systemroot\\system32\\drivers\\ovfsthxsbkretnp.sys"
"inst"=dword:00000000
[HKEY_USERS\system\ControlSet004\Services\ovfsthxqpcdvede]
@DACL=(02 0000)
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=expand:"\\systemroot\\system32\\drivers\\ovfsthxsbkretnp.sys"
"inst"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'Explorer.exe'(1668)
c:\program files\RocketDock\RocketDock.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\wisptis.exe
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\WUDFHost.exe
c:\windows\System32\wisptis.exe
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\IoctlSvc.exe
c:\windows\System32\PnkBstrA.exe
c:\program files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
c:\windows\System32\WUDFHost.exe
c:\windows\System32\WTablet\Pen_TabletUser.exe
c:\windows\System32\rundll32.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
d:\program files\Razer\DeathAdder\razertra.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\program files\Common Files\Steam\SteamService.exe
d:\program files\Razer\DeathAdder\razerofa.exe
c:\windows\System32\wbem\WMIADAP.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-28 20:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-28 18:01
Vor Suchlauf: 29 Verzeichnis(se), 159.017.717.760 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 158.955.319.296 Bytes frei
418 --- E O F --- 2009-04-28 09:41
__________________ BB Code IMG nicht erlaubt! :'( |
|
28.04.2009, 19:48
| #15 |
| | Ich Glaube ich bin Infeziert... 1.) Deinstalliere:
Lade eine neue ComboFixversion auf deinen Desktop.
Code:
ATTFilter KILLALL::
Driver::
ovfsthxqpcdvede
EsetNod32Fix
npggsvc
XDva190
XDva208
TuneUp.ProgramStatisticsSvc
NetSvc::
UxTuneUp
RegLockDel::
[HKEY_USERS\system\ControlSet002\Services\ovfsthxqpcdvede]
[HKEY_USERS\system\ControlSet003\Services\ovfsthxqpcdvede]
[HKEY_USERS\system\ControlSet004\Services\ovfsthxqpcdvede]
[HKEY_USERS\system\ControlSet005\Services\ovfsthxqpcdvede]
[HKEY_USERS\system\ControlSet006\Services\ovfsthxqpcdvede]
RegLock::
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_USERS\software\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_USERS\software\Classes\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_USERS\software\Classes\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}]
[HKEY_USERS\software\Classes\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}\Elevation]
[HKEY_USERS\software\Classes\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}\LocalServer32]
[HKEY_USERS\software\Classes\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}\TypeLib]
[HKEY_USERS\software\Classes\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}]
[HKEY_USERS\software\Classes\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}\ProxyStubClsid32]
[HKEY_USERS\software\Classes\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}\TypeLib]
[HKEY_USERS\software\Classes\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
[HKEY_USERS\software\Classes\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
[HKEY_USERS\software\Classes\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
[HKEY_USERS\software\Classes\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"RtHDVCpl"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"=-
Rootkit::
c:\windows\system32\drivers\ovfsthxsbkretnp.sys
c:\windows\system32\ovfsthxbnmiirxq.dll
c:\windows\system32\ovfsthxcxyeropb.dat
c:\windows\system32\ovfsthxdssvimxu.dat
c:\windows\system32\ovfsthxfpnqieub.dll
c:\windows\system32\ovfsthxvnrtwmpx.dll
File::
c:\windows\Tasks\1-Click Maintenance.job
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
c:\users\Sebastian\AppData\Local\GDIPFONTCACHEV1.DAT
Folder::
c:\program files\UseNeXT
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
| Themen zu Ich Glaube ich bin Infeziert... |
| anti, datei, datein, dauerhaft, eingefangen, eset, eset smart security, gefangen, glaube, häufigsten, immer wieder, meldungen, programm, schonmal, security, smart, smart security, tagen, virenprogramm, warnungen, warum |
Linear-Darstellung
