![]() |
|
Log-Analyse und Auswertung: RECYCLER\S-***.com" konnte auch nicht gefunden werden.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() | ![]() RECYCLER\S-***.com" konnte auch nicht gefunden werden. Hallo liebes Forum! Erstmal finde ich super, dass einige hier so ausführlich und hilfreich die Lösungen der Probleme beschreiben. ![]() Vielleicht kann mir auch jemand helfen. Das Problem wurde hier schon oft behandelt, und ich habe festgestellt, dass die Lösungen fast immer individuell sind. Mein Problem ist folgendermaßen entstanden: 1. Computer wurde durch Stick angesteckt. 2. Während ich im Internet surfte, öffneten sich ab und zu "internet explorer" Fenster mit Werbung, obwohl ich mit "morzilla" unterwegs war. Nach Deinstallation von "internet explorer", schaffte der fiese-miese Trojaner doch noch die ie-fenster aufzumachen ![]() 3. Der Browser hat sich manchmal selbst geschlossen ![]() 4. Wenn man in der google suche etwas gesucht hat, ist man ab und zu auf irgendwelchen anderen seiten gelandet. 5. Ich dachte mit dem "antivir" war ich bestens geschützt. Dieser hat nichts gemeldet. Nach der Überprüfung mit dem "Spyware Terminator" hat sich herrausgestellt, dass viele Dateien von einem "backdoor trojaner" verseucht waren. 6. In diesem Forum (Danke!) habe ich dann gelesen, wie ich meinen "RECYCLER" und regestry bereinigen kann. 7. Nach der Bereinigung gibt es laut "Spyware Terminator" keine Viren mehr, doch das Problem aus dem Punkt 4 besteht immer noch. (Morzilla ist natürlich neu installiert) 8. Meine Festplatten lassen sich nur durch explorer öffnen. Beim Doppelklick erscheint eben die Meldung "RECYCLER\S-***.com" konnte nicht gefunden werden..." 9. "HiJackThis" lässt sich leider nicht öffnen. Und ich würde so gern meinen Log hier posten. Ich hoffe jemand kann damit was anfangen und mir helfen? Ich suche die Lösungen für die Punkte 7-9. |
![]() | #2 |
![]() | ![]() RECYCLER\S-***.com" konnte auch nicht gefunden werden. Auf die Antwort für Punkt 9 bin ich durch recherchen auch gekommen. Das ist ja wirklich rafiniert!!! Einige Trojaner sind darauf programmiert Hijack ausfindig zu machen und zu stoppen!
__________________![]() Erst nachdem ich die datei an einen anderen Ort kopiert und umbenannt habe, ließ sie sich starten. Hier ist mein Log: -------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:04:29, on 05.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe F:\1. PROGRAMME\iTunes\iTunesHelper.exe F:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe F:\1. PROGRAMME\Xampp\apache\bin\apache.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe F:\3. FONTS\Suitcase\Suitcase.exe C:\Programme\Bonjour\mDNSResponder.exe F:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\GoogleCrashHandler.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe F:\2. GRAFIKPROGRAMME\Maya 7\docs\wrapper.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE F:\1. PROGRAMME\Xampp\mysql\bin\mysqld-nt.exe F:\2. GRAFIKPROGRAMME\Maya 7\docs\jre\bin\java.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ShuttleEngine.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\svchost.exe F:\1. PROGRAMME\Xampp\apache\bin\apache.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe F:\1. PROGRAMME\MS Office Professional 2003\OFFICE11\OUTLOOK.EXE F:\1. PROGRAMME\MS Office Professional 2003\OFFICE11\WINWORD.EXE C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe C:\Programme\Spyware Terminator\SpywareTerminator.exe C:\Dokumente und Einstellungen\Ich\Desktop\dghjkk.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843 O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\2. GRAFIKPROGRAMME\Adobe\Acrobat 8\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "F:\1. PROGRAMME\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "F:\1. PROGRAMME\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [MaxMenuMgr] "F:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "F:\1. PROGRAMME\\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Suitcase Startup.lnk = ? O8 - Extra context menu item: Crawler Search - tbr:iemenu O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\189D5~1.PRO\MSOFFI~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing) O9 - Extra 'Tools' menuitem: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\189D5~1.PRO\MSOFFI~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\1. PROGRAMME\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\1. PROGRAMME\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1126.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{25E41A63-4BAA-498D-9174-E437E5C93218}: NameServer = 85.255.112.94,85.255.112.147 O17 - HKLM\System\CCS\Services\Tcpip\..\{77CC9805-A136-4FDC-B898-5A18941176A0}: NameServer = 213.209.104.250 213.209.104.220 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - F:\1. PROGRAMME\Xampp\apache\bin\apache.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Seagate Service (FreeAgentGoNext Service) - Seagate Technology LLC - F:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - F:\1. PROGRAMME\Gene6 FTP Server\G6FTPSERVER.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - F:\2. GRAFIKPROGRAMME\Maya 7\docs\wrapper.exe O23 - Service: mysql - Unknown owner - F:\1. PROGRAMME\Xampp\mysql\bin\mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe O23 - Service: Contour Shuttle Device Engine (ShuttleEngine) - Unknown owner - C:\WINDOWS\system32\ShuttleEngine.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe O23 - Service: XAMPP Service (XAMPP) - Unknown owner - F:\1. PROGRAMME\Xampp\service.exe -- End of file - 11092 bytes -------------------------------------------------------------------------- |
![]() | #3 |
/// Malwareteam ![]() ![]() ![]() ![]() | ![]() RECYCLER\S-***.com" konnte auch nicht gefunden werden. Tja, raffiniert sind sie...
__________________Dein Internet wird in die Ukraine umgeleitet: Code:
ATTFilter 85.255.112.94 org-name: UkrTeleGroup Ltd. address: UkrTeleGroup Ltd. address: Mechnikova 58/5 65029 Odessa Lass mal folgende Datei bei www.virustotal.com/de prüfen und poste das Ergebnis: C:\Dokumente und Einstellungen\Ich\Desktop\dghjkk.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren 2. Fixen bei HiJackThis: Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Code:
ATTFilter O9 - Extra button: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing) O9 - Extra 'Tools' menuitem: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing) O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing) O17 - HKLM\System\CCS\Services\Tcpip\..\{25E41A63-4BAA-498D-9174-E437E5C93218}: NameServer = 85.255.112.94,85.255.112.147 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147 und wähle fix checked. Starte den Rechner neu. 3. Fixwareout Download Fixwareout auf den Desktop Doppelklick Fixwareout.exe um es zu starten Klicke Next und dan auf Install, achte darauf das Run fixit angehaakt ist und klick Finish. Der Fix faengt an und folge die Instruktion im Fenster Wenn gefragt wird dein Rechner neu zu starten,starte neu Dein Rechner startet jetzt langsamer das ist normal Poste den Inhalt von C:\fixwareout\report.txt (report.txt). 4. Malwarebytes Anti-Malware Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) 5. Combofix Wende Combofix an und poste das Log: 6. Nun sofort alle Passwörter wechseln vorallem bei Ebanking danach poste ein neues HJT Log. Gruss Swiss |
![]() | #4 |
![]() | ![]() RECYCLER\S-***.com" konnte auch nicht gefunden werden. Das war vielleicht ein Stück Arbeit! So einen fiesen Virus habe ich noch nie entfernt ![]() Hier sind die Schritte von Swiss: 1. Die Datei "C:\Dokumente und Einstellungen\Ich\Desktop\dghjkk.exe" ist der umbenannte Hijacker ![]() 2. Habe ich durchgeführt 3. Fixwareout-log: Code:
ATTFilter Username "Ich" - 06.07.2009 20:54:39 [Fixwareout edited 9/01/2007] ~~~~~ Prerun check Der DNS-Auflösungscache wurde geleert. System was rebooted successfully. ~~~~~ Postrun check HKLM\SOFTWARE\~\Winlogon\ "System"="" .... .... ~~~~~ Misc files. .... ~~~~~ Checking for older varients. .... ~~~~~ Current runs (hklm hkcu "run" Keys Only) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "WheelMouse"="C:\\PROGRA~1\\A4Tech\\Mouse\\Amoumain.exe" "Adobe Reader Speed Launcher"="\"F:\\2. GRAFIKPROGRAMME\\Adobe\\Acrobat 8\\Reader\\Reader_sl.exe\"" "QuickTime Task"="\"F:\\1. PROGRAMME\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"F:\\1. PROGRAMME\\iTunes\\iTunesHelper.exe\"" "MaxMenuMgr"="\"F:\\Programme\\Seagate\\SeagateManager\\FreeAgent Status\\StxMenuMgr.exe\"" "SpywareTerminator"="\"C:\\Programme\\Spyware Terminator\\SpywareTerminatorShield.exe\"" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "Skype"="\"F:\\1. PROGRAMME\\Phone\\Skype.exe\" /nosplash /minimized" "Google Update"="\"C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Update\\GoogleUpdate.exe\" /c" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater] .... Hosts file was reset, If you use a custom hosts file please replace it... ~~~~~ End report ~~~~~ ![]() ![]() Code:
ATTFilter Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2382 Windows 5.1.2600 Service Pack 2 06.07.2009 23:32:48 mbam-log-2009-07-06 (23-32-48).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|) Durchsuchte Objekte: 486385 Laufzeit: 1 hour(s), 1 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\gxvxc (Rootkit.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\gxvxccounter (Trojan.DNSChanger) -> Quarantined and deleted successfully. C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully. |
![]() | #5 |
![]() | ![]() RECYCLER\S-***.com" konnte auch nicht gefunden werden. 5. Anschließend wurden die Ausgangsprobleme mit dem Combofix gelöst! Hier ist der Log: Code:
ATTFilter ComboFix 09-07-06.02 - Ich 07.07.2009 0:23.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.688 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Ich\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00DA-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00DD-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00EB-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00EE-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00FC-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-010D-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {BADB0D00-FFA4-00EB-0D24-347CA8A3377C} FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf c:\dokume~1\Ich\LOKALE~1\Temp\tmp2.tmp c:\windows\Installer\WMEncoder.msi c:\windows\system32\drivers\gxvxcbbakltlemxfubqkivamrfhqlrsvppxew.sys c:\windows\system32\drivers\gxvxcgmcomqsnlmdxuhyejdtkawykxjbebpul.sys c:\windows\system32\drivers\gxvxcgxvjlkawyjepvaqlmsnqdwmnmojpxlph.sys c:\windows\system32\drivers\gxvxcoqvscdbowflnbwjxpbwwyllrqmqfvkav.sys c:\windows\system32\drivers\gxvxcrmybwqvophwevdokdktaxvbdvbrfmmep.sys c:\windows\system32\drivers\gxvxctxtqpehkvrwjcvmknclfjnaltxumwspn.sys c:\windows\system32\drivers\gxvxcurlntaosvsgvuvjmuxntlpwacyhvwwwm.sys c:\windows\system32\drivers\gxvxcwvbquxeuvmhxidmelcbfirjjfuwntubv.sys c:\windows\system32\drivers\gxvxcxkqaqukvacryairalwklpjlnufsksmcp.sys c:\windows\system32\drivers\gxvxcxsntjlalwnrncjnydiejgdlkxppunhlx.sys c:\windows\system32\drivers\MSIVXserv.sys c:\windows\system32\gxvxccjrkrdqjudntakqfrkfjdveobebnvudt.dll c:\windows\system32\gxvxccounter c:\windows\system32\gxvxcjobvitexmilxtlhfsfcruyoyhxfjdtpo.dll D:\Autorun.inf F:\Autorun.inf G:\Autorun.inf . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_gxvxcserv.sys ((((((((((((((((((((((( Dateien erstellt von 2009-06-06 bis 2009-07-06 )))))))))))))))))))))))))))))) . 2009-07-06 20:13 . 2009-07-06 20:13 -------- d-----w- c:\dokumente und einstellungen\Ich\Anwendungsdaten\Malwarebytes 2009-07-06 20:12 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-07-06 20:12 . 2009-07-06 21:32 -------- d-----w- C:\schutzi 2009-07-06 20:12 . 2009-07-06 20:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-06 20:12 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-07-06 18:53 . 2009-07-06 18:58 -------- d-----w- C:\fixwareout 2009-07-03 22:15 . 2009-07-03 22:16 -------- d-----w- c:\programme\Crawler 2009-06-07 16:49 . 2009-07-05 09:50 -------- d-----w- c:\programme\WinClamAVShield 2009-06-07 16:13 . 2009-06-07 16:13 6144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator\sp_rsdel.exe 2009-06-07 16:13 . 2009-06-07 16:13 5632 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator\fileobjinfo.sys 2009-06-07 16:13 . 2009-06-07 16:13 142592 ----a-w- c:\windows\system32\drivers\sp_rsdrv2.sys 2009-06-07 16:13 . 2009-07-06 20:06 -------- d-----w- c:\dokumente und einstellungen\Ich\Anwendungsdaten\Spyware Terminator 2009-06-07 16:13 . 2009-07-06 19:31 -------- d-----w- c:\programme\Spyware Terminator 2009-06-07 16:13 . 2009-07-05 11:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator 2009-06-07 08:52 . 2009-06-07 08:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\STOPzilla! . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-06 22:09 . 2006-06-17 12:13 -------- d-----w- c:\dokumente und einstellungen\Ich\Anwendungsdaten\Skype 2009-07-06 22:09 . 2009-03-21 19:33 -------- d-----w- c:\dokumente und einstellungen\Ich\Anwendungsdaten\skypePM 2009-07-03 13:47 . 2007-07-24 11:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet 2009-06-15 07:13 . 2008-08-26 08:18 -------- d-----w- c:\programme\ICQToolbar 2009-06-06 22:03 . 2006-05-10 09:18 -------- d-----w- c:\dokumente und einstellungen\Ich\Anwendungsdaten\Azureus 2009-05-25 23:54 . 2009-05-25 23:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus 2009-05-25 23:54 . 2009-05-25 23:54 -------- d-----w- c:\programme\Vuze 2009-05-22 11:33 . 2001-08-23 12:00 80760 ----a-w- c:\windows\system32\perfc007.dat 2009-05-22 11:33 . 2001-08-23 12:00 451864 ----a-w- c:\windows\system32\perfh007.dat 2009-05-21 16:04 . 2009-05-21 16:04 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\ICQ Toolbar 2009-05-21 15:43 . 2009-05-21 15:43 -------- d-----w- c:\programme\Gemeinsame Dateien\EZB Systems . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360] "Skype"="f:\1. programme\Phone\Skype.exe" [2009-04-16 24264488] "Google Update"="c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-10-29 4620288] "WheelMouse"="c:\progra~1\A4Tech\Mouse\Amoumain.exe" [2003-10-23 188416] "Adobe Reader Speed Launcher"="f:\2. grafikprogramme\Adobe\Acrobat 8\Reader\Reader_sl.exe" [2007-05-11 40048] "QuickTime Task"="f:\1. programme\QuickTime\qttask.exe" [2008-03-28 413696] "iTunesHelper"="f:\1. programme\iTunes\iTunesHelper.exe" [2008-03-30 267048] "MaxMenuMgr"="f:\programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" [2008-10-28 181544] "SpywareTerminator"="c:\programme\Spyware Terminator\SpywareTerminatorShield.exe" [2009-06-07 2176000] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2004-10-29 921600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Suitcase Startup.lnk - f:\3. fonts\Suitcase\Suitcase.exe [2006-3-17 1613824] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoStrCmpLogical"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "GreyMSIAds"= 1 (0x1) "NoExpandedNewMenu"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background "G6FTP Server Tray Monitor"="f:\1. programme\Gene6 FTP Server\G6FTPTray.exe" "PcSync"=f:\1. programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog "CTFMON.EXE"=c:\windows\system32\ctfmon.exe "GMX SMS-Manager"=f:\1. programme\GMX SMS-Manager\SMSMngr.exe "Yahoo! Pager"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet "Skype"="f:\1. programme\Phone\Skype.exe" /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "WinampAgent"=f:\1. programme\Winamp\winampa.exe "RemoteControl"="f:\1. programme\PoweDVD\PDVDServ.exe" "NeroFilterCheck"=c:\windows\system32\NeroCheck.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_01\bin\jusched.exe" "BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit "SoundMan"=SOUNDMAN.EXE "Winamp Agent"=f:\1. programme\Winamp\winampa.exe "PCSuiteTrayApplication"=f:\1. programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray "DataLayer"=c:\programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe "LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe" "PWRISOVM.EXE"=f:\1. programme\PowerISO\PWRISOVM.EXE "LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam10\QuickCam10.exe" /hide "LVCOMSX"="c:\programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe" "Contour Shuttle Device Helper"=c:\programme\Contour Shuttle\ShuttleHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "f:\\1. PROGRAMME\\Emule\\emule.exe"= "f:\\2. GRAFIKPROGRAMME\\Maya 7\\bin\\maya.exe"= "f:\\1. PROGRAMME\\VoipBuster\\VoipBuster.exe"= "f:\\2. GRAFIKPROGRAMME\\Poser\\Poser.exe"= "f:\\1. PROGRAMME\\Trillian\\trillian.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\msncall.exe"= "f:\\1. PROGRAMME\\Xampp\\apache\\bin\\apache.exe"= "c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "c:\\Programme\\IDM Computer Solutions\\UltraEdit-32\\uedit32.exe"= "f:\\1. PROGRAMME\\ICQ6\\ICQ.exe"= "f:\\2. GRAFIKPROGRAMME\\RenderPal2004\\RenderPal.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "f:\\1. PROGRAMME\\iTunes\\iTunes.exe"= "c:\\Programme\\Vuze\\Azureus.exe"= "g:\\Games\\UT2004\\System\\UT2004.exe"= "f:\\1. PROGRAMME\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "21:TCP"= 21:TCP:FTP "2799:UDP"= 2799:UDP:Altova License Metering Port (UDP) "2799:TCP"= 2799:TCP:Altova License Metering Port (TCP) R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [13.03.2006 14:10 18208] R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [07.06.2009 18:13 142592] R2 Apache2.2;Apache2.2;f:\1. programme\Xampp\apache\bin\apache.exe [05.03.2007 12:23 16896] R2 FreeAgentGoNext Service;Seagate Service;f:\programme\Seagate\SeagateManager\Sync\FreeAgentService.exe [28.10.2008 17:42 156968] R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;c:\windows\system32\drivers\Amps2prt.sys [26.08.2003 11:37 9728] S2 XAMPP;XAMPP Service;f:\1. programme\Xampp\service.exe [23.10.2006 16:24 60928] S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [17.03.2008 08:50 16512] S3 G6FTPServer;Gene6 FTP Server;f:\1. programme\Gene6 FTP Server\G6FTPServer.exe [04.05.2006 15:07 816640] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 22:46 28224] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 22:46 27072] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-07-03 c:\windows\Tasks\1-Click Maintenance.job - f:\1. programme\TuneUp\SystemOptimizer.exe [2006-12-19 15:53] 2009-02-18 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-07-25 12:57] 2009-07-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-350281380-233495102-1455855570-1003Core.job - c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 13:34] 2009-07-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-350281380-233495102-1455855570-1003UA.job - c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 13:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 mStart Page = hxxp://alice.aol.de uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com IE: Crawler Search - tbr:iemenu IE: Nach Microsoft &Excel exportieren - f:\189d5~1.pro\MSOFFI~1\OFFICE11\EXCEL.EXE/3000 Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\programme\Crawler\ctbr.dll DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://img.web.de/v/mail/activex/mail_upload_1126.cab FF - ProfilePath - c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\vyq3rvll.default\ FF - prefs.js: browser.startup.homepage - FF - plugin: c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\npGoogleOneClick8.dll FF - plugin: c:\progra~1\Yahoo!\Common\npyaxmpb.dll FF - plugin: c:\programme\Microsoft Silverlight\npctrl.1.0.20816.0.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin8.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npvirtools.dll FF - plugin: f:\1. programme\DivX 6.5\DivX\DivX Content Uploader\npUpload.dll FF - plugin: f:\1. programme\DivX 6.5\DivX\DivX Player\npDivxPlayerPlugin.dll FF - plugin: f:\1. programme\DivX 6.5\DivX\DivX Web Player\npdivx32.dll FF - plugin: f:\1. programme\iTunes\Mozilla Plugins\npitunes.dll FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin.dll FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin2.dll FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin3.dll FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin4.dll FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin5.dll FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin6.dll FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin7.dll FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin8.dll FF - plugin: f:\2. grafikprogramme\Adobe\Acrobat 8\Reader\browser\nppdf32.dll FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-07 00:27 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version] "Version"=hex:31,35,ee,95,b6,95,f9,4b,8f,9c,ea,a4,b7,8a,7c,a0,c5,66,7d,da,57, 1c,9f,5d,81,62,71,6b,26,bb,97,48,c1,88,b5,bf,7b,d8,c6,c1,df,ca,04,5f,ca,59,\ [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|ù•Ñw*] "5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered" "91A14B995DF7C0B42ABAA16065968F3A"="f:\\2. GRAFIKPROGRAMME\\Maya 7\\presets\\Ashli\\" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*] "91A14B995DF7C0B42ABAA16065968F3A"="d:\\vorrübergehend\\Maya\\presets\\Ashli\\" [HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version] "Version"=hex:31,35,ee,95,b6,95,f9,4b,8f,9c,ea,a4,b7,8a,7c,a0,c5,66,7d,da,57, 1c,9f,5d,81,62,71,6b,26,bb,97,48,c1,88,b5,bf,7b,d8,c6,c1,df,ca,04,5f,ca,59,\ . Zeit der Fertigstellung: 2009-07-06 0:30 ComboFix-quarantined-files.txt 2009-07-06 22:29 Vor Suchlauf: 5.110.943.744 Bytes frei Nach Suchlauf: 5.094.694.912 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /TUTag=STSZUA /Kernel=TUKernel.exe multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=STSZUA-BAK 289 --- E O F --- 2007-10-16 18:28 ![]() ![]() die nummer sechst folgt... danach werde ich noch meinen log posten |
![]() |
Themen zu RECYCLER\S-***.com" konnte auch nicht gefunden werden. |
.com, antivir, backdoor, backdoor trojaner, browser, computer, dateien, explorer, festgestellt, festplatte, forum, google, hijack, hijackthis, hilfreich, internet, internet explorer, keine viren, log, neu, nicht gefunden, seite, seiten, spyware, spyware terminator, stick, suche, super, trojaner, viren, werbung |