Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Windowsclick.com Trojaner auf meinem PC

Windowsclick.com Trojaner auf meinem PC


Plagegeister aller Art und deren Bekämpfung: Windowsclick.com Trojaner auf meinem PC

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.08.2009, 09:36   #1
LindaHH
 
Windowsclick.com Trojaner auf meinem PC - Standard

Windowsclick.com Trojaner auf meinem PC


Teil II
Code:
ATTFilter
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Encoder (KB954156)-->"C:\WINDOWS\$NtUninstallKB954156_WM9L$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
SWAT 4 - THE STETCHKOV SYNDICATE-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{97E12F84-C033-4DA2-97D2-F540C3E292EA}  uninstall
SWAT 4-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{8E1CCF20-9E12-4824-BD59-7AD9E0486DD8}  uninstall
TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Outlook 2007 Junk Email Filter (kb972691)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {AA020E6E-E2FB-45EF-B732-2400E2296742}
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
W83L518D-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CD815603-AB71-4CFB-B3AC-522298037ACC}\Setup.exe" -l0x7 
Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Encoder 9-Reihe-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Encoder 9-Reihe-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
X10 Hardware(TM)-->C:\WINDOWS\UNWISE.EXE C:\PROGRA~1\X10HAR~1\Install.log

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: ***-8C1230ABC8
Event Code: 7023
Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: 
Das angegebene Modul wurde nicht gefunden.


Record Number: 14596
Source Name: Service Control Manager
Time Written: 20090731192032.000000+120
Event Type: Fehler
User: 

Computer Name: ***-8C1230ABC8
Event Code: 7036
Message: Dienst "Anwendungsverwaltung" befindet sich jetzt im Status "Beendet".

Record Number: 14595
Source Name: Service Control Manager
Time Written: 20090731192032.000000+120
Event Type: Informationen
User: 

Computer Name: ***-8C1230ABC8
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Anwendungsverwaltung" gesendet.

Record Number: 14594
Source Name: Service Control Manager
Time Written: 20090731192032.000000+120
Event Type: Informationen
User: ***-8C1230ABC8\***

Computer Name: ***-8C1230ABC8
Event Code: 7023
Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: 
Das angegebene Modul wurde nicht gefunden.


Record Number: 14593
Source Name: Service Control Manager
Time Written: 20090731192032.000000+120
Event Type: Fehler
User: 

Computer Name: ***-8C1230ABC8
Event Code: 7036
Message: Dienst "Anwendungsverwaltung" befindet sich jetzt im Status "Beendet".

Record Number: 14592
Source Name: Service Control Manager
Time Written: 20090731192032.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: ***-8C1230ABC8
Event Code: 3
Message: AssetServicesCS3: class vcfoundation::base::VCIllegalState: IVCPipeServer already closed
Trace: (null)

Record Number: 706935
Source Name: Adobe Version Cue CS3
Time Written: 20090815195826.000000+120
Event Type: Fehler
User: 

Computer Name: ***-8C1230ABC8
Event Code: 3
Message: AssetServicesCS3: class vcfoundation::base::VCIllegalState: IVCPipeServer already closed
Trace: (null)

Record Number: 706934
Source Name: Adobe Version Cue CS3
Time Written: 20090815195826.000000+120
Event Type: Fehler
User: 

Computer Name: ***-8C1230ABC8
Event Code: 3
Message: AssetServicesCS3: class vcfoundation::base::VCIllegalState: IVCPipeServer already closed
Trace: (null)

Record Number: 706933
Source Name: Adobe Version Cue CS3
Time Written: 20090815195826.000000+120
Event Type: Fehler
User: 

Computer Name: ***-8C1230ABC8
Event Code: 3
Message: AssetServicesCS3: class vcfoundation::base::VCIllegalState: IVCPipeServer already closed
Trace: (null)

Record Number: 706932
Source Name: Adobe Version Cue CS3
Time Written: 20090815195826.000000+120
Event Type: Fehler
User: 

Computer Name: ***-8C1230ABC8
Event Code: 3
Message: AssetServicesCS3: class vcfoundation::base::VCIllegalState: IVCPipeServer already closed
Trace: (null)

Record Number: 706931
Source Name: Adobe Version Cue CS3
Time Written: 20090815195826.000000+120
Event Type: Fehler
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\Gemeinsame Dateien\Autodesk Shared\;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG;C:\Programme\Gemeinsame Dateien\DivX Shared\;C:\Programme\QuickTime\QTSystem\;C:\Programme\Pinnacle\Shared Files\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 3, GenuineIntel
"PROCESSOR_REVISION"=0403
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\j2re1.4.2\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\j2re1.4.2\lib\ext\QTJava.zip

-----------------EOF-----------------
Werde dann jetzt mit Combofix starten,

Linda

Alt 24.08.2009, 10:16   #2
LindaHH
 
Windowsclick.com Trojaner auf meinem PC - Standard

Windowsclick.com Trojaner auf meinem PC


So, hier das Combofix Log:

Teil I
Code:
ATTFilter
ComboFix 09-08-22.06 - *** 24.08.2009 11:05.1.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3071.2683 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\pdfforge Toolbar\SearchSettings.dll
c:\windows\Installer\WMEncoder.msi
c:\windows\system32\drivers\UACyoyxebndmj.sys
c:\windows\system32\UACayqllmwyqm.dll
c:\windows\system32\UACbctpooxdul.dll
c:\windows\system32\UACbhopmkmmnb.dat
c:\windows\system32\UAChldmbvcvyc.dll
c:\windows\system32\uacinit.dll
c:\windows\system32\UACkgjrvttkrp.dll
c:\windows\system32\UACuyxehtklra.db

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_UACd.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-07-24 bis 2009-08-24  ))))))))))))))))))))))))))))))
.

2009-08-23 16:11 . 2009-08-23 18:41	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Zattoo
2009-08-23 16:10 . 2009-08-23 16:10	--------	d-----w-	c:\programme\Zattoo
2009-08-23 11:13 . 2009-08-23 11:34	--------	d-----w-	c:\programme\trend micro
2009-08-23 11:13 . 2009-08-23 11:13	--------	d-----w-	C:\rsit
2009-08-23 10:28 . 2009-08-23 10:28	--------	d-----w-	c:\programme\CCleaner
2009-08-23 08:33 . 2009-08-23 08:33	--------	d-----w-	C:\2a14503caf6b6df49340db
2009-08-23 08:20 . 2009-08-23 08:20	--------	d-----w-	C:\44cb73585a2cb1d06607acb23d
2009-08-22 21:09 . 2009-08-22 21:09	--------	d-----w-	C:\5d9aa79e0ae0f34208c74e0aa582
2009-08-22 14:22 . 2009-08-22 14:22	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PCHealth
2009-08-22 12:34 . 2009-08-22 12:34	299144	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-08-22 12:34 . 2009-08-22 12:34	--------	d-----w-	c:\windows\system32\XPSViewer
2009-08-22 12:34 . 2009-08-22 12:34	--------	d-----w-	c:\programme\Reference Assemblies
2009-08-22 12:34 . 2009-08-22 12:34	--------	d-----w-	C:\672f7e1f3e8531b20d3b3ea343208cab
2009-08-22 12:34 . 2008-07-06 12:06	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-08-22 12:34 . 2008-07-06 12:06	575488	-c----w-	c:\windows\system32\dllcache\xpsshhdr.dll
2009-08-22 12:34 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2009-08-22 12:34 . 2008-07-06 12:06	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2009-08-22 12:34 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2009-08-22 12:34 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2009-08-22 12:34 . 2008-07-06 10:50	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-08-18 17:52 . 2009-08-18 17:52	--------	d-----w-	c:\programme\Sierra
2009-08-17 19:10 . 2009-08-17 19:10	98304	----a-w-	c:\windows\system32\CmdLineExt.dll
2009-08-17 18:11 . 2009-08-17 18:11	--------	d-----w-	c:\programme\Eidos
2009-08-16 07:44 . 2009-08-16 07:44	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Panasonic
2009-08-16 07:13 . 2007-06-15 10:57	59488	----a-w-	c:\windows\system32\GenSvcInst.exe
2009-08-16 07:13 . 2007-06-15 10:57	145504	----a-w-	c:\windows\system32\bgsvcgen.exe
2009-08-16 07:13 . 2006-12-19 11:42	8704	----a-w-	c:\windows\system32\BHARegister.dll
2009-08-16 07:13 . 2006-02-20 17:17	33408	----a-w-	c:\windows\system32\drivers\cdrbsdrv.sys
2009-08-16 07:13 . 2005-05-01 12:41	49152	----a-w-	c:\windows\system32\setupsvc.dll
2009-08-16 07:12 . 2009-08-16 07:12	--------	d-----w-	c:\programme\Panasonic
2009-08-16 07:11 . 2009-08-16 07:11	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\InstallShield
2009-08-13 06:28 . 2009-07-10 13:26	1315328	-c----w-	c:\windows\system32\dllcache\msoe.dll
2009-08-07 18:14 . 2009-08-07 18:14	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\AVS4YOU
2009-08-07 18:14 . 2009-08-10 18:12	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\AVS4YOU
2009-08-07 18:13 . 2009-08-10 18:08	--------	d-----w-	c:\programme\Gemeinsame Dateien\AVSMedia
2009-08-07 18:13 . 2009-08-10 18:09	--------	d-----w-	c:\programme\AVS4YOU
2009-08-06 14:48 . 2009-08-06 14:48	--------	d-----w-	C:\divx
2009-08-06 14:41 . 2009-08-06 14:41	--------	d-----w-	c:\programme\ConvertHelper
2009-08-06 14:38 . 2009-08-06 14:40	--------	d-----w-	c:\dokumente und einstellungen\***\dwhelper
2009-07-28 15:42 . 2009-07-28 15:43	--------	d-----w-	c:\programme\Photo DVD Maker Professional
2009-07-28 12:29 . 2009-07-28 12:29	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\TEMP
2009-07-28 12:29 . 2009-07-28 20:21	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Photo DVD Maker
2009-07-28 12:29 . 2009-07-28 12:29	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Anvsoft

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-24 09:10 . 2009-05-05 09:19	--------	d-----w-	c:\programme\pdfforge Toolbar
2009-08-23 16:11 . 2009-03-10 19:45	146640	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-23 10:23 . 2009-04-27 19:24	--------	d-----w-	c:\programme\Mozilla Thunderbird
2009-08-22 12:35 . 2004-08-04 12:00	81118	----a-w-	c:\windows\system32\perfc007.dat
2009-08-22 12:35 . 2004-08-04 12:00	452310	----a-w-	c:\windows\system32\perfh007.dat
2009-08-22 11:03 . 2009-04-30 21:13	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2009-08-21 19:04 . 2009-08-21 19:04	784745	----a-w-	c:\windows\system32\xa.tmp
2009-08-17 18:11 . 2009-03-10 18:04	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-08-14 06:07 . 2009-05-04 19:13	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Microsoft Help
2009-08-06 14:49 . 2009-05-11 14:48	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\DivX
2009-08-05 15:21 . 2009-07-14 15:01	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2004-08-04 12:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-24 10:46 . 2009-07-24 10:46	--------	d-----w-	c:\programme\Windows Media Connect 2
2009-07-24 09:35 . 2009-07-07 18:23	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Move Networks
2009-07-19 21:02 . 2009-05-10 15:42	--------	d-----w-	c:\programme\DivX
2009-07-19 21:02 . 2009-05-10 15:42	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2009-07-17 19:01 . 2004-08-04 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-17 10:21 . 2009-07-17 10:18	--------	d-----w-	c:\programme\Avidemux 2.5
2009-07-17 10:20 . 2009-07-17 10:19	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\avidemux
2009-07-17 10:01 . 2009-07-17 10:01	--------	d-----w-	c:\programme\Gemeinsame Dateien\MAGIX Shared
2009-07-15 07:20 . 2009-03-10 20:17	--------	d-----w-	c:\programme\Avira
2009-07-14 15:01 . 2009-07-14 15:01	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Avira
2009-07-13 21:43 . 2004-08-04 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-10 14:13 . 2009-07-10 11:43	--------	d-----w-	c:\programme\NOS
2009-07-10 14:13 . 2009-07-10 11:43	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\NOS
2009-07-10 11:39 . 2009-07-10 11:36	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Pinnacle VideoSpin
2009-07-10 11:36 . 2009-07-10 11:36	--------	d-----w-	c:\programme\Gemeinsame Dateien\Yahoo!
2009-07-10 11:36 . 2009-07-10 11:36	--------	d-----w-	c:\programme\Pinnacle
2009-07-07 16:32 . 2009-07-07 16:32	488960	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\pmv302-0811070-0-main.dll
2009-07-07 16:32 . 2009-07-07 16:32	319488	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
2009-06-29 15:55 . 2004-08-04 12:00	827392	----a-w-	c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2004-08-04 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2004-08-04 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2009-06-27 16:58 . 2009-06-16 18:11	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Hamachi
2009-06-27 06:59 . 2009-05-10 10:55	--------	d-----w-	c:\programme\FreeUndelete
2009-06-25 08:25 . 2004-08-04 12:00	737792	----a-w-	c:\windows\system32\lsasrv.dll
2009-06-25 08:25 . 2004-08-04 12:00	56832	----a-w-	c:\windows\system32\secur32.dll
2009-06-25 08:25 . 2004-08-04 12:00	54272	----a-w-	c:\windows\system32\wdigest.dll
2009-06-25 08:25 . 2004-08-04 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2009-06-25 08:25 . 2004-08-04 12:00	147456	----a-w-	c:\windows\system32\schannel.dll
2009-06-25 08:25 . 2004-08-04 12:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-06-24 11:18 . 2004-08-04 12:00	92928	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-06-19 15:42 . 2009-03-10 18:35	17408	----a-w-	c:\windows\system32\drivers\USBCRFT.SYS
2009-06-16 18:11 . 2009-06-16 18:11	25280	----a-w-	c:\windows\system32\drivers\hamachi.sys
2009-06-16 14:36 . 2004-08-04 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2004-08-04 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-15 19:44 . 2009-06-15 19:44	22328	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2009-06-15 19:44 . 2009-06-15 19:44	22328	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\PnkBstrK.sys
2009-06-15 19:44 . 2009-06-15 19:44	22328	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\PnkBstrK.sys
2009-06-15 19:44 . 2009-06-15 19:44	103736	----a-w-	c:\windows\system32\PnkBstrB.exe
2009-06-15 19:44 . 2009-06-15 19:44	66872	----a-w-	c:\windows\system32\PnkBstrA.exe
2009-06-15 10:43 . 2004-08-04 12:00	78848	----a-w-	c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2004-08-04 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2009-03-10 01:36	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2004-08-04 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2004-08-04 12:00	1296896	----a-w-	c:\windows\system32\quartz.dll
2009-06-01 16:14 . 2009-06-01 16:12	152576	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-01 16:12 . 2009-06-01 16:12	410984	----a-w-	c:\windows\system32\deploytk.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-01-30 13:12	650752	----a-w-	c:\programme\pdfforge Toolbar\WidgiToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-01-30 650752]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RaConfig2500.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\RaConfig2500.lnk
backup=c:\windows\pss\RaConfig2500.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Programme\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Programme\\AVS4YOU\\AVSVideoConverter6\\AVSVideoConverter.exe"=
"c:\\Programme\\AVS4YOU\\Registration.exe"=
"c:\\Programme\\AVS4YOU\\AVSUpdateManger\\AVSUpdateManager.exe"=
"c:\\Programme\\Avidemux 2.5\\avidemux2_qt4.exe"=
"c:\\Programme\\Autodesk\\Autodesk Express Viewer\\ExpressViewer.exe"=
"c:\\Programme\\AVS4YOU\\AVSVideoEditor\\AVSVideoEditor.exe"=
"c:\\Programme\\AVS4YOU\\AVSSoftwareNavigator\\AVS4YOUSoftwareNavigator.exe"=
"c:\\Programme\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4X.exe"=
"c:\\Programme\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4XDedicatedServer.exe"=
__________________
Alt 24.08.2009, 10:17   #3
LindaHH
 
Windowsclick.com Trojaner auf meinem PC - Standard

Windowsclick.com Trojaner auf meinem PC


Teil II

Code:
ATTFilter
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.07.2009 17:01 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [06.05.2009 21:17 604416]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [15.03.2009 20:57 666368]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [12.05.2005 15:39 1287296]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [15.03.2009 21:01 19928]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [10.03.2009 20:35 17408]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 21:46 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 21:46 27072]
S3 USBAV191;Instant VideoXpress;c:\windows\system32\drivers\USBAV191.SYS [15.03.2009 18:20 120128]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://alice.aol.de
mStart Page = hxxp://alice.aol.de
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF - ProfilePath - c:\dokume~1\***\ANWEND~1\Mozilla\Firefox\Profiles\69nj4pze.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\69nj4pze.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: d:\programme\plugins\npzylomgamesplayer.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - trued:\programme\greprefs\all.js - pref("media.enforce_same_site_origin", false);
d:\programme\greprefs\all.js - pref("media.cache_size", 51200);
d:\programme\greprefs\all.js - pref("media.ogg.enabled", true);
d:\programme\greprefs\all.js - pref("media.wave.enabled", true);
d:\programme\greprefs\all.js - pref("media.autoplay.enabled", true);
d:\programme\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
d:\programme\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
d:\programme\greprefs\all.js - pref("dom.storage.default_quota",      5120);
d:\programme\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
d:\programme\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
d:\programme\greprefs\all.js - pref("layout.css.dpi", -1);
d:\programme\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
d:\programme\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
d:\programme\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
d:\programme\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
d:\programme\greprefs\all.js - pref("geo.enabled", true);
d:\programme\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
d:\programme\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
d:\programme\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
d:\programme\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
d:\programme\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
d:\programme\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
d:\programme\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
d:\programme\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
d:\programme\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
d:\programme\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
d:\programme\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
d:\programme\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
d:\programme\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
d:\programme\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
d:\programme\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
d:\programme\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
d:\programme\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
d:\programme\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
d:\programme\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
d:\programme\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
d:\programme\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
d:\programme\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
d:\programme\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
d:\programme\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
d:\programme\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
d:\programme\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
d:\programme\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
d:\programme\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
d:\programme\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
d:\programme\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-24 11:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,c3,b1,95,56,c6,
   a2,e2,f9,e2,63,26,f1,3f,c8,ff,68,6b,5e,a4,a7,0a,3c,80,3c,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,4f,eb,34,55,b9,
   7f,7d,b1,6a,9c,d6,61,af,45,84,18,fb,a9,a3,77,0b,8f,73,9a,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,f1,af,23,23,ef,
   12,f6,03,ff,7c,85,e0,43,d4,0e,fe,7d,4b,23,ce,2e,75,80,45,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,06,b9,1d,27,ba,
   e6,ec,23,86,8c,21,01,be,91,eb,e7,57,8a,6c,6a,fc,6b,10,b9,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,c2,21,62,a5,24,
   bb,9f,01,f5,1d,4d,73,a8,13,5c,05,8e,ed,ae,0b,d1,04,46,0f,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,d5,e0,68,f1,37,
   21,d9,74,df,20,58,62,78,6b,cf,c8,85,28,6b,1f,c4,f5,44,35,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,1a,85,85,a0,56,
   3e,6b,73,fb,a7,78,e6,12,2f,9a,ea,9a,4f,66,9b,36,2e,12,ec,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,4b,35,55,8c,ee,
   06,29,4f,01,3a,48,fc,e8,04,4a,f1,82,b8,b2,cf,6a,e9,4c,23,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,e9,54,0f,c8,cb,
   86,b9,c7,f6,0f,4e,58,98,5b,89,c9,1c,3a,97,02,97,12,b3,f4,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:37,a4,aa,c3,a6,15,56,0a,33,60,58,16,0d,
   87,56,6e,3d,ce,ea,26,2d,45,aa,78,48,b1,e9,55,ca,68,03,7a,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,73,ce,37,da,25,
   dd,16,88,2a,b7,cc,b5,b9,7f,41,e7,2e,f9,25,9f,07,52,54,8c,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,9e,46,7f,3e,a0,
   e1,0e,f6,6c,43,2d,1e,aa,22,2f,9c,f8,ec,80,28,83,d0,ef,e2,6c,43,2d,1e,aa,22,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-08-24 11:11
ComboFix-quarantined-files.txt  2009-08-24 09:11

Vor Suchlauf: 12 Verzeichnis(se), 436.881.760.256 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 436.882.034.688 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

359	--- E O F ---	2009-08-24 05:58
Google funktioniert jetzt nach Combofix wieder ganz normal!!

Linda
__________________
Alt 25.08.2009, 17:37   #4
john.doe
 
Windowsclick.com Trojaner auf meinem PC - Standard

Windowsclick.com Trojaner auf meinem PC


AMC-Virus. Warum erwischt es immer mich? AutoCAD auch noch.

1.) Deinstalliere:
  • Adobe Acrobat 5.0
  • Apple Software Update
  • Bonjour
  • Java 2 Runtime Environment, SE v1.4.2
  • Java(TM) 6 Update 13
  • pdfforge Toolbar v1.0
  • TuneUp Utilities 2009
2.) Installiere:
3.) Scripten mit Combofix

Die *** durch deinen Anmeldenamen ersetzen.
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Driver::
UxTuneUp
TuneUp.ProgramStatisticsSvc
JavaQuickStarterService
Bonjour Service

NetSvc::
UxTuneUp

RegNull::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
[-HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

Folder::
c:\programme\pdfforge Toolbar

File::
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\system32\xa.tmp
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

DirLook::
C:\2a14503caf6b6df49340db
C:\44cb73585a2cb1d06607acb23d
C:\5d9aa79e0ae0f34208c74e0aa582
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PCHealth
C:\672f7e1f3e8531b20d3b3ea343208cab
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

  • Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu Windowsclick.com Trojaner auf meinem PC
1.exe, antivir, antivir guard, askbar, avira, bho, bonjour, browser, call of duty, continue, desktop, einstellungen, exe, google, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, jusched.exe, konvertieren, langsam, logfile, notepad.exe, object, pdf-datei, pdfforge toolbar, plug-in, problem, registry, sehr langsam, senden, sierra, software, system, trojaner, tuneup.defrag, video converter, videospin, windows live messenger, windows xp


« Neu aufgesetzt, formatiert etc. | C:\Stealer.exe »


Ähnliche Themen: Windowsclick.com Trojaner auf meinem PC


  1. Kontakte aus meinem Yahoo Adressbuch erhalten Spam-Emails von meinem Account
    Plagegeister aller Art und deren Bekämpfung - 23.06.2014 (11)
  2. Auf meinem Server wird meine webseite befallen, evtl. liegt das an meinem Computer / Befall?
    Plagegeister aller Art und deren Bekämpfung - 01.05.2014 (27)
  3. GVU Trojaner auf meinem PC
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (8)
  4. 100 TAN-Trojaner auf meinem PC
    Log-Analyse und Auswertung - 23.11.2011 (23)
  5. Brauche Hilfe bei TR/Dropper.gen + windowsclick (google links funktionieren nicht)
    Plagegeister aller Art und deren Bekämpfung - 17.02.2010 (21)
  6. Umleitung auf windowsclick.com , Programme funktionieren nicht etc.
    Plagegeister aller Art und deren Bekämpfung - 25.08.2009 (31)
  7. Googleergebnisse auf windowsclick umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 23.08.2009 (16)
  8. Windowsclick.com Trojaner hat meinen PC befallen
    Plagegeister aller Art und deren Bekämpfung - 23.08.2009 (26)
  9. Suchmaschinen leiten auf windowsclick...
    Plagegeister aller Art und deren Bekämpfung - 22.08.2009 (42)
  10. Windowsclick/pc friert ein
    Plagegeister aller Art und deren Bekämpfung - 20.08.2009 (1)
  11. Google leitet immmer auf windowsclick.com / Trojaner TR/FakeAV.IA
    Plagegeister aller Art und deren Bekämpfung - 28.03.2009 (1)
  12. Google leite auf windowsclick weiter, Pc unendlich langsam
    Plagegeister aller Art und deren Bekämpfung - 22.03.2009 (8)
  13. "windowsclick" - iexplorer, firefox, google spinnen
    Plagegeister aller Art und deren Bekämpfung - 14.03.2009 (3)
  14. Google leitet IMMER auf windowsclick.com. Programme lassen sich teils nicht install.
    Plagegeister aller Art und deren Bekämpfung - 26.02.2009 (6)
  15. Trojaner auf meinem PC!
    Mülltonne - 10.11.2008 (1)
  16. trojaner auf meinem pc?
    Log-Analyse und Auswertung - 20.07.2006 (11)
  17. Trojaner auf meinem PC
    Plagegeister aller Art und deren Bekämpfung - 17.04.2005 (14)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Windowsclick.com Trojaner auf meinem PC - Teil II Code: Alles auswählen Aufklappen ATTFilter Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für - Windowsclick.com Trojaner auf meinem PC...
Archiv
Du betrachtest: Windowsclick.com Trojaner auf meinem PC auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131