|
Plagegeister aller Art und deren Bekämpfung: Trojaner!? Problem mit Googleinstaller!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.08.2009, 10:34 | #16 |
| Trojaner!? Problem mit Googleinstaller! und die Fortsetzung: Code:
ATTFilter (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "zBrowser Launcher"="d:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928] "SunJavaUpdateSched"="d:\programme\Java\jre6\bin\jusched.exe" [2009-08-26 149280] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 10:05 356352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=2 (0x2) "VMware NAT Service"=2 (0x2) "VMnetDHCP"=2 (0x2) "VMAuthdService"=2 (0x2) "ufad-ws60"=3 (0x3) "ScriptHostService110"=2 (0x2) "PnkBstrB"=2 (0x2) "PnkBstrA"=2 (0x2) "odserv"=3 (0x3) "NVSvc"=2 (0x2) "JobManagerService110"=2 (0x2) "JavaQuickStarterService"=2 (0x2) "gusvc"=2 (0x2) "gupdate1c985f3b3857f6c"=2 (0x2) "FLEXnet Licensing Service"=3 (0x3) "Bonjour Service"=2 (0x2) "Ati HotKey Poller"=2 (0x2) "ANSYS FLEXlm license manager"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JobManagerService.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMAdmin.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMPassword.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\ScriptHostService.exe"= "d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CommonFiles\\intel\\AnsysWBU.exe"= "d:\\Programme\\ANSYS Inc\\v100\\ANSYS\\bin\\intel\\ANSYS.exe"= "d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ActivePIMgrU.exe"= "d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ReaderHostU.exe"= "d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\tclsh.exe"= "d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\wish.exe"= "d:\\Spiele\\Valve\\Steam\\SteamApps\\"username"\\codename gordon\\cg.exe"= "d:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "d:\\Programme\\VMware\\VMware Workstation\\vmware-authd.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [12.12.2003 17:49 77312] R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.12.2008 12:06 8944] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [22.12.2008 12:05 55024] R2 PEDRV;P&E Microcomputer System PCI Driver.;c:\windows\system32\drivers\pedrv.sys [03.08.2000 15:25 23296] R2 ppsio;PrmxPPDev;c:\windows\system32\drivers\PPSIO.SYS [23.09.2008 14:34 22688] R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [28.10.2008 23:08 54960] R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [12.05.2009 21:19 89600] S2 uDART01;SofTec Microsystems USB Driver;c:\windows\system32\drivers\sftdrv01.sys [26.09.2005 11:44 133708] S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [10.01.2009 18:44 8704] S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [10.01.2009 18:44 3072] S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [12.11.2008 19:59 138112] S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [12.11.2008 19:59 8320] S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [22.12.2008 12:06 7408] S4 ANSYS FLEXlm license manager;ANSYS FLEXlm license manager;c:\progra~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe [10.10.2008 16:12 1294336] S4 gupdate1c985f3b3857f6c;Google Update Service (gupdate1c985f3b3857f6c);c:\programme\Google\Update\GoogleUpdate.exe [03.02.2009 13:36 133104] S4 JobManagerService110;Ansys JobManager Service V11;d:\programme\ANSYS Inc\v100\RSM\bin\JobManagerService.exe [16.01.2007 15:20 20480] S4 ScriptHostService110;Ansys ScriptHost Service V11;d:\programme\ANSYS Inc\v100\RSM\bin\ScriptHostService.exe [16.01.2007 15:20 20480] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . Inhalt des "geplante Tasks" Ordners 2009-08-29 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-18 19:16] 2009-08-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 11:36] 2009-08-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 11:36] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uInternet Settings,ProxyOverride = *.local IE: An vorhandenes PDF anfügen - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft &Excel exportieren - d:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html LSP: d:\programme\VMware\VMware Workstation\vsocklib.dll TCP: {DA02D8D1-1815-4F52-9970-696749BA4ABD} = 192.168.0.99 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-29 11:23 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\ . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(968) c:\programme\SUPERAntiSpyware\SASWINLO.dll c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(3624) d:\programme\Logitech\iTouch\iTchHk.dll c:\windows\system32\ieframe.dll c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2009-08-29 11:25 ComboFix-quarantined-files.txt 2009-08-29 09:25 ComboFix2.txt 2009-08-26 17:22 Vor Suchlauf: 14 Verzeichnis(se), 20.824.313.856 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 20.822.757.376 Bytes frei 358 --- E O F --- 2009-08-16 21:08 |
29.08.2009, 10:38 | #17 |
| Trojaner!? Problem mit Googleinstaller! Das Script wurde nicht abgearbeitet. Lade dir den Anhang auf deinen Desktop und ziehe ihn auf das ComboFix-Symbol. Das Log wird sehr groß werden. Du kannst es auch bei einem Filehoster hochladen (z.B. www.materialordner.de) und hier den Link posten.
__________________ciao, andreas
__________________ |
29.08.2009, 11:06 | #18 |
| Trojaner!? Problem mit Googleinstaller! Hmm... hat anscheinend beim ersten mal nicht funktioniert. Hab mich aber an deine Anleitung gehalten. Egal.
__________________Hier der neue Log: Download Logfile MfG |
29.08.2009, 11:29 | #19 |
| Trojaner!? Problem mit Googleinstaller! 1.) Deinstalliere:
"username" vorher ersetzen!
Code:
ATTFilter KILLALL:: Driver:: SASENUM SASKUTIL SASDIFSV Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"=- File:: c:\windows\Tasks\Google Software Updater.job c:\windows\Tasks\GoogleUpdateTaskMachineCore.job c:\windows\Tasks\GoogleUpdateTaskMachineUA.job c:\windows\system32\xa.tmp c:\dokumente und einstellungen\"username"\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT c:\windows\system32\perfc007.dat c:\windows\system32\perfh007.dat c:\windows\system32\rn.tmp c:\windows\system32\CatRoot2\tmp.edb c:\windows\system32\zgildphgkr Folder:: c:\programme\Google\Update c:\windows\system32\Kaspersky Lab c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab C:\rsit c:\windows\SxsCaPendDel c:\programme\SUPERAntiSpyware DirLook:: C:\blallaa SysRst::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.08.2009, 12:45 | #20 |
| Trojaner!? Problem mit Googleinstaller! Der nächste Log: Code:
ATTFilter ComboFix 09-08-28.05 - "username" 29.08.2009 13:27.4.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.556 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\"username"\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\"username"\Desktop\cfscript.txt FILE :: "c:\dokumente und einstellungen\"username"\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT" "c:\windows\system32\CatRoot2\tmp.edb" "c:\windows\system32\perfc007.dat" "c:\windows\system32\perfh007.dat" "c:\windows\system32\rn.tmp" "c:\windows\system32\xa.tmp" "c:\windows\system32\zgildphgkr" "c:\windows\Tasks\Google Software Updater.job" "c:\windows\Tasks\GoogleUpdateTaskMachineCore.job" "c:\windows\Tasks\GoogleUpdateTaskMachineUA.job" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\"username"\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT c:\programme\Google\Update c:\programme\Google\Update\1.2.183.7\GoogleCrashHandler.exe c:\programme\Google\Update\1.2.183.7\GoogleUpdate.exe c:\programme\Google\Update\1.2.183.7\GoogleUpdateHelper.msi c:\programme\Google\Update\1.2.183.7\goopdate.dll c:\programme\Google\Update\1.2.183.7\GoopdateBho.dll c:\programme\Google\Update\1.2.183.7\goopdateres_ar.dll c:\programme\Google\Update\1.2.183.7\goopdateres_bg.dll c:\programme\Google\Update\1.2.183.7\goopdateres_bn.dll c:\programme\Google\Update\1.2.183.7\goopdateres_ca.dll c:\programme\Google\Update\1.2.183.7\goopdateres_cs.dll c:\programme\Google\Update\1.2.183.7\goopdateres_da.dll c:\programme\Google\Update\1.2.183.7\goopdateres_de.dll c:\programme\Google\Update\1.2.183.7\goopdateres_el.dll c:\programme\Google\Update\1.2.183.7\goopdateres_en-GB.dll c:\programme\Google\Update\1.2.183.7\goopdateres_en.dll c:\programme\Google\Update\1.2.183.7\goopdateres_es-419.dll c:\programme\Google\Update\1.2.183.7\goopdateres_es.dll c:\programme\Google\Update\1.2.183.7\goopdateres_et.dll c:\programme\Google\Update\1.2.183.7\goopdateres_fa.dll c:\programme\Google\Update\1.2.183.7\goopdateres_fi.dll c:\programme\Google\Update\1.2.183.7\goopdateres_fil.dll c:\programme\Google\Update\1.2.183.7\goopdateres_fr.dll c:\programme\Google\Update\1.2.183.7\goopdateres_gu.dll c:\programme\Google\Update\1.2.183.7\goopdateres_hi.dll c:\programme\Google\Update\1.2.183.7\goopdateres_hr.dll c:\programme\Google\Update\1.2.183.7\goopdateres_hu.dll c:\programme\Google\Update\1.2.183.7\goopdateres_id.dll c:\programme\Google\Update\1.2.183.7\goopdateres_is.dll c:\programme\Google\Update\1.2.183.7\goopdateres_it.dll c:\programme\Google\Update\1.2.183.7\goopdateres_iw.dll c:\programme\Google\Update\1.2.183.7\goopdateres_ja.dll c:\programme\Google\Update\1.2.183.7\goopdateres_kn.dll c:\programme\Google\Update\1.2.183.7\goopdateres_ko.dll c:\programme\Google\Update\1.2.183.7\goopdateres_lt.dll c:\programme\Google\Update\1.2.183.7\goopdateres_lv.dll c:\programme\Google\Update\1.2.183.7\goopdateres_ml.dll c:\programme\Google\Update\1.2.183.7\goopdateres_mr.dll c:\programme\Google\Update\1.2.183.7\goopdateres_ms.dll c:\programme\Google\Update\1.2.183.7\goopdateres_nl.dll c:\programme\Google\Update\1.2.183.7\goopdateres_no.dll c:\programme\Google\Update\1.2.183.7\goopdateres_or.dll c:\programme\Google\Update\1.2.183.7\goopdateres_pl.dll c:\programme\Google\Update\1.2.183.7\goopdateres_pt-BR.dll c:\programme\Google\Update\1.2.183.7\goopdateres_pt-PT.dll c:\programme\Google\Update\1.2.183.7\goopdateres_ro.dll c:\programme\Google\Update\1.2.183.7\goopdateres_ru.dll c:\programme\Google\Update\1.2.183.7\goopdateres_sk.dll c:\programme\Google\Update\1.2.183.7\goopdateres_sl.dll c:\programme\Google\Update\1.2.183.7\goopdateres_sr.dll c:\programme\Google\Update\1.2.183.7\goopdateres_sv.dll c:\programme\Google\Update\1.2.183.7\goopdateres_ta.dll c:\programme\Google\Update\1.2.183.7\goopdateres_te.dll c:\programme\Google\Update\1.2.183.7\goopdateres_th.dll c:\programme\Google\Update\1.2.183.7\goopdateres_tr.dll c:\programme\Google\Update\1.2.183.7\goopdateres_uk.dll c:\programme\Google\Update\1.2.183.7\goopdateres_ur.dll c:\programme\Google\Update\1.2.183.7\goopdateres_vi.dll c:\programme\Google\Update\1.2.183.7\goopdateres_zh-CN.dll c:\programme\Google\Update\1.2.183.7\goopdateres_zh-TW.dll c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll c:\programme\Google\Update\GoogleUpdate.exe c:\programme\SUPERAntiSpyware c:\programme\SUPERAntiSpyware\6c3e5e2e-3056-4025-a9fb-674c567493da.exe c:\programme\SUPERAntiSpyware\e9a4ae18-753f-4b86-88ff-a937fb55c10e.exe C:\rsit c:\rsit\info.txt c:\rsit\log.txt c:\windows\SxsCaPendDel c:\windows\system32\CatRoot2\tmp.edb c:\windows\system32\perfc007.dat c:\windows\system32\perfh007.dat c:\windows\system32\rn.tmp c:\windows\system32\xa.tmp c:\windows\system32\zgildphgkr c:\windows\Tasks\Google Software Updater.job c:\windows\Tasks\GoogleUpdateTaskMachineCore.job c:\windows\Tasks\GoogleUpdateTaskMachineUA.job . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SASDIFSV -------\Legacy_SASENUM -------\Legacy_SASKUTIL ((((((((((((((((((((((( Dateien erstellt von 2009-07-28 bis 2009-08-29 )))))))))))))))))))))))))))))) . 2009-08-26 18:55 . 2009-08-26 19:03 152576 ----a-w- c:\dokumente und einstellungen\"username"\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll 2009-08-26 18:53 . 2009-08-26 18:53 -------- d-sh--w- c:\dokumente und einstellungen\"username"\PrivacIE 2009-08-26 18:52 . 2009-08-26 18:52 -------- d-sh--w- c:\dokumente und einstellungen\"username"\IETldCache 2009-08-26 18:49 . 2009-08-26 18:49 -------- dc-h--w- c:\windows\ie8 2009-08-26 16:48 . 2009-08-26 16:48 -------- d-s---w- C:\blallaa 2009-08-23 12:07 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-23 12:07 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-08-03 13:53 . 2009-08-22 16:17 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware 2009-08-03 13:53 . 2008-10-28 15:03 55856 ----a-r- c:\windows\system32\vnetinst.dll 2009-08-03 13:53 . 2008-10-28 15:03 16560 ----a-r- c:\windows\system32\drivers\vmnetadapter.sys 2009-08-03 13:53 . 2008-10-28 21:08 26288 ----a-w- c:\windows\system32\drivers\vmnetuserif.sys 2009-08-03 13:53 . 2008-10-28 21:08 326192 ----a-w- c:\windows\system32\vmnetdhcp.exe 2009-08-03 13:53 . 2008-10-28 21:07 399920 ----a-w- c:\windows\system32\vmnat.exe 2009-08-03 13:53 . 2008-10-28 15:03 50736 ----a-r- c:\windows\system32\vmnetbridge.dll 2009-08-03 13:53 . 2008-10-28 15:03 31280 ----a-r- c:\windows\system32\drivers\vmnetbridge.sys 2009-08-03 13:53 . 2008-10-28 15:03 18736 ----a-r- c:\windows\system32\drivers\vmnet.sys 2009-08-03 13:53 . 2008-10-28 21:08 723504 ----a-w- c:\windows\system32\vnetlib.dll 2009-08-03 13:53 . 2008-10-28 21:08 23216 ----a-w- c:\windows\system32\drivers\VMkbd.sys 2009-08-03 13:51 . 2009-08-22 16:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware 2009-08-03 13:50 . 2009-08-03 13:50 -------- d-----w- c:\programme\VMware . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-29 11:30 . 2008-08-18 18:24 -------- d-----w- c:\programme\Google 2009-08-26 18:56 . 2009-03-29 12:39 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-08-26 18:41 . 2008-08-13 08:37 -------- d-----w- c:\programme\Java 2009-08-23 12:08 . 2009-01-04 09:40 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-08-17 16:10 . 2009-08-03 13:58 -------- d-----w- c:\dokumente und einstellungen\"username"\Anwendungsdaten\VMware 2009-08-12 18:34 . 2008-08-09 11:37 -------- d-----w- c:\dokumente und einstellungen\"username"\Anwendungsdaten\ICQ 2009-08-11 17:39 . 2008-10-09 15:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite 2009-08-06 09:03 . 2009-03-28 17:09 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-05 08:59 . 2006-02-28 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll 2009-07-25 21:46 . 2008-08-05 07:41 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-07-25 21:43 . 2009-07-25 21:43 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-07-25 21:43 . 2009-07-25 21:43 22328 ----a-w- c:\dokumente und einstellungen\"username"\Anwendungsdaten\PnkBstrK.sys 2009-07-25 21:43 . 2009-07-25 21:43 22328 ----a-w- c:\dokumente und einstellungen\"username"\Anwendungsdaten\PnkBstrK.sys 2009-07-25 21:43 . 2009-07-25 21:43 103736 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-07-25 21:43 . 2009-07-25 21:43 66872 ----a-w- c:\windows\system32\PnkBstrA.exe 2009-07-17 19:01 . 2006-02-28 12:00 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-13 21:43 . 2006-02-28 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll 2009-06-16 14:36 . 2006-02-28 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-16 14:36 . 2006-02-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-15 10:43 . 2006-02-28 12:00 78848 ----a-w- c:\windows\system32\telnet.exe 2009-06-15 10:43 . 2006-02-28 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe 2009-06-10 14:13 . 2006-02-28 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-06-10 07:19 . 2008-08-04 18:01 2066432 ----a-w- c:\windows\system32\mstscax.dll 2009-06-10 06:14 . 2006-02-28 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll 2009-06-03 19:09 . 2006-02-28 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of C:\blallaa ---- 2009-08-26 16:48 . 2009-08-26 16:48 620 ----a-w- c:\blallaa\ForeignWht 2009-08-26 16:48 . 2009-08-26 16:48 10 ----a-w- c:\blallaa\erunt.dat 2009-08-26 16:48 . 2009-08-26 16:48 0 ----a-w- c:\blallaa\N_\21596 2009-08-26 16:48 . 2009-08-26 16:48 12 ----a-w- c:\blallaa\kmd.dat 2009-08-26 16:48 . 2009-08-26 16:48 137 ----a-w- c:\blallaa\N_\19989 2009-08-26 16:48 . 2000-08-31 06:00 161792 ----a-r- c:\blallaa\SWREG.cfxxe 2009-08-26 16:48 . 2009-08-26 16:48 30 ----a-w- c:\blallaa\N_\6217 2009-08-26 16:48 . 2009-08-26 16:48 113 ----a-w- c:\blallaa\desktop.ini 2009-08-26 16:48 . 2009-08-26 16:48 91 ----a-w- c:\blallaa\CCS.bat 2009-08-26 16:48 . 2009-08-26 16:48 24 ----a-w- c:\blallaa\N_\4583 2009-08-26 16:48 . 2009-08-26 16:48 0 ----a-w- c:\blallaa\N_\1531 2009-08-26 16:48 . 2009-08-26 16:48 0 ----a-w- c:\blallaa\NULL 2009-08-26 16:48 . 2009-08-26 16:48 65 ----a-w- c:\blallaa\temp00 2009-08-26 16:46 . 2009-08-26 16:48 99 ----a-w- c:\blallaa\Resident.txt 2009-08-26 16:46 . 2006-02-28 12:00 21504 ----a-r- c:\blallaa\ROUTE.cfxxe 2009-08-26 16:46 . 2008-04-14 02:22 18944 ----a-r- c:\blallaa\PING.cfxxe 2009-08-26 16:46 . 2008-05-07 09:07 135168 ----a-r- c:\blallaa\CSCRIPT.cfxxe 2009-08-26 16:46 . 2008-04-14 02:22 12288 ----a-r- c:\blallaa\ATTRIB.cfxxe 2009-08-26 16:46 . 2008-04-14 02:22 28160 ----a-r- c:\blallaa\FINDSTR.cfxxe 2009-08-26 16:46 . 2009-08-26 16:46 14 ----a-w- c:\blallaa\sfx.cmd 2009-08-26 16:46 . 2009-08-26 16:46 6 ----a-w- c:\blallaa\NlsLanguageDefault 2009-08-26 16:46 . 2009-08-26 16:46 16 ----a-w- c:\blallaa\CHCP.bat 2009-08-26 16:46 . 2009-08-26 16:46 40 ----a-w- c:\blallaa\XP.mac 2009-08-26 16:46 . 2009-04-20 10:56 31232 ----a-w- c:\blallaa\NircmdB.exe 2009-08-26 16:46 . 2009-08-26 16:46 43 ----a-w- c:\blallaa\OsVer 2009-08-26 16:46 . 2009-08-23 01:09 229376 ----a-r- c:\blallaa\pev.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 1057 ----a-w- c:\blallaa\image001.gif 2009-08-26 16:46 . 2000-08-31 06:00 977 ----a-w- c:\blallaa\OSid.vbs 2009-08-26 16:46 . 2009-05-01 20:26 587 ----a-w- c:\blallaa\restore_pt.vbs 2009-08-26 16:46 . 2000-08-31 06:00 2176 ----a-w- c:\blallaa\SvcDrv.vbs 2009-08-26 16:46 . 2009-05-13 23:08 592 ----a-w- c:\blallaa\Wmi_rem.vbs 2009-08-26 16:46 . 2009-07-13 21:09 602 ----a-w- c:\blallaa\asp.str 2009-08-26 16:46 . 2009-05-13 16:09 1464 ----a-w- c:\blallaa\av.vbs 2009-08-26 16:46 . 2000-08-31 06:00 746 ----a-w- c:\blallaa\DPF.str 2009-08-26 16:46 . 2000-08-31 06:00 2428 ----a-w- c:\blallaa\lnkread.vbs 2009-08-26 16:46 . 2000-08-31 06:00 3558 ----a-w- c:\blallaa\REGDACL.sed 2009-08-26 16:46 . 2000-08-31 06:00 9203 ----a-w- c:\blallaa\RegDo.sed 2009-08-26 16:46 . 2000-08-31 06:00 287 ----a-w- c:\blallaa\run2.sed 2009-08-26 16:46 . 2009-06-10 09:38 30 ----a-w- c:\blallaa\Rust.str 2009-08-26 16:46 . 2000-08-31 06:00 413 ----a-w- c:\blallaa\toolbar.sed 2009-08-26 16:46 . 2009-05-25 07:59 7983 ----a-w- c:\blallaa\ddsDo.sed 2009-08-26 16:46 . 2000-08-31 06:00 303 ----a-w- c:\blallaa\embedded.sed 2009-08-26 16:46 . 2009-08-12 01:53 13693 ----a-w- c:\blallaa\Exe.reg 2009-08-26 16:46 . 2009-08-26 19:33 2210 ----a-w- c:\blallaa\files.pif 2009-08-26 16:46 . 2009-08-26 19:33 4794 ----a-w- c:\blallaa\md5sum.pif 2009-08-26 16:46 . 2009-04-20 10:56 31232 ----a-w- c:\blallaa\n.pif 2009-08-26 16:46 . 2005-10-20 18:02 163328 ----a-w- c:\blallaa\ERDNT.e_e 2009-08-26 16:46 . 2000-08-31 06:00 2815 ----a-w- c:\blallaa\ERDNTDOS.LOC 2009-08-26 16:46 . 2000-08-31 06:00 3275 ----a-w- c:\blallaa\ERDNTWIN.LOC 2009-08-26 16:46 . 2000-08-31 06:00 4090 ----a-w- c:\blallaa\ERUNT.LOC 2009-08-26 16:46 . 2009-08-24 23:42 45560 ----a-w- c:\blallaa\srizbi.md5 2009-08-26 16:46 . 2009-08-19 16:55 53121 ----a-w- c:\blallaa\xpreg.dat 2009-08-26 16:46 . 2000-08-31 06:00 23773 ----a-w- c:\blallaa\zDomain.dat 2009-08-26 16:46 . 2009-08-23 23:05 34271 ----a-w- c:\blallaa\zhsvc.dat 2009-08-26 16:46 . 2000-08-31 06:00 555 ----a-w- c:\blallaa\svchost.dat 2009-08-26 16:46 . 2000-08-31 06:00 668 ----a-w- c:\blallaa\svchost.vista.dat 2009-08-26 16:46 . 2000-08-31 06:00 276 ----a-w- c:\blallaa\system_ini.dat 2009-08-26 16:46 . 2009-08-18 11:25 13492 ----a-w- c:\blallaa\vistareg.dat 2009-08-26 16:46 . 2009-08-18 11:26 37721 ----a-w- c:\blallaa\w2kreg.dat 2009-08-26 16:46 . 2009-05-23 00:29 1149 ----a-w- c:\blallaa\region.dat 2009-08-26 16:46 . 2000-08-31 06:00 820 ----a-w- c:\blallaa\rogues.dat 2009-08-26 16:46 . 2000-08-31 06:00 329 ----a-w- c:\blallaa\safeboot.dat 2009-08-26 16:46 . 2009-06-10 00:25 1464 ----a-w- c:\blallaa\safeboot.def.dat 2009-08-26 16:46 . 2000-08-31 06:00 463 ----a-w- c:\blallaa\safeboot.def.vista.dat 2009-08-26 16:46 . 2009-05-22 23:52 12065 ----a-w- c:\blallaa\svc_wht.dat 2009-08-26 16:46 . 2009-08-02 02:20 472 ----a-w- c:\blallaa\netsvc.bad.dat 2009-08-26 16:46 . 2000-08-31 06:00 159 ----a-w- c:\blallaa\netsvc.dat 2009-08-26 16:46 . 2000-08-31 06:00 481 ----a-w- c:\blallaa\netsvc.vista.dat 2009-08-26 16:46 . 2000-08-31 06:00 525 ----a-w- c:\blallaa\netsvc.xp.dat 2009-08-26 16:46 . 2000-08-31 06:00 88 ----a-w- c:\blallaa\NetworkService.dat 2009-08-26 16:46 . 2009-07-06 01:51 2992 ----a-w- c:\blallaa\Policies.dat 2009-08-26 16:46 . 2000-08-31 06:00 404 ----a-w- c:\blallaa\Purity.dat 2009-08-26 16:46 . 2000-08-31 06:00 7478 ----a-w- c:\blallaa\RCLink.dat 2009-08-26 16:46 . 2009-08-15 04:58 406 ----a-w- c:\blallaa\CregC.dat 2009-08-26 16:46 . 2009-08-12 01:54 660 ----a-w- c:\blallaa\Fin.dat 2009-08-26 16:46 . 2000-08-31 06:00 225 ----a-w- c:\blallaa\LocalService.dat 2009-08-26 16:46 . 2000-08-31 06:00 91 ----a-w- c:\blallaa\LocalServiceNetworkRestricted.dat 2009-08-26 16:46 . 2000-08-31 06:00 198 ----a-w- c:\blallaa\LocalSystemNetworkRestricted.dat 2009-08-26 16:46 . 2000-08-31 06:00 0 ----a-w- c:\blallaa\mynul.dat 2009-08-26 16:46 . 2000-08-31 06:00 287 ----a-w- c:\blallaa\ndis_combofix.dat 2009-08-26 16:46 . 2000-08-31 06:00 2126 ----a-w- c:\blallaa\023v.dat 2009-08-26 16:46 . 2009-08-26 13:39 624882 ----a-w- c:\blallaa\Creg.dat 2009-08-26 16:46 . 2009-05-25 03:25 38866 ----a-w- c:\blallaa\023.dat 2009-08-26 16:46 . 1999-11-10 06:00 35328 ----a-r- c:\blallaa\tail.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 68096 ----a-r- c:\blallaa\zip.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 98816 ----a-r- c:\blallaa\sed.cfxxe 2009-08-26 16:46 . 2009-08-12 02:35 30222 ----a-r- c:\blallaa\setpath.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 136704 ----a-r- c:\blallaa\swsc.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 212480 ----a-r- c:\blallaa\swxcacls.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 15360 ----a-r- c:\blallaa\gsar.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 181776 ----a-r- c:\blallaa\handle.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 11264 ----a-r- c:\blallaa\mtee.cfxxe 2009-08-26 16:46 . 2009-08-23 03:31 662 ----a-r- c:\blallaa\ncmd.cfxxe 2009-08-26 16:46 . 2009-04-20 10:56 31232 ----a-r- c:\blallaa\NirCmd.cfxxe 2009-08-26 16:46 . 2009-04-20 10:56 30720 ----a-r- c:\blallaa\NirCmdC.cfxxe 2009-08-26 16:46 . 2005-10-20 18:00 157696 ----a-r- c:\blallaa\ERUNT.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 52736 ----a-r- c:\blallaa\extract.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 80412 ----a-r- c:\blallaa\grep.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 141312 ----a-r- c:\blallaa\ComboFix-Download.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 101376 ----a-r- c:\blallaa\dd.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 51200 ----a-r- c:\blallaa\dumphive.cfxxe 2009-08-26 16:46 . 2000-08-31 06:00 6760 ----a-w- c:\blallaa\appinit.bad 2009-08-26 16:46 . 2006-12-04 09:09 13312 ----a-r- c:\blallaa\AspackDie.cfxxe 2009-08-26 16:46 . 2009-04-17 15:37 147456 ----a-r- c:\blallaa\catchme.cfxxe 2009-08-26 16:46 . 2009-08-23 22:24 4607 ----a-r- c:\blallaa\VInfo 2009-08-26 16:46 . 2001-02-15 13:03 10240 ----a-w- c:\blallaa\ForceLibrary.dll 2009-08-26 16:46 . 2009-06-21 13:34 90202 ----a-w- c:\blallaa\w2k_sock.dll 2009-08-26 16:46 . 2009-06-21 12:45 98948 ----a-w- c:\blallaa\w_sock.dll 2009-08-26 16:46 . 2000-08-31 06:00 7680 ----a-w- c:\blallaa\BootSect.dll 2009-08-26 16:46 . 2000-08-31 06:00 36201 ----a-w- c:\blallaa\ffdefstr.dll 2009-08-26 16:46 . 2000-08-31 06:00 161792 ----a-w- c:\blallaa\swreg.exe 2009-08-26 16:46 . 2005-08-15 23:54 1536 ----a-w- c:\blallaa\hidec.exe 2009-08-26 16:46 . 2009-04-20 10:56 31232 ----a-w- c:\blallaa\iexplore.exe 2009-08-26 16:46 . 2009-08-23 01:09 229376 ----a-w- c:\blallaa\pev.exe 2009-08-26 16:46 . 2006-03-02 21:42 73728 ----a-w- c:\blallaa\pv.com 2009-08-26 16:46 . 2009-08-26 19:33 237662 ----a-w- c:\blallaa\clsid.c 2009-08-26 16:46 . 2009-08-14 02:54 2374 ----a-w- c:\blallaa\Prep.inf 2009-08-26 16:46 . 2009-08-26 19:33 781362 ----a-w- c:\blallaa\badclsid.c 2009-08-26 16:46 . 2009-08-16 11:39 3351 ----a-w- c:\blallaa\SnapShot.cmd 2009-08-26 16:46 . 2009-08-12 01:49 2135 ----a-w- c:\blallaa\SRestore.cmd 2009-08-26 16:46 . 2009-07-27 23:06 19200 ----a-w- c:\blallaa\SuppScan.cmd 2009-08-26 16:46 . 2009-07-29 01:01 2722 ----a-w- c:\blallaa\Update-CF.cmd 2009-08-26 16:46 . 2000-08-31 06:00 241 ----a-w- c:\blallaa\Rkey.cmd 2009-08-26 16:46 . 2009-08-26 02:16 13849 ----a-w- c:\blallaa\NT-OS.cmd 2009-08-26 16:46 . 2009-08-16 03:43 62045 ----a-w- c:\blallaa\RegScan.cmd 2009-08-26 16:46 . 2009-08-12 01:40 3406 ----a-w- c:\blallaa\CregC.cmd 2009-08-26 16:46 . 2009-05-25 08:08 1688 ----a-w- c:\blallaa\CSet.cmd 2009-08-26 16:46 . 2009-08-24 17:21 3319 ----a-w- c:\blallaa\FD-SV.cmd 2009-08-26 16:46 . 2009-05-25 08:05 1095 ----a-w- c:\blallaa\FKMGen.cmd 2009-08-26 16:46 . 2009-08-12 01:43 5412 ----a-w- c:\blallaa\GetHive.cmd 2009-08-26 16:46 . 2009-08-12 01:44 5645 ----a-w- c:\blallaa\Install-RC.cmd 2009-08-26 16:46 . 2009-08-01 02:17 761 ----a-w- c:\blallaa\katch.cmd 2009-08-26 16:46 . 2009-07-13 05:31 1588 ----a-w- c:\blallaa\Kill-All.cmd 2009-08-26 16:46 . 2009-06-14 00:08 1896 ----a-w- c:\blallaa\Boot-Rk.cmd 2009-08-26 16:46 . 2009-08-10 00:22 736 ----a-w- c:\blallaa\Catch-sub.cmd 2009-08-26 16:46 . 2009-08-12 01:37 25513 ----a-w- c:\blallaa\CF-Script.cmd 2009-08-26 16:46 . 2009-08-25 01:17 6723 ----a-w- c:\blallaa\Create.cmd 2009-08-26 16:46 . 2009-07-29 00:34 3282 ----a-w- c:\blallaa\Assoc.cmd 2009-08-26 16:46 . 2009-07-29 00:46 3034 ----a-w- c:\blallaa\Auto-RC.cmd 2009-08-26 16:46 . 2009-08-23 22:11 1369 ----a-w- c:\blallaa\av.cmd 2009-08-26 16:46 . 2009-04-29 14:41 629 ----a-w- c:\blallaa\AWF.cmd 2009-08-26 16:46 . 2009-08-26 12:55 14644 ----a-w- c:\blallaa\SetEnvmt.bat 2009-08-26 16:46 . 2009-08-12 01:47 2367 ----a-w- c:\blallaa\MoveIt.bat 2009-08-26 16:46 . 2009-08-24 22:30 27438 ----a-w- c:\blallaa\ND_.bat 2009-08-26 16:46 . 2009-08-26 13:35 613574 ----a-w- c:\blallaa\List.bat 2009-08-26 16:46 . 2009-08-03 16:28 92837 ----a-w- c:\blallaa\List-D.bat 2009-08-26 16:46 . 2009-08-26 19:30 229538 ----a-w- c:\blallaa\List-C.bat 2009-08-26 16:46 . 2009-08-26 14:28 38805 ----a-w- c:\blallaa\List-B.bat 2009-08-26 16:46 . 2009-07-20 07:21 4668 ----a-w- c:\blallaa\FIXLSP.bat 2009-08-26 16:46 . 2009-08-12 01:43 908 ----a-w- c:\blallaa\history.bat 2009-08-26 16:46 . 2009-08-12 01:44 3453 ----a-w- c:\blallaa\Kollect.bat 2009-08-26 16:46 . 2009-08-01 00:09 192718 ----a-w- c:\blallaa\Lang.bat 2009-08-26 16:46 . 2009-08-25 01:17 7590 ----a-w- c:\blallaa\Combobatch.bat 2009-08-26 16:46 . 2009-08-21 16:26 1644 ----a-w- c:\blallaa\DelClsid.bat 2009-08-26 16:46 . 2009-08-12 09:23 28204 ----a-w- c:\blallaa\FIND3M.bat 2009-08-26 16:46 . 2009-08-12 01:42 7774 ----a-w- c:\blallaa\Boot.bat 2009-08-26 16:46 . 2009-08-26 19:29 48484 ----a-w- c:\blallaa\c.bat 2006-06-10 12:42 . 2006-06-10 12:42 49152 ----a-w- c:\blallaa\SF.exe 2006-03-02 21:42 . 2006-03-02 21:42 73728 ----a-r- c:\blallaa\PV.cfxxe |
29.08.2009, 12:46 | #21 |
| Trojaner!? Problem mit Googleinstaller! und die Fortsetzung... Code:
ATTFilter ((((((((((((((((((((((((((((((((((((((( System Restore ))))))))))))))))))))))))))))))))))))))))))))))))))) . 29.07.2009 02:34 3282 c:\cofi\Assoc.cmd 29.07.2009 02:34 3282 \RP187\A0045175.cmd 29.07.2009 02:34 3282 \RP193\A0047260.cmd c:\cofi\Auto-RC.cmd 29.07.2009 02:46 3034 \RP192\A0046943.cmd 29.07.2009 02:46 3034 \RP194\A0047353.cmd 24.08.2009 00:11 1369 c:\cofi\av.cmd 24.08.2009 00:11 1369 \RP187\A0045176.cmd 24.08.2009 00:11 1369 \RP193\A0047261.cmd 13.05.2009 18:09 1464 c:\cofi\av.vbs 13.05.2009 18:09 1464 \RP187\A0045177.vbs 13.05.2009 18:09 1464 \RP193\A0047262.vbs c:\cofi\AWF.cmd 29.04.2009 16:41 629 \RP187\A0045170.cmd 29.04.2009 16:41 629 \RP194\A0047510.cmd 14.06.2009 02:08 1896 c:\cofi\Boot-Rk.cmd 14.06.2009 02:08 1896 \RP187\A0045178.cmd 14.06.2009 02:08 1896 \RP193\A0047263.cmd 12.08.2009 03:42 7774 c:\cofi\Boot.bat 12.08.2009 03:42 7774 \RP187\A0045179.bat 12.08.2009 03:42 7774 \RP193\A0047264.bat 31.08.2000 08:00 7680 c:\cofi\BootSect.dll 31.08.2000 08:00 7680 \RP187\A0045180.dll 31.08.2000 08:00 7680 \RP193\A0047265.dll c:\cofi\c.bat 26.08.2009 21:29 48484 \RP187\A0045160.bat 29.08.2009 15:37 48923 \RP194\A0047444.bat 10.08.2009 02:22 736 c:\cofi\Catch-sub.cmd 10.08.2009 02:22 736 \RP187\A0045181.cmd 10.08.2009 02:22 736 \RP193\A0047266.cmd 29.08.2009 13:33 91 c:\cofi\CCS.bat 26.08.2009 19:07 91 \RP186\A0045124.bat 29.08.2009 13:27 91 \RP194\A0047442.bat c:\cofi\CF-Script.cmd 12.08.2009 03:37 25513 \RP187\A0045142.cmd 12.08.2009 03:37 25513 \RP194\A0047358.cmd c:\cofi\CF10413.exe 29.08.2009 11:40 401920 \RP193\A0047267.exe c:\cofi\CF5319.exe 26.08.2009 19:07 401920 \RP187\A0045182.exe c:\cofi\CF5834.exe 29.08.2009 11:16 401920 \RP193\A0047116.exe 29.08.2009 13:27 16 c:\cofi\CHCP.bat 26.08.2009 19:07 16 \RP187\A0045183.bat 29.08.2009 11:40 16 \RP193\A0047268.bat 31.08.2000 08:00 1024 \RP187\A0045184.sys 31.08.2000 08:00 1024 \RP193\A0047269.sys c:\cofi\Combobatch.bat 26.08.2009 19:11 7645 \RP187\A0045159.bat 29.08.2009 13:30 7705 \RP194\A0047443.bat c:\cofi\Create.cmd 25.08.2009 03:17 6723 \RP187\A0045167.cmd 25.08.2009 03:17 6723 \RP194\A0047447.cmd 12.08.2009 03:40 3406 c:\cofi\CregC.cmd 12.08.2009 03:40 3406 \RP187\A0045185.cmd 12.08.2009 03:40 3406 \RP193\A0047270.cmd 25.05.2009 10:08 1688 c:\cofi\CSet.cmd 25.05.2009 10:08 1688 \RP187\A0045186.cmd 25.05.2009 10:08 1688 \RP193\A0047271.cmd 21.08.2009 18:26 1644 c:\cofi\DelClsid.bat 21.08.2009 18:26 1644 \RP187\A0045188.bat 21.08.2009 18:26 1644 \RP193\A0047273.bat 12.08.2009 03:53 13693 c:\cofi\Exe.reg 12.08.2009 03:53 13693 \RP187\A0045189.reg 12.08.2009 03:53 13693 \RP193\A0047274.reg c:\cofi\FD-SV.cmd 24.08.2009 19:21 3319 \RP187\A0045168.cmd 29.08.2009 04:21 3067 \RP194\A0047508.cmd 31.08.2000 08:00 36201 c:\cofi\ffdefstr.dll 31.08.2000 08:00 36201 \RP187\A0045190.dll 31.08.2000 08:00 36201 \RP193\A0047275.dll 29.08.2009 15:40 2210 c:\cofi\files.pif 26.08.2009 21:33 2210 \RP187\A0045191.pif 29.08.2009 15:40 2210 \RP193\A0047276.pif 28.08.2009 11:43 28604 c:\cofi\FIND3M.bat 12.08.2009 11:23 28204 \RP187\A0045192.bat 28.08.2009 11:43 28604 \RP193\A0047277.bat 20.07.2009 09:21 4668 c:\cofi\FIXLSP.bat 20.07.2009 09:21 4668 \RP187\A0045193.bat 20.07.2009 09:21 4668 \RP193\A0047278.bat 25.05.2009 10:05 1095 c:\cofi\FKMGen.cmd 25.05.2009 10:05 1095 \RP187\A0045194.cmd 25.05.2009 10:05 1095 \RP193\A0047279.cmd 15.02.2001 15:03 10240 c:\cofi\ForceLibrary.dll 15.02.2001 15:03 10240 \RP187\A0045195.dll 15.02.2001 15:03 10240 \RP193\A0047280.dll 12.08.2009 03:43 5412 c:\cofi\GetHive.cmd 12.08.2009 03:43 5412 \RP187\A0045174.cmd 12.08.2009 03:43 5412 \RP193\A0047257.cmd 16.08.2005 01:54 1536 c:\cofi\hidec.exe 16.08.2005 01:54 1536 \RP187\A0045196.exe 16.08.2005 01:54 1536 \RP193\A0047281.exe 12.08.2009 03:43 908 c:\cofi\history.bat 12.08.2009 03:43 908 \RP187\A0045197.bat 12.08.2009 03:43 908 \RP193\A0047282.bat 20.04.2009 12:56 31232 c:\cofi\iexplore.exe 20.04.2009 12:56 31232 \RP187\A0045198.exe 20.04.2009 12:56 31232 \RP193\A0047283.exe c:\cofi\Install-RC.cmd 12.08.2009 03:44 5645 \RP192\A0046972.cmd 12.08.2009 03:44 5645 \RP194\A0047354.cmd 01.08.2009 04:17 761 c:\cofi\katch.cmd 01.08.2009 04:17 761 \RP187\A0045199.cmd 01.08.2009 04:17 761 \RP193\A0047284.cmd c:\cofi\Kill-All.cmd 13.07.2009 07:31 1588 \RP187\A0045143.cmd 13.07.2009 07:31 1588 \RP194\A0047359.cmd 12.08.2009 03:44 3453 c:\cofi\Kollect.bat 12.08.2009 03:44 3453 \RP187\A0045200.bat 12.08.2009 03:44 3453 \RP193\A0047285.bat 29.08.2009 13:30 192976 c:\cofi\Lang.bat 26.08.2009 19:11 192976 \RP187\A0045201.bat 01.08.2009 02:09 192718 \RP194\A0047428.bat c:\cofi\List-B.bat 26.08.2009 16:28 38805 \RP187\A0045146.bat 29.08.2009 02:40 39096 \RP194\A0047361.bat c:\cofi\List-C.bat 26.08.2009 21:30 229538 \RP187\A0045157.bat 29.08.2009 15:37 230625 \RP194\A0047426.bat c:\cofi\List-D.bat 03.08.2009 18:28 92837 \RP192\A0046979.bat 03.08.2009 18:28 92837 \RP194\A0047356.bat c:\cofi\List.bat 26.08.2009 15:35 613574 \RP192\A0046980.bat 29.08.2009 12:39 618166 \RP194\A0047357.bat 31.08.2000 08:00 2428 c:\cofi\lnkread.vbs 31.08.2000 08:00 2428 \RP187\A0045202.vbs 31.08.2000 08:00 2428 \RP193\A0047287.vbs 29.08.2009 13:27 5066 c:\cofi\md5sum.pif 26.08.2009 19:10 5066 \RP187\A0045203.pif 29.08.2009 15:40 4794 \RP194\A0047355.pif 12.08.2009 03:47 2367 c:\cofi\MoveIt.bat 12.08.2009 03:47 2367 \RP187\A0045204.bat 12.08.2009 03:47 2367 \RP193\A0047289.bat 20.04.2009 12:56 31232 c:\cofi\n.pif 20.04.2009 12:56 31232 \RP187\A0045205.pif 20.04.2009 12:56 31232 \RP193\A0047290.pif 28.08.2009 21:38 27623 c:\cofi\ND_.bat 25.08.2009 00:30 27438 \RP187\A0045206.bat 28.08.2009 21:38 27623 \RP193\A0047291.bat 20.04.2009 12:56 31232 c:\cofi\NircmdB.exe 20.04.2009 12:56 31232 \RP187\A0045207.exe 20.04.2009 12:56 31232 \RP193\A0047292.exe 26.08.2009 04:16 13849 c:\cofi\NT-OS.cmd 26.08.2009 04:16 13849 \RP187\A0045208.cmd 26.08.2009 04:16 13849 \RP193\A0047293.cmd 31.08.2000 08:00 977 c:\cofi\OSid.vbs 31.08.2000 08:00 977 \RP187\A0045209.vbs 31.08.2000 08:00 977 \RP193\A0047294.vbs 23.08.2009 03:09 229376 c:\cofi\pev.exe 23.08.2009 03:09 229376 \RP187\A0045210.exe 23.08.2009 03:09 229376 \RP193\A0047295.exe 02.03.2006 23:42 73728 c:\cofi\pv.com 02.03.2006 23:42 73728 \RP187\A0045212.com 02.03.2006 23:42 73728 \RP193\A0047297.com 28.08.2009 13:21 62053 c:\cofi\RegScan.cmd 16.08.2009 05:43 62045 \RP187\A0045172.cmd 28.08.2009 13:21 62053 \RP193\A0047255.cmd c:\cofi\restore_pt.vbs 01.05.2009 22:26 587 \RP187\A0045144.vbs 01.05.2009 22:26 587 \RP194\A0047360.vbs 31.08.2000 08:00 241 c:\cofi\Rkey.cmd 31.08.2000 08:00 241 \RP187\A0045213.cmd 31.08.2000 08:00 241 \RP193\A0047298.cmd 26.08.2009 22:00 14697 c:\cofi\SetEnvmt.bat 26.08.2009 14:55 14644 \RP187\A0045214.bat 26.08.2009 22:00 14697 \RP193\A0047299.bat 29.08.2009 13:30 6707 c:\cofi\SetPath.bat 26.08.2009 19:10 6198 \RP187\A0045141.bat 29.08.2009 11:43 6707 \RP193\A0047300.bat 10.06.2006 14:42 49152 c:\cofi\SF.exe 10.06.2006 14:42 49152 \RP187\A0045215.exe 10.06.2006 14:42 49152 \RP193\A0047301.exe 29.08.2009 13:27 74 c:\cofi\sfx.cmd 26.08.2009 19:07 14 \RP187\A0045216.cmd 29.08.2009 11:40 74 \RP193\A0047302.cmd c:\cofi\SnapShot.cmd 16.08.2009 13:39 3351 \RP187\A0045169.cmd 16.08.2009 13:39 3351 \RP194\A0047509.cmd 12.08.2009 03:49 2135 c:\cofi\SRestore.cmd 12.08.2009 03:49 2135 \RP187\A0045171.cmd 12.08.2009 03:49 2135 \RP193\A0047254.cmd 28.07.2009 01:06 19200 c:\cofi\SuppScan.cmd 28.07.2009 01:06 19200 \RP187\A0045173.cmd 28.07.2009 01:06 19200 \RP193\A0047256.cmd 31.08.2000 08:00 2176 c:\cofi\SvcDrv.vbs 31.08.2000 08:00 2176 \RP187\A0045217.vbs 31.08.2000 08:00 2176 \RP193\A0047303.vbs c:\cofi\Update-CF.cmd 29.07.2009 03:01 2722 \RP192\A0047003.cmd 29.07.2009 03:01 2722 \RP194\A0047336.cmd c:\cofi\w_sock.dll 21.06.2009 14:45 98948 \RP187\A0045158.dll 21.06.2009 14:45 98948 \RP194\A0047427.dll c:\cofi\w2k_sock.dll 21.06.2009 15:34 90202 \RP192\A0047004.dll 21.06.2009 15:34 90202 \RP194\A0047337.dll c:\cofi\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe 26.08.2009 19:09 4626152 \RP187\A0045220.exe 14.05.2009 01:08 592 c:\cofi\Wmi_rem.vbs 14.05.2009 01:08 592 \RP187\A0045221.vbs 14.05.2009 01:08 592 \RP193\A0047306.vbs c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\scewxmlw.dll 20.10.2008 08:38 126721 \RP175\A0041844.dll c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.dll 10.06.2009 10:26 345345 \RP175\A0041845.dll c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.exe 06.08.2009 11:03 404737 \RP175\A0041846.exe C:\Dokument . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "zBrowser Launcher"="d:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "VMware NAT Service"=2 (0x2) "VMnetDHCP"=2 (0x2) "VMAuthdService"=2 (0x2) "ufad-ws60"=3 (0x3) "ScriptHostService110"=2 (0x2) "PnkBstrB"=2 (0x2) "PnkBstrA"=2 (0x2) "odserv"=3 (0x3) "NVSvc"=2 (0x2) "JobManagerService110"=2 (0x2) "FLEXnet Licensing Service"=3 (0x3) "Ati HotKey Poller"=2 (0x2) "ANSYS FLEXlm license manager"=2 (0x2) "Adobe LM Service"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JobManagerService.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMAdmin.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMPassword.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\ScriptHostService.exe"= "d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CommonFiles\\intel\\AnsysWBU.exe"= "d:\\Programme\\ANSYS Inc\\v100\\ANSYS\\bin\\intel\\ANSYS.exe"= "d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ActivePIMgrU.exe"= "d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ReaderHostU.exe"= "d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\tclsh.exe"= "d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\wish.exe"= "d:\\Spiele\\Valve\\Steam\\SteamApps\\"username"\\codename gordon\\cg.exe"= "d:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "d:\\Programme\\VMware\\VMware Workstation\\vmware-authd.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [12.12.2003 17:49 77312] R2 PEDRV;P&E Microcomputer System PCI Driver.;c:\windows\system32\drivers\pedrv.sys [03.08.2000 15:25 23296] R2 ppsio;PrmxPPDev;c:\windows\system32\drivers\PPSIO.SYS [23.09.2008 14:34 22688] R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [28.10.2008 23:08 54960] R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [12.05.2009 21:19 89600] S2 uDART01;SofTec Microsystems USB Driver;c:\windows\system32\drivers\sftdrv01.sys [26.09.2005 11:44 133708] S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [10.01.2009 18:44 8704] S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [10.01.2009 18:44 3072] S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [12.11.2008 19:59 138112] S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [12.11.2008 19:59 8320] S4 ANSYS FLEXlm license manager;ANSYS FLEXlm license manager;c:\progra~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe [10.10.2008 16:12 1294336] S4 JobManagerService100;Ansys JobManager Service V10;d:\programme\ANSYS Inc\v100\RSM\bin\JobManagerService.exe [16.01.2007 15:20 20480] S4 ScriptHostService100;Ansys ScriptHost Service V10;d:\programme\ANSYS Inc\v100\RSM\bin\ScriptHostService.exe [16.01.2007 15:20 20480] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uInternet Settings,ProxyOverride = *.local IE: An vorhandenes PDF anfügen - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft &Excel exportieren - d:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html LSP: d:\programme\VMware\VMware Workstation\vsocklib.dll TCP: {DA02D8D1-1815-4F52-9970-696749BA4ABD} = 192.168.0.99 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-29 13:33 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\ . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(972) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(2200) d:\programme\Logitech\iTouch\iTchHk.dll c:\windows\system32\ieframe.dll c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll d:\programme\Nokia\Nokia PC Suite 6\phonebrowser.dll d:\programme\Nokia\Nokia PC Suite 6\NGSCM.DLL d:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr d:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . d:\programme\Cisco Systems\VPN Client\cvpnd.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-08-29 13:38 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-08-29 11:38 ComboFix2.txt 2009-08-29 09:50 ComboFix3.txt 2009-08-29 09:25 ComboFix4.txt 2009-08-26 17:22 Vor Suchlauf: 14 Verzeichnis(se), 20.702.388.224 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 20.653.842.432 Bytes frei 661 --- E O F --- 2009-08-16 21:08 |
29.08.2009, 13:01 | #22 |
| Trojaner!? Problem mit Googleinstaller! Das sieht jetzt schon viel freundlicher aus. Hat Prevx etwas gefunden? Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installationciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.08.2009, 17:07 | #23 |
| Trojaner!? Problem mit Googleinstaller! So, jetzt hab ich bald alle Virenscanner durch Hier der Log von Panda: Code:
ATTFilter ;*********************************************************************************************************************************************************************************** ANALYSIS: 2009-08-29 17:55:49 PROTECTIONS: 0 MALWARE: 10 SUSPECTS: 2 ;*********************************************************************************************************************************************************************************** PROTECTIONS Description Version Active Updated ;=================================================================================================================================================================================== ;=================================================================================================================================================================================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;=================================================================================================================================================================================== 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@doubleclick[1].txt 00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@atdmt[2].txt 02457190 Trj/Alureon.BB Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045114.dll 02457190 Trj/Alureon.BB Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\UACsvgoovlbnj.dll.vir 02537438 Spyware/Virtumonde Spyware No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACowrqdeqrnt.sys.vir 02537438 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045112.sys 02587846 Adware/SystemGuard2009 Adware No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\UACajmneoekrs.dll.vir 02587846 Adware/SystemGuard2009 Adware No 0 Yes No C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045116.dll 02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045117.sys 02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP193\A0047180.sys 02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP194\A0047437.sys 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\UACsytuufxrfp.dll.vir 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045115.dll 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045113.dll 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\UACgxurxsaowt.dll.vir 03587590 Adware/Yassist Adware No 0 No No F:\Downloads\Programme\DivXInstaller.exe[²ÇÇ\y_toolbar.exe][²èÇ] 03738741 Generic Malware Virus/Trojan No 0 Yes No D:\Programme\Cryptload\ocr\netload.in\asmCaptcha\test.exe 03738741 Generic Malware Virus/Trojan No 0 Yes No D:\Programme\Cryptload\ocr\rapidshare.com\asmCaptcha\test.exe 03899063 Generic Malware Virus/Trojan No 0 No No F:\Downloads\ALPluginIE-1.0.2.3-setup.exe[F:\Downloads\ALPluginIE-1.0.2.3-setup.exe][iesetup2.exe] 03899073 Generic Malware Virus/Trojan No 0 No No F:\Downloads\ALPluginIE-1.0.2.3-setup.exe[F:\Downloads\ALPluginIE-1.0.2.3-setup.exe][alie.dll] ;=================================================================================================================================================================================== SUSPECTS Sent Location ;=================================================================================================================================================================================== No C:\Programme\Everest Poker\Everest Poker.exe No F:\Downloads\Programme\alatk.exe ;=================================================================================================================================================================================== VULNERABILITIES Id Severity Description ;=================================================================================================================================================================================== ;=================================================================================================================================================================================== |
29.08.2009, 17:18 | #24 | ||
| Trojaner!? Problem mit Googleinstaller!Zitat:
Zitat:
2.) Scripten mit Combofix
Code:
ATTFilter KILLALL:: File:: F:\Downloads\Programme\DivXInstaller.exe D:\Programme\Cryptload\ocr\netload.in\asmCaptcha\test.exe D:\Programme\Cryptload\ocr\rapidshare.com\asmCaptcha\test.exe F:\Downloads\ALPluginIE-1.0.2.3-setup.exe
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. 3.) Start => Ausführen => combofix /u => OK 4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 5.) Poste ein aktuelles HJT-Log. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.08.2009, 18:02 | #25 |
| Trojaner!? Problem mit Googleinstaller! Sorry. Das mit Prevx hab ich überlesen. Prevx hat aber auch nichts gefunden. Hier nochmal der CombofixLog: Code:
ATTFilter ComboFix 09-08-28.06 - "username" 29.08.2009 18:42.5.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.636 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\"username"\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\"username"\Desktop\cfscript.txt FILE :: "d:\programme\Cryptload\ocr\netload.in\asmCaptcha\test.exe" "d:\programme\Cryptload\ocr\rapidshare.com\asmCaptcha\test.exe" "f:\downloads\ALPluginIE-1.0.2.3-setup.exe" "f:\downloads\Programme\DivXInstaller.exe" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokume~1\"username"\LOKALE~1\Temp\catchme.dll c:\dokumente und einstellungen\"username"\Lokale Einstellungen\temp\catchme.dll d:\programme\Cryptload\ocr\netload.in\asmCaptcha\test.exe d:\programme\Cryptload\ocr\rapidshare.com\asmCaptcha\test.exe f:\downloads\ALPluginIE-1.0.2.3-setup.exe f:\downloads\Programme\DivXInstaller.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-07-28 bis 2009-08-29 )))))))))))))))))))))))))))))) . 2009-08-29 16:37 . 2009-08-29 16:37 -------- d-s---w- C:\cofi 2009-08-29 16:31 . 2009-08-29 16:31 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache 2009-08-29 12:04 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys 2009-08-29 12:04 . 2009-08-29 12:04 -------- d-----w- c:\programme\Panda Security 2009-08-26 18:55 . 2009-08-26 19:03 152576 ----a-w- c:\dokumente und einstellungen\"username"\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll 2009-08-26 18:53 . 2009-08-26 18:53 -------- d-sh--w- c:\dokumente und einstellungen\"username"\PrivacIE 2009-08-26 18:52 . 2009-08-26 18:52 -------- d-sh--w- c:\dokumente und einstellungen\"username"\IETldCache 2009-08-26 18:49 . 2009-08-26 18:49 -------- dc-h--w- c:\windows\ie8 2009-08-26 16:48 . 2009-08-26 16:48 -------- d-s---w- C:\blallaa 2009-08-23 12:07 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-23 12:07 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-08-03 13:53 . 2009-08-22 16:17 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware 2009-08-03 13:53 . 2008-10-28 15:03 55856 ----a-r- c:\windows\system32\vnetinst.dll 2009-08-03 13:53 . 2008-10-28 15:03 16560 ----a-r- c:\windows\system32\drivers\vmnetadapter.sys 2009-08-03 13:53 . 2008-10-28 21:08 26288 ----a-w- c:\windows\system32\drivers\vmnetuserif.sys 2009-08-03 13:53 . 2008-10-28 21:08 326192 ----a-w- c:\windows\system32\vmnetdhcp.exe 2009-08-03 13:53 . 2008-10-28 21:07 399920 ----a-w- c:\windows\system32\vmnat.exe 2009-08-03 13:53 . 2008-10-28 15:03 50736 ----a-r- c:\windows\system32\vmnetbridge.dll 2009-08-03 13:53 . 2008-10-28 15:03 31280 ----a-r- c:\windows\system32\drivers\vmnetbridge.sys 2009-08-03 13:53 . 2008-10-28 15:03 18736 ----a-r- c:\windows\system32\drivers\vmnet.sys 2009-08-03 13:53 . 2008-10-28 21:08 723504 ----a-w- c:\windows\system32\vnetlib.dll 2009-08-03 13:53 . 2008-10-28 21:08 23216 ----a-w- c:\windows\system32\drivers\VMkbd.sys 2009-08-03 13:51 . 2009-08-22 16:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware 2009-08-03 13:50 . 2009-08-03 13:50 -------- d-----w- c:\programme\VMware . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-29 11:30 . 2008-08-18 18:24 -------- d-----w- c:\programme\Google 2009-08-26 18:56 . 2009-03-29 12:39 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-08-26 18:41 . 2008-08-13 08:37 -------- d-----w- c:\programme\Java 2009-08-23 12:08 . 2009-01-04 09:40 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-08-17 16:10 . 2009-08-03 13:58 -------- d-----w- c:\dokumente und einstellungen\"username"\Anwendungsdaten\VMware 2009-08-12 18:34 . 2008-08-09 11:37 -------- d-----w- c:\dokumente und einstellungen\"username"\Anwendungsdaten\ICQ 2009-08-11 17:39 . 2008-10-09 15:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite 2009-08-06 09:03 . 2009-03-28 17:09 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-05 08:59 . 2006-02-28 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll 2009-07-25 21:46 . 2008-08-05 07:41 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-07-25 21:43 . 2009-07-25 21:43 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-07-25 21:43 . 2009-07-25 21:43 22328 ----a-w- c:\dokumente und einstellungen\"username"\Anwendungsdaten\PnkBstrK.sys 2009-07-25 21:43 . 2009-07-25 21:43 22328 ----a-w- c:\dokumente und einstellungen\"username"\Anwendungsdaten\PnkBstrK.sys 2009-07-25 21:43 . 2009-07-25 21:43 103736 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-07-25 21:43 . 2009-07-25 21:43 66872 ----a-w- c:\windows\system32\PnkBstrA.exe 2009-07-17 19:01 . 2006-02-28 12:00 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-13 21:43 . 2006-02-28 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll 2009-06-16 14:36 . 2006-02-28 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-16 14:36 . 2006-02-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-15 10:43 . 2006-02-28 12:00 78848 ----a-w- c:\windows\system32\telnet.exe 2009-06-15 10:43 . 2006-02-28 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe 2009-06-10 14:13 . 2006-02-28 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-06-10 07:19 . 2008-08-04 18:01 2066432 ----a-w- c:\windows\system32\mstscax.dll 2009-06-10 06:14 . 2006-02-28 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll 2009-06-03 19:09 . 2006-02-28 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll . ((((((((((((((((((((((((((((( SnapShot_2009-08-29_09.23.32 ))))))))))))))))))))))))))))))))))))))))) . + 2009-04-17 06:59 . 2009-04-17 06:59 128256 c:\windows\Downloaded Program Files\as2stubie.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "zBrowser Launcher"="d:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "VMware NAT Service"=2 (0x2) "VMnetDHCP"=2 (0x2) "VMAuthdService"=2 (0x2) "ufad-ws60"=3 (0x3) "ScriptHostService110"=2 (0x2) "PnkBstrB"=2 (0x2) "PnkBstrA"=2 (0x2) "odserv"=3 (0x3) "NVSvc"=2 (0x2) "JobManagerService110"=2 (0x2) "FLEXnet Licensing Service"=3 (0x3) "Ati HotKey Poller"=2 (0x2) "ANSYS FLEXlm license manager"=2 (0x2) "Adobe LM Service"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JobManagerService.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMAdmin.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMPassword.exe"= "d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\ScriptHostService.exe"= "d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CommonFiles\\intel\\AnsysWBU.exe"= "d:\\Programme\\ANSYS Inc\\v100\\ANSYS\\bin\\intel\\ANSYS.exe"= "d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ActivePIMgrU.exe"= "d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ReaderHostU.exe"= "d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\tclsh.exe"= "d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\wish.exe"= "d:\\Spiele\\Valve\\Steam\\SteamApps\\"username"\\codename gordon\\cg.exe"= "d:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "d:\\Programme\\VMware\\VMware Workstation\\vmware-authd.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [29.08.2009 14:04 28544] R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [12.12.2003 17:49 77312] R2 PEDRV;P&E Microcomputer System PCI Driver.;c:\windows\system32\drivers\pedrv.sys [03.08.2000 15:25 23296] R2 ppsio;PrmxPPDev;c:\windows\system32\drivers\PPSIO.SYS [23.09.2008 14:34 22688] R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [28.10.2008 23:08 54960] R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [12.05.2009 21:19 89600] S2 uDART01;SofTec Microsystems USB Driver;c:\windows\system32\drivers\sftdrv01.sys [26.09.2005 11:44 133708] S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [10.01.2009 18:44 8704] S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [10.01.2009 18:44 3072] S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [12.11.2008 19:59 138112] S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [12.11.2008 19:59 8320] S4 ANSYS FLEXlm license manager;ANSYS FLEXlm license manager;c:\progra~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe [10.10.2008 16:12 1294336] S4 JobManagerService100;Ansys JobManager Service V10;d:\programme\ANSYS Inc\v100\RSM\bin\JobManagerService.exe [16.01.2007 15:20 20480] S4 ScriptHostService100;Ansys ScriptHost Service V10;d:\programme\ANSYS Inc\v100\RSM\bin\ScriptHostService.exe [16.01.2007 15:20 20480] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . Inhalt des "geplante Tasks" Ordners 2009-08-29 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-18 19:16] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uInternet Settings,ProxyOverride = *.local IE: An vorhandenes PDF anfügen - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft &Excel exportieren - d:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html LSP: d:\programme\VMware\VMware Workstation\vsocklib.dll TCP: {DA02D8D1-1815-4F52-9970-696749BA4ABD} = 192.168.0.99 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-29 18:48 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\ . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(972) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(2976) d:\programme\Logitech\iTouch\iTchHk.dll c:\windows\system32\ieframe.dll c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll d:\programme\Nokia\Nokia PC Suite 6\phonebrowser.dll d:\programme\Nokia\Nokia PC Suite 6\NGSCM.DLL d:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr d:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . d:\programme\Cisco Systems\VPN Client\cvpnd.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\windows\system32\wscntfy.exe c:\windows\system32\imapi.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-08-29 18:53 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-08-29 16:53 ComboFix2.txt 2009-08-29 11:38 ComboFix3.txt 2009-08-29 09:50 ComboFix4.txt 2009-08-29 09:25 ComboFix5.txt 2009-08-29 16:37 Vor Suchlauf: 13 Verzeichnis(se), 20.561.797.120 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 20.493.848.576 Bytes frei 216 --- E O F --- 2009-08-16 21:08 Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:59:13, on 29.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe D:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: d:\programme\vmware\vmware workstation\vsocklib.dll O10 - Unknown file in Winsock LSP: d:\programme\vmware\vmware workstation\vsocklib.dll O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DA02D8D1-1815-4F52-9970-696749BA4ABD}: NameServer = 192.168.0.99 O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe -- End of file - 6032 bytes |
29.08.2009, 18:14 | #26 |
| Trojaner!? Problem mit Googleinstaller! Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten oder Meldungen? Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter Alle R0, R1, O2, O3, O8, O9 und O16-Einträge O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.08.2009, 18:18 | #27 |
| Trojaner!? Problem mit Googleinstaller! Also mein Rechner verhält sich unauffällig. Ich denke deine Tipps haben geholfen. Vielen, vielen Dank. Super Support hier im Forum. MfG |
29.08.2009, 18:21 | #28 |
| Trojaner!? Problem mit Googleinstaller! Du bist entlassen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Themen zu Trojaner!? Problem mit Googleinstaller! |
abgesicherten, abgesicherten modus, anderer, antivir, bluescree, bluescreen, dateien, debugmodus, erhalte, fehlermeldung, firefox, gmer, hallo zusammen, hijack, hijackthis, hijackthis logfile, keine dateien, laden, logfile, problem, programme, reader, rsit, schließe, starten., superantispyware, system, trojaner, zusammen |