| |
| |||||||
Log-Analyse und Auswertung: Logfile .... Monitor.win32.ardamax.oWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.09.2009, 09:57
| #1 |
| |  Logfile .... Monitor.win32.ardamax.o Auf meinem Laptop ist ein monitor.win32.ardamax.o Keylogger. Leider bin ich auf google auf keine Lösung gestoßen und auch die programme CCCleaner, Super Anti Spyware, SmitfraudFix und EsetSmart konnten mir nicht helfen. Vielleicht kann jemand das File das ich löschen muss im folgenden Log aufspüren. Vielen dank schonmal im Vorraus Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:34:19, on 08.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\WLTRYSVC.EXE D:\WINDOWS\System32\bcmwltry.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Programme\LENOVO\HOTKEY\FNF5SVC.exe D:\WINDOWS\system32\svchost.exe D:\PROGRA~1\aon\aonFlex\Guard.exe D:\WINDOWS\system32\WLTRAY.exe D:\Programme\Synaptics\SynTP\SynTPEnh.exe D:\Programme\Lenovo\HOTKEY\TpWAudAp.exe D:\WINDOWS\system32\igfxtray.exe D:\WINDOWS\system32\hkcmd.exe D:\WINDOWS\system32\igfxpers.exe D:\WINDOWS\RTHDCPL.EXE D:\WINDOWS\AGRSMMSG.exe D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe D:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe D:\Programme\Logitech\SetPoint\SetPoint.exe D:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE D:\WINDOWS\system32\wuauclt.exe D:\WINDOWS\system32\igfxsrvc.exe D:\PROGRA~1\aon\aonFlex\Connectionmanager.exe D:\WINDOWS\system32\wbem\unsecapp.exe D:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe D:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe D:\Dokumente und Einstellungen\xxx\Desktop\antitools\This.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria TA AG R3 - URLSearchHook: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - D:\Programme\Eazel-DE\tbEaz1.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - D:\Programme\Eazel-DE\tbEaz1.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O3 - Toolbar: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - D:\Programme\Eazel-DE\tbEaz1.dll O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] D:\WINDOWS\system32\WLTRAY.exe O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TPWAUDAP] D:\Programme\Lenovo\HOTKEY\TpWAudAp.exe O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] D:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LogitechCommunicationsManager] "D:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [WKSV Agent] D:\WINDOWS\system32\28463\WKSV.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = D:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://D:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227891390671 O17 - HKLM\System\CCS\Services\Tcpip\..\{F4B4C87E-DA4C-4F6F-A946-2F0F4092966A}: NameServer = 195.3.96.67 213.33.98.136 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Fn+F5 Service (FNF5SVC) - Lenovo. - D:\Programme\LENOVO\HOTKEY\FNF5SVC.exe O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - D:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LVSrvLauncher - Labtec Inc. - D:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - D:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: TAGuard - Unknown owner - D:\PROGRA~1\aon\aonFlex\Guard.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\WLTRYSVC.EXE -- End of file - 7862 bytes |
|
08.09.2009, 10:52
| #2 | |
| /// Helfer-Team    | Logfile .... Monitor.win32.ardamax.o Hallo und Herzlich Willkommen!
__________________ - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Das Programm HijackThis bitte unter Programme in einem eigenen Ordner installieren! Desktop nicht ein sicherer Platz für...wegen ev. Desktop-Bereinigung nach installation so soll aussehen: C:\Programme\Trend Micro\HijackThis\HijackThis.exe 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Coverflow |
|
08.09.2009, 17:50
| #3 |
| | Logfile .... Monitor.win32.ardamax.o Okey also hier mal meine Programme:
__________________Code:
ATTFilter Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9 - Deutsch
Agere Systems HDA Modem
Anzeige am Bildschirm
aon Online Festplatte (entfernen)
aonFlex
aonFTP
aonUpdate
Broadcom 802.11 Network Adapter
CCleaner (remove only)
Controller
Counter-Strike 1.6
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Eazel-DE Toolbar
ESET Online Scanner v3
G DATA Logox 4 Speechengine
Google Chrome
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
ICQ6.5
Intel(R) Graphics Media Accelerator Driver
Labtec WebCam
Labtec® Camera-Treiber
Lexmark Drucker-Software deinstallieren
LimeWire 4.18.8
Logitech Desktop Messenger
Logitech SetPoint
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Office Enterprise 2007
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Move Networks Media Player for Internet Explorer
MSXML 4.0 SP2 (KB954430)
Paint.NET v3.36
Picasa 3
Realtek High Definition Audio Driver
Skype™ 3.8
SUPERAntiSpyware Free Edition
Synaptics Pointing Device Driver
TeamSpeak 2 RC2
Warcraft III: All Products
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Live Anmelde-Assistent
Windows Live Essentials
Windows Live-Uploadtool
Windows XP Service Pack 3
Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk D: ist Festplatte
Volumeseriennummer: 3C55-66A2
Verzeichnis von D:\
08.09.2009 18:44 43 filelist.txt
08.09.2009 18:32 2.145.386.496 pagefile.sys
08.09.2009 08:13 2.093 rapport.txt
04.09.2009 20:13 8.012 rs-peg.clt
07.07.2009 10:26 122 LgxUser.dic
5 Datei(en) 2.145.396.766 Bytes
0 Verzeichnis(se), 16.790.077.440 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk D: ist Festplatte
Volumeseriennummer: 3C55-66A2
Verzeichnis von D:\WINDOWS
08.09.2009 18:42 7.604 ModemLog_HUAWEI Mobile Connect - 3G Modem #3.txt
08.09.2009 18:34 2.004.144 WindowsUpdate.log
08.09.2009 18:32 0 0.log
08.09.2009 18:32 159 wiadebug.log
08.09.2009 18:32 50 wiaservc.log
08.09.2009 18:32 2.048 bootstat.dat
08.09.2009 16:26 32.540 SchedLgU.Txt
07.09.2009 08:31 65.536 IFinst27.exe
28.08.2009 13:34 100.990 War3Unin.dat
23.08.2009 13:06 227 system.ini
23.08.2009 13:06 552 win.ini
23.08.2009 12:48 3.866 ModemLog_Agere Systems HDA Modem.txt
07.07.2009 10:26 163.840 LgxSetup.exe
06.07.2009 20:57 14.484 ModemLog_HUAWEI Mobile Connect - 3G Modem.txt
27.04.2009 19:23 316.640 WMSysPr9.prx
17.04.2009 10:20 12.982 ModemLog_HUAWEI Mobile Connect - 3G Modem #4.txt
15.04.2009 18:45 2.829 War3Unin.pif
15.04.2009 18:45 139.264 War3Unin.exe
19.03.2009 18:53 127.034 bwUnin-8.1.1.50-8876480SL.exe
12.03.2009 23:37 870 LMAAA2DD.ini
66 Datei(en) 42.764.715 Bytes
0 Verzeichnis(se), 16.790.073.344 Bytes frei
----- System ---
Datentr„ger in Laufwerk D: ist Festplatte
Volumeseriennummer: 3C55-66A2
Verzeichnis von D:\WINDOWS\system
**** waren alle zu alt xD ***
26 Datei(en) 1.277.947 Bytes
0 Verzeichnis(se), 16.790.069.248 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk D: ist Festplatte
Volumeseriennummer: 3C55-66A2
Verzeichnis von D:\WINDOWS\system32
08.09.2009 18:32 13.686 wpa.dbl
08.09.2009 08:11 2.938 tmp.reg
08.09.2009 08:11 0 tmp.txt
31.08.2009 09:35 400.662 perfh009.dat
31.08.2009 09:35 73.698 perfc007.dat
31.08.2009 09:35 60.822 perfc009.dat
31.08.2009 09:35 415.020 perfh007.dat
31.08.2009 09:35 961.538 PerfStringBackup.INI
30.08.2009 21:17 3.407.412 GameMon.des
06.08.2009 14:28 4.479 jupdate-1.6.0_15-b03.log
25.07.2009 05:23 411.368 deploytk.dll
01.06.2009 18:51 23.635.392 MRT.exe
01.05.2009 20:30 3.366.912 GPhotos.scr
17.04.2009 13:04 3.774 jupdate-1.6.0_13-b03.log
15.04.2009 22:25 129.784 pxafs.dll
15.04.2009 22:25 66.296 pxcpya64.exe
15.04.2009 22:25 120.056 pxcpyi64.exe
15.04.2009 22:25 64.760 pxinsa64.exe
15.04.2009 22:25 118.520 pxinsi64.exe
15.04.2009 22:25 1.628.920 pxsfs.dll
15.04.2009 22:24 90.112 dpl100.dll
15.04.2009 22:24 823.296 divx_xx0c.dll
15.04.2009 22:24 802.816 divx_xx11.dll
15.04.2009 22:24 823.296 divx_xx07.dll
15.04.2009 22:24 815.104 divx_xx0a.dll
15.04.2009 22:24 684.032 DivX.dll
02.04.2009 17:32 3.687 lvcoinst.log
21.03.2009 16:06 1.063.424 kernel32.dll
16.03.2009 14:18 69.448 XAPOFX1_3.dll
16.03.2009 14:18 22.360 X3DAudio1_6.dll
16.03.2009 14:18 517.448 XAudio2_4.dll
16.03.2009 14:18 235.352 xactengine3_4.dll
12.03.2009 23:37 1.342 LexFiles.log
12.03.2009 23:37 67 Monitor.inf
12.03.2009 08:02 264.616 FNTCACHE.DAT
10.03.2009 22:18 970.632 WgaTray.exe
10.03.2009 22:18 1.482.112 LegitCheckControl.dll
10.03.2009 22:18 265.096 WgaLogon.dll
09.03.2009 15:27 4.178.264 D3DX9_41.dll
09.03.2009 15:27 1.846.632 D3DCompiler_41.dll
09.03.2009 15:27 453.456 d3dx10_41.dll
06.03.2009 16:19 286.720 pdh.dll
03.03.2009 02:03 826.368 wininet.dll
2152 Datei(en) 499.740.887 Bytes
0 Verzeichnis(se), 16.789.880.832 Bytes frei
----- Prefetch -------------------------
Datentr„ger in Laufwerk D: ist Festplatte
Volumeseriennummer: 3C55-66A2
Verzeichnis von D:\WINDOWS\Prefetch
08.09.2009 18:44 12.030 FIND.EXE-0EEAD1A7.pf
08.09.2009 18:44 26.934 CMD.EXE-034B0549.pf
08.09.2009 18:43 20.594 NOTEPAD.EXE-2F2D61E1.pf
08.09.2009 18:42 33.068 GOOGLEUPDATE.EXE-040DFD5A.pf
08.09.2009 18:39 179.590 WINRAR.EXE-1A0EFB18.pf
08.09.2009 18:38 20.046 VERCLSID.EXE-28F52AD2.pf
08.09.2009 18:35 79.826 CHROME.EXE-051E96DA.pf
08.09.2009 18:34 21.588 UNSECAPP.EXE-16EB9856.pf
08.09.2009 18:34 62.336 CONNECTIONMANAGER.EXE-0BB4EEC5.pf
08.09.2009 18:34 861.034 NTOSBOOT-B00DFAAD.pf
08.09.2009 18:34 21.356 WUAUCLT.EXE-1360D60A.pf
08.09.2009 15:20 45.470 TPVOLCTRLAUT.EXE-3B0726B0.pf
08.09.2009 14:23 60.204 WOW.EXE-0851E7A1.pf
08.09.2009 11:33 100.078 OUTLOOK.EXE-20486E55.pf
08.09.2009 10:31 83.736 WMIPRVSE.EXE-0D449B4F.pf
08.09.2009 10:31 31.926 IGFXSRVC.EXE-1D88F978.pf
08.09.2009 10:30 16.754 RUNDLL32.EXE-4FF9832D.pf
08.09.2009 10:29 107.612 HELPSVC.EXE-1C192440.pf
08.09.2009 10:29 12.784 LOGITECHUPDATE.EXE-1BCAAA93.pf
08.09.2009 10:29 49.546 HELPCTR.EXE-0BD5B31B.pf
08.09.2009 10:26 29.838 LOGONUI.EXE-312BE1BF.pf
08.09.2009 09:42 16.178 GOOGLECRASHHANDLER.EXE-2C1E10EA.pf
08.09.2009 09:41 387.646 Layout.ini
08.09.2009 09:07 53.434 DWWIN.EXE-2C373FB7.pf
08.09.2009 09:06 223.820 DUMPREP.EXE-0AF2BF67.pf
08.09.2009 08:36 18.584 IMAPI.EXE-201490BB.pf
08.09.2009 08:36 92.738 EXPLORER.EXE-02121B1A.pf
08.09.2009 08:36 62.154 MSIEXEC.EXE-330626DC.pf
08.09.2009 08:25 63.242 REGSVR32.EXE-396DEA2C.pf
08.09.2009 08:13 14.002 FINDSTR.EXE-1A4FC238.pf
08.09.2009 08:11 90.022 CLEANMGR.EXE-31B430FE.pf
08.09.2009 08:11 33.814 CSCRIPT.EXE-0A13A05C.pf
08.09.2009 08:11 47.368 404FIX.EXE-123640B0.pf
08.09.2009 08:11 8.996 AGENT.OMZ.FIX.EXE-3233DAF3.pf
08.09.2009 08:11 47.296 IEDFIX.C.EXE-0F8C3ECC.pf
08.09.2009 08:11 65.652 IEDFIX.EXE-16AFE615.pf
08.09.2009 08:11 7.342 SWREG.EXE-26F9D764.pf
08.09.2009 08:11 13.168 REGEDIT.EXE-2AE3423E.pf
08.09.2009 08:11 48.654 VACFIX.EXE-18143736.pf
08.09.2009 08:11 31.536 POLICIES.EXE-0D79EC47.pf
08.09.2009 08:11 23.064 CHKNTFS.EXE-30FE9626.pf
08.09.2009 08:11 59.972 SMITFRAUDFIX.EXE-1F51DC1E.pf
08.09.2009 08:09 16.958 O4PATCH.EXE-0619272E.pf
08.09.2009 08:01 15.598 JQS.EXE-3596F276.pf
08.09.2009 08:01 6.898 MSI1D.TMP-09E05C1B.pf
08.09.2009 08:01 67.358 RUNDLL32.EXE-53C900AC.pf
08.09.2009 08:01 102.078 JAVAW.EXE-2682DC34.pf
08.09.2009 08:01 7.154 JAVACPL.EXE-2C833183.pf
08.09.2009 08:01 18.164 RUNDLL32.EXE-4F70230A.pf
08.09.2009 07:56 28.454 RUNDLL32.EXE-4C85B420.pf
08.09.2009 07:56 55.556 HELPHOST.EXE-30599D66.pf
08.09.2009 07:55 50.168 RUNDLL32.EXE-679B7A0E.pf
08.09.2009 07:52 24.688 THIS.EXE-2D1E8C05.pf
08.09.2009 07:50 24.720 HIJACKTHIS.EXE-1D180703.pf
08.09.2009 07:47 8.218 JAVA.EXE-09AD08D6.pf
08.09.2009 07:47 32.070 RUNDLL32.EXE-478DD1BB.pf
08.09.2009 07:43 41.748 CONNECTIONMANAGER.EXE-0E53DAC4.pf
08.09.2009 07:43 28.478 LULNCHR.EXE-18858454.pf
08.09.2009 07:01 74.250 LAUNCHER.EXE-36B26F1C.pf
07.09.2009 19:46 61.670 WAR3.EXE-093443FC.pf
07.09.2009 19:46 13.306 FROZEN THRONE.EXE-056E7004.pf
07.09.2009 19:05 23.658 RUNDLL32.EXE-74E35E56.pf
07.09.2009 16:06 22.912 _IU14D2N.TMP-39012424.pf
07.09.2009 16:06 21.116 UNINS000.EXE-065380FE.pf
07.09.2009 16:06 31.930 RUNDLL32.EXE-4960E6AC.pf
07.09.2009 15:57 37.226 TASKMGR.EXE-06144C13.pf
07.09.2009 15:29 64.252 TCLIENT.EXE-1FE24776.pf
07.09.2009 15:29 75.554 4STORY.EXE-13EEDB65.pf
07.09.2009 14:59 32.414 RUNDLL32.EXE-60D1B6C2.pf
07.09.2009 14:59 109.230 IEXPLORE.EXE-360BBB5C.pf
07.09.2009 14:45 58.236 WMPLAYER.EXE-017735B1.pf
07.09.2009 14:27 22.662 4STORY_DE_1.6.57.TMP-067B8798.pf
07.09.2009 14:27 19.118 4STORY_DE_1.6.57.EXE-185AF592.pf
07.09.2009 09:37 40.740 DOWNLOADER_4STORY_DE1.6.TMP-2157535D.pf
07.09.2009 09:37 18.690 DOWNLOADER_4STORY_DE1.6.EXE-14E8CD9C.pf
07.09.2009 08:32 40.388 RUNDLL32.EXE-42147746.pf
07.09.2009 08:32 21.506 IFINST27.EXE-21C438B5.pf
07.09.2009 08:31 10.392 ASDASTORYSETUP_090708_EN.EXE-1B37F278.pf
07.09.2009 08:18 32.062 RUNDLL32.EXE-58B3DC9A.pf
07.09.2009 00:36 57.484 DFRGNTFS.EXE-38C3807C.pf
07.09.2009 00:36 15.646 DEFRAG.EXE-2858C7E2.pf
06.09.2009 19:35 74.354 DIVX PLAYER.EXE-1CD94557.pf
06.09.2009 19:34 31.712 RUNDLL32.EXE-45ED1675.pf
06.09.2009 18:20 6.926 WTSISCTD.EXE-067E4B10.pf
06.09.2009 14:23 21.688 WAR3_INSTALL.EXE-0DBDE8FA.pf
06.09.2009 14:23 6.990 AUTOPLAY.EXE-328AAB68.pf
06.09.2009 14:23 16.578 RUNDLL32.EXE-6E8D4657.pf
06.09.2009 10:36 80.404 WINWORD.EXE-2811918F.pf
06.09.2009 09:16 17.448 W3HPH.EXE-0FCDF54A.pf
06.09.2009 09:11 112.160 NCLAUNCHER.EXE-26820D49.pf
06.09.2009 09:11 40.802 _IS1A8.EXE-2F88016D.pf
06.09.2009 09:10 26.638 SETUP.EXE-02DF2BF0.pf
06.09.2009 09:10 27.878 UNINSTALL.EXE-0BB21F4B.pf
06.09.2009 09:10 12.464 NTVDM.EXE-0A81AB7B.pf
06.09.2009 09:10 14.838 UNINSTAL.EXE-2DAB648D.pf
06.09.2009 09:09 13.266 GLB194.TMP-1099A9A9.pf
06.09.2009 09:09 44.660 TSMSIHLP.EXE-07E8639D.pf
06.09.2009 09:09 18.646 GLB190.TMP-19CCF53B.pf
06.09.2009 09:09 18.496 WISECUSTOMCALLA3.EXE-12B4084D.pf
06.09.2009 08:15 27.314 AION.BIN-114442D3.pf
06.09.2009 08:15 140.982 GAMEMON.DES-20144125.pf
06.09.2009 08:15 146.900 GAMEGUARD.DES-12DC02ED.pf
05.09.2009 18:23 62.006 RUNDLL32.EXE-4D5B2202.pf
05.09.2009 18:23 64.482 RUNDLL32.EXE-4667E400.pf
05.09.2009 18:21 58.186 RUNDLL32.EXE-40A18D9E.pf
05.09.2009 18:06 22.114 RUNDLL32.EXE-41F81301.pf
05.09.2009 18:06 22.944 RUNDLL32.EXE-665356A4.pf
05.09.2009 18:00 9.720 DXDLLREG.EXE-38065F86.pf
05.09.2009 17:58 55.286 DXSETUP.EXE-31B77EA9.pf
05.09.2009 17:52 75.362 PICASAPHOTOVIEWER.EXE-26062FED.pf
05.09.2009 17:45 178.142 XDELTA.EXE-01C90729.pf
05.09.2009 17:44 31.372 RUNDLL32.EXE-4EA18079.pf
05.09.2009 17:44 31.572 RUNDLL32.EXE-5C67DED9.pf
05.09.2009 17:43 81.518 INFINITEAION.EXE-26C06B20.pf
05.09.2009 16:43 63.886 PICASAUPDATER.EXE-3B7D7F34.pf
05.09.2009 14:41 56.966 WORLDEDIT.EXE-3B626B06.pf
05.09.2009 14:41 5.118 WORLD EDITOR.EXE-07042C6C.pf
05.09.2009 12:10 71.326 VISUALBOYADVANCE.EXE-1C2CAD84.pf
04.09.2009 16:13 65.758 NO$GBA.EXE-2D881F5D.pf
04.09.2009 16:13 63.038 VISUALBOYADVANCE.EXE-2AC19E41.pf
04.09.2009 15:49 84.118 NCLAUNCHER.COPY.EXE-0D9E3D12.pf
04.09.2009 15:48 36.970 AION LAUNCHER.EXE-29434354.pf
04.09.2009 15:46 57.788 AION.EXE-04259560.pf
04.09.2009 13:31 40.722 RUNDLL32.EXE-54AD7A42.pf
03.09.2009 17:56 20.292 PRIVATE_SERVER_AUTOPOT.EXE-04273478.pf
03.09.2009 16:59 55.164 SRO_CLIENT.EXE-2C9592C0.pf
30.08.2009 23:06 16.210 WMIADAP.EXE-32F99497.pf
27.08.2009 16:46 32.576 SILKROAD.EXE-38205D0A.pf
26.08.2009 10:20 11.760 LOGON.SCR-24ADF392.pf
130 Datei(en) 7.004.868 Bytes
0 Verzeichnis(se), 16.789.946.368 Bytes frei
----- Tasks ----------------------------
Datentr„ger in Laufwerk D: ist Festplatte
Volumeseriennummer: 3C55-66A2
Verzeichnis von D:\WINDOWS\tasks
08.09.2009 18:42 1.220 GoogleUpdateTaskUserS-1-5-21-343818398-1078145449-839522115-1003UA.job
08.09.2009 18:32 6 SA.DAT
08.09.2009 09:42 1.168 GoogleUpdateTaskUserS-1-5-21-343818398-1078145449-839522115-1003Core.job
4 Datei(en) 2.459 Bytes
0 Verzeichnis(se), 16.789.954.560 Bytes frei
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk D: ist Festplatte
Volumeseriennummer: 3C55-66A2
Verzeichnis von D:\WINDOWS\Temp
08.09.2009 18:34 32.768 ~DF736A.tmp
08.09.2009 18:32 483 WGAErrLog.txt
31.08.2009 22:57 16.384 Perflib_Perfdata_7a0.dat
31.08.2009 14:30 32.768 ~DF5C15.tmp
31.08.2009 14:26 16.384 Perflib_Perfdata_79c.dat
31.08.2009 09:56 32.768 ~DF5C19.tmp
31.08.2009 09:35 16.384 Perflib_Perfdata_794.dat
01.08.2009 14:26 16.384 Perflib_Perfdata_6ec.dat
28.07.2009 08:17 32.768 ~DF83FB.tmp
27.07.2009 13:47 32.768 ~DF44EC.tmp
26.07.2009 17:01 32.768 ~DF191B.tmp
26.07.2009 09:23 32.768 ~DFED37.tmp
25.07.2009 11:05 32.768 ~DFB8D2.tmp
10.07.2009 21:28 32.768 ~DFCAE3.tmp
28.06.2009 22:16 32.768 ~DF9DDF.tmp
28.06.2009 17:28 32.768 ~DF531A.tmp
23.06.2009 00:24 32.768 ~DFBD58.tmp
23.06.2009 00:24 16.384 Perflib_Perfdata_7b8.dat
21.06.2009 19:40 16.384 Perflib_Perfdata_774.dat
21.06.2009 13:21 131.072 ~DF7A39.tmp
17.06.2009 08:52 32.768 ~DF9E33.tmp
15.06.2009 10:08 32.768 ~DF1F72.tmp
15.06.2009 10:07 16.384 Perflib_Perfdata_7cc.dat
15.06.2009 08:16 16.384 Perflib_Perfdata_7a8.dat
09.06.2009 07:18 32.768 ~DF206D.tmp
04.06.2009 12:28 32.768 ~DFC8A.tmp
04.06.2009 07:47 32.768 ~DF5690.tmp
02.06.2009 18:31 32.768 ~DF4A53.tmp
18.05.2009 20:46 32.768 ~DF793B.tmp
18.05.2009 20:46 16.384 Perflib_Perfdata_7bc.dat
18.05.2009 14:45 16.384 ~DF2E20.tmp
18.05.2009 08:56 16.384 Perflib_Perfdata_7dc.dat
14.05.2009 19:37 16.384 Perflib_Perfdata_7e0.dat
13.05.2009 08:42 32.768 ~DF5459.tmp
12.05.2009 08:42 32.768 ~DF152F.tmp
12.05.2009 08:42 16.384 Perflib_Perfdata_7ac.dat
09.05.2009 07:14 32.768 ~DF51DC.tmp
07.05.2009 07:13 32.768 ~DFDF0A.tmp
02.05.2009 15:03 16.384 Perflib_Perfdata_cbc.dat
02.05.2009 14:52 131.072 ~DF3DC2.tmp
23.04.2009 07:55 32.768 ~DFBD34.tmp
19.04.2009 20:49 32.768 ~DFE30F.tmp
17.04.2009 09:09 32.768 ~DF2C02.tmp
02.04.2009 07:44 32.768 ~DFFC81.tmp
01.04.2009 13:42 32.768 ~DF8625.tmp
01.04.2009 12:34 16.384 Perflib_Perfdata_78c.dat
31.03.2009 22:22 32.768 ~DF75E.tmp
25.03.2009 14:10 32.768 ~DFB440.tmp
24.03.2009 21:11 32.768 ~DF6C30.tmp
23.03.2009 23:56 131.072 ~DFEA7C.tmp
21.03.2009 16:25 10.469 LgDSetup.txt
21.03.2009 16:25 162.536 InstAEC.log
21.03.2009 16:25 149.372 InstMV.log
21.03.2009 16:25 205.288 LVEnum.log
21.03.2009 16:24 86 qcdrvsetup.log
17.03.2009 08:36 32.768 ~DFA7E9.tmp
15.03.2009 22:36 32.768 ~DFB6EC.tmp
12.03.2009 12:38 131.072 ~DFB18D.tmp
12.03.2009 08:43 32.768 ~DFC52A.tmp
12.03.2009 08:02 16.384 Perflib_Perfdata_6d0.dat
09.03.2009 15:43 32.768 ~DFACF4.tmp
09.03.2009 08:43 32.768 ~DF7510.tmp
07.03.2009 11:09 16.384 Perflib_Perfdata_e2c.dat
07.03.2009 10:56 530.458 inifiles.dat
07.03.2009 10:56 648.656 ipworks6.dll
07.03.2009 10:56 1.773.568 GDIPLUS.DLL
07.03.2009 10:56 157.178 aonFlex.chm
07.03.2009 10:56 5.724.520 aonFlex.exe
07.03.2009 10:56 1.560.618 Installer.chm
07.03.2009 10:56 9.740.184 Installer.exe
07.03.2009 10:19 131.072 ~DF9F74.tmp
07.03.2009 10:10 131.072 ~DFBEAF.tmp
07.03.2009 10:01 16.384 Perflib_Perfdata_5ec.dat
77 Datei(en) 22.990.155 Bytes
0 Verzeichnis(se), 16.789.950.464 Bytes frei
----- Temp -----------------------------
Datentr„ger in Laufwerk D: ist Festplatte
Volumeseriennummer: 3C55-66A2
Verzeichnis von D:\DOKUME~1\Bernhard\LOKALE~1\Temp
08.09.2009 18:35 0 etilqs_oTmfvq2QKnTHcDxF6TU7
08.09.2009 10:28 798.234 IMTA.xml
08.09.2009 10:28 798.234 IMTB.xml
08.09.2009 10:28 426 IMT8.xml
08.09.2009 10:28 426 IMT9.xml
08.09.2009 10:28 2.036 IMT7.xml
08.09.2009 10:28 2.036 IMT6.xml
08.09.2009 10:27 22.253 Turkish.bin
08.09.2009 10:27 21.964 Norwegian.bin
08.09.2009 10:27 26.080 Hungarian.bin
08.09.2009 10:27 19.553 Hebrew.bin
08.09.2009 10:27 22.857 Finnish.bin
08.09.2009 10:27 24.312 Czech.bin
08.09.2009 10:27 25.071 Portuguese(Brazil).bin
08.09.2009 10:27 24.221 Polish.bin
08.09.2009 10:27 25.082 Greek.bin
08.09.2009 10:27 20.972 Arabic.bin
08.09.2009 10:27 26.260 Portuguese.bin
08.09.2009 10:27 24.082 SWEDISH.bin
08.09.2009 10:27 16.408 SimChin.bin
08.09.2009 10:27 21.976 Thai.bin
08.09.2009 10:27 21.933 English.bin
08.09.2009 10:27 27.753 Spanish.bin
08.09.2009 10:27 26.126 Russian.bin
08.09.2009 10:27 27.410 Italian.bin
08.09.2009 10:27 25.753 German.bin
08.09.2009 10:27 27.235 French.bin
08.09.2009 10:27 16.949 TradChin.bin
08.09.2009 10:27 25.747 Dutch.bin
08.09.2009 10:27 22.783 Danish.bin
08.09.2009 10:27 20.135 Korean.bin
08.09.2009 10:27 24.297 Japanese.bin
08.09.2009 07:43 32.768 ~DF7756.tmp
04.09.2009 14:49 158.960 SSUPDATE.EXE
34 Datei(en) 2.380.332 Bytes
0 Verzeichnis(se), 16.789.950.464 Bytes frei
|
|
08.09.2009, 19:44
| #4 | |
| /// Helfer-Team | Logfile .... Monitor.win32.ardamax.o hi 1. Code:
ATTFilter LimeWire 4.18.8
Zitat:
 2. Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...` Code:
ATTFilter Eazel-DE Toolbar
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Code:
ATTFilter O2 - BHO: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - D:\Programme\Eazel-DE\tbEaz1.dll
O3 - Toolbar: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - D:\Programme\Eazel-DE\tbEaz1.dll
poste erneut: Trend Micro HijackThis-Logfile |
|
08.09.2009, 23:23
| #5 |
| | Logfile .... Monitor.win32.ardamax.o Habe Limewire und dieses Toolbar Addware entfernt aber Monitor.win32.ardamax.o keylogger ist immer noch auf meinem Computer vorhanden. (Wird zumindest vom WOW-Clienten angezeigt) Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:18:42, on 09.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\WLTRYSVC.EXE D:\WINDOWS\System32\bcmwltry.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Programme\LENOVO\HOTKEY\FNF5SVC.exe D:\WINDOWS\system32\svchost.exe D:\PROGRA~1\aon\aonFlex\Guard.exe D:\WINDOWS\system32\WLTRAY.exe D:\Programme\Synaptics\SynTP\SynTPEnh.exe D:\Programme\Lenovo\HOTKEY\TpWAudAp.exe D:\WINDOWS\system32\igfxtray.exe D:\WINDOWS\system32\hkcmd.exe D:\WINDOWS\system32\igfxpers.exe D:\WINDOWS\RTHDCPL.EXE D:\WINDOWS\AGRSMMSG.exe D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe D:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe D:\Programme\Logitech\SetPoint\SetPoint.exe D:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE D:\PROGRA~1\aon\aonFlex\Connectionmanager.exe D:\WINDOWS\system32\wbem\unsecapp.exe D:\WINDOWS\system32\wuauclt.exe D:\Dokumente und Einstellungen\Bernhard\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe D:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe D:\Programme\Trend Micro\HijackThis\This.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria TA AG R3 - URLSearchHook: (no name) - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] D:\WINDOWS\system32\WLTRAY.exe O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TPWAUDAP] D:\Programme\Lenovo\HOTKEY\TpWAudAp.exe O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] D:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LogitechCommunicationsManager] "D:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [WKSV Agent] D:\WINDOWS\system32\28463\WKSV.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = D:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://D:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227891390671 O17 - HKLM\System\CCS\Services\Tcpip\..\{F4B4C87E-DA4C-4F6F-A946-2F0F4092966A}: NameServer = 195.3.96.67 213.33.98.136 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Fn+F5 Service (FNF5SVC) - Lenovo. - D:\Programme\LENOVO\HOTKEY\FNF5SVC.exe O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - D:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LVSrvLauncher - Labtec Inc. - D:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - D:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: TAGuard - Unknown owner - D:\PROGRA~1\aon\aonFlex\Guard.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\WLTRYSVC.EXE -- End of file - 7564 bytes |
|
09.09.2009, 03:06
| #6 | ||
 | Logfile .... Monitor.win32.ardamax.oZitat:
Gruß Acid Edith: Hab mir gerade mal dein Log angesehen: Code:
ATTFilter Sie benutzen anscheinend keinen Antivirenscanner oder ihr Scanner ist nicht aktiv.
Code:
ATTFilter R3 - URLSearchHook: (no name) - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - (no file)
Zitat:
Geändert von Acid303 (09.09.2009 um 03:20 Uhr) |
|
09.09.2009, 06:51
| #7 |
| | Logfile .... Monitor.win32.ardamax.o R3 und O17 hab ich erfolgreich gefixt. Und ich habe derzeit keinen Antivir aktiv. |
|
10.09.2009, 10:59
| #8 | ||
| /// Helfer-Team | Logfile .... Monitor.win32.ardamax.oZitat:
Code:
ATTFilter inetnum: 195.3.86.72 - 195.3.97.255
netname: TA-HIGHWAY
descr: Telekom Austria Aktiengesellschaft
country: AT
admin-c: HMH25-RIPE
tech-c: AAH12-RIPE
tech-c: DAH12-RIPE
tech-c: HMH25-RIPE
status: ASSIGNED PA
mnt-by: AS8447-MNT
mnt-lower: AS8447-MNT
source: RIPE
Zitat:
|
|
10.09.2009, 11:47
| #9 |
| | Logfile .... Monitor.win32.ardamax.o @Coverflow, ich habe auch kein AV installiert, und das seit einigen Jahren, lies mal hier, wir wären auch nicht so große Ausnahmen. Natürlich ist "kein AV" nicht für jeden empfehlemswert, aber bei entsprechendem Wissen aus meiner Sicht keinesfalls ein unkalkulierbares Risiko. back to Topic: ich hatte mir den Ardamax Keylogger vor einiger Zeit mal angesehen, soweit ich mich erinnere sollte der Starteintrag im HJT-Log zu erkennen sein. Vielleicht hat Coverflow Recht und es ist ein Fehlalarm von WOW, suche mal dort im Forum nach entsprechenden Topics.
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
|
10.09.2009, 17:28
| #10 |
| /// Helfer-Team | Logfile .... Monitor.win32.ardamax.o hi → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: Code:
ATTFilter D:\WINDOWS\system32\28463\WKSV.exe
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1): |
|
| Themen zu Logfile .... Monitor.win32.ardamax.o |
| adobe, bho, browser, desktop, einstellungen, esetsmart, explorer, file, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, lan, lenovo, logfile, löschen, microsoft, programme, realtek, senden, software, spyware, super, superantispyware, system, toolbars, windows, windows xp, wireless lan |
Linear-Darstellung
