|
Log-Analyse und Auswertung: IE startet automatischWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.09.2009, 07:42 | #1 |
| IE startet automatisch Hallo, seit ein paar Tagen öffnet bei mir der IE automatisch, obwohl ich den FF als Standard-Browser nutze. Mein Virenprogramm hat vor Tagen etwas entdeckt, auch beseitigt. Dennoch öffnet sich IE ständig. Hier mein HiJack und die Programme: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programme\Norman\Npm\Bin\Elogsvc.exe C:\Programme\Norman\Ngs\Bin\Nprosec.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norman\Npm\Bin\Zanda.exe C:\Programme\Norman\npm\bin\nvoy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Norman\Npm\Bin\scheduler.exe C:\Programme\Norman\Npm\Bin\Njeeves.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Norman\nse\bin\NSESVC.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Norman\Npm\Bin\ZLH.EXE C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\DOKUME~1\User\LOKALE~1\Temp\b.exe C:\Programme\Norman\Nvc\Bin\nvcoas.exe C:\WINDOWS\msa.exe C:\Programme\Norman\Nvc\Bin\Nip.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Norman\Nvc\Bin\cclaw.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programme\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PopRock] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3A6AC65B-5C4A-42F4-BE0B-667259779C59}: NameServer = 217.0.43.177 217.0.43.161 O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programme\Norman\Npm\Bin\Elogsvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Norman NJeeves - Norman ASA - C:\Programme\Norman\Npm\Bin\Njeeves.exe O23 - Service: Norman ZANDA - Norman ASA - C:\Programme\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA - C:\Programme\Norman\Ngs\Bin\Nprosec.exe O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Programme\Norman\nse\bin\NSESVC.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\Norman\Nvc\Bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Unknown owner - C:\Programme\Norman\Npm\Bin\Nvcsched.exe (file missing) O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Programme\Norman\npm\bin\nvoy.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Norman Scheduler Service (Scheduler) - Norman ASA - C:\Programme\Norman\Npm\Bin\scheduler.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe 2007 Microsoft Office system ABBYY FineReader 6.0 Professional Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Adobe Reader 9.1.3 - Deutsch CCleaner (remove only) Defraggler (remove only) Dr. Hardware 2009 9.9.5d Garmin MapSource HijackThis 2.0.2 HP Deskjet 5900 series HP Extended Capabilities 5.0 HP Image Zone 5.0 HP Imaging Device Functions 5.0 HP PrecisionScan LTX HP Solution Center & Imaging Support Tools 5.0 Intel(R) Graphics Media Accelerator Driver IZArc 3.81 Java(TM) 6 Update 16 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft .NET Framework 3.5 SP1 Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Office Suite Activation Assistant Microsoft Office XP Small Business Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket Mozilla Firefox (3.5.3) MSXML 6.0 Parser (KB925673) Norman Security Suite PC Wizard 2009.1.88 PowerDVD REALTEK GbE & FE Ethernet PCI-E NIC Driver Realtek High Definition Audio Driver Security Update for Windows Search 4 - KB963093 ShiftN 3.5 T-DSL SpeedManager Topo Deutschland v2 Update für Windows XP (KB943729) Windows Genuine Advantage Validation Tool (KB892130) Windows Internet Explorer 8 Windows Media Format 11 runtime Windows Media Player 11 Schöne Grüße, Rainer |
29.09.2009, 08:32 | #2 | |||
/// Helfer-Team | IE startet automatisch Hallo und Herzlich Willkommen!
__________________Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. Es fehlt der Kopf des HijackThis-LogFiles mit den Informationen zur Aktualität des Systems. Zitat:
Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
29.09.2009, 18:49 | #3 |
| IE startet automatisch Hallo Coverflow,
__________________danke für die Begrüßung! Ich hoffe, dass ich das hinbekomme. Ich bin auf diesem Gebiet nicht gut bewandert. Hier jetzt der komplette HiJack und der Scan von GMER. Meine Programme hatte ich ja bereits heute morgen mit eingestellt. Oder reicht das noch nicht aus? Es gelingt mir auch nicht, meinen Beitrag von heute morgen zu bearbeiten, deswegen jetzt hier neu. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:45:08, on 29.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programme\Norman\Npm\Bin\Elogsvc.exe C:\Programme\Norman\Ngs\Bin\Nprosec.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norman\Npm\Bin\Zanda.exe C:\Programme\Norman\npm\bin\nvoy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Norman\Npm\Bin\scheduler.exe C:\Programme\Norman\Npm\Bin\Njeeves.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Norman\Npm\Bin\ZLH.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Norman\nse\bin\NSESVC.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\msa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Norman\Nvc\Bin\Nip.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\User\Eigene Dateien\dhwe2jj8.exe C:\DOKUME~1\User\LOKALE~1\Temp\b.exe C:\Programme\Norman\Nvc\Bin\nvcoas.exe C:\Programme\Norman\Nvc\Bin\cclaw.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programme\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PopRock] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3A6AC65B-5C4A-42F4-BE0B-667259779C59}: NameServer = 217.0.43.177 217.0.43.161 O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programme\Norman\Npm\Bin\Elogsvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Norman NJeeves - Norman ASA - C:\Programme\Norman\Npm\Bin\Njeeves.exe O23 - Service: Norman ZANDA - Norman ASA - C:\Programme\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA - C:\Programme\Norman\Ngs\Bin\Nprosec.exe O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Programme\Norman\nse\bin\NSESVC.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\Norman\Nvc\Bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Unknown owner - C:\Programme\Norman\Npm\Bin\Nvcsched.exe (file missing) O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Programme\Norman\npm\bin\nvoy.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Norman Scheduler Service (Scheduler) - Norman ASA - C:\Programme\Norman\Npm\Bin\scheduler.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe -- End of file - 6788 bytes GMER 1.0.15.15087 - GMER - Rootkit Detector and Remover Rootkit scan 2009-09-29 19:41:02 Windows 5.1.2600 Service Pack 3 Running: dhwe2jj8.exe; Driver: C:\DOKUME~1\User\LOKALE~1\Temp\awqcrpog.sys ---- System - GMER 1.0.15 ---- SSDT \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA) ZwCreateProcess [0xBA2DC0D4] SSDT \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA) ZwCreateProcessEx [0xBA2DC104] SSDT \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA) ZwCreateThread [0xBA2DB6FC] SSDT \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA) ZwTerminateProcess [0xBA2DC488] SSDT \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA) ZwWriteVirtualMemory [0xBA2DC134] ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\RTHDCPL.EXE[416] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\WINDOWS\system32\igfxtray.exe[976] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\Java\jre6\bin\jusched.exe[1076] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\Java\jre6\bin\jusched.exe[1076] ws2_32.dll!htons 71A12E53 6 Bytes JMP 5F070F5A .text C:\Programme\Java\jre6\bin\jusched.exe[1076] ws2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI} .text C:\Programme\Java\jre6\bin\jusched.exe[1076] ws2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A .text C:\Programme\Java\jre6\bin\jusched.exe[1076] ws2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A .text C:\Programme\Java\jre6\bin\jusched.exe[1076] ws2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A .text C:\Programme\Java\jre6\bin\jusched.exe[1076] ws2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A .text C:\Programme\Java\jre6\bin\jusched.exe[1076] ws2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A .text C:\Programme\Java\jre6\bin\jusched.exe[1076] ws2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A .text C:\Programme\Java\jre6\bin\jusched.exe[1076] ws2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A .text C:\WINDOWS\system32\igfxpers.exe[1096] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\WINDOWS\system32\hkcmd.exe[1100] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\T-DSL SpeedManager\SpeedMgr.exe[1156] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[1176] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\CyberLink\PowerDVD\PDVDServ.exe[1188] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text ... .text C:\Programme\Messenger\msmsgs.exe[1236] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A .text C:\Programme\Messenger\msmsgs.exe[1236] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI} .text C:\Programme\Messenger\msmsgs.exe[1236] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A .text C:\Programme\Messenger\msmsgs.exe[1236] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A .text C:\Programme\Messenger\msmsgs.exe[1236] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A .text C:\Programme\Messenger\msmsgs.exe[1236] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A .text C:\Programme\Messenger\msmsgs.exe[1236] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A .text C:\Programme\Messenger\msmsgs.exe[1236] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A .text C:\Programme\Messenger\msmsgs.exe[1236] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A .text C:\WINDOWS\system32\igfxsrvc.exe[1808] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A .text C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] ws2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A .text C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] ws2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI} .text C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] ws2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A .text C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] ws2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A .text C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] ws2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A .text C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] ws2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A .text C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] ws2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A .text C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] ws2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A .text C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] ws2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A .text C:\Dokumente und Einstellungen\User\Eigene Dateien\dhwe2jj8.exe[2240] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Dokumente und Einstellungen\User\Eigene Dateien\dhwe2jj8.exe[2240] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D .text C:\WINDOWS\msa.exe[2448] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A .text C:\WINDOWS\msa.exe[2448] Ws2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A .text C:\WINDOWS\msa.exe[2448] Ws2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI} .text C:\WINDOWS\msa.exe[2448] Ws2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A .text C:\WINDOWS\msa.exe[2448] Ws2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A .text C:\WINDOWS\msa.exe[2448] Ws2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A .text C:\WINDOWS\msa.exe[2448] Ws2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A .text C:\WINDOWS\msa.exe[2448] Ws2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A .text C:\WINDOWS\msa.exe[2448] Ws2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A .text C:\WINDOWS\msa.exe[2448] Ws2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A .text C:\WINDOWS\system32\ctfmon.exe[2896] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\Mozilla Firefox\firefox.exe[3268] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A .text C:\Programme\Mozilla Firefox\firefox.exe[3268] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D .text C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A .text C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI} .text C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A .text C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A .text C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A .text C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A .text C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A .text C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A .text C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A .text C:\Programme\T-DSL SpeedManager\tsmsvc.exe[3580] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA] [00417004] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW] [0041707E] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow] [004170F8] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!CreateWindowExW] [0041707E] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!ShowWindow] [004170F8] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!SetWindowPos] [004171AA] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA] [00417004] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW] [0041707E] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowPos] [004171AA] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!ShowWindow] [004170F8] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!SetWindowPos] [004171AA] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\User\LOKALE~1\Temp\b.exe[1896] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!CreateWindowExW] [0041707E] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA] [00419B78] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW] [00419BF0] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!DialogBoxParamW] [00419D82] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!MessageBoxW] [00419D8E] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow] [00419C68] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!CreateWindowExW] [00419BF0] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!DialogBoxParamW] [00419D82] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!ShowWindow] [00419C68] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!SetWindowPos] [00419D16] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!MessageBoxW] [00419D8E] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!MessageBoxA] [00419D8E] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!MessageBoxIndirectW] [00419D7C] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamA] [00419D82] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamW] [00419D82] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA] [00419B78] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW] [00419BF0] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxA] [00419D8E] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxW] [00419D8E] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectA] [00419D7C] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectW] [00419D7C] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowPos] [00419D16] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!ShowWindow] [00419C68] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!SetWindowPos] [00419D16] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!DialogBoxParamW] [00419D82] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!CreateWindowExW] [00419BF0] C:\WINDOWS\msa.exe IAT C:\WINDOWS\msa.exe[2448] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!MessageBoxW] [00419D8E] C:\WINDOWS\msa.exe ---- EOF - GMER 1.0.15 ---- Viele Grüße, Rainer |
29.09.2009, 19:02 | #4 |
| IE startet automatisch Hallo, hier nun der gewünschte Logfile. ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\ 29.09.2009 19:53 43 filelist.txt 29.09.2009 18:22 0 Log.txt 29.09.2009 18:22 2.145.386.496 pagefile.sys 23.09.2009 19:53 211 boot.ini 27.08.2009 15:42 5.990 TDSLCheck.txt 05.06.2009 11:00 0 CONFIG.SYS 05.06.2009 11:00 0 MSDOS.SYS 05.06.2009 11:00 0 AUTOEXEC.BAT 05.06.2009 11:00 0 IO.SYS 12 Datei(en) 2.145.696.968 Bytes 0 Verzeichnis(se), 54.027.747.328 Bytes frei ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS 29.09.2009 18:23 937.145 WindowsUpdate.log 29.09.2009 18:22 0 0.log 29.09.2009 18:22 159 wiadebug.log 29.09.2009 18:22 50 wiaservc.log 29.09.2009 18:22 2.048 bootstat.dat 29.09.2009 09:07 32.438 SchedLgU.Txt 28.09.2009 21:45 5.146 setupapi.log 26.09.2009 11:09 0 setuperr.log 26.09.2009 11:09 60 setupact.log 23.09.2009 19:53 540 win.ini 23.09.2009 19:53 227 system.ini 21.09.2009 19:42 4.096 d3dx.dat 20.09.2009 20:45 153.088 msa.exe 29.08.2009 16:43 1.080 AUTOLNCH.REG 27.08.2009 16:33 81.242 hpfins05.dat 27.08.2009 14:04 0 nsreg.dat 27.08.2009 08:37 400 ODBC.INI 21.08.2009 18:13 90 wincmd.ini 10.06.2009 10:56 8.192 REGLOCS.OLD 05.06.2009 11:58 0 Sti_Trace.log 05.06.2009 11:48 61 smscfg.ini 05.06.2009 11:27 8 SERI 05.06.2009 11:09 316.640 WMSysPr9.prx 05.06.2009 11:08 210.415 orun32.isu 05.06.2009 11:08 849 orun32.ini 05.06.2009 11:00 0 control.ini 05.06.2009 11:00 4.161 ODBCINST.INI 05.06.2009 11:00 749 WindowsShell.Manifest 05.06.2009 10:59 37 vbaddin.ini 05.06.2009 10:59 36 vb.ini 21.05.2009 14:01 17.881.600 RTHDCPL.EXE 16.04.2009 17:23 540.672 RtlExUpd.dll 01.04.2009 09:58 1.200.128 RtlUpd.exe 17.03.2009 14:07 122.880 RtkAudioService.exe 10.03.2009 14:32 2.168.320 MicCal.exe 02.03.2009 11:14 57.344 ALCMTR.EXE 82 Datei(en) 41.710.985 Bytes 0 Verzeichnis(se), 54.027.743.232 Bytes frei ----- System --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS\system 25 Datei(en) 929.787 Bytes 0 Verzeichnis(se), 54.027.743.232 Bytes frei ----- System 32 (Achtung: Zeitfenster beachten!) --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS\system32 29.09.2009 18:22 1.158 wpa.dbl 29.08.2009 07:43 277.352 FNTCACHE.DAT 26.08.2009 15:02 459.152 perfh007.dat 26.08.2009 15:02 71.196 perfc009.dat 26.08.2009 15:02 84.524 perfc007.dat 26.08.2009 15:02 441.260 perfh009.dat 26.08.2009 14:38 212.772 TZLog.log 26.08.2009 14:36 1.060.690 PerfStringBackup.INI 26.08.2009 14:30 23.392 nscompat.tlb 26.08.2009 14:30 16.832 amcompat.tlb 26.08.2009 14:17 145.184 javaw.exe 26.08.2009 14:17 149.280 javaws.exe 26.08.2009 14:17 73.728 javacpl.cpl 26.08.2009 14:17 145.184 java.exe 26.08.2009 14:17 411.368 deploytk.dll 21.08.2009 18:07 336 $winnt$.inf 21.08.2009 18:06 4.444 pid.PNF 05.08.2009 10:59 206.336 mswebdvd.dll 04.08.2009 19:00 333 $ncsp$.inf 29.07.2009 17:49 24.281.536 MRT.exe 29.07.2009 06:34 119.808 t2embed.dll 29.07.2009 06:34 81.920 fontsub.dll 19.07.2009 18:41 11.067.392 ieframe.dll 19.07.2009 15:11 5.937.152 mshtml.dll 17.07.2009 21:01 58.880 atl.dll 14.07.2009 13:03 46.080 tzchange.exe 13.07.2009 23:43 286.208 wmpdxm.dll 13.07.2009 23:43 10.841.088 wmp.dll 03.07.2009 18:55 206.848 occache.dll 03.07.2009 18:55 915.456 wininet.dll 03.07.2009 18:55 1.208.832 urlmon.dll 03.07.2009 18:55 55.296 msfeedsbs.dll 03.07.2009 18:55 594.432 msfeeds.dll 03.07.2009 18:55 1.469.440 inetcpl.cpl 03.07.2009 18:55 25.600 jsproxy.dll 03.07.2009 18:55 1.985.536 iertutil.dll 03.07.2009 18:55 184.320 iepeers.dll 03.07.2009 18:55 386.048 iedkcs32.dll 03.07.2009 13:01 173.056 ie4uinit.exe 29.06.2009 10:40 57.667 ieuinit.inf 25.06.2009 10:25 136.192 msv1_0.dll 25.06.2009 10:25 147.456 schannel.dll 25.06.2009 10:25 56.832 secur32.dll 25.06.2009 10:25 301.568 kerberos.dll 25.06.2009 10:25 737.792 lsasrv.dll 25.06.2009 10:25 54.272 wdigest.dll 15.06.2009 12:43 78.848 telnet.exe 15.06.2009 12:43 82.944 tlntsess.exe 10.06.2009 16:13 85.504 avifil32.dll 10.06.2009 09:19 2.066.432 mstscax.dll 10.06.2009 08:14 132.096 wkssvc.dll 05.06.2009 11:58 0 h323log.txt 05.06.2009 11:24 146.650 BuzzingBee.wav 05.06.2009 11:24 940.794 LoopyMusic.wav 05.06.2009 11:00 2.951 CONFIG.NT 05.06.2009 11:00 488 WindowsLogon.manifest 05.06.2009 11:00 488 logonui.exe.manifest 05.06.2009 11:00 749 ncpa.cpl.manifest 05.06.2009 11:00 749 nwc.cpl.manifest 05.06.2009 11:00 749 sapi.cpl.manifest 05.06.2009 11:00 749 wuaucpl.cpl.manifest 05.06.2009 11:00 749 cdplayer.exe.manifest 05.06.2009 10:59 21.740 emptyregdb.dat 03.06.2009 21:09 1.296.896 quartz.dll 14.05.2009 15:21 36.864 RtkCoInstXP.dll 12.05.2009 15:12 26.144 spupdsvc.exe 12.05.2009 15:12 16.928 spmsg.dll 09.05.2009 10:54 27.136 PCWizard.cpl 07.05.2009 17:32 348.160 localspl.dll 30.04.2009 18:23 880.640 RTSndMgr.CPL 19.04.2009 21:46 1.847.296 win32k.sys 15.04.2009 16:51 585.216 rpcrt4.dll 09.04.2009 09:47 53.248 CSVer.dll 21.03.2009 16:06 1.063.424 kernel32.dll 10.03.2009 22:18 1.482.112 LegitCheckControl.dll 10.03.2009 22:18 970.632 WgaTray.exe 10.03.2009 22:18 265.096 WgaLogon.dll 08.03.2009 14:29 1.302.528 ieframe.dll.mui 08.03.2009 14:29 57.344 msrating.dll.mui 08.03.2009 14:28 2.560 mshta.exe.mui 08.03.2009 14:27 4.096 ie4uinit.exe.mui 08.03.2009 14:27 12.288 advpack.dll.mui 08.03.2009 14:27 81.920 iedkcs32.dll.mui 08.03.2009 04:35 385.024 html.iec 08.03.2009 04:34 208.384 WinFXDocObj.exe 08.03.2009 04:34 236.544 webcheck.dll 08.03.2009 04:34 43.008 licmgr10.dll 08.03.2009 04:34 105.984 url.dll 08.03.2009 04:34 193.536 msrating.dll 08.03.2009 04:33 18.944 corpol.dll 08.03.2009 04:33 726.528 jscript.dll 08.03.2009 04:33 229.376 ieaksie.dll 08.03.2009 04:33 420.352 vbscript.dll 08.03.2009 04:33 125.952 ieakeng.dll 08.03.2009 04:32 72.704 admparse.dll 08.03.2009 04:32 163.840 ieakui.dll 08.03.2009 04:32 36.864 ieudinit.exe 08.03.2009 04:32 55.808 iernonce.dll 08.03.2009 04:32 71.680 iesetup.dll 08.03.2009 04:32 128.512 advpack.dll 08.03.2009 04:32 94.720 inseng.dll 08.03.2009 04:32 611.840 mstime.dll 08.03.2009 04:31 13.312 msfeedssync.exe 08.03.2009 04:31 59.904 icardie.dll 08.03.2009 04:31 348.160 dxtmsft.dll 08.03.2009 04:31 34.816 imgutil.dll 08.03.2009 04:31 216.064 dxtrans.dll 08.03.2009 04:31 46.592 pngfilt.dll 08.03.2009 04:31 66.560 mshtmled.dll 08.03.2009 04:31 48.128 mshtmler.dll 08.03.2009 04:31 45.568 mshta.exe 08.03.2009 04:31 1.638.912 mshtml.tlb 08.03.2009 04:30 66.560 tdc.ocx 08.03.2009 04:22 164.352 ieui.dll 08.03.2009 04:22 156.160 msls31.dll 08.03.2009 04:11 445.952 ieapfltr.dll 06.03.2009 16:19 286.720 pdh.dll 03.03.2009 20:18 73.728 RtNicProp32.dll 03.03.2009 01:10 1.499.136 shdocvw.dll 2138 Datei(en) 456.236.448 Bytes 0 Verzeichnis(se), 54.027.538.432 Bytes frei ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS\Prefetch 29.09.2009 19:53 13.336 FIND.EXE-0EC32F1E.pf 29.09.2009 19:53 13.228 CMD.EXE-087B4001.pf 29.09.2009 19:45 18.334 NOTEPAD.EXE-336351A9.pf 29.09.2009 19:45 60.248 WMIPRVSE.EXE-28F301A9.pf 29.09.2009 19:45 52.438 HIJACKTHIS.EXE-39024128.pf 29.09.2009 19:42 40.866 CCLAW.EXE-25318A5F.pf 29.09.2009 19:42 41.766 NVCOA.EXE-3AF460DB.pf 29.09.2009 19:41 18.220 NVCOAS.EXE-05FE9262.pf 29.09.2009 19:41 8.106 NPROSEC.EXE-07791581.pf 29.09.2009 19:41 21.988 NIP.EXE-38B2615B.pf 29.09.2009 19:41 7.848 NGS.EXE-1A222E6E.pf 29.09.2009 19:41 8.906 NSESVC.EXE-1041A2FB.pf 29.09.2009 19:41 57.048 NSE.EXE-36B21E4A.pf 29.09.2009 19:41 6.992 NJEEVES.EXE-01675881.pf 29.09.2009 19:41 5.556 SCHEDULER.EXE-201A3E1A.pf 29.09.2009 19:41 5.516 ELOGSVC.EXE-1800318E.pf 29.09.2009 19:41 7.862 NVOY.EXE-07430194.pf 29.09.2009 19:41 108.680 NBROWSER.EXE-09D8B74A.pf 29.09.2009 19:33 72.362 NIU.EXE-297061B4.pf 29.09.2009 19:30 14.156 RUNDLL32.EXE-268BFF96.pf 29.09.2009 19:25 10.122 LOGON.SCR-151EFAEA.pf 29.09.2009 19:22 19.164 B.EXE-082C0081.pf 29.09.2009 19:00 22.580 MSA.EXE-1E98B210.pf 29.09.2009 18:27 55.954 DHWE2JJ8.EXE-08715911.pf 29.09.2009 18:27 68.510 JAVA.EXE-2167859B.pf 29.09.2009 18:23 11.914 JQSNOTIFY.EXE-1E60A522.pf 29.09.2009 18:23 75.560 FIREFOX.EXE-1D57670A.pf 29.09.2009 18:23 82.402 MSIMN.EXE-0B61806C.pf 29.09.2009 18:23 21.970 WUAUCLT.EXE-399A8E72.pf 29.09.2009 18:23 103.622 TSMSVC.EXE-12D6BB31.pf 29.09.2009 18:23 718.142 NTOSBOOT-B00DFAAD.pf 29.09.2009 08:54 82.076 IEXPLORE.EXE-2CA9778D.pf 29.09.2009 08:40 38.136 CCLEANER.EXE-065E2F3F.pf 29.09.2009 08:31 29.292 HIJACKTHISINSTALLER.EXE-32DE512A.pf 29.09.2009 08:17 483.358 Layout.ini 29.09.2009 08:00 17.596 HPPROMO.EXE-03515298.pf 28.09.2009 23:37 28.760 RUNDLL32.EXE-1187FB71.pf 28.09.2009 23:21 30.654 RUNDLL32.EXE-147710F4.pf 28.09.2009 22:08 59.448 DRHARD.EXE-043701FE.pf 28.09.2009 22:08 14.210 SPEEDMGR.EXE-24EA7AC0.pf 28.09.2009 22:08 20.570 ZLH.EXE-0980BCC6.pf 28.09.2009 22:08 11.020 JUSCHED.EXE-336229D9.pf 28.09.2009 22:08 13.234 HKCMD.EXE-1D05234B.pf 28.09.2009 22:08 11.486 IGFXPERS.EXE-2C07C174.pf 28.09.2009 22:08 11.586 IGFXSRVC.EXE-2FB63FE8.pf 28.09.2009 22:08 13.908 IGFXTRAY.EXE-3391579A.pf 28.09.2009 22:08 48.260 RTHDCPL.EXE-06918CFA.pf 28.09.2009 22:04 70.468 RSTRUI.EXE-03C49A96.pf 28.09.2009 21:45 14.432 RUNDLL32.EXE-451FC2C0.pf 28.09.2009 21:45 17.690 RUNDLL32.EXE-27CA5984.pf 28.09.2009 21:45 130.338 NTVDM.EXE-1A10A423.pf 28.09.2009 21:15 100.482 HELPSVC.EXE-2878DDA2.pf 28.09.2009 19:45 96.462 EXCEL.EXE-3281D776.pf 28.09.2009 19:34 77.114 WINWORD.EXE-259486DA.pf 28.09.2009 19:33 75.528 GINSTALL.EXE-367E5A3B.pf 28.09.2009 19:23 32.456 HPRBUPDATE.EXE-06271174.pf 28.09.2009 18:48 58.038 DFRGNTFS.EXE-269967DF.pf 28.09.2009 18:48 137.992 DEFRAG.EXE-273F131E.pf 27.09.2009 23:35 58.452 ACRORD32.EXE-2E761392.pf 27.09.2009 19:06 34.396 PICASAUPDATER.EXE-250C0619.pf 27.09.2009 19:06 58.990 PICASAPHOTOVIEWER.EXE-032E5ED6.pf 27.09.2009 18:10 94.602 ACRORD32INFO.EXE-19B1D743.pf 27.09.2009 18:10 17.874 VERCLSID.EXE-3667BD89.pf 27.09.2009 17:56 10.998 HPQUSGL.EXE-1D5E2061.pf 27.09.2009 17:56 43.422 ADOBE_UPDATER.EXE-059F58EC.pf 27.09.2009 17:40 54.284 HPWUCLI.EXE-255A3051.pf 26.09.2009 22:43 21.610 LOGONUI.EXE-0AF22957.pf 26.09.2009 22:15 116.206 NVCOD.EXE-253EA7FA.pf 26.09.2009 11:11 81.038 DEFRAGGLER.EXE-2583A8A1.pf 26.09.2009 11:09 94.452 CLEANMGR.EXE-1F86EA8E.pf 26.09.2009 09:06 67.364 HH.EXE-2D1A70B3.pf 26.09.2009 08:00 88.080 DWWIN.EXE-30875ADC.pf 26.09.2009 08:00 89.114 DUMPREP.EXE-1B46F901.pf 25.09.2009 18:32 61.988 MSPAINT.EXE-11CBB631.pf 24.09.2009 16:53 61.854 DRHARD.EXE-3B24B7E6.pf 24.09.2009 16:16 60.158 JAVAWS.EXE-1714DD62.pf 24.09.2009 16:16 65.772 JAVAW.EXE-0159D575.pf 24.09.2009 04:25 15.604 HELPER.EXE-244ABC1F.pf 23.09.2009 20:45 15.038 FREECELL.EXE-0CC25C3B.pf 23.09.2009 20:41 23.228 IGFXCFG.EXE-250F9437.pf 23.09.2009 20:37 35.602 DRWTSN32.EXE-2B4B52AC.pf 23.09.2009 19:58 21.808 DFSETUP113.EXE-049F2198.pf 23.09.2009 19:55 67.116 WMIAPSRV.EXE-1E2270A5.pf 23.09.2009 19:52 35.612 MSCONFIG.EXE-35E4DAE9.pf 23.09.2009 19:51 10.396 HPZIPM12.EXE-145E7369.pf 23.09.2009 19:48 14.110 _IU14D2N.TMP-3724A185.pf 23.09.2009 19:48 14.514 UNINS000.EXE-00C3F997.pf 23.09.2009 19:48 114.662 MSIEXEC.EXE-2F8A8CAE.pf 23.09.2009 19:48 14.080 MSI4B.TMP-04CB4193.pf 23.09.2009 19:48 7.972 MSI45.TMP-0E98C5F8.pf 23.09.2009 19:47 72.580 RUNDLL32.EXE-45FC4FA2.pf 23.09.2009 19:26 33.408 MMC.EXE-1EF9AA05.pf 23.09.2009 19:01 17.920 UPDATETASK.EXE-074282C7.pf 23.09.2009 18:38 70.886 WMPLAYER.EXE-09969339.pf 23.09.2009 15:52 97.450 HPRBLOG.EXE-00925A01.pf 23.09.2009 15:52 70.264 HPQSTE08.EXE-2D515AE1.pf 21.09.2009 19:53 24.918 EVEREST.BIN-30530372.pf 21.09.2009 19:53 9.580 EVEREST.EXE-28636E4B.pf 21.09.2009 19:45 21.852 AGENTSVR.EXE-002E45AB.pf 21.09.2009 19:39 45.762 PCWIZARD.DLL-15553B09.pf 21.09.2009 19:39 24.420 PC WIZARD.EXE-0871E61C.pf 21.09.2009 19:34 14.678 REGSVR32.EXE-25EEFE2F.pf 21.09.2009 19:34 19.284 NEW6D.TMP.EXE-2F7D8623.pf 21.09.2009 19:34 24.364 ASKTOOLBARINSTALLER-1.4.0.0.E-09D9109C.pf 21.09.2009 19:34 16.838 TASKSCHEDULER.EXE-2B991A9F.pf 21.09.2009 19:34 29.968 ASKHOMEPAGE.EXE-2125AFEF.pf 21.09.2009 19:34 7.972 MSI7E.TMP-11834F7C.pf 21.09.2009 19:34 11.284 JSXPCOMINSTALLER.EXE-0D688904.pf 21.09.2009 19:34 35.308 PCW2009_V188.TMP-32535BFF.pf 21.09.2009 19:34 17.270 PCW2009_V188.EXE-11DC7D1B.pf 21.09.2009 19:33 27.172 ASKINSTALLCHECKER.EXE-2519B896.pf 21.09.2009 19:20 21.230 WINHLP32.EXE-2C18E975.pf 21.09.2009 14:16 68.646 CTFMON.EXE-0E17969B.pf 20.09.2009 19:37 78.276 MAPSOURCE.EXE-2660B940.pf 20.09.2009 18:09 44.046 CCLAW.EXE-248B059B.pf 20.09.2009 11:35 38.168 PICASAUPDATER.EXE-215074A4.pf 20.09.2009 11:35 83.216 PICASA3.EXE-08C33EC4.pf 18.09.2009 22:16 16.872 HPQTBX01.EXE-230FD145.pf 18.09.2009 22:16 19.526 HPQPPROP.EXE-0F954E17.pf 119 Datei(en) 6.131.544 Bytes 0 Verzeichnis(se), 54.027.603.968 Bytes frei ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS\tasks 29.09.2009 19:22 274 {BB65B0FB-5712-401b-B616-E69AC55E2757}.job 29.09.2009 19:00 238 {7B02EF0B-A410-4938-8480-9BA26420A627}.job 29.09.2009 18:22 6 SA.DAT 29.09.2009 08:00 356 HPpromotions journeysoftware.job 5 Datei(en) 939 Bytes 0 Verzeichnis(se), 54.027.612.160 Bytes frei ----- Windows/Temp ----------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS\Temp 29.09.2009 19:27 483 WGAErrLog.txt 29.09.2009 18:22 16.384 Perflib_Perfdata_dfc.dat 29.09.2009 18:22 16.384 Perflib_Perfdata_6ac.dat 29.09.2009 07:49 16.384 Perflib_Perfdata_e50.dat 28.09.2009 22:08 16.384 Perflib_Perfdata_fe0.dat 28.09.2009 18:21 16.384 Perflib_Perfdata_df0.dat 28.09.2009 07:49 16.384 Perflib_Perfdata_e08.dat 27.09.2009 17:38 16.384 Perflib_Perfdata_e48.dat 27.09.2009 07:13 16.384 Perflib_Perfdata_dd8.dat 26.09.2009 07:56 16.384 Perflib_Perfdata_dcc.dat 25.09.2009 13:49 16.384 Perflib_Perfdata_d70.dat 24.09.2009 14:27 16.384 Perflib_Perfdata_ddc.dat 24.09.2009 04:21 16.384 Perflib_Perfdata_e1c.dat 23.09.2009 19:55 16.384 Perflib_Perfdata_e00.dat 23.09.2009 04:21 16.384 Perflib_Perfdata_a88.dat 22.09.2009 14:48 16.384 Perflib_Perfdata_f44.dat 22.09.2009 04:22 16.384 Perflib_Perfdata_ebc.dat 21.09.2009 04:22 16.384 Perflib_Perfdata_ef8.dat 18 Datei(en) 279.011 Bytes 0 Verzeichnis(se), 54.027.612.160 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 29.09.2009 19:53 28.644 b.dat 29.09.2009 19:52 549 filelist.zip 29.09.2009 18:27 52.843 jusched.log 29.09.2009 07:59 28.620 a.dat 28.09.2009 19:22 2.869 java_install_reg.log 27.09.2009 07:14 6.891 smupdate.ini 23.09.2009 19:53 138.709 hpodvd09.log 23.09.2009 18:41 1.452 wmplog00.sqm 23.09.2009 18:38 0 osz21.tmp 23.09.2009 15:51 111 STS9.tmp 23.09.2009 15:51 1.285 MAR7.tmp 23.09.2009 15:51 1.342 MAR6.tmp 23.09.2009 14:23 111 STS7.tmp 23.09.2009 14:23 1.342 MAR4.tmp 23.09.2009 14:23 1.285 MAR5.tmp 23.09.2009 04:22 111 STS5.tmp 23.09.2009 04:21 1.285 MAR3.tmp 23.09.2009 04:21 1.342 MAR2.tmp 22.09.2009 14:48 111 STS15.tmp 22.09.2009 14:48 1.285 MAR13.tmp 22.09.2009 14:48 1.342 MAR12.tmp 22.09.2009 04:21 111 STS13.tmp 22.09.2009 04:21 1.285 MAR11.tmp 22.09.2009 04:21 1.342 MAR10.tmp 21.09.2009 19:34 476.006 ASKSUTBLOG 21.09.2009 19:34 475 Del_AskHPRFF.VBS 21.09.2009 19:34 1.770.112 NEW6D.tmp.exe 20.09.2009 20:45 153.088 c.exe 20.09.2009 20:45 153.088 b.exe 21.08.2009 18:07 25.927 German.bin 30 Datei(en) 2.852.963 Bytes 0 Verzeichnis(se), 54.027.612.160 Bytes frei Viele Grüße, Rainer |
29.09.2009, 23:28 | #5 | |
/// Helfer-Team | IE startet automatisch hi 1. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
2. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! filelist.bat - den letzten sechs Monaten! Zitat:
|
30.09.2009, 08:14 | #6 |
| IE startet automatisch Hallo, hier das Ergebniss von Malwarebytes. Das andere mache ich heute Abend. Muss jetzt los zur Arbeit. Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2874 Windows 5.1.2600 Service Pack 3 30.09.2009 09:08:40 mbam-log-2009-09-30 (09-08-34).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 160031 Laufzeit: 35 minute(s), 28 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> No action taken. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken. HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> No action taken. C:\Alte Daten\Drive(F)\Acrobat\pdflyzer.exe (Adware.EShoper) -> No action taken. C:\Alte Daten\Drive(F)\Dokumente und Einstellungen\User\Eigene Dateien\Acrobat\pdflyzer.exe (Adware.EShoper) -> No action taken. C:\Alte Daten\Drive(F)\System Volume Information\_restore{4EA7DCED-C474-4611-AD9D-054543A1C373}\RP1028\A0508322.exe (Adware.EShoper) -> No action taken. Schöne Grüße, Rainer |
01.10.2009, 07:11 | #7 |
| IE startet automatisch Hallo, ich schaffe es zeitlich bedingt leider nicht, heute den mehrstündigen Scan durchzuführen. Seitdem ich jedoch Malwarebytes durchgeführt habe, scheint das Problem behoben zu sein. Ich war zwar noch nicht lange am PC, aber der IE hat sich nicht mehr gemeldet. Viele Grüße, Rainer |
01.10.2009, 17:35 | #8 | ||
/// Helfer-Team | IE startet automatischZitat:
Zitat:
gruß Coverflow |
01.10.2009, 18:56 | #9 |
| IE startet automatisch Hallo, ich dachte an den langen Scan. Der lief über zwei Stunden. Hier also der Hijack: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:51:48, on 01.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programme\Norman\Npm\Bin\Elogsvc.exe C:\Programme\Norman\Ngs\Bin\Nprosec.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norman\Npm\Bin\Zanda.exe C:\Programme\Norman\npm\bin\nvoy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Norman\Npm\Bin\scheduler.exe C:\Programme\Norman\Npm\Bin\Njeeves.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Norman\Npm\Bin\ZLH.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Norman\nse\bin\NSESVC.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Norman\Nvc\Bin\nvcoas.exe C:\Programme\Norman\Nvc\Bin\Nip.exe C:\Programme\Norman\Nvc\Bin\cclaw.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programme\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3A6AC65B-5C4A-42F4-BE0B-667259779C59}: NameServer = 217.0.43.177 217.0.43.161 O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programme\Norman\Npm\Bin\Elogsvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Norman NJeeves - Norman ASA - C:\Programme\Norman\Npm\Bin\Njeeves.exe O23 - Service: Norman ZANDA - Norman ASA - C:\Programme\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA - C:\Programme\Norman\Ngs\Bin\Nprosec.exe O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Programme\Norman\nse\bin\NSESVC.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\Norman\Nvc\Bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Unknown owner - C:\Programme\Norman\Npm\Bin\Nvcsched.exe (file missing) O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Programme\Norman\npm\bin\nvoy.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Norman Scheduler Service (Scheduler) - Norman ASA - C:\Programme\Norman\Npm\Bin\scheduler.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe -- End of file - 6657 bytes Rainer |
01.10.2009, 19:04 | #10 |
| IE startet automatisch Hier der andere Log: Code:
ATTFilter ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\ 01.10.2009 19:57 43 filelist.txt 01.10.2009 18:03 0 Log.txt 01.10.2009 18:03 2.145.386.496 pagefile.sys 23.09.2009 19:53 211 boot.ini 27.08.2009 15:42 5.990 TDSLCheck.txt 05.06.2009 11:00 0 CONFIG.SYS 05.06.2009 11:00 0 MSDOS.SYS 05.06.2009 11:00 0 AUTOEXEC.BAT 05.06.2009 11:00 0 IO.SYS 14.04.2008 14:00 4.952 bootfont.bin 14.04.2008 14:00 251.712 ntldr 14.04.2008 14:00 47.564 NTDETECT.COM 12 Datei(en) 2.145.696.968 Bytes 0 Verzeichnis(se), 53.867.147.264 Bytes frei ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS 01.10.2009 18:09 1.017.255 WindowsUpdate.log 01.10.2009 18:03 50 wiaservc.log 01.10.2009 18:03 0 0.log 01.10.2009 18:03 159 wiadebug.log 01.10.2009 18:03 2.048 bootstat.dat 01.10.2009 08:24 32.550 SchedLgU.Txt 01.10.2009 00:05 8.463 tsoc.log 01.10.2009 00:05 3.687 ntdtcsetup.log 01.10.2009 00:05 19.665 iis6.log 01.10.2009 00:05 6.083 comsetup.log 01.10.2009 00:05 1.374 imsins.log 01.10.2009 00:05 933 tabletoc.log 01.10.2009 00:05 1.026 ocmsn.log 01.10.2009 00:05 6.161 KB968816.log 01.10.2009 00:05 1.275 MedCtrOC.log 01.10.2009 00:05 8.868 ocgen.log 01.10.2009 00:05 927 msgsocm.log 01.10.2009 00:05 3.249 netfxocm.log 01.10.2009 00:05 18.549 FaxSetup.log 01.10.2009 00:05 5.550 msmqinst.log 01.10.2009 00:05 1.374 imsins.BAK 01.10.2009 00:05 6.211 KB956844.log 01.10.2009 00:05 6.570 KB971961-IE8.log 01.10.2009 00:05 316.852 msxml4-KB954430-enu.LOG 28.09.2009 21:45 5.146 setupapi.log 26.09.2009 11:09 0 setuperr.log 26.09.2009 11:09 60 setupact.log 23.09.2009 19:53 540 win.ini 23.09.2009 19:53 227 system.ini 21.09.2009 19:42 4.096 d3dx.dat 29.08.2009 16:43 1.080 AUTOLNCH.REG 27.08.2009 16:33 81.242 hpfins05.dat 27.08.2009 14:04 0 nsreg.dat 27.08.2009 08:37 400 ODBC.INI 21.08.2009 18:13 90 wincmd.ini 10.06.2009 10:56 8.192 REGLOCS.OLD 05.06.2009 11:58 0 Sti_Trace.log 05.06.2009 11:48 61 smscfg.ini 05.06.2009 11:27 8 SERI 05.06.2009 11:09 316.640 WMSysPr9.prx 05.06.2009 11:08 210.415 orun32.isu 05.06.2009 11:08 849 orun32.ini 05.06.2009 11:00 0 control.ini 05.06.2009 11:00 4.161 ODBCINST.INI 05.06.2009 11:00 749 WindowsShell.Manifest 05.06.2009 10:59 36 vb.ini 05.06.2009 10:59 37 vbaddin.ini 21.05.2009 14:01 17.881.600 RTHDCPL.EXE 16.04.2009 17:23 540.672 RtlExUpd.dll 01.04.2009 09:58 1.200.128 RtlUpd.exe 17.03.2009 14:07 122.880 RtkAudioService.exe 10.03.2009 14:32 2.168.320 MicCal.exe 02.03.2009 11:14 57.344 ALCMTR.EXE 23.10.2008 17:42 290.816 vncutil.exe 19.08.2008 13:26 77.824 SOUNDMAN.EXE 08.08.2008 07:04 545 PKZIP.PIF 08.08.2008 07:04 545 PKUNZIP.PIF 08.08.2008 07:04 545 NOCLOSE.PIF 08.08.2008 07:04 545 UC.PIF 08.08.2008 07:04 545 ARJ.PIF 08.08.2008 07:04 545 LHA.PIF 08.08.2008 07:04 545 RAR.PIF 19.06.2008 16:42 2.808.832 ALCWZRD.EXE 19.06.2008 16:27 9.715.200 RTLCPL.EXE 14.04.2008 14:00 65.978 Seifenblase.bmp 14.04.2008 14:00 17.362 Rhododendron.bmp 14.04.2008 14:00 153.600 regedit.exe 14.04.2008 14:00 65.954 Pr riewind.bmp 14.04.2008 14:00 9.522 Zapotek.bmp 14.04.2008 14:00 70.144 NOTEPAD.EXE 14.04.2008 14:00 1.405 msdfmap.ini 14.04.2008 14:00 17.062 Kaffeetasse.bmp 14.04.2008 14:00 65.832 Santa Fe-Stuck.bmp 14.04.2008 14:00 34.818 wmprfDEU.prx 14.04.2008 14:00 15.872 TASKMAN.EXE 14.04.2008 14:00 48.680 winnt256.bmp 14.04.2008 14:00 94.800 twain.dll 14.04.2008 14:00 50.688 twain_32.dll 14.04.2008 14:00 49.680 twunk_16.exe 14.04.2008 14:00 25.600 twunk_32.exe 14.04.2008 14:00 10.752 hh.exe 14.04.2008 14:00 26.582 Granit.bmp 14.04.2008 14:00 26.680 F cher.bmp 14.04.2008 14:00 18.944 vmmreg32.dll 14.04.2008 14:00 16.730 Feder.bmp 14.04.2008 14:00 80 explorer.scf 14.04.2008 14:00 1.036.800 explorer.exe 14.04.2008 14:00 2 desktop.ini 14.04.2008 14:00 82.944 clock.avi 14.04.2008 14:00 1.272 Blaue Spitzen 16.bmp 14.04.2008 14:00 17.336 Angler.bmp 14.04.2008 14:00 257.568 winhelp.exe 14.04.2008 14:00 288.768 winhlp32.exe 14.04.2008 14:00 48.680 winnt.bmp 14.04.2008 14:00 707 _default.pif 20.11.2007 18:15 1.826.816 SkyTel.exe 27.05.2005 15:36 1.547 hpfmdl05.dat 17.11.1998 13:44 328.704 IsUn0407.exe 29.10.1998 16:45 306.688 IsUninst.exe 99 Datei(en) 42.054.936 Bytes 0 Verzeichnis(se), 53.867.143.168 Bytes frei ----- System --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS\system 14.04.2008 14:00 70.368 AVICAP.DLL 14.04.2008 14:00 109.504 AVIFILE.DLL 14.04.2008 14:00 33.744 COMMDLG.DLL 14.04.2008 14:00 2.000 KEYBOARD.DRV 14.04.2008 14:00 9.936 LZEXPAND.DLL 14.04.2008 14:00 73.760 MCIAVI.DRV 14.04.2008 14:00 25.296 MCISEQ.DRV 14.04.2008 14:00 28.160 MCIWAVE.DRV 14.04.2008 14:00 69.632 MMSYSTEM.DLL 14.04.2008 14:00 1.152 MMTASK.TSK 14.04.2008 14:00 2.032 MOUSE.DRV 14.04.2008 14:00 127.104 MSVIDEO.DLL 14.04.2008 14:00 82.944 OLECLI.DLL 14.04.2008 14:00 24.064 OLESVR.DLL 14.04.2008 14:00 59.167 setup.inf 14.04.2008 14:00 5.120 SHELL.DLL 14.04.2008 14:00 1.744 SOUND.DRV 14.04.2008 14:00 5.532 stdole.tlb 14.04.2008 14:00 3.360 SYSTEM.DRV 14.04.2008 14:00 19.200 TAPI.DLL 14.04.2008 14:00 4.048 TIMER.DRV 14.04.2008 14:00 9.200 VER.DLL 14.04.2008 14:00 2.176 VGA.DRV 14.04.2008 14:00 13.600 WFWNET.DRV 14.04.2008 14:00 146.944 WINSPOOL.DRV 25 Datei(en) 929.787 Bytes 0 Verzeichnis(se), 53.867.126.784 Bytes frei ----- System 32 (Achtung: Zeitfenster beachten!) --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS\system32 01.10.2009 18:03 1.158 wpa.dbl 29.08.2009 07:43 277.352 FNTCACHE.DAT 28.08.2009 23:38 24.689.600 MRT.exe 26.08.2009 15:02 459.152 perfh007.dat 26.08.2009 15:02 84.524 perfc007.dat 26.08.2009 15:02 71.196 perfc009.dat 26.08.2009 15:02 441.260 perfh009.dat 26.08.2009 14:38 212.772 TZLog.log 26.08.2009 14:36 1.060.690 PerfStringBackup.INI 26.08.2009 14:30 23.392 nscompat.tlb 26.08.2009 14:30 16.832 amcompat.tlb 26.08.2009 14:17 145.184 javaw.exe 26.08.2009 14:17 149.280 javaws.exe 26.08.2009 14:17 145.184 java.exe 26.08.2009 14:17 73.728 javacpl.cpl 26.08.2009 14:17 411.368 deploytk.dll 21.08.2009 18:07 336 $winnt$.inf 21.08.2009 18:06 4.444 pid.PNF 05.08.2009 10:59 206.336 mswebdvd.dll 04.08.2009 19:00 333 $ncsp$.inf 29.07.2009 06:34 119.808 t2embed.dll 29.07.2009 06:34 81.920 fontsub.dll 19.07.2009 18:41 11.067.392 ieframe.dll 19.07.2009 15:11 5.937.152 mshtml.dll 17.07.2009 21:01 58.880 atl.dll 14.07.2009 13:03 46.080 tzchange.exe 13.07.2009 23:43 286.208 wmpdxm.dll 13.07.2009 23:43 10.841.088 wmp.dll 03.07.2009 18:55 915.456 wininet.dll 03.07.2009 18:55 206.848 occache.dll 03.07.2009 18:55 1.208.832 urlmon.dll 03.07.2009 18:55 55.296 msfeedsbs.dll 03.07.2009 18:55 594.432 msfeeds.dll 03.07.2009 18:55 1.469.440 inetcpl.cpl 03.07.2009 18:55 25.600 jsproxy.dll 03.07.2009 18:55 1.985.536 iertutil.dll 03.07.2009 18:55 184.320 iepeers.dll 03.07.2009 18:55 386.048 iedkcs32.dll 03.07.2009 13:01 173.056 ie4uinit.exe 29.06.2009 10:40 57.667 ieuinit.inf 25.06.2009 10:25 147.456 schannel.dll 25.06.2009 10:25 301.568 kerberos.dll 25.06.2009 10:25 54.272 wdigest.dll 25.06.2009 10:25 56.832 secur32.dll 25.06.2009 10:25 136.192 msv1_0.dll 25.06.2009 10:25 737.792 lsasrv.dll 22.06.2009 08:45 726.528 jscript.dll 15.06.2009 12:43 78.848 telnet.exe 15.06.2009 12:43 82.944 tlntsess.exe 10.06.2009 16:13 85.504 avifil32.dll 10.06.2009 09:19 2.066.432 mstscax.dll 10.06.2009 08:14 132.096 wkssvc.dll 05.06.2009 11:58 0 h323log.txt 05.06.2009 11:24 146.650 BuzzingBee.wav 05.06.2009 11:24 940.794 LoopyMusic.wav 05.06.2009 11:00 2.951 CONFIG.NT 05.06.2009 11:00 488 logonui.exe.manifest 05.06.2009 11:00 488 WindowsLogon.manifest 05.06.2009 11:00 749 sapi.cpl.manifest 05.06.2009 11:00 749 wuaucpl.cpl.manifest 05.06.2009 11:00 749 cdplayer.exe.manifest 05.06.2009 11:00 749 nwc.cpl.manifest 05.06.2009 11:00 749 ncpa.cpl.manifest 05.06.2009 10:59 21.740 emptyregdb.dat 03.06.2009 21:09 1.296.896 quartz.dll 20.05.2009 04:56 2.458.112 WMVCore.dll 14.05.2009 15:21 36.864 RtkCoInstXP.dll 12.05.2009 15:12 16.928 spmsg.dll 12.05.2009 15:12 26.144 spupdsvc.exe 09.05.2009 10:54 27.136 PCWizard.cpl 07.05.2009 17:32 348.160 localspl.dll 30.04.2009 18:23 880.640 RTSndMgr.CPL 19.04.2009 21:46 1.847.296 win32k.sys 15.04.2009 16:51 585.216 rpcrt4.dll 09.04.2009 09:47 53.248 CSVer.dll 21.03.2009 16:06 1.063.424 kernel32.dll 10.03.2009 22:18 1.482.112 LegitCheckControl.dll 10.03.2009 22:18 970.632 WgaTray.exe 10.03.2009 22:18 265.096 WgaLogon.dll 08.03.2009 14:29 1.302.528 ieframe.dll.mui 08.03.2009 14:29 57.344 msrating.dll.mui 08.03.2009 14:28 2.560 mshta.exe.mui 08.03.2009 14:27 4.096 ie4uinit.exe.mui 08.03.2009 14:27 12.288 advpack.dll.mui 08.03.2009 14:27 81.920 iedkcs32.dll.mui 08.03.2009 04:35 385.024 html.iec 08.03.2009 04:34 236.544 webcheck.dll 08.03.2009 04:34 208.384 WinFXDocObj.exe 08.03.2009 04:34 43.008 licmgr10.dll 08.03.2009 04:34 105.984 url.dll 08.03.2009 04:34 193.536 msrating.dll 08.03.2009 04:33 18.944 corpol.dll 08.03.2009 04:33 229.376 ieaksie.dll 08.03.2009 04:33 420.352 vbscript.dll 08.03.2009 04:33 125.952 ieakeng.dll 08.03.2009 04:32 72.704 admparse.dll 08.03.2009 04:32 36.864 ieudinit.exe 08.03.2009 04:32 163.840 ieakui.dll 08.03.2009 04:32 71.680 iesetup.dll 08.03.2009 04:32 55.808 iernonce.dll 08.03.2009 04:32 128.512 advpack.dll 08.03.2009 04:32 94.720 inseng.dll 08.03.2009 04:32 611.840 mstime.dll 08.03.2009 04:31 13.312 msfeedssync.exe 08.03.2009 04:31 59.904 icardie.dll 08.03.2009 04:31 348.160 dxtmsft.dll 08.03.2009 04:31 34.816 imgutil.dll 08.03.2009 04:31 216.064 dxtrans.dll 08.03.2009 04:31 46.592 pngfilt.dll 08.03.2009 04:31 66.560 mshtmled.dll 08.03.2009 04:31 48.128 mshtmler.dll 08.03.2009 04:31 45.568 mshta.exe 08.03.2009 04:31 1.638.912 mshtml.tlb 08.03.2009 04:30 66.560 tdc.ocx 08.03.2009 04:22 164.352 ieui.dll 08.03.2009 04:22 156.160 msls31.dll 08.03.2009 04:11 445.952 ieapfltr.dll 06.03.2009 16:19 286.720 pdh.dll 03.03.2009 20:18 73.728 RtNicProp32.dll 03.03.2009 01:10 1.499.136 shdocvw.dll 2138 Datei(en) 456.700.328 Bytes 0 Verzeichnis(se), 53.866.938.368 Bytes frei ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS\Prefetch 01.10.2009 19:57 13.238 FIND.EXE-0EC32F1E.pf 01.10.2009 19:57 13.228 CMD.EXE-087B4001.pf 01.10.2009 19:51 19.356 NOTEPAD.EXE-336351A9.pf 01.10.2009 19:51 81.054 WMIPRVSE.EXE-28F301A9.pf 01.10.2009 19:51 22.070 HIJACKTHIS.EXE-39024128.pf 01.10.2009 19:49 13.532 JQSNOTIFY.EXE-1E60A522.pf 01.10.2009 19:49 90.278 FIREFOX.EXE-1D57670A.pf 01.10.2009 19:49 74.722 MSIMN.EXE-0B61806C.pf 01.10.2009 19:21 139.464 IEXPLORE.EXE-2CA9778D.pf 01.10.2009 19:06 34.936 DFRGNTFS.EXE-269967DF.pf 01.10.2009 19:06 57.188 DEFRAG.EXE-273F131E.pf 01.10.2009 19:06 319.990 Layout.ini 01.10.2009 19:02 160.902 LOGON.SCR-151EFAEA.pf 01.10.2009 18:29 63.260 WINWORD.EXE-259486DA.pf 01.10.2009 18:26 128.684 NTVDM.EXE-1A10A423.pf 01.10.2009 18:08 11.634 JAVA.EXE-2167859B.pf 01.10.2009 18:04 102.686 WUAUCLT.EXE-399A8E72.pf 01.10.2009 18:04 89.338 TSMSVC.EXE-12D6BB31.pf 01.10.2009 18:04 663.774 NTOSBOOT-B00DFAAD.pf 01.10.2009 08:00 19.334 HPPROMO.EXE-03515298.pf 01.10.2009 00:05 133.952 MSIEXEC.EXE-2F8A8CAE.pf 01.10.2009 00:05 22.416 LOGONUI.EXE-0AF22957.pf 30.09.2009 22:41 60.278 DRHARD.EXE-043701FE.pf 30.09.2009 21:24 120.100 HELPSVC.EXE-2878DDA2.pf 30.09.2009 20:35 81.984 NVCOAS.EXE-05FE9262.pf 30.09.2009 20:35 75.528 GINSTALL.EXE-367E5A3B.pf 30.09.2009 20:35 56.244 NSE.EXE-36B21E4A.pf 30.09.2009 20:35 8.384 NSESVC.EXE-1041A2FB.pf 30.09.2009 20:35 19.370 NIP.EXE-38B2615B.pf 30.09.2009 20:35 13.258 NVCOA.EXE-3AF460DB.pf 30.09.2009 20:35 14.706 CCLAW.EXE-25318A5F.pf 30.09.2009 20:34 72.992 NIU.EXE-297061B4.pf 30.09.2009 20:27 85.770 MBAM.EXE-11D8BBD8.pf 30.09.2009 20:16 19.780 REGEDIT.EXE-1B606482.pf 30.09.2009 20:00 36.828 MSA.EXE-1E98B210.pf 30.09.2009 09:04 22.208 B.EXE-082C0081.pf 29.09.2009 22:54 17.134 VERCLSID.EXE-3667BD89.pf 29.09.2009 22:50 58.464 ACRORD32.EXE-2E761392.pf 28.09.2009 21:45 14.432 RUNDLL32.EXE-451FC2C0.pf 23.09.2009 19:51 10.396 HPZIPM12.EXE-145E7369.pf 40 Datei(en) 3.062.892 Bytes 0 Verzeichnis(se), 53.867.016.192 Bytes frei ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS\tasks 01.10.2009 18:03 6 SA.DAT 01.10.2009 08:00 356 HPpromotions journeysoftware.job 14.04.2008 14:00 65 desktop.ini 3 Datei(en) 427 Bytes 0 Verzeichnis(se), 53.867.016.192 Bytes frei ----- Windows/Temp ----------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\WINDOWS\Temp 01.10.2009 19:10 483 WGAErrLog.txt 01.10.2009 18:03 16.384 Perflib_Perfdata_dd4.dat 01.10.2009 18:03 16.384 Perflib_Perfdata_6ac.dat 30.09.2009 20:18 16.384 Perflib_Perfdata_da4.dat 30.09.2009 18:25 16.384 Perflib_Perfdata_d34.dat 30.09.2009 09:11 16.384 Perflib_Perfdata_dbc.dat 29.09.2009 18:22 16.384 Perflib_Perfdata_dfc.dat 29.09.2009 07:49 16.384 Perflib_Perfdata_e50.dat 28.09.2009 22:08 16.384 Perflib_Perfdata_fe0.dat 28.09.2009 18:21 16.384 Perflib_Perfdata_df0.dat 28.09.2009 07:49 16.384 Perflib_Perfdata_e08.dat 27.09.2009 17:38 16.384 Perflib_Perfdata_e48.dat 27.09.2009 07:13 16.384 Perflib_Perfdata_dd8.dat 26.09.2009 07:56 16.384 Perflib_Perfdata_dcc.dat 25.09.2009 13:49 16.384 Perflib_Perfdata_d70.dat 24.09.2009 14:27 16.384 Perflib_Perfdata_ddc.dat 24.09.2009 04:21 16.384 Perflib_Perfdata_e1c.dat 23.09.2009 19:55 16.384 Perflib_Perfdata_e00.dat 23.09.2009 04:21 16.384 Perflib_Perfdata_a88.dat 22.09.2009 14:48 16.384 Perflib_Perfdata_f44.dat 22.09.2009 04:22 16.384 Perflib_Perfdata_ebc.dat 21.09.2009 04:22 16.384 Perflib_Perfdata_ef8.dat 22 Datei(en) 344.547 Bytes 0 Verzeichnis(se), 53.867.016.192 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4D9-55DD Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 01.10.2009 19:57 549 filelist.zip 01.10.2009 18:08 55.424 jusched.log 30.09.2009 20:16 28.664 b.dat 29.09.2009 07:59 28.620 a.dat 28.09.2009 19:22 2.869 java_install_reg.log 27.09.2009 07:14 6.891 smupdate.ini 23.09.2009 19:53 138.709 hpodvd09.log 23.09.2009 18:41 1.452 wmplog00.sqm 23.09.2009 18:38 0 osz21.tmp 23.09.2009 15:51 111 STS9.tmp 23.09.2009 15:51 1.285 MAR7.tmp 23.09.2009 15:51 1.342 MAR6.tmp 23.09.2009 14:23 111 STS7.tmp 23.09.2009 14:23 1.285 MAR5.tmp 23.09.2009 14:23 1.342 MAR4.tmp 23.09.2009 04:22 111 STS5.tmp 23.09.2009 04:21 1.285 MAR3.tmp 23.09.2009 04:21 1.342 MAR2.tmp 22.09.2009 14:48 111 STS15.tmp 22.09.2009 14:48 1.285 MAR13.tmp 22.09.2009 14:48 1.342 MAR12.tmp 22.09.2009 04:21 111 STS13.tmp 22.09.2009 04:21 1.285 MAR11.tmp 22.09.2009 04:21 1.342 MAR10.tmp 21.09.2009 19:34 476.006 ASKSUTBLOG 21.09.2009 19:34 475 Del_AskHPRFF.VBS 21.09.2009 19:34 1.770.112 NEW6D.tmp.exe 20.09.2009 20:45 153.088 c.exe 21.08.2009 18:07 25.927 German.bin 29 Datei(en) 2.702.476 Bytes 0 Verzeichnis(se), 53.867.016.192 Bytes frei Rainer |
01.10.2009, 19:50 | #11 |
/// Helfer-Team | IE startet automatisch hi Okay, sieht schon mal erfreulich aus jetzt kann Du dir aber dafür Zeit nehmen 1. - den Quarantäne Ordner überall leeren (Funde löschen!) - Antivirus bzw Anti-Spy-Programm usw 2. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
3. reinige dein System mit Ccleaner:
4.
5. Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans |
02.10.2009, 04:22 | #12 |
| IE startet automatisch Hallo zusammen ich habe das selbe Problem seit ich meinen Computer wegen eins Hardware fehlers neuinstalliren musste. Das Problem tauchte gleich nach der Installation auf ich habe deshalb vermutet das ich eine Infezierte datei habe. Um irgent wie erst mal das problem zu lösen Formatierte ich alles Festplatten do leider taucht nach der neu Installation wieder auf. Nach langer suche über Google habe ich dann diese Seite gefunden und hoffe hier kann man mir helfen. Ich haber hier einen Highjackthis scan wäre nett wenn ihr euch den mal ansehen könntet. Scan: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 05:11:16, on 02.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\A4Tech\Mouse\Amoumain.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Skype\Phone\Skype.exe C:\programme\steam\steam.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="c:\nvidia\displaydriver\190.62\international\PhysX_9.09.0814_SystemSoftware.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing) -- End of file - 6824 bytes Ich danke euch schon mal für eure hilfe MfG Shadow24 |
02.10.2009, 20:38 | #13 |
/// Helfer-Team | IE startet automatisch @Shadow24 Allgemeine Forenregeln: Neue Thread eröffnen! Also bitte nicht in die Threads anderer User hineinposten, sondern suche dir das richtige Unterforum für deine Frage aus! Dort "Neues Thema" auswählen und dein Problem so kurz und detailliert wie möglich beschreiben |
03.10.2009, 14:36 | #14 |
| IE startet automatisch Hallo, hier nun der Scan von Malwarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2874 Windows 5.1.2600 Service Pack 3 03.10.2009 15:09:10 mbam-log-2009-10-03 (15-09-10).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 336841 Laufzeit: 1 hour(s), 13 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Rainer |
03.10.2009, 19:38 | #15 |
/// Helfer-Team | IE startet automatisch Malwarebytes ohne Funde, davon werd ich nicht schlau? was soll ich damit hier geht`s weiter --> http://www.trojaner-board.de/77893-i...tml#post469867 |
Themen zu IE startet automatisch |
adobe, bho, excel, file, firefox, flash player, format, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, microsoft, mozilla, norman, object, plug-in, programm, programme, scan, security, software, solution, startet automatisch, system, temp, virus, windows, öffnet |