Hilfe Bitte Prüfen!!!

lolpe · 10.10.2009, 21:10

kann jeammd bitte mein hijack this logfiele überprüfen
ich habe es schon auf hijackthis.de de überprüfen lassen und vermutliche zwei trojaner auf mein pc bitte dringend um hilfe weil ich nicht richtig weis wie man mit hijack this umgeht oder welche die richtige version ist oder wie man die trojaner edeckt habe schon versucht wincfg32.exe in Taskmanager zu suchen ohne erfolg
!

sry wegen rechtschreibfehleer ist dringend

mfg lolpe

lolpe · 10.10.2009, 21:19

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:09:39, on 10.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2010\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\BitDefender\BitDefender 2010\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\BitDefender\BitDefender 2010\seccenter.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [MSCFG32] C:\WINDOWS\system32\wincfg32\wincfg32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSCFG32] C:\WINDOWS\system32\wincfg32\wincfg32.exe
O4 - HKCU\..\Policies\Explorer\Run: [mscfg32] C:\WINDOWS\system32\wincfg32\wincfg32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1253380186500
O17 - HKLM\System\CCS\Services\Tcpip\..\{54E78AB9-FCC4-4629-8F8A-1EC2076D565D}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. BitDefender AntiVirus | Virenscanner | AntiSpam | Firewall Software| Data Security - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2010\vsserv.exe

--
End of file - 6863 bytes

Hausdoc · 10.10.2009, 21:20

Hallo,

auch wenn es dringend ist solltest du dir die Zeit nehmen dein Problem genau zu schildern und ein vorliegendes Logfile auch zu posten...

Hausdoc · 10.10.2009, 21:31

Hallo.

Also das ist das Ergebnis von "nicht lesen und schnell darauf los klicken"

Zitat:

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

Zitat:

O4 - HKCU\..\Run: [MSCFG32] C:\WINDOWS\system32\wincfg32\wincfg32.exe

Dieser Schädling nötigt dich nun von einem anderen , sauberen System aus all deine Passwörter zu ändern.
Es ist ein passwortstehlender Schädling. Aus diesem Grunde sollte man hier eine Neuinstallation vorziehen - weils einfach zu 100% sicher ist.

lolpe · 10.10.2009, 21:40

ok habe einen System scan gemacht mit bitdefender intern secty weil vor zwei, drei tagen mein PC nach einer weile immer ausging aber immer nur wenn ich internet an hatte! habe dann mit bitdefender internet 2010 einen Tifen scan gemacht und (beahaveslikewin32) endeckt entfernt heute habe ich keinen scan gemacht weil ich vermute das die viren sofwaren diesen trojaner nicht finden also wenn das einer ist HKCU\..\Run: [MSCFG32] C:\WINDOWS\system32\wincfg32\wincfg32.exe bevor ich mit bitdefender internet 2010 erfolg beim scannen gehabt habe und Beahaveslikewin32 endeckt habe, habe ich mit Narton internet 2009 und Kaspersky internert 2009 gecannt aber nichts gefunden

Hausdoc · 10.10.2009, 21:48

Zitat:

o mit Narton internet 2009 und Kaspersky internert 2009 gecannt aber nichts gefunden

Das ist normal.

Nach Meldungen von AV Software darfst du nicht mehr gehen...... das wurde als allererstes manipuliert.

Nimm diesen Rechner möglichst schnell vom Netz und setze ein neues System auf.

lolpe · 10.10.2009, 22:09

Wie jetzt soll ich mein system neu instalieren kann ich die schädlinge nicht mit einer anti viren software oder mit hijack this los werden wenn ich doch ein häckchen bei hijack this rein mache und auf fix check klicke werden doch die schädlinge enfernt oder ?

Hausdoc · 10.10.2009, 22:44

Zitat:

Wie jetzt soll ich mein system neu instalieren kann ich die schädlinge nicht mit einer anti viren software oder mit hijack this los werden wenn ich doch ein häckchen bei hijack this rein mache und auf fix check klicke werden doch die schädlinge enfernt oder ?

Nunja. Deine AV Software wurde längst manipuliert.
Wenn du mit irgendwelchen Tools den Schädling entfernst ändert sich an der Situation wenig.
Den Schädling bist du zwar los - nicht jedoch die Software die dieser längst nachgeladen hat .

lolpe · 11.10.2009, 21:16

Zitat:

Zitat von Hausdoc

Nunja. Deine AV Software wurde längst manipuliert.
Wenn du mit irgendwelchen Tools den Schädling entfernst ändert sich an der Situation wenig.
Den Schädling bist du zwar los - nicht jedoch die Software die dieser längst nachgeladen hat .

Wie das verstehe ich nicht weiß meinst du damit! nicht jedoch die Software die dieser längst nachgeladen hat ?

lolpe · 11.10.2009, 21:56

Hallo Leute ich habe gestern noch mit HijackThis folgende Registryy Einträge gefixt:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [MSCFG32] C:\WINDOWS\system32\wincfg32\wincfg32.exe
O4 - HKCU\..\Run: [MSCFG32] C:\WINDOWS\system32\wincfg32\wincfg32.exe
O4 - HKCU\..\Policies\Explorer\Run: [mscfg32] C:\WINDOWS\system32\wincfg32\wincfg32.exe

Ach ja Hausdoc danach habe ich Bitdefender Internet Security Deinstalliert und wieder Narton Internet Security 2009 Installiert und einen Vollständigen Systemscan gemacht und habe einen tracking Cookie gefunden und gelöscht WIE KANN DAS SEIN ,DASS ICH EINEN TRACKING COOKIE BEI DER SUCHE FINDE WENN DU SAGST DAS DIE AV SOFTWAREN MANIPULIERT WORDEN SIND. Danach habe ich Zweimal versucht eine Systemwiederherstellung zu machen 2 mal an verschieden Zeitpunkten das Ergebniss war 2 mal Unvolständig.

Heute habe ich keine AV Scan gemacht aber EINEN MIT HijackThis und bin auf ein merkwürdiges Ergebniss gestoßen unzwar sind folgende Registry Einträge die ich gestern gefixt habe wieder erschienen !!

O4 - HKLM\..\Run: [MSCFG32] C:\WINDOWS\system32\wincfg32\wincfg32.exe
O4 - HKCU\..\Run: [MSCFG32] C:\WINDOWS\system32\wincfg32\wincfg32.exe
O4 - HKCU\..\Policies\Explorer\Run: [mscfg32] C:\WINDOWS\system32\wincfg32\wincfg32.exe

PS: würde mich auf viele Antworten freuen auch wenn ich eigentlich nur Hausdoc mit diesem Text anspreche , bei unklarheiten zu meinen Antworten einfach nochmal fragen !

Mfg Lolpe

Hausdoc · 12.10.2009, 16:34

Hallo Lolpe,

darf ich fragen warum du planlos "irgendwas" machst und hoffst daß daß Problem irgendwie verschwunden ist?

Nochmal:
Du hast einen Trojaner auf dem Rechner. Seit wann weiß wirklich sicher kein Mensch. Dieser Schädling zeichnet Eingaben auf und versendet sie - also auch Bankdaten und Passwörter.
Dieser Schädling führt dich ständig an der Nase rum - das Ergebnis kennst du ja.
Damit er sich tarnen kann maipuliert er AV Software. Das heißt daß bei einer Infektion jede(!) AV Software absolut sinn und wirkingslos geworden ist.
Meldungen die ausgegeben werden können falsch sein oder können richtig sein oder können vollkommen unsinnig sein - nur um dich in Angst zu versetzen oder in Sicherheit zu wägen.

Somit wiederholt mein Tipp: Arbeite die bereits genannte to-do Liste ab.

lolpe · 12.10.2009, 19:33

Hallo Hausdoc

Diese Aktion habe ich nur ausgefüht weil ich gedacht habe dass dan das Problem gelöst währe und der Trojaner wird gelöscht.
frage?: Welcher von den hijacktihis einträgen ist jetzt genau ein Trojaner?:

O4 - HKLM\..\Run: [MSCFG32] C:\WINDOWS\system32\wincfg32\wincfg32.exe ?
Nicht bekanntes Programm

O4 - HKCU\..\Run: [MSCFG32] C:\WINDOWS\system32\wincfg32\wincfg32.exe ?
Nicht bekanntes Programm

O4 - HKLM\..\Policies\Explorer\Run: [mscfg32] C:\WINDOWS\system32\wincfg32\wincfg32.exe ? Schädlich

O4 - HKCU\..\Policies\Explorer\Run: [mscfg32] C:\WINDOWS\system32\wincfg32\wincfg32.exe ? Schädlich

Frage nur weil ich wissen will welcher der Einträge Ein Trojaner ist und welcher nicht ! Ich mache jetzt mal bei den Einträgen ein X Oder ein ? hin so wie es bei hijackthis.de steht. Damit ich eure meinung hören kann.

Also nur nochmal damit ich dass Richtig verstanden habe ich soll mein PC Neuinstalliren?

Wenn ja? werde ich dass auch tun! hat jemand Vieleicht ein Tipp wie man den PC Nach einer Infizierung nicht Neuinstalliren muss, habe mal gehört das man den PC neuinstalliert oder so was in der art aber dann alle Daten auf den PC vorhanden bleiben Spiele, Programme, Musik, Bilder USW, aber dann halt nur Viren, malware, Trojaner..... gelö
scht werden unzwar passiert dass immer nur wenn der PC Runtergefahren wird also beim Runterfahren werden schädlinge enfernt und beim nächseten Hochfahren ist dan der PC clean? Gibt es solche oder ähnliche möglichkeiten das man den PC nicht immer neuinstallieren muss.

mfg lolpe

t_obias · 13.10.2009, 17:26

hallo

ich habe folgendes problem: ich benutze firefox und ie, immer neueste version und klappt super.. bis jetzt. von einem tag auf den anderen sind beide browser zerschossen, firefox haut gleich diese "ups da ist wohl was schiefgegangen" meldung raus und ie versucht zu öffnen, macht dann aber gleich wieder zu. wenn ich ne ältere version von firefox inst. gehts wieder aber mit vielen vielen abstürzen beim wechseln auf ne andere site. sobald firefox auf die aktuellste version updatet, ist wieder schicht im schacht. antiVir findet nichts bis auf 2-3 datein als warnung weil se nicht geöffnet werden können. MAM hat 5-6 datein gefunden und gelöscht und seit dem funzt firefox ohne abstürze (ist aber noch nicht die neueste) und ie7 geht auch wieder ( 12.10. nachts MAM laufen lassen- heute 13.10. gehts). was MAM gekillt hat kann ich nicht sagen da war ich vor aggressionen zu unbeherrscht als das zu speichern =)

also meine fragen: 1) was ist passiert? weil irgendwas muss ja trotzdem stinken
2) welches unheil könnte auf meiner platte lauern und wie/mit was finde ich es?
3) zur sicherheit hab ich ne logfile rangehangen, könnt ich mir das bitte kommentieren

vielen dank im voraus
mfg

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:38, on 13.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
C:\Programme\Bonjour\mDNSResponder.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\ansyslmd.exe
c:\WINDOWS\system32\IFXSPMGT.exe
c:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\Sachen\ANSYS\v110\RSM\bin\JobManagerService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\o2flash.exe
c:\Programme\Infineon\Security Platform Software\PSDsrvc.EXE
C:\WINDOWS\system32\HPZipm12.exe
D:\Sachen\ANSYS\v110\RSM\bin\ScriptHostService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\Programme\Infineon\Security Platform Software\PSDrt.exe
c:\Programme\Infineon\Security Platform Software\SpTna.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\GraviSense\GraviSense.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
D:\Sachen\iTunes\iTunesHelper.exe
C:\DOKUME~1\tobi\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Sachen\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.intl.acer.yahoo.com/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [GraviSense] C:\Acer\GraviSense\GraviSense.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Sachen\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Sachen\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Sachen\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Sachen\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Sachen\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Sachen\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {12545791-AC9A-44B2-8964-0DA216C4A4E5} (Cnsweb3d Control) - http://www.partserver.de/partserver/viewer/cnsweb3d/cnsweb3d.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: ANSYS FLEXlm license manager - Macrovision Corporation - C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Update Service (gupdate1c9f9adbac8e51a) (gupdate1c9f9adbac8e51a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - c:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - c:\WINDOWS\system32\IFXTCS.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Ansys JobManager Service V11 (JobManagerService110) - Ansys, Inc - D:\Sachen\ANSYS\v110\RSM\bin\JobManagerService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - c:\Programme\Infineon\Security Platform Software\PSDsrvc.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ansys ScriptHost Service V11 (ScriptHostService110) - Ansys, Inc. - D:\Sachen\ANSYS\v110\RSM\bin\ScriptHostService.exe

--
End of file - 12433 bytes

Acid303 · 13.10.2009, 17:29

Hallo t_obias

Bitte eröffne ein eigenes Thema sonst verschwindet hier die Übersichtlichkeit.

http://www.trojaner-board.de/69886-a...-beachten.html

Gruß

Acid

Hilfe Bitte Prüfen!!!

Log-Analyse und Auswertung: Hilfe Bitte Prüfen!!!