![]() |
|
Plagegeister aller Art und deren Bekämpfung: Mehrfache Trojaner eingefangen, über Firefox.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
| ![]() Mehrfache Trojaner eingefangen, über Firefox. ***ACHTUNG, TEXT IST ÜBER MEHRERE POSTINGS VERTEILT*** guten tag liebes board. Zuerst einmal: ich bin schuld, und das in vielerlei hinsicht. Erstens: ich benutze ein altes, kopiertes windows xp >ohne< updates. Das ist deshalb, weil das nur mein spielerechner ist und ich normalerweise mit dem laptop im internet surfe (aktuelles vista). Leider hatte ich mein laptop bei meiner freundin vergessen und ich idi*t musste ja auf fragwürdige seiten mit dem PC gehen. Ich habe meine Lektion gelernt, es tut mir leid. Möglicherweise ist trotz meiner hirnfreien vorgehensweise ja doch jemand gewillt mir zu helfen? Hier der genau geschilderte Ablauf was ich bis jetzt getan habe (inkl. logs) System: Windows XP SP2, nicht aktuell mit Avira Antivir free und Spybot SD Resident. Firefox, aktuelle version: Ich ging auf eine Website auf dem ein bild angezeigt werden sollte. Es öffneten sich pop-ups, in der taskleiste rechts zeigte plötzlich das java symbol auf. Daraufhin deaktivierte sich plötzlich die Windows Firewall, 2 sek später ging die erste Trojaner Warnung in Antivir an. Hier der genaue ereignisbericht der Viren in Antivir: -- In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\mwrxoencsa.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.MWPM.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern -- In der Datei 'C:\WINDOOF\temp\2CA.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern -- In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\xpre.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.MWPM.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern -- In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\xpre.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.MWPM.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben -- In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\maccsnet.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.AG.612' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben -- In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\prun.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.PEPM.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben -- ...usw usf. Insgesamt waren es sicher über ca. 20-30 viren. Aus voller Panik (wieder einmal sicher ein Fehler und meine Schuld) davor, dass das system gleich flöten geht und ich beim neustart nicht mehr booten kann habe ich das internet gekappt und das einzige was ich >gerade noch drauf hatte<, Combofix gestartet. (nicht im abgesicherten modus) Das ließ ich durchlaufen, hier das log (bitte entschuldigen, windows heißt bei mir windoof und ich konnte nicht alles und jeden punkt ändern, was mich nicht stört): Code:
ATTFilter ------ ComboFix 09-10-19.01 - Lord Rentner 20.10.2009 3:01.3.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1482 [GMT 2:00] ausgeführt von:: D:\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windoof\msa.exe c:\windoof\run.log c:\windoof\system32\msxml71.dll c:\windoof\system32\xa.tmp . ((((((((((((((((((((((( Dateien erstellt von 2009-09-20 bis 2009-10-20 )))))))))))))))))))))))))))))) . 2009-10-20 00:57 . 2009-10-20 00:57 782336 ----a-w- c:\windoof\system32\ef78.dll 2009-10-20 00:49 . 2009-10-20 00:49 1413120 ----a-w- C:\SDFix.exe 2009-10-10 14:02 . 2009-10-10 14:02 -------- d-----w- c:\dokumente und einstellungen\Lord Rentner\Lokale Einstellungen\Anwendungsdaten\Codemasters 2009-09-29 19:21 . 2009-09-29 19:22 -------- d-----w- c:\programme\Microsoft Games for Windows - LIVE 2009-09-22 17:03 . 2009-03-09 13:27 453456 ----a-w- c:\windoof\system32\d3dx10_41.dll 2009-09-22 17:03 . 2009-03-09 13:27 1846632 ----a-w- c:\windoof\system32\D3DCompiler_41.dll 2009-09-22 17:03 . 2009-03-16 12:18 69448 ----a-w- c:\windoof\system32\XAPOFX1_3.dll 2009-09-22 17:03 . 2009-03-16 12:18 517448 ----a-w- c:\windoof\system32\XAudio2_4.dll 2009-09-22 17:03 . 2009-03-16 12:18 235352 ----a-w- c:\windoof\system32\xactengine3_4.dll 2009-09-22 17:03 . 2009-03-16 12:18 22360 ----a-w- c:\windoof\system32\X3DAudio1_6.dll 2009-09-22 16:59 . 2009-09-22 17:00 -------- d-----w- c:\programme\AGEIA Technologies 2009-09-21 15:13 . 2009-05-20 13:23 4178264 ----a-w- c:\windoof\system32\D3DX9_41.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-10-19 22:03 . 2007-09-12 14:58 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-10-19 21:50 . 2008-10-23 12:08 -------- d-----w- c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\FileZilla 2009-10-19 18:27 . 2007-11-18 16:00 13943 ----a-w- c:\windoof\system32\tablet.dat 2009-10-19 18:27 . 2007-11-18 15:43 -------- d-----w- c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\WTablet 2009-10-18 07:35 . 2007-11-18 21:21 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\WTablet 2009-10-13 11:29 . 2007-09-12 15:14 166224 -c--a-w- c:\dokumente und einstellungen\Lord Rentner\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-09-29 23:09 . 2009-03-05 17:04 653840 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-09-22 17:00 . 2007-10-04 14:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-09-17 11:39 . 2007-11-23 13:49 -------- d-----w- c:\programme\Windows Live 2009-09-13 13:50 . 2009-09-13 13:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee 2009-09-11 11:48 . 2009-09-11 11:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan 2009-09-11 11:48 . 2009-09-11 11:48 -------- d-----w- c:\programme\McAfee Security Scan 2009-08-23 18:50 . 2007-09-13 18:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited 2009-08-14 11:36 . 2009-08-14 11:36 70936 ----a-w- c:\windoof\system32\PhysXLoader.dll 2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelTraditionalChinese.dll 2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelSwedish.dll 2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelSpanish.dll 2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelSimplifiedChinese.dll 2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelPortugese.dll 2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelKorean.dll 2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelJapanese.dll 2009-08-02 22:21 . 2009-08-02 22:21 288024 ----a-w- c:\windoof\system32\PhysXCplUI.exe 2009-08-02 22:21 . 2009-08-02 22:21 288024 ----a-w- c:\windoof\system32\PhysXCompatCplUI.exe 2009-08-02 22:21 . 2009-08-02 22:21 23320 ----a-w- c:\windoof\system32\PhysXDevice.dll 2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelGerman.dll 2009-08-02 22:21 . 2009-08-02 22:21 58648 ----a-w- c:\windoof\system32\AgCPanelFrench.dll 2006-05-03 09:06 . 2008-11-21 15:36 163328 --sh--r- c:\windoof\system32\flvDX.dll 2007-02-21 10:47 . 2009-06-30 00:14 31232 --sh--r- c:\windoof\system32\msfDX.dll 2008-03-16 12:30 . 2009-06-30 00:14 216064 --sh--r- c:\windoof\system32\nbDX.dll . ------- Sigcheck ------- [-] 2007-03-17 . 10D53E677A6962B964839073E492C84B . 508928 . . [5.1.2600.2815] . . c:\windoof\system32\winlogon.exe [-] 2007-03-17 . 7AA72CFFDE889BDAA03504C383AD0786 . 343040 . . [7.0.2600.3085] . . c:\windoof\system32\msvcrt.dll [-] 2007-02-19 . C58D60C0660E34D78C438FDC99894CC1 . 343040 . . [7.0.2600.3085] . . c:\windoof\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.3085_x-ww_e059201c\msvcrt.dll [7] 2001-08-18 . 4200BE3808F6406DBE45A7B88DAE5035 . 322560 . . [7.0.2600.0] . . c:\windoof\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\msvcrt.dll [-] 2007-03-17 . 15E9565CF141152C3081715782AD2097 . 175616 . . [5.1.2600.2786] . . c:\windoof\system32\appmgmts.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E8A5249-4387-481A-B38B-BEE6378CC704}] 2009-10-20 00:57 782336 ----a-w- c:\windoof\system32\ef78.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{1E8A5248-4387-481A-B38B-BEE6378CC704}"= "c:\windoof\system32\ef78.dll" [2009-10-20 782336] [HKEY_CLASSES_ROOT\clsid\{1e8a5248-4387-481a-b38b-bee6378cc704}] [HKEY_CLASSES_ROOT\TypeLib\{8D74B939-AD80-44F3-BD5F-155BDE9D2D25}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "JMB36X IDE Setup"="c:\windoof\JM\JMInsIDE.exe" [2006-10-30 36864] "36X Raid Configurer"="c:\windoof\system32\JMRaidSetup.exe" [2007-02-06 1953792] "EasyTuneV"="c:\programme\Gigabyte\ET5\ETcall.exe" [2007-04-26 24576] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048] "HP Software Update"="d:\programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152] "BootSkin Startup Jobs"="d:\programme\BootSkin\BootSkin.exe" [2004-04-26 270336] "Acrobat Assistant 8.0"="d:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248] "Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944] "QuickTime Task"="d:\programme\QuickTime\QTTask.exe" [2007-06-29 286720] "avgnt"="e:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "NvCplDaemon"="c:\windoof\system32\NvCpl.dll" [2008-10-07 13574144] "NvMediaCenter"="c:\windoof\system32\NvMcTray.dll" [2008-10-07 86016] "DLA"="c:\windoof\System32\DLA\DLACTRLW.EXE" [2006-06-13 127036] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-02-27 570664] "SecurDisc"="d:\programme\Nero 7\InCD\NBHGui.exe" [2008-02-18 1629480] "InCD"="d:\programme\Nero 7\InCD\InCD.exe" [2008-02-18 1057064] "RTHDCPL"="RTHDCPL.EXE" - c:\windoof\RTHDCPL.exe [2007-04-12 16132608] "nwiz"="nwiz.exe" - c:\windoof\system32\nwiz.exe [2008-10-07 1630208] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "ShowDeskFix"="shell32" [X] "nltide_3"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928] "IE7"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308] McAfee Security Scan.lnk - c:\programme\McAfee Security Scan\1.0.150\SSScheduler.exe [2009-7-28 199184] TabUserW.exe.lnk - c:\windoof\system32\WTablet\TabUserW.exe [2007-11-18 114688] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll schannel.dll digest.dll msnsspc.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk backup=c:\windoof\pss\HP Image Zone Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Lord Rentner^Startmenü^Programme^Autostart^Konfabulator.lnk] path=c:\dokumente und einstellungen\Lord Rentner\Startmenü\Programme\Autostart\Konfabulator.lnk backup=c:\windoof\pss\Konfabulator.lnkStartup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "g:\\Valve\\Steam\\SteamApps\\smaxomatic\\counter-strike source\\hl2.exe"= "d:\\Programme\\BMW M3 Challenge\\BMW.exe"= "d:\\Programme\\id Software\\Enemy Territory - QUAKE Wars Demo\\etqw.exe"= "d:\\Programme\\id Software\\Enemy Territory - QUAKE Wars Demo\\etqwded.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "d:\\Programme\\UBISOFT\\Ghost Recon Advanced Warfighter\\GRAW.exe"= "d:\\Programme\\Sierra\\FEAR\\fpupdate.exe"= "d:\\Programme\\Sierra\\FEAR\\FEAR.exe"= "d:\\Programme\\Sierra\\FEAR\\FEARMP.exe"= "d:\\Programme\\Sierra\\FEAR\\FEARXP\\FEARXP.exe"= "g:\\Valve\\Steam\\Steam.exe"= "g:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"= "d:\\Programme\\Unreal Tournament 3 Demo\\Binaries\\UT3Demo.exe"= "d:\\Downloads\\cl08seCu13\\RouterClient.exe"= "d:\\Programme\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"= "g:\\source\\hl2.exe"= "d:\\Downloads\\blobby\\volley.exe"= "d:\\Programme\\Crytek\\Crysis MP Beta\\Crysis MP Beta\\Bin32\\Crysis.exe"= "g:\\FlatOut2 an Zimmer Michel (Michel)\\FlatOut2.exe"= "d:\\Programme\\UBISOFT\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"= "d:\\Programme\\UBISOFT\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"= "d:\\Downloads\\HL1\\Counter Strike 1.5 Full + Half Life 1110 Full\\Half Life Full\\HL\\hl.exe"= "d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\WINDOOF\\system32\\rtcshare.exe"= "c:\\Programme\\NetMeeting\\conf.exe"= "g:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "d:\\Programme\\bluesoleil\\BlueSoleil.exe"= "d:\\Programme\\Crytek\\Crysis\\Bin32\\Crysis.exe"= "d:\\Programme\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"= "c:\\WINDOOF\\system32\\PnkBstrA.exe"= "c:\\WINDOOF\\system32\\PnkBstrB.exe"= "d:\\Programme\\IL-2 Sturmovik Demo\\il2demo.exe"= "d:\\Programme\\IL-2 Sturmovik 1946\\il2fb.exe"= "g:\\Programme\\Electronic Arts\\Battlefield 2142-Demo\\BF2142.exe"= "d:\\Programme\\Armagetron Advanced\\armagetronad.exe"= "g:\\Valve\\Steam\\SteamApps\\smaxomatic\\team fortress 2\\hl2.exe"= "d:\\Programme\\Codemasters\\GRID\\GRID.exe"= "d:\\Programme\\Test Drive Unlimited\\TestDriveUnlimited.exe"= "g:\\XreaL_PreAlpha_20080704\\xreal.exe"= "d:\\Programme\\gamigo\\levelr\\LevelR\\LevelR.bin"= "d:\\Programme\\SmartFTP Client\\SmartFTP.exe"= "d:\\Programme\\Mozilla Firefox\\firefox.exe"= "e:\\LFS\\LFS.exe"= "g:\\Valve\\Steam\\SteamApps\\common\\shadowgrounds demo\\ShadowgroundsLauncher.exe"= "g:\\Valve\\Steam\\SteamApps\\smaxomatic\\half-life 2\\hl2.exe"= "g:\\Valve\\Steam\\SteamApps\\smaxomatic\\source sdk base 2007\\hl2.exe"= "g:\\Valve\\Steam\\SteamApps\\smaxomatic\\source sdk base\\hl2.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "g:\\Programme\\ICQ6.5\\ICQ.exe"= "d:\\Programme\\CAPCOM\\RESIDENT EVIL 5\\RE5DX9.EXE"= "d:\\Programme\\CAPCOM\\RESIDENT EVIL 5\\RE5DX10.EXE"= R2 TabletServiceWacom;TabletServiceWacom;c:\windoof\system32\Wacom_Tablet.exe [18.11.2007 17:43 1373480] R3 PPJoyBus;Parallel Port Joystick Bus device driver;c:\windoof\system32\drivers\PPJoyBus.sys [23.01.2004 17:33 13952] R3 PPortJoystick;Parallel Port Joystick device driver;c:\windoof\system32\drivers\PPortJoy.sys [23.01.2004 17:32 28800] S0 BootScreen;BootScreen;\SystemRoot\\SystemRoot\System32\drivers\vidstub.sys --> \SystemRoot\\SystemRoot\System32\drivers\vidstub.sys [?] S2 NeroRegInCDSrv;Nero Registry InCD Service;d:\programme\Nero 7\InCD\NBHRegInCDSrv.exe --> d:\programme\Nero 7\InCD\NBHRegInCDSrv.exe [?] S3 Wibukey2;Wibukey2;c:\windoof\system32\drivers\Wibukey2.sys [05.03.2009 19:34 16384] . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 mSearch Bar = hxxp://www.starbarsearch.com/?useie5=1&q= uInternet Connection Wizard,ShellNext = hxxp://de.yahoo.com/ uInternet Settings,ProxyOverride = *.local IE: An vorhandenes PDF anfügen - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Easy-WebPrint - Drucken - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html IE: Easy-WebPrint - Schnelldruck - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html IE: Easy-WebPrint - Vorschau - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html IE: Easy-WebPrint - Zu Druckliste hinzufügen - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html Trusted Zone: musicload.de\www FF - ProfilePath - c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\Mozilla\Firefox\Profiles\csz6xrco.default\ FF - plugin: c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\Mozilla\Firefox\Profiles\csz6xrco.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll FF - plugin: d:\programme\Download Manager\npfpdlm.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll . - - - - Entfernte verwaiste Registrierungseinträge - - - - AddRemove-AGEIA PhysX v2.3.3 - c:\programme\AGEIA Technologies\uninstall.exe AddRemove-Armagetron Advanced - i:\programme\Armagetron Advanced\uninst.exe AddRemove-rFactor - i:\programme\rFactor\Uninstall.exe AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - d:\programme\DivX\DivXCodecUninstall.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-10-20 03:08 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN] "ImagePath"="\Sys" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7378F916-8D44-99A9-2A83-9356F0D95ECA}*] "pahhaejcejcdfdiilhfljpgpgnocanje"=hex:6b,61,63,70,6f,6c,6c,64,63,6b,62,62,6c, 63,66,6b,68,65,6c,6a,64,70,00,00 "oaficohealdpjpmjlhlikmkbmcebhk"=hex:6a,61,64,70,6b,6d,68,6c,61,6c,6c,6b,70,70, 65,68,63,66,69,63,00,00 [HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D36B2E40-EDFD-ADC9-9F69-56328D690161}*] "oahbclndjehlljiehjfcnhkhebgcpl"=hex:6b,61,66,63,6f,62,62,62,69,6f,6f,6b,61,61, 6d,62,6a,63,69,67,69,70,00,00 "pablkihdoibkfmicbanbndnapbbidade"=hex:6b,61,66,63,69,67,64,6f,6b,6b,66,64,65, 70,6f,66,67,61,68,66,65,6d,00,00 [HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:f1,1c,a1,62,cb,be,de,1f,8e,40,48,35,c4,e7,84,5d,36,56,ef,3b,d8,50,d5, 35,21,a7,7c,60,fe,7d,4d,97,05,ce,1b,80,ae,15,f2,a5,b0,2f,0b,fb,89,30,be,13,\ "??"=hex:59,e5,97,70,47,08,a5,1e,f6,13,83,cc,52,0d,a6,6c [HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\SecuROM\License information*] "datasecu"=hex:9f,06,fb,d0,e7,6e,39,ea,71,21,35,d2,d5,09,dd,9b,a3,2d,79,ba,38, a8,84,2d,61,43,3c,4f,05,2d,19,42,28,60,ad,78,b6,91,6d,ab,20,ad,27,74,cd,53,\ "rkeysecu"=hex:ca,30,ba,58,79,16,70,3f,e8,9d,9e,a8,18,13,70,de [HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\YourCompanyName\YourProductName\Version*] "VersionData"=hex:01,43,92,80,c1,d1,7a,52,55,97,24,04,6c,97,52,91,6c,b8,08,3d, 72,b0,5e,24,41,20,76,79,4f,d3,ea,9c,71,54,7c,27,76,6c,5b,cf,78,90,97,5f,e8,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version] "Version"=hex:ec,ab,ed,d7,79,61,50,82,1b,53,ed,42,e4,78,b8,0c,c3,12,2b,ed,19, a1,84,8c,0b,9d,83,fe,cf,8b,7d,de,85,45,71,69,34,6a,91,39,c9,20,04,50,98,be,\ [HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version] "Version"=hex:ec,ab,ed,d7,79,61,50,82,1b,53,ed,42,e4,78,b8,0c,c3,12,2b,ed,19, a1,84,8c,0b,9d,83,fe,cf,8b,7d,de,85,45,71,69,34,6a,91,39,c9,20,04,50,98,be,\ . Zeit der Fertigstellung: 2009-10-20 3:10 ComboFix-quarantined-files.txt 2009-10-20 01:10 ComboFix2.txt 2008-12-28 16:17 ComboFix3.txt 2008-08-19 10:07 Vor Suchlauf: 1.230.725.120 Bytes frei Nach Suchlauf: 1.236.144.128 Bytes frei - - End Of File - - 85581563883420682AB4F92DC058D380 ----- |
Themen zu Mehrfache Trojaner eingefangen, über Firefox. |
0 bytes, abgesicherten modus, ablauf, antivir, avgnt, avgnt.exe, avira, bonjour, booten, browser, canon, combofix, counter-strike source, crysis, device driver, fehler, firefox, firefox.exe, gigabyte, helper, installation, konvertieren, malware, mozilla, pdf-datei, programm, registry, rthdcpl.exe, scan, schannel.dll, security, server, sierra, sigcheck, skype.exe, software, suchlauf, system, trojaner, trojaner eingefangen, viren, virus, vista, windows, windows xp, ändern |