| |
| |||||||
Log-Analyse und Auswertung: IE öffnet automatisch werbung + langsamer pcWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
01.11.2009, 21:04
| #1 |
 |  IE öffnet automatisch werbung + langsamer pc Hallo, habe seit einiger zeit mit meinem pc... er öffnet automatisch werbung über den IE... das ist echt nervig  außerdem ist er recht "langsam" das liegt aber wohl an dem ganzen "müll" das ich drauf habe... könnte man sowas wie Steam zum beispiel entfernen? Hier mein Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:55:52, on 01.11.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\SLEE401.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\TEMP\c.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe C:\PROGRA~1\STEGAN~2\ANTIDIAL.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe D:\Programme\Daemon Update\DAEMON Tools Lite\daemon.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\QIP\qip.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\TEMP\b.exe c:\programme\antivir personaledition classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe D:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\2419\3651\toolbaru.dll (file missing) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing) O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [Steganos AntiDialer] C:\PROGRA~1\STEGAN~2\ANTIDIAL.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [ISUSPM Startup] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NBKeyScan] "D:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [cFosSpeed] D:\Programme\cFosSpeed.exe O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKCU\..\Run: [DrWindows] "C:\Programme\DrWindows\DrWindows.exe" /autorun O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\Daemon Update\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [PopRock] C:\WINDOWS\TEMP\b.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Registration DIE SIEDLER - Das Erbe der Könige - Gold Edition.LNK = ? O4 - Global Startup: win32.dll.bat O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094228586484 O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - http://install.power-url.de/InstallationsAssistent.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{1240E108-AD10-4E53-BFA0-8EF8616A2D67}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{1240E108-AD10-4E53-BFA0-8EF8616A2D67}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\Programme\spd.exe (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE401.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE401.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 12461 bytes  Gruß Lucky_Ace |
|
01.11.2009, 21:13
| #2 |
  |  IE öffnet automatisch werbung + langsamer pc Hi,
__________________da ist weit mehr drauf,... c.exe, b.exe, [poprock]... Hau auf jeden Fall Bearshare runter... MAM sollte damit klarkommen, danns ehen wir weiter: Danach bitte MAM, RSIT und Gmer: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ |
|
02.11.2009, 19:39
| #3 |
| | IE öffnet automatisch werbung + langsamer pc Nabend,
__________________inwiefern meinst du weit mehr drauf? hatt die Nacht Antimalware durchlaufen gelassen... 256409 daten; 57 Funde; 2:28:55 Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2775 Windows 5.1.2600 Service Pack 2 02.11.2009 04:03:53 mbam-log-2009-11-02 (04-03-53).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 256409 Laufzeit: 2 hour(s), 38 minute(s), 55 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 25 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 6 Infizierte Dateien: 22 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{37b85a2a-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{37b85a2c-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ef281620-a3a3-4f08-874f-d68cfc9b7945} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{37b85a20-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Zango (Adware.Zango) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\advertismen (Adware.AdvertMan) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\MyGlobalSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\1.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\Cache (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\History (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\Settings (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\pushow90.dll (Adware.AdvertMan) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\1.bin\M9FFXTBR.JAR (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\1.bin\M9FFXTBR.MANIFEST (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\1.bin\M9NTSTBR.JAR (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\1.bin\M9NTSTBR.MANIFEST (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\1.bin\M9PLUGIN.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\1.bin\NPMYGLSH.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\Cache\00034509 (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\Cache\0003AC3F (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\Cache\002CFA77 (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\Cache\00484F2B (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\Cache\00FA318F.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\Cache\00FA39DC.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\Cache\00FA3E8F.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\Cache\files.ini (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\History\search (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\Programme\MyGlobalSearch\bar\Settings\prevcfg.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\w.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\b.exe (Trojan.Downloader) -> Delete on reboot. Rsit weiß nich genau was du meint mit minimiert deswegen schicke ich dir den kompletten log, sry der GMER läuft schon ein paar stunden dauert aber wahrscheinlich auch noch ein wenig... die werbung hat inzwischen schon aufgehört... vielen dank dafür schon mal bearshare ist noch von meinem vorgängen und sollte eig. gelöscht sein... ich finde auch nicht mehr bei systemsteurung>software... wie lösche ich solche "unnützen" sachen die ich nicht mehr benötige wie steam, bearshare etc.? Gruß Lucky_Ace |
|
02.11.2009, 21:43
| #5 |
| | IE öffnet automatisch werbung + langsamer pc Hi, das GMER so lange läuft ist sehr ungewöhnlich... Poste auf jeden Falls das Log von GMER, eventuell müssen wir noch was tun... Fileuplod für RSIT: http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich... Einträge rausschmeissen (einige sind schon von MAM entfernt worden...) Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\2419\3651\toolbaru.dll (file missing)
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [PopRock] C:\WINDOWS\TEMP\b.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O4 - Global Startup: win32.dll.bat
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - http://install.power-url.de/InstallationsAssistent.ocx
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) Geändert von Chris4You (02.11.2009 um 21:59 Uhr) |
|
03.11.2009, 14:20
| #6 |
| | IE öffnet automatisch werbung + langsamer pc Hi, mit HJ unbedingt noch den Eintrag hier fixen (aus dem RSIT-Log): Code:
ATTFilter O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - http://install.power-url.de/InstallationsAssistent.ocx
Poste mir mal Bitte als PM den Inhalt des Files:win32.dll.bat sollte im Windows bzw. system32-Verzeichnis sein. Mit Editor öffnen und in die PM abkopieren... Und weiter geht es, bitte online prüfen lasse (virustotal.com): Code:
ATTFilter L:\pushinst.exe
Autorun.exe (suchen), sowie:
copy.exe
C:\WINDOWS\system32\ShellManager310E2D762.dll
C:\WINDOWS\system32\drivers\ahadvnsw.sys
C:\DOKUME~1\Michael\LOKALE~1\Temp\efipsk.sys
__________________ --> IE öffnet automatisch werbung + langsamer pc Geändert von Chris4You (03.11.2009 um 14:31 Uhr) |
|
03.11.2009, 18:36
| #7 |
| | IE öffnet automatisch werbung + langsamer pc Nabend Chris, habe folgende dateien nicht gefunden mit HJ O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing) O4 - HKCU\..\Run: [PopRock] C:\WINDOWS\TEMP\b.exe sowie L:\Autorun.exe (suchen), sowie: copy.exe und C:\WINDOWS\system32\drivers\ahadvnsw.sys C:\DOKUME~1\Michael\LOKALE~1\Temp\efipsk.sys habe sufu genutz un auch shcon die ansicht der ordner geändert aber nichts gefunden zudem hat sich der pc nach ca. 6 stunden GMER aufgehangen nachdem ich kurz was machen musste... er war allerdings immernoch auf der platt C:/ Gruß Lucky_Ace |
|
03.11.2009, 21:31
| #8 |
| | IE öffnet automatisch werbung + langsamer pc Muss noch was hinzufügen weiß nicht ob es von bedeutung ist... nachdem ich avira mal richtig eingestellt habe kam nach ein paar stunden ein fund... znd zwar hat er gefunden TR/Trash.Gen in System volume  Gruß |
|
03.11.2009, 21:31
| #9 |
| | IE öffnet automatisch werbung + langsamer pc Hi, da hängt wahrscheinlich noch was rum, was wir nicht zu Gesicht bekommen... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
04.11.2009, 07:27
| #10 |
| | IE öffnet automatisch werbung + langsamer pc Hi, wie oben beschrieben ComboFix durchführen und zusätzlich die Systemwiederherstellung plätten: Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
04.11.2009, 16:52
| #11 |
| | IE öffnet automatisch werbung + langsamer pc Hallo Chris, hier der log von Combofix... habe das mit der Systemwiderherstellung gemacht... ich merke schon das mein pc wesntlich schneller hochfährt und sich z.b. mozilla wieder schneller öffnen lässt  ComboFix 09-11-03.01 - USER*** 04.11.2009 15:40.1.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.511.216 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\USER***\Desktop\ComboFix.exe AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00F8-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FB-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00FB-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-010C-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\USER***\Anwendungsdaten\AD ON Multimedia c:\dokumente und einstellungen\USER***\Favoriten\Videos.url c:\windows\desktop c:\windows\desktop\Team C8 PSP7-200 Uninstall - Registration info.txt . ((((((((((((((((((((((( Dateien erstellt von 2009-10-04 bis 2009-11-04 )))))))))))))))))))))))))))))) . 2009-11-04 14:05 . 2009-11-04 14:05 -------- d-----w- c:\windows\LastGood 2009-11-03 17:07 . 2009-11-03 17:07 -------- d-----w- C:\Virus 2009-11-03 15:49 . 2009-11-03 15:49 -------- d-----w- c:\dokumente und einstellungen\Gast\Anwendungsdaten\Malwarebytes 2009-11-01 20:33 . 2009-11-01 20:34 -------- d-----w- C:\rsit 2009-11-01 20:29 . 2009-11-01 20:29 -------- d-----w- c:\dokumente und einstellungen\USER***\Anwendungsdaten\Malwarebytes 2009-11-01 20:28 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-11-01 20:28 . 2009-11-01 20:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-01 20:28 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-10-26 09:26 . 2009-10-26 09:26 -------- d-----w- c:\dokumente und einstellungen\USER***\Anwendungsdaten\ASCOMP Software 2009-10-21 22:07 . 2009-10-29 11:02 147144 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-10-21 20:56 . 2009-10-22 09:57 -------- d-----w- c:\dokumente und einstellungen\USER***\Lokale Einstellungen\Anwendungsdaten\WBFSManager 2009-10-21 17:24 . 2009-10-21 17:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite 2009-10-21 17:23 . 2009-10-21 17:23 -------- d-----w- c:\programme\DAEMON Tools Toolbar 2009-10-21 17:21 . 2009-10-21 17:26 -------- d-----w- c:\dokumente und einstellungen\USER***\Anwendungsdaten\DAEMON Tools Lite 2009-10-21 17:02 . 2008-06-24 11:45 1414440 ----a-w- c:\windows\system32\ShellManager310E2D762.dll 2009-10-21 16:17 . 2009-10-21 17:26 -------- d-----w- c:\dokumente und einstellungen\Steffen\Anwendungsdaten\DAEMON Tools 2009-10-08 14:47 . 2009-10-08 14:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro 2009-10-08 14:39 . 2009-10-08 14:39 721904 ----a-w- c:\windows\system32\drivers\sptd.sys 2009-10-08 14:39 . 2009-10-08 14:39 -------- d-----w- c:\dokumente und einstellungen\USER***\Anwendungsdaten\DAEMON Tools Pro 2009-10-07 12:13 . 2008-04-30 17:21 730840 ----a-r- c:\windows\system32\drivers\cfosspeed.sys 2009-10-07 12:12 . 2008-04-30 17:21 285912 ----a-w- c:\windows\system32\cfosspeed.dll 2009-10-06 19:05 . 2009-10-06 19:05 -------- d-----w- c:\dokumente und einstellungen\USER***\Anwendungsdaten\Nero 2009-10-06 18:59 . 2009-10-21 17:04 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero 2009-10-06 18:59 . 2009-10-21 17:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-04 14:33 . 2004-09-03 11:58 83840 ----a-w- c:\windows\system32\perfc007.dat 2009-11-04 14:33 . 2004-09-03 11:58 455168 ----a-w- c:\windows\system32\perfh007.dat 2009-11-04 13:59 . 2004-09-03 13:54 13440 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS 2009-11-03 19:14 . 2006-02-15 19:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-10-25 18:21 . 2005-01-20 16:09 22270 ----a-w- c:\dokumente und einstellungen\USER***\Anwendungsdaten\wklnhst.dat 2009-09-13 11:50 . 2005-02-24 14:18 -------- d-----w- c:\programme\Rockstar Games 2009-09-13 11:50 . 2004-09-03 13:54 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-09-11 14:31 . 2004-09-03 11:58 133632 ----a-w- c:\windows\system32\msv1_0.dll 2009-09-09 19:23 . 2009-09-09 19:24 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-09-09 19:23 . 2004-11-06 16:44 -------- d-----w- c:\programme\Java 2009-09-09 17:40 . 2009-09-08 18:03 -------- d-----w- c:\dokumente und einstellungen\USER***\Anwendungsdaten\Winamp 2009-09-04 20:45 . 2004-09-03 11:58 58880 ----a-w- c:\windows\system32\msasn1.dll 2009-08-29 07:24 . 2004-08-23 19:35 832512 ----a-w- c:\windows\system32\wininet.dll 2009-08-29 07:24 . 2004-08-04 07:57 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-08-29 07:24 . 2004-09-03 11:57 17408 ----a-w- c:\windows\system32\corpol.dll 2009-08-26 16:01 . 2004-11-08 13:03 67472 ----a-w- c:\dokumente und einstellungen\USER***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-08-26 08:14 . 2004-09-03 11:58 247326 ----a-w- c:\windows\system32\strmdll.dll 2009-08-19 11:12 . 2009-08-13 15:16 25 ----a-w- c:\windows\popcinfot.dat 2009-08-06 17:24 . 2004-08-03 12:01 327896 ----a-w- c:\windows\system32\wucltui.dll 2009-08-06 17:24 . 2004-08-03 11:59 209632 ----a-w- c:\windows\system32\wuweb.dll 2009-08-06 17:24 . 2005-05-26 02:16 44768 ----a-w- c:\windows\system32\wups2.dll 2009-08-06 17:24 . 2004-08-03 12:00 35552 ----a-w- c:\windows\system32\wups.dll 2009-08-06 17:24 . 2004-09-03 12:03 53472 ----a-w- c:\windows\system32\wuauclt.exe 2009-08-06 17:24 . 2004-09-03 11:57 96480 ----a-w- c:\windows\system32\cdm.dll 2009-08-06 17:23 . 2004-08-03 12:06 575704 ----a-w- c:\windows\system32\wuapi.dll 2009-08-06 17:23 . 2004-09-03 12:03 1929952 ----a-w- c:\windows\system32\wuaueng.dll 2008-06-15 15:14 . 2008-06-15 15:14 0 -c--a-w- c:\programme\temp01 2005-10-21 17:19 . 2005-06-15 18:45 21 -c--a-w- c:\programme\AVPersonalAVWIN.INI 2006-07-24 18:05 . 2006-07-24 18:05 8192 -csha-w- c:\windows\o2cLicStore.bin . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] "DAEMON Tools Lite"="d:\programme\Daemon Update\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-07-12 4112384] "PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2004-09-03 81920] "AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVD.exe" [2004-09-09 439808] "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 172032] "Steganos AntiDialer"="c:\progra~1\STEGAN~2\ANTIDIAL.EXE" [2002-06-27 263680] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-13 266497] "Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 50688] "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-06-10 81920] "Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320] "AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2007-12-19 1748992] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-09 149280] " Malwarebytes Anti-Malware (reboot)"="d:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2004-07-12 843776] "Dit"="Dit.exe" - c:\windows\Dit.exe [2004-04-02 86016] "CHotkey"="mHotkey.exe" - c:\windows\mHotkey.exe [2002-07-23 477184] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] "SSS5"="c:\programme\Steganos Security Suite 5\steganos5.exe" [2002-09-12 884736] "SSS5SAFE"="c:\programme\Steganos Security Suite 5\safe.exe" [2002-09-12 180224] "SSS5SPM"="c:\programme\Steganos Security Suite 5\spm.exe" [2002-09-13 147456] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ win32.dll.bat [2006-3-14 6807] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\FRITZ!DSL\\FritzDsl.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\QIP\\qip.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP1006MC.EXE"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "63321:TCP"= 63321:TCP:Azu TCP "63321:UDP"= 63321:UDP:Azu UDP R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [16.02.2006 10:01 22360] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [16.02.2006 10:01 45400] R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [27.02.2005 14:25 11264] R1 SSHDRV57;SSHDRV57;c:\windows\system32\drivers\SSHDRV57.sys [06.11.2004 18:19 32768] R2 aadev;AVM ADSL Adapter Device;c:\windows\system32\drivers\Aadev.sys [27.02.2005 14:25 27648] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [23.07.2009 22:10 222968] R2 LogWatch;Ereignisprotokoll-Überwachung;c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [20.09.2002 15:29 53248] R2 SLEE_401_DRIVER;Steganos Live Encryption Engine (Version 401) [Driver];c:\windows\system32\drivers\slee401.sys [22.02.2002 19:22 83472] R3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [03.09.2004 14:54 13440] R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [03.08.2008 17:27 265088] R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [27.02.2005 14:25 374272] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [03.09.2004 14:06 24704] S2 SLEE_401_SERVICE;Steganos Live Encryption Engine (Version 401) [Service];c:\windows\system32\slee401.exe [22.02.2002 19:24 53248] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [03.08.2008 17:28 4352] S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [16.02.2005 14:06 16384] S3 CA_LIC_CLNT;CA-Lizenz-Client;c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [20.09.2002 15:27 77824] S3 CA_LIC_SRVR;CA-Lizenzserver;c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [20.09.2002 15:41 77824] S3 efipsk;efipsk;\??\c:\dokume~1\Michael\LOKALE~1\Temp\efipsk.sys --> c:\dokume~1\Michael\LOKALE~1\Temp\efipsk.sys [?] S3 PRISM_A00;CREATIX 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [03.09.2004 14:08 380736] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - MBR *NewlyCreated* - PROCEXP113 *Deregistered* - mbr *Deregistered* - PROCEXP113 . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ uInternet Connection Wizard,ShellNext = hxxp://www.1und1.de/Herzlich_Willkommen/b1/ TCP: {1240E108-AD10-4E53-BFA0-8EF8616A2D67} = 192.168.122.252,192.168.122.253 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\Steffen\Anwendungsdaten\Mozilla\Firefox\Profiles\nnc7eupy.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - google.de FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-DrWindows - c:\programme\DrWindows\DrWindows.exe HKCU-Run-IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe HKLM-Run-ISUSPM Startup - c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe HKLM-Run-NBKeyScan - d:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe HKLM-Run-cFosSpeed - d:\programme\cFosSpeed.exe HKLM-Run-Cmaudio - cmicnfg.cpl HKLM-Run-StarUpdater - (no file) AddRemove-DAEMON Tools Toolbar - c:\programme\DAEMON Tools Toolbar\uninst.exe AddRemove-FCB Screensaver - c:\programme\FC-Bayern\FCB Screensaver\uninst.exe AddRemove-ICQ-Tools_is1 - c:\programme\ICQLite\unins000.exe AddRemove-Kochmeister Pfanne 2 XS_is1 - c:\programme\Kochmeister Pfanne 2 XS\unins000.exe AddRemove-Star Alliance Screen Saver_is1 - c:\programme\Star Alliance Timetable\unins000.exe AddRemove-Ultra Flash Video FLV Converter_is1 - c:\programme\Ultra Flash Video FLV Converter\unins000.exe AddRemove-Ultra Mobile 3GP Video Converter_is1 - c:\programme\Ultra Mobile 3GP Video Converter\unins000.exe AddRemove-Ultra MP4 Video Converter_is1 - c:\programme\Ultra MP4 Video Converter\unins000.exe AddRemove-Ultra PSP Movie Converter_is1 - c:\programme\Ultra PSP Movie Converter\unins000.exe AddRemove-{45EBDA59-D33B-433A-956E-B2F236468B56} - c:\progra~1\MUSICM~1\MUSICM~1\unmatch.exe AddRemove-{6B103F43-069C-11D6-9EA2-0050BAE317E1} - c:\programme\Uninstall_PCM.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-11-04 15:55 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll AnyDVD.sys prosync1.sys sfsync02.sys >>UNKNOWN [0x825DD1F8]<< kernel: MBR read successfully user & kernel MBR OK ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System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eit der Fertigstellung: 2009-11-04 15:59 ComboFix-quarantined-files.txt 2009-11-04 14:57 Vor Suchlauf: 27 Verzeichnis(se), 31.628.279.808 Bytes frei Nach Suchlauf: 29 Verzeichnis(se), 35.939.450.880 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn Lucky_Ace |
|
04.11.2009, 17:10
| #12 |
| | IE öffnet automatisch werbung + langsamer pc Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\system32\ShellManager310E2D762.dll
c:\windows\system32\drivers\USBCRFT.SYS
c:\dokumente und einstellungen\USER***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokume~1\Michael\LOKALE~1\Temp\efipsk.sys
Die win32.dll.bat treibt noch Ihr Unwesen in den Autostarts, bitte löschen: c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ win32.dll.bat Da muss ich mich erst schlau drüber machen, versuche nochmal GMER zum Laufen zu bringen, das Log wäre wichtig... called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll AnyDVD.sys prosync1.sys sfsync02.sys >>UNKNOWN [0x825DD1F8]<< chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
04.11.2009, 18:53
| #13 |
| | IE öffnet automatisch werbung + langsamer pc Nabend Chris, hatte zuerst alles hier rein kopiert aber war zu groß anscheinend... habe jetzt zu jeder datei den permalink dabei gegeben... hoffe das ist oke so... win32.ddl.bat habe ich hoffentlich vollständig gelöscht... beim letzten gabs 2 funde... c:\windows\system32\ShellManager310E2D762.dll Die Datei wurde bereits analysiert: MD5: 33ab1d32c1e19660a3c2993a9c17d5aa First received: 2009.06.19 20:37:40 UTC Datum 2009.06.19 20:37:40 UTC [>137D] Ergebnisse 0/41 Permalink: http://analisis/b9c0d055b49cbe0a2cb7...762-1245443860 c:\windows\system32\drivers\USBCRFT.SYS Die Datei wurde bereits analysiert: MD5: b2cec14780842613f9495171a5f73c2c First received: 2009.05.30 10:57:12 UTC Datum 2009.11.04 16:48:43 UTC [<1D] Ergebnisse 0/41 Permalink: http://analisis/db40ca97d08bb83909ab...296-1257353323 c:\dokumente und einstellungen\USER***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT Die Datei wurde bereits analysiert: MD5: a9f40b47c9fb940cfcceb1999f8b5989 First received: 2009.11.04 16:56:15 UTC Datum 2009.11.04 16:56:15 UTC [<1D] Ergebnisse 0/41 Permalink: http://analisis/a7e9d6a9cd1d50054755...b6d-1257353775 c:\dokume~1\Michael\LOKALE~1\Temp\efipsk.sys habe diesen pfad zur datei nicht gefunden stattdessen habe ich die datei gefunden unter c:/Dokumente und Einstellungen/USER***/Lokale Einstellungen/ Temp ---> 2 Funde Die Datei wurde bereits analysiert: MD5: 03bff1de5b708e92a1926ba4a33595d0 First received: 2006.05.24 22:17:43 UTC Datum 2009.10.31 22:09:02 UTC [>3D] Ergebnisse 2/41 Permalink: http://analisis/1ad5d9c61da9791218c1...335-1257026942 Gruß Lucky_Ace |
|
04.11.2009, 19:05
| #14 |
| | IE öffnet automatisch werbung + langsamer pc oke das mit dem Permalink funzt anscheinend nicht so... hier der direkte link zu der seite hoffe das funzt... genau die selbe reihenfolge... Virustotal. MD5: 33ab1d32c1e19660a3c2993a9c17d5aa Virustotal. MD5: b2cec14780842613f9495171a5f73c2c Virustotal. MD5: 19b788b6fd825643ed56c6f42ed01d22 Virustotal. MD5: 03bff1de5b708e92a1926ba4a33595d0 Trojan.Win32.NTRootkit.31744 |
|
04.11.2009, 19:39
| #15 |
| | IE öffnet automatisch werbung + langsamer pc Hi, kann zwar auch ein f/p sein, aber in einem Tempverzeichnis... Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Folders to delete:
c:/Dokumente und Einstellungen/Michael/Lokale Einstellungen/Temp <-Ggf. Pfad richtig anpassen!
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Lass bitte noch mal RSIT drüber und poste das Log... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu IE öffnet automatisch werbung + langsamer pc |
| adobe, antivir, askbar, avira, bho, computer, downloader, entfernen, firefox, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, langsam, mein log, mozilla, nmindexstoresvr.exe, photoshop, plug-in, rundll, security, security suite, software, stick, system, temp, werbung, windows, windows xp, windows\temp, öffnet automatisch |
Linear-Darstellung
