ie doppelt im TM und startet nach Beendigung von alleine neu

Lucius_HB · 18.02.2010, 19:28

Hallo.

Durch einen Zufall ist mir was aufgefallen. Im Taskmanager hab ich immer zwei Tasks für den ie obwohl dieser gar nicht aktiv gestartet wurde. Ein Task davon frißt ca. 60 MB der andere nur ca 5. Beide tauchen, wenn ich sie beende, sofort wieder auf. Ich weiß nicht wie lange das schon so ist, aufgefallen ist mir das gestern bei einer Installation die nicht starten wollte weil der ie aktiv war.

Im Forum hab ich schon reichlich gesucht, bin aber nicht so richtig fündig geworden, bzw. hätte gerne jemanden der mich an die Hand nimmt damit ich nicht irgendwas dummes veranstalte. Vielen Dank schonmal vorab.

Also, zunächst braucht ist wohl das hijack-Log.
Muss das im abgesicherten Modus erstellt werden?

Beste Grüße
Luke

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:24, on 18.02.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Dell\DellDock\DellDock.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\WLTRAY.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Windows\ehome\ehtray.exe
C:\Users\XXXX\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Program Files\Dell Video Chat\DellVideoChat.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\TrueCrypt\TrueCrypt.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Orbitdownloader\orbitdm.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Windows\system32\conime.exe
C:\Program Files\Orbitdownloader\orbitnet.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\PROGRA~1\mcafee\msc\mcuimgr.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\XXXX\Desktop\hijack\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=5081114
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von Dell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: AIM Toolbar Search Class - {03402f96-3dc7-4285-bc50-9e81fefafe43} - C:\Program Files\AIM Toolbar\aimtb.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7418E5F5-0E48-4144-8F92-5CA791C82396} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: AIM Toolbar Loader - {b0cda128-b425-4eef-a174-61a11ac5dbf8} - C:\Program Files\AIM Toolbar\aimtb.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {DE713078-8012-4B75-92BA-398D4642A64B} - (no file)
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O3 - Toolbar: AIM Toolbar - {61539ecd-cc67-4437-a03c-9aaccbd14326} - C:\Program Files\AIM Toolbar\aimtb.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ECenter] C:\Dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "c:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Dell Webcam Central] "C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" /mode2
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~2\Server\bin\VERSIO~2.EXE
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\Homer\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SightSpeed] "C:\Program Files\Dell Video Chat\DellVideoChat.exe" -bootmode
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe" -s
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SECT FILE] "C:\ProgramData\platform deaf deaf.gmwd8"
O4 - HKCU\..\Run: [Start hide inside slow] "C:\ProgramData\phone mess 01.rczia3u"
O4 - HKCU\..\Run: [TrueCrypt] "C:\Program Files\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Dell Dock.lnk = C:\Program Files\Dell\DellDock\DellDock.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Orbit.lnk = C:\Program Files\Orbitdownloader\orbitdm.exe
O4 - Global Startup: QuickSet.lnk = C:\Program Files\Dell\QuickSet\quickset.exe
O8 - Extra context menu item: &AIM Toolbar Search - C:\ProgramData\AIM Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: AIM Toolbar - {0b83c99c-1efa-4259-858f-bcb33e007a5b} - C:\Program Files\AIM Toolbar\aimtb.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {A573D71B-951B-4BAD-B8CC-708AE84769C9} - (no file)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://finanzcenter.sparkasse-bremen.de/_plugin/AXFOAM.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38B262D3-DEF1-48F6-A63D-13C2C458741B}: NameServer = 212.6.108.140,212.6.108.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFA54922-6F32-46D4-B0FF-B1512B97A959}: NameServer = 212.6.108.140,212.6.108.141
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\aestsrv.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\STacSV.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

--
End of file - 18767 bytes

cosinus · 19.02.2010, 20:00

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Lucius_HB · 19.02.2010, 20:45

Hallo Arne,

ich wollte ja ein vorbildlicher Profiteur sein und dachte auch, dass ich die Liste schon durch hätte. Das einzige was ich noch ergänzen könnte wäre folgendes.

Ich hab hier im Forum eine ähnliche klingende Fehlermeldung gefunden und daraufhin Malwarebytes' Anti-Malware laufen lassen. In der Log tauchen nur die folgenden Einträge auf.

Code:

ATTFilter

C:\Users\****\AppData\Local\Temp\minime.exe (Trojan.Swizzor) -> Quarantined and deleted successfully.
C:\Users\****\AppData\Local\Temp\control.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Danach hat mwb nichts mehr gefunden. Das Problem ist aber nicht gefixt.

Adadware hat nichts gefunden und Spybot hat nur ein paar tracing Cookies gefunden.

Was für Logfiles möchtest Du denn?

Gruß und Dank
Luke

cosinus · 19.02.2010, 20:47

Lies die Liste und acker sie ab. Ich brauch die Logfiles komplett(!) von Malwarebytes und RSIT.

Lucius_HB · 19.02.2010, 20:50

Oh sorry, ich hab mir nur die 7 Punkte angesehen, ich mach mich dann mal die Arbeit.

Danke

Lucius_HB · 20.02.2010, 06:52

Hallo Malwarebytes hat nichts gefunden, log folgt trotzdem.
Aber eine Zwischenfrage. Malwarebytes hat die zwei Trojaner die ich schon gelistet hab in Quarantäne, soll ich die von Malwarebytes die löschen lassen?

Grüße
Luke

Lucius_HB · 20.02.2010, 07:23

Guten Morgen,

hab meine todo-Liste abgearbeitet. Die Log´s sind dann hier:

Logs

zu finden.

Grüße
Luke

cosinus · 21.02.2010, 21:02

Code:

ATTFilter

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - Contribute Toolbar - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll [2008-09-10 136560]
{61539ecd-cc67-4437-a03c-9aaccbd14326} - AIM Toolbar - C:\Program Files\AIM Toolbar\aimtb.dll [2008-10-07 1275176]
{C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - C:\Program Files\Orbitdownloader\GrabPro.dll [2009-06-09 662648]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll [2008-12-09 958200]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2010-02-01 279664]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll [2009-12-21 349640]

Was willst Du mit den ganzen Toolbars?

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
C:\ProgramData\phone mess 01.rczia3u
C:\ProgramData\platform deaf deaf.gmwd8

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

Lucius_HB · 22.02.2010, 19:07

Hallo.

Die Toolbars sind mir noch nie aufgefallen weil ich den ie eigentlich nie nutze. Im FF hab ich nur google als Tollbar drinne. Haben sich wohl angesammelt.

Also hier der Avenger Text:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\ProgramData\phone mess 01.rczia3u" deleted successfully.
File "C:\ProgramData\platform deaf deaf.gmwd8" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

und hier die LOG

Wie bekomme ich die denn zum reingucken auf? Da wird nen Passwort abgefragt.

Mir ist aufgefallen das der ie im Taskmanager nicht mehr automatisch da ist, aber it´s aint over till it´s over, ich glaub das erst wenn Du das sagst.

Gruß
Luke

cosinus · 22.02.2010, 19:41

Ok

Mach bitte noch ein Log mit CF, dann dürften wir auch bald durch sein

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lucius_HB · 22.02.2010, 22:34

Hallo Arne,

bin Deiner Anweisung gefolgt, hier das ComboFx-Log:
Brauchst Du das CC-Log auch?

Gruß
Helge

Code:

ATTFilter

ComboFix 10-02-21.02 - Homer 22.02.2010  22:01:42.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3581.2756 [GMT 1:00]
ausgeführt von:: c:\users\***\Desktop\cofi.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 * Im Speicher befindliches AV aktiv.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1881260713-4089407654-2850825354-500
c:\$recycle.bin\S-1-5-21-3164399106-1135682214-2207187196-1002
c:\$recycle.bin\S-1-5-21-3164399106-1135682214-2207187196-500
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk
c:\windows\system32\oem9.inf
c:\windows\system32\twain_32.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-01-22 bis 2010-02-22  ))))))))))))))))))))))))))))))
.

2010-02-22 21:17 . 2010-02-22 21:18	--------	d-----w-	c:\users\***\AppData\Local\temp
2010-02-22 21:17 . 2010-02-22 21:17	--------	d-----w-	c:\users\Party\AppData\Local\temp
2010-02-22 21:17 . 2010-02-22 21:17	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-02-22 21:17 . 2010-02-22 21:17	--------	d-----w-	c:\users\Admin\AppData\Local\temp
2010-02-20 05:55 . 2010-02-20 05:56	--------	d-----w-	C:\rsit
2010-02-19 19:52 . 2010-02-19 19:53	--------	d-----w-	c:\program files\CCleaner
2010-02-18 20:26 . 2009-08-19 22:50	22872	----a-r-	c:\windows\system32\AdobePDFUI.dll
2010-02-18 20:26 . 2009-08-19 22:50	46928	----a-r-	c:\windows\system32\AdobePDF.dll
2010-02-18 17:58 . 2010-02-18 18:05	--------	d-----w-	c:\users\Admin\AppData\Roaming\Orbit
2010-02-18 06:15 . 2010-02-18 06:15	--------	d-----w-	C:\MoTemp
2010-02-17 22:39 . 2010-02-17 22:39	--------	d-----w-	c:\users\Party\AppData\Roaming\Malwarebytes
2010-02-17 19:21 . 2010-02-17 19:21	--------	d-----w-	c:\users\***\AppData\Local\Stardock_Corporation
2010-02-17 14:22 . 2010-02-17 14:22	--------	d-----w-	c:\users\***\AppData\Roaming\Malwarebytes
2010-02-17 14:22 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-17 14:22 . 2010-02-17 14:22	--------	d-----w-	c:\programdata\Malwarebytes
2010-02-17 14:22 . 2010-02-17 14:22	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-02-17 14:22 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-02-09 20:46 . 2009-12-11 11:43	302080	----a-w-	c:\windows\system32\drivers\srv.sys
2010-02-09 20:46 . 2009-12-11 11:43	98816	----a-w-	c:\windows\system32\drivers\srvnet.sys
2010-02-09 20:46 . 2009-12-08 20:01	3600456	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-02-09 20:46 . 2009-12-08 20:01	3548216	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-02-08 19:52 . 2004-01-11 23:00	348160	----a-w-	c:\windows\system32\msvcr71.dll
2010-02-08 19:37 . 2010-02-08 22:18	--------	d-----w-	c:\users\***\AppData\Roaming\TrueCrypt
2010-02-08 19:37 . 2010-02-08 19:37	--------	d-----w-	c:\programdata\TrueCrypt
2010-02-08 19:37 . 2010-02-08 19:37	223440	----a-w-	c:\windows\system32\drivers\truecrypt.sys
2010-02-08 19:37 . 2010-02-08 19:37	--------	d-----w-	c:\program files\TrueCrypt
2010-02-01 19:58 . 2010-02-01 19:58	509552	----a-w-	c:\programdata\Google\Google Toolbar\Update\gtb3517.tmp.exe
2010-01-26 18:36 . 2010-02-22 18:18	--------	d-----w-	c:\users\***\AppData\Roaming\vlc
2010-01-26 18:36 . 2010-01-26 18:36	--------	d-----w-	c:\program files\VideoLAN

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-22 20:57 . 2008-11-13 23:21	3204	----a-w-	c:\windows\bthservsdp.dat
2010-02-22 20:57 . 2008-11-21 16:08	--------	d-----w-	c:\users\***\AppData\Roaming\Orbit
2010-02-22 17:30 . 2009-12-16 18:02	696320	----a-w-	c:\programdata\Shim pile start hide\Dart Ace.exe
2010-02-22 17:30 . 2008-11-19 15:40	--------	d-----w-	c:\programdata\Google Updater
2010-02-19 20:00 . 2008-12-10 09:49	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-02-18 20:34 . 2008-08-14 06:57	73312	----a-w-	c:\windows\system32\drivers\adfs.sys
2010-02-18 20:09 . 2008-11-13 23:23	--------	d-----w-	c:\program files\Common Files\Adobe
2010-02-18 17:57 . 2008-11-19 07:02	75224	----a-w-	c:\users\Admin\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-18 05:53 . 2008-11-18 16:01	75224	----a-w-	c:\users\***\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-18 05:50 . 2009-12-10 18:49	--------	d-----w-	c:\users\Party\AppData\Roaming\Orbit
2010-02-18 00:21 . 2008-11-13 23:29	--------	d-----w-	c:\program files\Common Files\PX Storage Engine
2010-02-13 16:01 . 2008-11-19 15:23	--------	d-----w-	c:\programdata\FLEXnet
2010-02-10 05:28 . 2008-11-13 23:24	--------	d-----w-	c:\program files\Google
2010-02-09 20:56 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-02-08 19:51 . 2008-01-21 07:15	618442	----a-w-	c:\windows\system32\perfh007.dat
2010-02-08 19:51 . 2008-01-21 07:15	122842	----a-w-	c:\windows\system32\perfc007.dat
2010-02-06 20:52 . 2009-11-30 19:46	389784	----a-w-	c:\programdata\Lavasoft\Ad-Aware\Update\UpdateManager.dll
2010-02-06 20:52 . 2009-11-30 19:41	3803208	----a-w-	c:\programdata\Lavasoft\Ad-Aware\Update\AutoLaunch.exe
2010-02-06 20:52 . 2009-11-30 19:38	823928	----a-w-	c:\programdata\Lavasoft\Ad-Aware\Update\Ad-AwareAdmin.exe
2010-02-06 20:52 . 2009-11-30 19:37	1181328	----a-w-	c:\programdata\Lavasoft\Ad-Aware\Update\AAWService.exe
2010-02-01 22:16 . 2009-01-05 18:32	--------	d-----w-	c:\users\***\AppData\Roaming\Skype
2010-02-01 18:56 . 2009-01-05 19:19	--------	d-----w-	c:\users\***\AppData\Roaming\ICQ
2010-02-01 18:56 . 2009-01-05 18:35	--------	d-----w-	c:\users\***\AppData\Roaming\skypePM
2010-01-22 19:59 . 2009-03-12 05:40	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-01-22 19:11 . 2009-01-05 19:18	--------	d-----w-	c:\program files\ICQ6.5
2010-01-15 06:01 . 2008-11-18 20:44	--------	d-----w-	c:\programdata\Roxio
2010-01-02 06:38 . 2010-01-22 04:46	916480	----a-w-	c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-22 04:46	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-01-02 06:32 . 2010-01-22 04:46	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-01-02 04:57 . 2010-01-22 04:46	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2009-12-23 17:33 . 2009-12-23 17:33	1239816	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-12-16 18:02 . 2009-12-16 18:02	696320	----a-w-	c:\programdata\real more bat\kymwahbf.exe
2009-12-16 18:01 . 2009-11-26 11:52	454656	----a-w-	c:\programdata\real more bat\testseek.exe
2009-12-10 18:48 . 2009-12-10 18:48	75176	----a-w-	c:\users\Party\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-08 20:01 . 2010-02-09 20:45	904776	----a-w-	c:\windows\system32\drivers\tcpip.sys
2009-12-08 17:26 . 2010-02-09 20:45	30720	----a-w-	c:\windows\system32\drivers\tcpipreg.sys
2009-12-04 18:30 . 2010-02-09 20:45	12288	----a-w-	c:\windows\system32\tsbyuv.dll
2009-12-04 18:29 . 2010-02-09 20:45	1314816	----a-w-	c:\windows\system32\quartz.dll
2009-12-04 18:28 . 2010-02-09 20:45	22528	----a-w-	c:\windows\system32\msyuv.dll
2009-12-04 18:28 . 2010-02-09 20:45	31744	----a-w-	c:\windows\system32\msvidc32.dll
2009-12-04 18:28 . 2010-02-09 20:45	123904	----a-w-	c:\windows\system32\msvfw32.dll
2009-12-04 18:28 . 2010-02-09 20:45	13312	----a-w-	c:\windows\system32\msrle32.dll
2009-12-04 18:28 . 2010-02-09 20:45	82944	----a-w-	c:\windows\system32\mciavi32.dll
2009-12-04 18:28 . 2010-02-09 20:45	50176	----a-w-	c:\windows\system32\iyuv_32.dll
2009-12-04 18:27 . 2010-02-09 20:45	91136	----a-w-	c:\windows\system32\avifil32.dll
2009-12-04 15:56 . 2010-02-09 20:45	212992	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2009-12-04 15:56 . 2010-02-09 20:45	105984	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2009-11-30 19:47 . 2009-11-30 19:48	93360	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2009-11-30 19:47 . 2009-11-30 19:47	93360	----a-w-	c:\programdata\Lavasoft\Ad-Aware\Update\Drivers\SBREDrv.sys
2009-11-30 19:47 . 2009-11-30 19:47	554280	----a-w-	c:\programdata\Lavasoft\Ad-Aware\Update\sbap.dll
2009-11-30 19:47 . 2009-11-30 19:47	212480	----a-w-	c:\programdata\Lavasoft\Ad-Aware\Update\VipreBridge.dll
2009-11-30 19:47 . 2009-11-30 19:46	283944	----a-w-	c:\programdata\Lavasoft\Ad-Aware\Update\Vipre.dll
2009-11-30 19:46 . 2009-11-30 19:46	1223976	----a-w-	c:\programdata\Lavasoft\Ad-Aware\Update\SBTE.dll
2009-11-30 19:46 . 2009-11-30 19:46	242984	----a-w-	c:\programdata\Lavasoft\Ad-Aware\Update\SBRE.dll
2009-11-30 17:51 . 2009-11-30 17:51	484976	----a-w-	c:\programdata\Google\Google Toolbar\Update\gtb14D9.tmp.exe
2009-11-26 11:52 . 2009-11-26 11:52	700416	----a-w-	c:\programdata\real more bat\aogzslfh.exe
2009-11-26 02:23 . 2006-11-02 10:25	665600	----a-w-	c:\windows\inf\drvindex.dat
2008-11-27 19:43 . 2008-11-27 19:43	3101696	----a-w-	c:\program files\Common FilesDDBACSetup.msi
2009-12-05 11:28 . 2009-12-05 11:28	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-11-13 23:26 . 2008-11-13 23:26	74	--sh--r-	c:\windows\CT4CET.bin
2008-11-14 07:43 . 2008-11-14 07:42	8192	--sha-w-	c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Google Update"="c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe" [2008-11-19 133104]
"SightSpeed"="c:\program files\Dell Video Chat\DellVideoChat.exe" [2009-02-25 4824440]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-11-13 68856]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"TrueCrypt"="c:\program files\TrueCrypt\TrueCrypt.exe" [2010-02-08 1415632]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-29 17920]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-06-30 196608]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-08-05 3563520]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-12-05 30192]
"Dell Webcam Central"="c:\program files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-06-03 446635]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2008-11-07 132392]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-08-03 582992]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-06-03 206064]
"AdobeVersionCue"="c:\program files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe" [2004-03-25 1732608]
"Adobe Version Cue CS2"="c:\program files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 856064]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-03-16 483428]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2010-02-18 611712]
"Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2009-12-22 38840]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2009-12-21 640440]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

c:\users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2008-7-15 1226024]

c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2008-7-15 1226024]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-11-19 110592]
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-11-19 110592]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Orbit.lnk - c:\program files\Orbitdownloader\orbitdm.exe [2008-11-21 1719496]
QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-5-2 1211472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GoToAssist]
2008-11-13 23:32	10536	----a-w-	c:\program files\Citrix\GoToAssist\514\g2awinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):41,67,ec,b7,a2,f0,c9,01

R0 Lbd;Lbd;c:\windows\System32\drivers\Lbd.sys [30.11.2009 20:48 64288]
R2 {2E444BE9-B8EC-4CE6-8C2B-6536FB7F4FB7};{2E444BE9-B8EC-4CE6-8C2B-6536FB7F4FB7};c:\program files\Dell\MediaDirect\000.fcl [14.11.2008 00:28 87536]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\AEstSrv.exe [13.06.2009 09:23 81920]
R2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [02.05.2008 14:09 161048]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [05.01.2009 20:19 222456]
R2 Viewpoint Manager Service;Viewpoint Manager Service;c:\program files\Viewpoint\Common\ViewpointService.exe [19.11.2008 21:16 24652]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\System32\drivers\btwl2cap.sys [14.11.2008 00:20 29736]
R3 itecir;ITECIR Infrared Receiver;c:\windows\System32\drivers\itecir.sys [14.11.2008 08:53 54784]
R3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\System32\drivers\k57nd60x.sys [14.11.2008 08:53 203264]
S0 sptd;sptd;c:\windows\System32\drivers\sptd.sys [27.05.2009 17:37 721904]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06.01.2010 06:19 135664]
S3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\program files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [15.08.2008 05:46 288112]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [14.11.2008 00:24 30192]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24.09.2009 12:17 1181328]
S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\System32\drivers\OA001Ufd.sys [14.11.2008 08:53 144672]
S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\System32\drivers\OA001Vid.sys [14.11.2008 08:53 277504]
S3 VST_DPV;VST_DPV;c:\windows\System32\drivers\VSTDPV3.SYS [21.01.2008 03:23 987648]
S3 VSTHWBS2;VSTHWBS2;c:\windows\System32\drivers\VSTBS23.SYS [21.01.2008 03:23 251904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners

2010-02-22 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-11-13 06:54]

2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-06 05:19]

2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-06 05:19]

2010-02-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3164399106-1135682214-2207187196-1000Core.job
- c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe [2008-11-19 15:31]

2010-02-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3164399106-1135682214-2207187196-1000UA.job
- c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe [2008-11-19 15:31]

2010-02-15 c:\windows\Tasks\McDefragTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2008-11-19 12:32]

2009-11-30 c:\windows\Tasks\McQcTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2008-11-19 12:32]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: &AIM Toolbar Search - c:\programdata\AIM Toolbar\ieToolbar\resources\en-US\local\search.html
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: An vorhandene PDF-Datei anfügen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren
IE: Auswahl in Adobe PDF konvertieren
IE: Auswahl in vorhandene PDF-Datei konvertieren
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: {38B262D3-DEF1-48F6-A63D-13C2C458741B} = 212.6.108.140,212.6.108.141
TCP: {BFA54922-6F32-46D4-B0FF-B1512B97A959} = 212.6.108.140,212.6.108.141
DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} - hxxps://finanzcenter.sparkasse-bremen.de/_plugin/AXFOAM.cab
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\lccdd5cu.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrie7&query=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.msn.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npViewpoint.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Media Player\npViewpoint.dll
FF - plugin: c:\program files\Virtual Earth 3D\npVE3D.dll
FF - plugin: c:\users\***\AppData\Local\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-AdobeBridge - (no file)
AddRemove-{CE325D55-FCAF-4273-BB79-069BB8747270} - c:\program files\InstallShield Installation Information\{CE325D55-FCAF-4273-BB79-069BB8747270}\setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-02-22 22:17
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{2E444BE9-B8EC-4CE6-8C2B-6536FB7F4FB7}]
"ImagePath"="\??\c:\program files\Dell\MediaDirect\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-02-22  22:21:18
ComboFix-quarantined-files.txt  2010-02-22 21:21

Vor Suchlauf: 16 Verzeichnis(se), 100.041.543.680 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 100.008.128.512 Bytes frei

- - End Of File - - 1704D38535C5A9837CA638DF7B6A253F

cosinus · 22.02.2010, 23:50

Sieht ok aus. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Lucius_HB · 24.02.2010, 06:32

Hallo Arne,

diesmal war nichts zum entfernen, hier das Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3778
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

24.02.2010 06:27:51
mbam-log-2010-02-24 (06-27-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 699723
Laufzeit: 7 hour(s), 22 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sind wir jetzt ducrh? Was für ein Schädling war das denn der sich da so hartnäckig festgesetzt hat?

Grüße
Luke

cosinus · 24.02.2010, 19:08

Das war der Trojan.Swizzor - wundert mich eigentlich, denn die Zeit der großen Verbreitung des Swizzor ist eigentlich schon seit 2 Jahren vorbei...

Lucius_HB · 24.02.2010, 19:22

Hallo Arne,

2 Jahre hab ich den Rechner noch gar nicht, auf jeden Fall vielen Dank für Deine Hilfe. Plätten und neu installieren hätte mich richtig Zeit gekostet. Weiß man denn was swizzer so gemacht hat bzw. wofür er geschrieben wurde?

Gibt es eine Empfehlung von Dir bzgl. irgendwelcher Schutzsoftware damit das nicht so schnell wieder passiert? Aktuell nutze ich Spybot und Adaware sowie McAfee und achte drauf die Windows-updates zeitnah einzuspielen.

Danke
Luke

19.02.2010, 20:47	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	ie doppelt im TM und startet nach Beendigung von alleine neu Lies die Liste und acker sie ab. Ich brauch die Logfiles komplett(!) von Malwarebytes und RSIT. __________________ Logfiles bitte immer in CODE-Tags posten

22.02.2010, 23:50	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	ie doppelt im TM und startet nach Beendigung von alleine neu Sieht ok aus. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. __________________ Logfiles bitte immer in CODE-Tags posten

24.02.2010, 19:08	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	ie doppelt im TM und startet nach Beendigung von alleine neu Das war der Trojan.Swizzor - wundert mich eigentlich, denn die Zeit der großen Verbreitung des Swizzor ist eigentlich schon seit 2 Jahren vorbei... __________________ Logfiles bitte immer in CODE-Tags posten

ie doppelt im TM und startet nach Beendigung von alleine neu

Plagegeister aller Art und deren Bekämpfung: ie doppelt im TM und startet nach Beendigung von alleine neu