| |
| |||||||
Log-Analyse und Auswertung: Auswertung von Hijackthis und Avira FileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.03.2010, 19:19
| #1 |
 |  Auswertung von Hijackthis und Avira File Hi, ich habe Grund zur Annahme, evtl. durch ein PNG-Bild kompromittiert zu sein (das ist doch problemlos möglich auch mit Malware oder?), und bitte einfach mal, mir dabei zu helfen, ob das sein kann, bzw. allg. das Windows XP Betriebssystem zu prüfen. Hier das Avira Antivir Protokoll: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 1. März 2010 17:58 Es wird nach 1801317 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : WOODSTOCK Versionsinformationen: BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 16:08:50 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 16:08:49 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 16:03:10 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:56:14 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 21:45:55 VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 21:45:56 VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 21:45:56 VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 21:45:56 VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 21:45:56 VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 21:45:56 VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 21:45:57 VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 21:45:57 VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 21:45:57 VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 21:45:57 VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 21:50:54 VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 22:17:10 VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 14:03:22 VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 14:03:22 VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 14:31:47 VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 15:07:46 VBASE019.VDF : 7.10.3.243 75776 Bytes 08.02.2010 15:33:56 VBASE020.VDF : 7.10.4.6 81920 Bytes 09.02.2010 15:33:48 VBASE021.VDF : 7.10.4.30 78848 Bytes 11.02.2010 16:19:45 VBASE022.VDF : 7.10.4.50 107520 Bytes 15.02.2010 16:19:55 VBASE023.VDF : 7.10.4.62 105472 Bytes 15.02.2010 16:19:56 VBASE024.VDF : 7.10.4.85 111616 Bytes 17.02.2010 16:19:59 VBASE025.VDF : 7.10.4.109 122368 Bytes 21.02.2010 16:20:06 VBASE026.VDF : 7.10.4.128 109056 Bytes 23.02.2010 16:20:36 VBASE027.VDF : 7.10.4.151 111104 Bytes 26.02.2010 16:23:33 VBASE028.VDF : 7.10.4.152 2048 Bytes 26.02.2010 16:23:34 VBASE029.VDF : 7.10.4.153 2048 Bytes 26.02.2010 16:23:34 VBASE030.VDF : 7.10.4.154 2048 Bytes 26.02.2010 16:23:34 VBASE031.VDF : 7.10.4.163 128512 Bytes 01.03.2010 14:07:40 Engineversion : 8.2.1.176 AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 17:29:35 AESCRIPT.DLL : 8.1.3.17 1032570 Bytes 26.02.2010 16:23:56 AESCN.DLL : 8.1.5.0 127347 Bytes 26.02.2010 16:23:51 AESBX.DLL : 8.1.2.0 254323 Bytes 26.02.2010 16:24:58 AERDL.DLL : 8.1.4.2 479602 Bytes 13.02.2010 16:19:48 AEPACK.DLL : 8.2.0.8 426357 Bytes 13.02.2010 16:19:46 AEOFFICE.DLL : 8.1.0.39 196987 Bytes 20.02.2010 16:22:11 AEHEUR.DLL : 8.1.1.7 2326902 Bytes 20.02.2010 16:22:10 AEHELP.DLL : 8.1.10.1 237942 Bytes 26.02.2010 16:23:50 AEGEN.DLL : 8.1.2.0 373107 Bytes 26.02.2010 16:23:46 AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 22:42:31 AECORE.DLL : 8.1.12.1 188790 Bytes 26.02.2010 16:23:39 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 18:54:05 AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 16:20:00 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 16:08:47 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Montag, 1. März 2010 17:58 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '78781' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BDTUpdateService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '38' Prozesse mit '38' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD5 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '70' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <437604> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\pdfupd.exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.31 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\plugtmp-64\plugin-newplayer.pdf [FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.bmq C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8W5QOQ9L\update[1].exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.31 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9QBP2L8W\update[1].exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.31 C:\System Volume Information\_restore{1D9BE19D-497A-44C5-A595-9713FA30C0C3}\RP42\A0010295.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.anrp C:\System Volume Information\_restore{1D9BE19D-497A-44C5-A595-9713FA30C0C3}\RP42\A0010296.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.anrp C:\System Volume Information\_restore{1D9BE19D-497A-44C5-A595-9713FA30C0C3}\RP43\A0010341.exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.31 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01Q94BU1\r-cr[1].exe [FUND] Ist das Trojanische Pferd TR/PSW.Papras.SW C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <000000> Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\pdfupd.exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.31 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bf2044e.qua' verschoben! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\plugtmp-64\plugin-newplayer.pdf [FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.bmq [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c010456.qua' verschoben! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8W5QOQ9L\update[1].exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.31 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bf0045a.qua' verschoben! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9QBP2L8W\update[1].exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.31 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a8ba663.qua' verschoben! C:\System Volume Information\_restore{1D9BE19D-497A-44C5-A595-9713FA30C0C3}\RP42\A0010295.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.anrp [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbc041b.qua' verschoben! C:\System Volume Information\_restore{1D9BE19D-497A-44C5-A595-9713FA30C0C3}\RP42\A0010296.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.anrp [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c7015c.qua' verschoben! C:\System Volume Information\_restore{1D9BE19D-497A-44C5-A595-9713FA30C0C3}\RP43\A0010341.exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.31 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac48efc.qua' verschoben! C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01Q94BU1\r-cr[1].exe [FUND] Ist das Trojanische Pferd TR/PSW.Papras.SW [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bef0418.qua' verschoben! Ende des Suchlaufs: Montag, 1. März 2010 19:14 Benötigte Zeit: 1:14:06 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 11851 Verzeichnisse wurden überprüft 391485 Dateien wurden geprüft 8 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 8 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 391474 Dateien ohne Befall 8433 Archive wurden durchsucht 3 Warnungen 10 Hinweise 78781 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden --- Hier das Hijackthis-File: C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Mozilla Firefox 2\firefox.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID} R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:4480;http=192.168.0.1:4480;https=192.168.0.1:4480;socks=192.168.0.1:1080 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Download by Arles Download Manager - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ariel Download Manager\DownloadManager.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132771464828 O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe O23 - Service: Google Update Service (gupdate1ca8587f132a42c) (gupdate1ca8587f132a42c) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe -- End of file - 11299 bytes |
| Themen zu Auswertung von Hijackthis und Avira File |
| 0 bytes, antivir, antivir guard, avgnt.exe, avira, babylon, bho, browser, browser guard, content.ie5, desktop, excel, firefox.exe, google, gupdate, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, malware, mozilla, nt.dll, object, plug-in, prozesse, registry, security, software, spyware, suchlauf, svchost.exe, symantec, versteckte objekte, verweise, virus gefunden, warnung, windows, windows xp |
Baum-Darstellung