|
Log-Analyse und Auswertung: Seitenaufrufe aus Google werden umgeleitetWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.03.2010, 12:03 | #1 |
| Seitenaufrufe aus Google werden umgeleitet Hallo, ich habe seit einigen Tagen Probleme und vermutet, dass ich einen Trojaner auf dem PC habe. Folgendes tritt auf: Seitenaufrufe aus Suchergebnissen von Google werden umgeleitet. (z.B. auf h**p://www.upliftsearch.com/?keyword=kaspersky&aid=1893&cid=1694&subid=35177). Nach dem zweiten oder dritten Aufruf des Links aus dem Suchergebnis wird die richtige Seite aufgerufen. Teilweise sind Internetseiten nicht aufrufbar. Der betroffene PC hängt an einem PC mit AVM KEN. Dann meldet sich der Proxy von KEN. (Während des Versuches, die Anfrage HET h**p://w*w.kaspersky.com/de/ HTTP/1.1 zu verarbeiten, trat der folgende Fehler auf: Ein Teil der HTTP-Anfrage ist ungültig). Avira AntiVir lässt sich nicht installieren (Setup wird entpackt, startet aber nicht). Antivir wurde durch Nutzer vorher deinstalliert. Firefox-setup startet ebenfalls nicht. Im Verzeichnis C:\Dokumente und Einstellungen\***\Anwendungsdaten lag eine b000.exe, welche über die Registry bei jedem Systemstart geladen wurde. Dies wurde über msconfig ausgeschaltet und die Datei umbenannt. Folgendes wurde durchgeführt: Scan mit Kaspersky Virus Removal Tool. Es wurden Trojaner gefunden. Hier der Report: Code:
ATTFilter Autoscan: completed 21 hours ago (events: 29, objects: 121278, time: 00:34:42) 05.03.2010 13:38:54 Task started 05.03.2010 13:40:39 Processing error C:\Dokumente und Einstellungen\Uwe\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst Read error 05.03.2010 13:40:41 Detected: Trojan.Win32.Agent.clrv C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\26445.dll 05.03.2010 13:40:42 Untreated: Trojan.Win32.Agent.clrv C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\26445.dll Postponed 05.03.2010 13:41:40 Detected: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf/data0000 05.03.2010 13:41:40 Untreated: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf/data0000 Postponed 05.03.2010 13:41:40 Detected: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf/data0001 05.03.2010 13:42:32 Detected: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf/data0000 05.03.2010 13:42:32 Untreated: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf/data0000 Postponed 05.03.2010 13:42:32 Detected: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf/data0001 05.03.2010 13:42:46 Detected: Trojan.Win32.Agent.clrv C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8Y2HAJXI\hide[1].dll 05.03.2010 13:42:46 Untreated: Trojan.Win32.Agent.clrv C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8Y2HAJXI\hide[1].dll Postponed 05.03.2010 13:54:32 Detected: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe/ASPack 05.03.2010 13:54:32 Untreated: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe/ASPack Postponed 05.03.2010 13:54:32 Detected: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe/ASPack 05.03.2010 14:12:15 Detected: Trojan.Win32.Agent.clrv C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\26445.dll 05.03.2010 14:13:04 Deleted: Trojan.Win32.Agent.clrv C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\26445.dll 05.03.2010 14:13:04 Detected: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf/data0000 05.03.2010 14:13:20 Detected: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf/data0001 05.03.2010 14:13:20 Deleted: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf 05.03.2010 14:13:20 Detected: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf/data0000 05.03.2010 14:13:23 Detected: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf/data0001 05.03.2010 14:13:23 Deleted: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf 05.03.2010 14:13:23 Detected: Trojan.Win32.Agent.clrv C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8Y2HAJXI\hide[1].dll 05.03.2010 14:13:28 Deleted: Trojan.Win32.Agent.clrv C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8Y2HAJXI\hide[1].dll 05.03.2010 14:13:30 Detected: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe/ASPack 05.03.2010 14:13:36 Detected: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe/ASPack 05.03.2010 14:13:36 Deleted: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe 05.03.2010 14:13:37 Task completed Malwarebytes-Anti-Malware installiert. Kann aber keinen Scan durchführen. Programm beendet sich nach ca. 5sec. Umbennenung der .exe in .com brachte keinen Erfolg. Installation von RSIT. Nachfolgend die Log-Files Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2010-03-06 11:00:49 ======Uninstall list====== -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 8 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A80000000002} AVM FRITZ!-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\FRITZ!\Uninst.isu -cC:\Programme\FRITZ!\UNINST.DLL AVM KEN! Upgrade-->C:\WINDOWS\ISUN0407.EXE -fC:\PROGRA~1\KEN!\Uninst.isu -cC:\PROGRA~1\KEN!\Uninst.dll Borland Database Engine-->MsiExec.exe /X{55591248-F855-48D2-AEA7-C1CB960A2813} Brother MFL-Pro Suite MFC-5490CN-->"C:\Programme\InstallShield Installation Information\{F5294001-AACD-4DD4-B228-CE44AD4C0F87}\Setup.exe" -runfromtemp -l0x0007 UNINSTALL Reg=BH9_C4 -removeonly Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE} Firebird 1.5.2.4731-->C:\Programme\Firebird\Firebird_1_5\unins000.exe Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe" HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall LEFRO - Kalkulationssystem + Preisbücher-->C:\WINDOWS\unin0407.exe -f"C:\Programme\S + S Qualitätsfenster\LEFRO - Kalkulationssystem\DeIsL1.isu" -c"C:\Programme\S + S Qualitätsfenster\LEFRO - Kalkulationssystem\_ISREG32.DLL" Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9} Microsoft SQL Server Native Client-->MsiExec.exe /I{1D1D8ADC-BF08-4E61-9393-5FA305B16864} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI NVIDIA nView Desktop Manager-->C:\Programme\NVIDIA Corporation\nView\nViewSetup.exe -uninstall OBUK-Tools 2006-->MsiExec.exe /I{187AAEF7-BD47-4FDA-B55A-71BC86BE082E} PaperPort Image Printer-->MsiExec.exe /X{2BC2781A-F7F6-452E-95EB-018A522F1B2C} pdf24-->"C:\Programme\pdf24\unins000.exe" Planung und Ausschreibung 2008 - KBE-->C:\PROGRA~1\profine\KBE\PLANUN~1\UNWISE.EXE C:\PROGRA~1\profine\KBE\PLANUN~1\INSTALL.LOG Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly ScanSoft PaperPort 11-->MsiExec.exe /I{7A8FF745-BBC5-482B-88E4-18D3178249A9} Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf System Requirements Lab-->C:\Programme\SystemRequirementsLab\Uninstall.exe TeamViewer 5-->C:\Programme\TeamViewer\Version5\uninstall.exe Tiemann Sales-->MsiExec.exe /X{7DD47CF2-52E7-43FD-B579-9208CD03909B} VEKA 2005 - Planung und Auschreibung - D 4.1 A-->MsiExec.exe /X{AB36C5B5-BEC7-4B1A-A706-B3FBA5D66936} VEKA CD 4.1 A Update 1-->C:\PROGRA~1\VEKA20~1\\UNWISE.EXE C:\PROGRA~1\VEKA20~1\\INSTALL.LOG VEKA CD 4.1 A Update 2-->C:\PROGRA~1\VEKA20~1\\UNWISE.EXE C:\PROGRA~1\VEKA20~1\\INSTALL.LOG VEKA CD 4.1 A Update 3-->C:\PROGRA~1\VEKA20~1\\UNWISE.EXE C:\PROGRA~1\VEKA20~1\\INSTALL.LOG VEKA CD 4.1 A Update 4-->C:\PROGRA~1\VEKA20~1\\UNWISE.EXE C:\PROGRA~1\VEKA20~1\\INSTALL.LOG VEKA CD-ROM 2008 Version 5.2 K-->C:\PROGRA~1\VEKA_D~1\UNWISE.EXE C:\PROGRA~1\VEKA_D~1\INSTALL.LOG WIBU-KEY Setup (WIBU-KEY Remove)-->C:\Programme\WIBUKEY\Setup\Setup32.exe /R:{00060000-0000-1004-8002-0000C06B5161} WilKal-->c:\WilKal\unins000.exe Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_87B606860B720724BEB5DCEB69E8628A61DE0A7E\amdk8.inf Winkhaus AV-WIN 3.3-->C:\Programme\Winkhaus\AV-WIN\unins000.exe ======Security center information====== AV: Avira AntiVir PersonalEdition (disabled) ======System event log====== Computer Name: ***** Event Code: 29 Message: Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 29 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Record Number: 40971 Source Name: W32Time Time Written: 20100119065023.000000+060 Event Type: Fehler User: Computer Name: ***** Event Code: 17 Message: Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 30 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Record Number: 40970 Source Name: W32Time Time Written: 20100119065023.000000+060 Event Type: Fehler User: Computer Name: ***** Event Code: 20 Message: Druckertreiber HP Officejet Pro K5400 Series für Windows NT x86 Version-3 wurde hinzugefügt oder aktualisiert. Dateien:- UNIDRV.DLL, UNIDRVUI.DLL, hpwk5403.GPD, UNIDRV.HLP, hpwhk540.cfg, hpcdmc32.dll, hpbcfgre.dll, hpwk540a.ini, hpzst4sa.dll, hpwk5403.xml, hpzsc4sa.dtd, hpzui4sa.dll, hpz3r4sa.dll, hpzpr4sa.dll, hpzsm4sa.gpd, hpz3m4sa.gpd, hpzev4sa.dll, hpzhl4sa.cab, STDNAMES.GPD, hpfie4sa.dll, hpfig4sa.dll, hpfrs4sa.dll, UNIRES.DLL. Record Number: 40969 Source Name: Print Time Written: 20100119064632.000000+060 Event Type: Warnung User: NT-AUTORITÄT\SYSTEM Computer Name: ***** Event Code: 7036 Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Beendet". Record Number: 40968 Source Name: Service Control Manager Time Written: 20100119063619.000000+060 Event Type: Informationen User: Computer Name: ***** Event Code: 7036 Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt". Record Number: 40967 Source Name: Service Control Manager Time Written: 20100119063535.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: ***** Event Code: 999 Message: WIBU-KEY Dienst Trace-Testausgabe: Init Thread = 0FC4 . Record Number: 3265 Source Name: WIBU-KEY Server Time Written: 20090310144717.000000+060 Event Type: Informationen User: Computer Name: ***** Event Code: 4096 Message: Record Number: 3264 Source Name: Avira AntiVir Time Written: 20090310144049.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: ***** Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 3263 Source Name: SecurityCenter Time Written: 20090310144047.000000+060 Event Type: Informationen User: Computer Name: ***** Event Code: 999 Message: WIBU-KEY Dienst Trace-Testausgabe: Init Thread = 00E4 . Record Number: 3262 Source Name: WIBU-KEY Server Time Written: 20090309140153.000000+060 Event Type: Informationen User: Computer Name: ***** Event Code: 999 Message: WIBU-KEY Dienst Trace-Testausgabe: Init Thread = 0D3C . Record Number: 3261 Source Name: WIBU-KEY Server Time Written: 20090309140148.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=C:\Programme\Business Objects\Common\3.5\bin\NOTES\;C:\Programme\Business Objects\Common\3.5\bin\NOTES\DATA\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 79 Stepping 2, AuthenticAMD "PROCESSOR_REVISION"=4f02 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2010-03-06 11:00:37 Microsoft Windows XP Professional Service Pack 3 System drive C: has 16 GB (63%) free of 25 GB Total RAM: 447 MB (31% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:00:45, on 06.03.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\KEN!\KENCLI.EXE C:\WINDOWS\system32\svchost.exe C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\KEN!\kentbcli.exe C:\Programme\pdf24\PDFBackend.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Brother\ControlCenter3\brccMCtl.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\TeamViewer\Version5\TeamViewer.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\trend micro\Uwe.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://192.168.115.1:3128/ken2000.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.115.1:3128;http=192.168.115.1:3128;https=192.168.115.1:3128;socks=192.168.115.1:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini" O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - h**p://w**.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: WIBU-KEY Server (WKSVW32) - WIBU-SYSTEMS AG - C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe -- End of file - 5899 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Google Software Updater.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-07-21 668656] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488] "RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-01 16208384] "Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632] "KEN Taskbar Client"=C:\Programme\KEN!\kentbcli.exe [2006-04-20 258048] "PDFPrint"=C:\Programme\pdf24\PDFBackend.exe [2008-01-31 134144] "SSBkgdUpdate"=C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2006-10-25 210472] "PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2007-10-11 29984] "IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [2007-10-11 46368] "PPort11reminder"=C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe [2007-08-31 328992] "BrMfcWnd"=C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe [2008-04-11 1085440] "ControlCenter3"=C:\Programme\Brother\ControlCenter3\brctrcen.exe [2007-12-21 86016] "nwiz"=nwiz.exe /installquiet [] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2010-01-11 110696] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2010-01-11 13666408] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-07-21 39408] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Win32load] C:\Dokumente und Einstellungen\***\Anwendungsdaten\b000.exe -lds [] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe ISDNWatch.lnk - C:\Programme\FRITZ!\IWatch.exe [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\KEN!\kentbcli.exe"="C:\Programme\KEN!\kentbcli.exe:LocalSubNet:Enabled:AVM KEN! - kentbcli.exe" "C:\Programme\KEN!\KICKMCLI.EXE"="C:\Programme\KEN!\KICKMCLI.EXE:LocalSubNet:Enabled:AVM KEN! - kickmcli.exe" "C:\WINDOWS\system32\mmc.exe"="C:\WINDOWS\system32\mmc.exe:*:Disabled:Microsoft Management Console" "C:\Programme\Brother\Brmfl08d\FAXRX.exe"="C:\Programme\Brother\Brmfl08d\FAXRX.exe:*:Enabled:FAXRX.EXE" "C:\Programme\TeamViewer\Version5\TeamViewer.exe"="C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application" "C:\Dokumente und Einstellungen\***\Anwendungsdaten\b000.exe"="C:\Dokumente und Einstellungen\***\Anwendungsdaten\b000.exe:*:Enabled:Win32load" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] shell\AutoRun\command - E:\unilux.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3beb464-285a-11df-a530-00138fd655e4}] shell\AutoRun\command - P:\PortableApps\PStart.exe ======List of files/folders created in the last 1 months====== 2010-03-06 11:00:38 ----D---- C:\Programme\trend micro 2010-03-06 11:00:37 ----D---- C:\rsit 2010-03-05 15:16:28 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2010-03-05 15:16:06 ----D---- C:\WINDOWS\system32\de 2010-03-05 15:16:05 ----D---- C:\WINDOWS\system32\bits 2010-03-05 15:01:46 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-03-05 14:56:32 ----D---- C:\WINDOWS\CSC 2010-03-05 14:53:20 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-03-05 14:53:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-03-05 14:42:34 ----D---- C:\WINDOWS\Prefetch 2010-03-05 14:38:51 ----N---- C:\WINDOWS\system32\msxml6r.dll 2010-03-05 14:38:51 ----N---- C:\WINDOWS\system32\msxml6.dll 2010-03-05 14:38:43 ----N---- C:\WINDOWS\system32\smtpapi.dll 2010-03-05 14:38:43 ----N---- C:\WINDOWS\system32\rwnh.dll 2010-03-05 14:38:43 ----N---- C:\WINDOWS\system32\comsdupd.exe 2010-03-05 14:38:41 ----N---- C:\WINDOWS\system32\ati3d1ag.dll 2010-03-05 14:38:41 ----N---- C:\WINDOWS\system32\ati2dvag.dll 2010-03-05 14:38:41 ----N---- C:\WINDOWS\system32\ati2dvaa.dll 2010-03-05 14:38:41 ----N---- C:\WINDOWS\system32\ati2cqag.dll 2010-03-05 14:38:41 ----N---- C:\WINDOWS\system32\aaclient.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dot3svc.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dot3msm.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dot3gpclnt.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dot3cfg.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dimsroam.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dhcpqec.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\credssp.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\bitsprx4.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\azroles.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\ativvaxx.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\ativtmxx.dll 2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\ati3duag.dll 2010-03-05 14:38:40 ----A---- C:\WINDOWS\system32\dot3dlg.dll 2010-03-05 14:38:40 ----A---- C:\WINDOWS\system32\dot3api.dll 2010-03-05 14:38:40 ----A---- C:\WINDOWS\system32\dimsntfy.dll 2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\hsfcisp2.dll 2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\eapsvc.dll 2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\eapqec.dll 2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\eapphost.dll 2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\eappgnui.dll 2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\eapp3hst.dll 2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\dot3ui.dll 2010-03-05 14:38:39 ----A---- C:\WINDOWS\system32\eappprxy.dll 2010-03-05 14:38:39 ----A---- C:\WINDOWS\system32\eappcfg.dll 2010-03-05 14:38:39 ----A---- C:\WINDOWS\system32\eapolqec.dll 2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\mmcperf.exe 2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\mmcfxcommon.dll 2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\mmcex.dll 2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\microsoft.managementconsole.dll 2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\mdmxsdk.dll 2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\l2gpstore.dll 2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\kmsvc.dll 2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\kbdpash.dll 2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\kbdnepr.dll 2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\kbdiultn.dll 2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\kbdbhc.dll 2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\photometadatahandler.dll 2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\napstat.exe 2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\napmontr.dll 2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\napipsec.dll 2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\mtxparhd.dll 2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\msshavmsg.dll 2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\mssha.dll 2010-03-05 14:38:37 ----A---- C:\WINDOWS\system32\onex.dll 2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\slserv.exe 2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\slrundll.exe 2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\slgen.dll 2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\slextspk.dll 2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\slcoinst.dll 2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\setupn.exe 2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\s3gnb.dll 2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\rhttpaa.dll 2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\qcliprov.dll 2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\qagentrt.dll 2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\qagent.dll 2010-03-05 14:38:36 ----A---- C:\WINDOWS\system32\rasqec.dll 2010-03-05 14:38:36 ----A---- C:\WINDOWS\system32\qutil.dll 2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\wmphoto.dll 2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\wlanapi.dll 2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\windowscodecsext.dll 2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\windowscodecs.dll 2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\tzchange.exe 2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\tspkg.dll 2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\tsgqec.dll 2010-03-05 14:38:34 ----N---- C:\WINDOWS\slrundll.exe 2010-03-05 14:38:33 ----D---- C:\WINDOWS\l2schemas 2010-03-05 14:36:38 ----D---- C:\WINDOWS\ServicePackFiles 2010-03-05 14:34:32 ----A---- C:\WINDOWS\002875_.tmp 2010-03-05 14:32:56 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$ 2010-03-05 13:37:35 ----D---- C:\Pgrgramme 2010-03-05 13:14:45 ----D---- C:\WINDOWS\pss 2010-03-01 08:50:51 ----SHD---- C:\WINDOWS\system32\lowsec 2010-03-01 08:50:17 ----A---- C:\U.exe 2010-02-15 07:13:46 ----SHD---- C:\Config.Msi 2010-02-15 07:13:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation 2010-02-15 07:13:00 ----D---- C:\Programme\NVIDIA Corporation 2010-02-15 07:12:02 ----A---- C:\WINDOWS\system32\OpenCL.dll 2010-02-15 07:12:01 ----A---- C:\WINDOWS\system32\nvcuvid.dll 2010-02-15 07:12:00 ----A---- C:\WINDOWS\system32\nvcuvenc.dll 2010-02-15 07:12:00 ----A---- C:\WINDOWS\system32\nvcuda.dll 2010-02-15 07:12:00 ----A---- C:\WINDOWS\system32\nvcompiler.dll 2010-02-15 07:11:54 ----D---- C:\NVIDIA 2010-02-15 07:02:25 ----D---- C:\Programme\SystemRequirementsLab 2010-02-12 12:54:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2010-02-12 12:37:41 ----D---- C:\Programme\RegCleaner 2010-02-12 12:16:08 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2010-02-12 12:10:26 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Uniblue 2010-02-08 07:40:34 ----D---- C:\Programme\MSECache ======List of files/folders modified in the last 1 months====== 2010-03-06 11:00:38 ----RD---- C:\Programme 2010-03-06 10:49:49 ----SD---- C:\WINDOWS\Tasks 2010-03-05 15:16:27 ----D---- C:\WINDOWS\system32\drivers 2010-03-05 15:16:26 ----D---- C:\WINDOWS\system32\wbem 2010-03-05 15:16:26 ----D---- C:\WINDOWS\system32\Setup 2010-03-05 15:16:26 ----D---- C:\WINDOWS\system32 2010-03-05 15:16:26 ----D---- C:\WINDOWS\AppPatch 2010-03-05 15:16:24 ----RSD---- C:\WINDOWS\Fonts 2010-03-05 15:16:24 ----D---- C:\WINDOWS 2010-03-05 15:16:21 ----HD---- C:\WINDOWS\inf 2010-03-05 15:16:19 ----D---- C:\WINDOWS\WinSxS 2010-03-05 15:16:18 ----D---- C:\Programme\Messenger 2010-03-05 15:16:16 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-03-05 15:16:16 ----D---- C:\WINDOWS\Help 2010-03-05 15:16:16 ----D---- C:\Programme\Windows Media Player 2010-03-05 15:16:11 ----D---- C:\WINDOWS\ehome 2010-03-05 15:16:10 ----D---- C:\WINDOWS\system32\inetsrv 2010-03-05 15:16:10 ----D---- C:\WINDOWS\network diagnostic 2010-03-05 15:16:10 ----D---- C:\WINDOWS\ime 2010-03-05 15:16:06 ----D---- C:\WINDOWS\system32\usmt 2010-03-05 15:16:05 ----D---- C:\WINDOWS\PeerNet 2010-03-05 15:16:05 ----D---- C:\Programme\Movie Maker 2010-03-05 15:15:06 ----D---- C:\WINDOWS\system32\Restore 2010-03-05 15:15:06 ----D---- C:\WINDOWS\system32\npp 2010-03-05 15:15:06 ----D---- C:\WINDOWS\msagent 2010-03-05 15:15:05 ----D---- C:\WINDOWS\system32\Com 2010-03-05 15:15:05 ----D---- C:\WINDOWS\srchasst 2010-03-05 15:15:05 ----D---- C:\Programme\NetMeeting 2010-03-05 15:15:04 ----D---- C:\Programme\Windows NT 2010-03-05 15:15:04 ----D---- C:\Programme\Outlook Express 2010-03-05 15:15:04 ----D---- C:\Programme\Gemeinsame Dateien\System 2010-03-05 15:15:00 ----D---- C:\WINDOWS\system32\oobe 2010-03-05 15:14:59 ----D---- C:\WINDOWS\system 2010-03-05 15:14:25 ----D---- C:\WINDOWS\system32\ReinstallBackups 2010-03-05 15:12:09 ----SHD---- C:\WINDOWS\Installer 2010-03-05 14:59:08 ----D---- C:\WINDOWS\Temp 2010-03-05 14:59:08 ----D---- C:\WINDOWS\Debug 2010-03-05 14:55:38 ----D---- C:\WINDOWS\system32\CatRoot2 2010-03-05 14:44:09 ----AC---- C:\WINDOWS\system32\PerfStringBackup.INI 2010-03-05 14:41:48 ----D---- C:\WINDOWS\security 2010-03-05 14:41:04 ----D---- C:\WINDOWS\system32\CatRoot 2010-03-05 14:38:34 ----D---- C:\WINDOWS\system32\de-de 2010-03-05 13:38:18 ----SHD---- C:\System Volume Information 2010-03-05 13:16:11 ----RSH---- C:\boot.ini 2010-03-05 13:16:11 ----A---- C:\WINDOWS\win.ini 2010-03-05 13:16:11 ----A---- C:\WINDOWS\system.ini 2010-03-02 11:46:59 ----D---- C:\WilKal 2010-03-02 09:05:30 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\VEKA_D52K 2010-02-15 07:13:08 ----D---- C:\WINDOWS\nview 2010-02-15 07:02:20 ----SD---- C:\WINDOWS\Downloaded Program Files 2010-02-12 12:33:56 ----D---- C:\Programme\Gemeinsame Dateien 2010-02-10 09:30:26 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft 2010-02-08 07:38:35 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 34979361;34979361; C:\WINDOWS\system32\DRIVERS\34979361.sys [2009-09-25 128016] R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-06-18 43520] R1 setup_9.0.0.722_22.12.2009_10-55drv;setup_9.0.0.722_22.12.2009_10-55drv; C:\WINDOWS\system32\DRIVERS\3497936.sys [2009-10-09 315408] R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-14 88192] R2 ndc;AVM KEN CAPI; C:\WINDOWS\System32\Drivers\ndc.sys [2002-08-21 57664] R2 WIBUKEY;WIBU-KEY Kernel Driver; C:\WINDOWS\SYSTEM32\DRIVERS\WibuKey.sys [2003-09-30 70656] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-06 4284928] R3 irsir;Microsoft serieller Infrarottreiber; C:\WINDOWS\system32\DRIVERS\irsir.sys [2001-08-17 18688] R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2010-01-12 10276768] R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-07-11 57856] R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-07-11 20480] R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584] R3 StillCam;Treiber für serielle Digitalkamera; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-18 7040] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368] S3 dtwmnic5;Telekom Eumex 704PC LAN; C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [] S3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2006-02-28 5888] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R2 KEN Client Service;AVM KEN Klient; C:\Programme\KEN!\KENCLI.EXE [2006-04-20 163840] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2010-01-11 154216] R2 WKSVW32;WIBU-KEY Server; C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe [2003-09-30 434176] S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-21 190448] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] -----------------EOF----------------- Thomas Geändert von teoma (06.03.2010 um 12:22 Uhr) Grund: Darstellung verändert |
07.03.2010, 20:37 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Seitenaufrufe aus Google werden umgeleitet Hallo und
__________________Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete: C:\Windows\System32\sshnas21.dll C:\Windows\msa.exe C:\WINDOWS\system32\sdra64.exe C:\WINDOWS\002875_.tmp C:\U.exe C:\WINDOWS\system32\DRIVERS\34979361.sys folders to delete: C:\WINDOWS\system32\lowsec drivers to delete: SSHNAS 34979361 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken
__________________ |
16.03.2010, 18:24 | #3 |
| Seitenaufrufe aus Google werden umgeleitet Hallo Arne,
__________________besten Dank für die freundliche Begrüßung und die Anleitung. Bin leider erst jetzt wieder an den betroffenen PC gekommen. Hier das Logfile Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\Windows\System32\sshnas21.dll" not found! Deletion of file "C:\Windows\System32\sshnas21.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\msa.exe" not found! Deletion of file "C:\Windows\msa.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\sdra64.exe" deleted successfully. File "C:\WINDOWS\002875_.tmp" deleted successfully. File "C:\U.exe" deleted successfully. File "C:\WINDOWS\system32\DRIVERS\34979361.sys" deleted successfully. Folder "C:\WINDOWS\system32\lowsec" deleted successfully. Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\SSHNAS" not found! Deletion of driver "SSHNAS" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Driver "34979361" deleted successfully. Completed script processing. ******************* Finished! Terminate. Kommen wir damit weiter? Thomas |
16.03.2010, 21:07 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Seitenaufrufe aus Google werden umgeleitet Das ist schonmal ein Anfang. Probier jetzt den Durchgang mit Malwarebytes und poste wenn es durchlief (Vollscan) das Log. Denk dran, es vorher zu aktualisieren!
__________________ Logfiles bitte immer in CODE-Tags posten |
22.03.2010, 16:20 | #5 |
| Seitenaufrufe aus Google werden umgeleitet Leider immer noch das Problem, das Anti-Malware sich nach ca. 5 sec beendet. Umbennen der mbam-setup.exe und mbam.exe in mbam-setup.com und mbam.com brachte auch nicht den gewünschten Erfolg. Das Update beginnt kurz mit dem Laden, beendet sich dann aber auch selbst. Gruß Thomas |
22.03.2010, 19:01 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Seitenaufrufe aus Google werden umgeleitet Okeeee....dann bitte bei diesem Pflegefall gleich ein Log mit CF machen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Seitenaufrufe aus Google werden umgeleitet |
23.03.2010, 16:09 | #7 |
| Seitenaufrufe aus Google werden umgeleitet OK, alles nach Anleitung durchgeführt. Hier die log Code:
ATTFilter ComboFix 10-03-22.03 - Uwe 23.03.2010 15:40:11.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.447.170 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Uwe\Desktop\cofi.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\setup2.exe . ((((((((((((((((((((((( Dateien erstellt von 2010-02-23 bis 2010-03-23 )))))))))))))))))))))))))))))) . 2010-03-23 14:30 . 2010-03-23 14:30 -------- d-----w- c:\programme\CCleaner 2010-03-06 10:28 . 2010-03-06 10:28 7168 ----a-w- c:\windows\system32\drivers\utq0nze3.sys 2010-03-06 10:00 . 2010-03-06 11:08 -------- d-----w- c:\programme\trend micro 2010-03-06 10:00 . 2010-03-06 10:00 -------- d-----w- C:\rsit 2010-03-05 14:16 . 2010-03-05 14:16 -------- d-----w- c:\dokumente und einstellungen\Uwe\Anwendungsdaten\Malwarebytes 2010-03-05 14:16 . 2010-03-05 14:16 -------- d-----w- c:\windows\system32\de 2010-03-05 14:16 . 2010-03-05 14:16 -------- d-----w- c:\windows\system32\bits 2010-03-05 13:53 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-03-05 13:53 . 2010-03-22 15:15 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-03-05 13:53 . 2010-03-05 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-03-05 13:53 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-05 13:36 . 2008-04-14 06:52 294912 -c----w- c:\windows\system32\dllcache\dlimport.exe 2010-03-05 12:37 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\34979362.sys 2010-03-05 12:37 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\3497936.sys 2010-03-05 12:37 . 2010-03-05 12:37 -------- d-----w- C:\Pgrgramme . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-03-07 07:42 . 2007-01-09 14:08 47296 -c--a-w- c:\dokumente und einstellungen\Uwe\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-03-05 13:44 . 2006-02-28 12:00 71598 ----a-w- c:\windows\system32\perfc007.dat 2010-03-05 13:44 . 2006-02-28 12:00 408618 ----a-w- c:\windows\system32\perfh007.dat 2010-03-05 13:40 . 2007-01-04 15:02 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2010-03-02 08:05 . 2009-05-07 08:40 -------- d-----w- c:\dokumente und einstellungen\Uwe\Anwendungsdaten\VEKA_D52K 2010-02-15 06:40 . 2010-02-12 11:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan 2010-02-15 06:13 . 2010-02-15 06:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation 2010-02-15 06:13 . 2010-02-15 06:13 -------- d-----w- c:\programme\NVIDIA Corporation 2010-02-15 06:02 . 2010-02-15 06:02 -------- d-----w- c:\programme\SystemRequirementsLab 2010-02-12 11:48 . 2010-02-12 11:37 -------- d-----w- c:\programme\RegCleaner 2010-02-12 11:33 . 2010-02-12 11:16 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-02-12 11:10 . 2010-02-12 11:10 -------- d-----w- c:\dokumente und einstellungen\Uwe\Anwendungsdaten\Uniblue 2010-02-08 06:40 . 2010-02-08 06:40 -------- d-----w- c:\programme\MSECache 2010-01-26 12:49 . 2008-12-22 09:43 -------- d-----w- c:\dokumente und einstellungen\Uwe\Anwendungsdaten\TeamViewer 2010-01-26 12:49 . 2010-01-26 12:49 -------- d-----w- c:\programme\TeamViewer 2010-01-25 14:13 . 2010-01-25 14:13 -------- d-----w- c:\programme\Microsoft SQL Server 2010-01-25 14:09 . 2010-01-25 14:09 -------- d-----w- c:\programme\Business Objects 2010-01-11 21:17 . 2010-01-11 21:17 278120 ----a-w- c:\windows\system32\nvmccs.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-21 39408] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SkyTel"="SkyTel.EXE" [2006-05-16 2879488] "RTHDCPL"="RTHDCPL.EXE" [2006-06-01 16208384] "KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2006-04-20 258048] "PDFPrint"="c:\programme\pdf24\PDFBackend.exe" [2008-01-31 134144] "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472] "PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984] "IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368] "PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992] "BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-04-11 1085440] "ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048] Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872] ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2007-1-9 341296] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "LoadAppInit_DLLs"=1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\mmc.exe"= "c:\\Programme\\Brother\\Brmfl08d\\FAXRX.exe"= "c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "54925:UDP"= 54925:UDP:BrotherNetwork Scanner R0 34979362;34979362 Boot Guard Driver;c:\windows\system32\drivers\34979362.sys [05.03.2010 13:37 37392] R1 setup_9.0.0.722_22.12.2009_10-55drv;setup_9.0.0.722_22.12.2009_10-55drv;c:\windows\system32\drivers\3497936.sys [05.03.2010 13:37 315408] R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [09.01.2007 13:58 163840] R2 ndc;AVM KEN CAPI;c:\windows\system32\drivers\ndc.sys [09.01.2007 13:58 57664] R2 WKSVW32;WIBU-KEY Server;c:\programme\WIBUKEY\Server\WkSvW32.exe [09.01.2007 14:22 434176] S3 dtwmnic5;Telekom Eumex 704PC LAN;c:\windows\system32\DRIVERS\dtwmnic5.sys --> c:\windows\system32\DRIVERS\dtwmnic5.sys [?] S3 utq0nze3;AVZ Kernel Driver;c:\windows\system32\drivers\utq0nze3.sys [06.03.2010 11:28 7168] . Inhalt des "geplante Tasks" Ordners 2010-03-23 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-21 05:43] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyServer = ftp=192.168.115.1:3128;http=192.168.115.1:3128;https=192.168.115.1:3128;socks=192.168.115.1:1080 uInternet Settings,ProxyOverride = localhost IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-nwiz - nwiz.exe MSConfigStartUp-Win32load - c:\dokumente und einstellungen\Uwe\Anwendungsdaten\b000.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-03-23 15:48 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*] "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . Zeit der Fertigstellung: 2010-03-23 15:50:52 ComboFix-quarantined-files.txt 2010-03-23 14:50 Vor Suchlauf: 10 Verzeichnis(se), 19.261.734.912 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 19.235.500.032 Bytes frei - - End Of File - - 4C96A7BE3712ECE4E943496681A576D7 Thomas |
24.03.2010, 10:46 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Seitenaufrufe aus Google werden umgeleitet Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete: c:\windows\system32\drivers\34979362.sys c:\windows\system32\drivers\3497936.sys 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken
__________________ Logfiles bitte immer in CODE-Tags posten |
24.03.2010, 16:12 | #9 |
| Seitenaufrufe aus Google werden umgeleitet Hier die Ergebnisse von avenger: log Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "c:\windows\system32\drivers\34979362.sys" deleted successfully. File "c:\windows\system32\drivers\3497936.sys" deleted successfully. Completed script processing. ******************* Finished! Terminate. Gruß Thomas Geändert von teoma (24.03.2010 um 16:21 Uhr) Grund: Link korrigiert |
24.03.2010, 17:36 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Seitenaufrufe aus Google werden umgeleitet Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
25.03.2010, 17:44 | #11 |
| Seitenaufrufe aus Google werden umgeleitet Malwarebytes ist unverändert, bricht nach Start sofort ab. Leider ist beim ersten Scan mit SUPERAntiSpyware etwas schief gegangen, die Einstellungen unter Präferenzen waren nicht richtig gesetzt. Ich konnte es nicht selbst durchführen. Habe dann danach nochmal einen Vollscan veranlasst. Daher hier beide Log-Dateien: Quick-Scan Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 03/25/2010 at 07:34 AM Application Version : 4.34.1000 Core Rules Database Version : 4596 Trace Rules Database Version: 1978 Scan type : Quick Scan Total Scan Time : 00:04:42 Memory items scanned : 425 Memory threats detected : 0 Registry items scanned : 387 Registry threats detected : 6 File items scanned : 4530 File threats detected : 5 Trojan.Agent/Gen HKLM\System\ControlSet001\Services\utq0nze3 C:\WINDOWS\SYSTEM32\DRIVERS\UTQ0NZE3.SYS HKLM\System\ControlSet001\Enum\Root\LEGACY_utq0nze3 HKLM\System\ControlSet003\Services\utq0nze3 HKLM\System\ControlSet003\Enum\Root\LEGACY_utq0nze3 HKLM\System\CurrentControlSet\Services\utq0nze3 HKLM\System\CurrentControlSet\Enum\Root\LEGACY_utq0nze3 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Uwe\Cookies\uwe@tribalfusion[3].txt C:\Dokumente und Einstellungen\Uwe\Cookies\uwe@doubleclick[3].txt C:\Dokumente und Einstellungen\Uwe\Cookies\uwe@collective-media[2].txt C:\Dokumente und Einstellungen\Uwe\Cookies\uwe@atdmt[2].txt Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 03/25/2010 at 04:58 PM Application Version : 4.34.1000 Core Rules Database Version : 4596 Trace Rules Database Version: 1978 Scan type : Complete Scan Total Scan Time : 00:31:52 Memory items scanned : 432 Memory threats detected : 0 Registry items scanned : 4976 Registry threats detected : 0 File items scanned : 50388 File threats detected : 2 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Uwe\Cookies\uwe@doubleclick[1].txt Trojan.Agent/Gen C:\SYSTEM VOLUME INFORMATION\_RESTORE{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP9\A0000554.SYS Thomas |
29.03.2010, 08:21 | #14 |
| Seitenaufrufe aus Google werden umgeleitet So, hier dann der Log von GMER Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-03-29 09:16:15 Windows 5.1.2600 Service Pack 3 Running: 1yf88h5q.exe; Driver: C:\DOKUME~1\Uwe\LOKALE~1\Temp\ufddipow.sys ---- System - GMER 1.0.15 ---- SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF2BCF320] ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF65A8380, 0x550AF5, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\RTHDCPL.EXE[468] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10003DF4 .text C:\WINDOWS\RTHDCPL.EXE[468] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\RTHDCPL.EXE[468] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10003E78 .text C:\WINDOWS\RTHDCPL.EXE[468] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\RTHDCPL.EXE[468] ws2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\RTHDCPL.EXE[468] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\RTHDCPL.EXE[468] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\RTHDCPL.EXE[468] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\Programme\KEN!\kentbcli.exe[504] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10083DF4 .text C:\Programme\KEN!\kentbcli.exe[504] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10083C3C .text C:\Programme\KEN!\kentbcli.exe[504] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10083E78 .text C:\Programme\KEN!\kentbcli.exe[504] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10083AF0 .text C:\Programme\KEN!\kentbcli.exe[504] WS2_32.dll!send 71A14C27 5 Bytes JMP 10083264 .text C:\Programme\KEN!\kentbcli.exe[504] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100827F8 .text C:\Programme\KEN!\kentbcli.exe[504] WS2_32.dll!recv 71A1676F 5 Bytes JMP 1008278C .text C:\Programme\KEN!\kentbcli.exe[504] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10083A9C .text C:\Programme\pdf24\PDFBackend.exe[564] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10003DF4 .text C:\Programme\pdf24\PDFBackend.exe[564] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\Programme\pdf24\PDFBackend.exe[564] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10003E78 .text C:\Programme\pdf24\PDFBackend.exe[564] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\Programme\pdf24\PDFBackend.exe[564] ws2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\Programme\pdf24\PDFBackend.exe[564] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\Programme\pdf24\PDFBackend.exe[564] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\Programme\pdf24\PDFBackend.exe[564] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\winlogon.exe[724] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10003DF4 .text C:\WINDOWS\system32\winlogon.exe[724] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\system32\winlogon.exe[724] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10003E78 .text C:\WINDOWS\system32\winlogon.exe[724] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\system32\winlogon.exe[724] WS2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\system32\winlogon.exe[724] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\system32\winlogon.exe[724] WS2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\system32\winlogon.exe[724] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\services.exe[776] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10003DF4 .text C:\WINDOWS\system32\services.exe[776] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\system32\services.exe[776] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10003E78 .text C:\WINDOWS\system32\services.exe[776] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\system32\services.exe[776] ws2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\system32\services.exe[776] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\system32\services.exe[776] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\system32\services.exe[776] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\lsass.exe[788] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10023DF4 .text C:\WINDOWS\system32\lsass.exe[788] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10023C3C .text C:\WINDOWS\system32\lsass.exe[788] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10023E78 .text C:\WINDOWS\system32\lsass.exe[788] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10023AF0 .text C:\WINDOWS\system32\lsass.exe[788] WS2_32.dll!send 71A14C27 5 Bytes JMP 10023264 .text C:\WINDOWS\system32\lsass.exe[788] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100227F8 .text C:\WINDOWS\system32\lsass.exe[788] WS2_32.dll!recv 71A1676F 5 Bytes JMP 1002278C .text C:\WINDOWS\system32\lsass.exe[788] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10023A9C .text C:\WINDOWS\system32\nvsvc32.exe[952] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10003DF4 .text C:\WINDOWS\system32\nvsvc32.exe[952] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\system32\nvsvc32.exe[952] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10003E78 .text C:\WINDOWS\system32\nvsvc32.exe[952] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\system32\nvsvc32.exe[952] ws2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\system32\nvsvc32.exe[952] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\system32\nvsvc32.exe[952] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\system32\nvsvc32.exe[952] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\svchost.exe[1008] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10023DF4 .text C:\WINDOWS\system32\svchost.exe[1008] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10023C3C .text C:\WINDOWS\system32\svchost.exe[1008] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10023E78 .text C:\WINDOWS\system32\svchost.exe[1008] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10023AF0 .text C:\WINDOWS\system32\svchost.exe[1008] ws2_32.dll!send 71A14C27 5 Bytes JMP 10023264 .text C:\WINDOWS\system32\svchost.exe[1008] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100227F8 .text C:\WINDOWS\system32\svchost.exe[1008] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1002278C .text C:\WINDOWS\system32\svchost.exe[1008] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10023A9C .text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10013DF4 .text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10013C3C .text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10013E78 .text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10013AF0 .text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ws2_32.dll!send 71A14C27 5 Bytes JMP 10013264 .text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100127F8 .text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1001278C .text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10013A9C .text C:\WINDOWS\system32\wscntfy.exe[1176] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10003DF4 .text C:\WINDOWS\system32\wscntfy.exe[1176] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\system32\wscntfy.exe[1176] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10003E78 .text C:\WINDOWS\system32\wscntfy.exe[1176] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\system32\wscntfy.exe[1176] ws2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\system32\wscntfy.exe[1176] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\system32\wscntfy.exe[1176] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\system32\wscntfy.exe[1176] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\RUNDLL32.EXE[1204] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10023DF4 .text C:\WINDOWS\system32\RUNDLL32.EXE[1204] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10023C3C .text C:\WINDOWS\system32\RUNDLL32.EXE[1204] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10023E78 .text C:\WINDOWS\system32\RUNDLL32.EXE[1204] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10023AF0 .text C:\WINDOWS\system32\RUNDLL32.EXE[1204] ws2_32.dll!send 71A14C27 5 Bytes JMP 10023264 .text C:\WINDOWS\system32\RUNDLL32.EXE[1204] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100227F8 .text C:\WINDOWS\system32\RUNDLL32.EXE[1204] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1002278C .text C:\WINDOWS\system32\RUNDLL32.EXE[1204] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10023A9C .text C:\WINDOWS\System32\svchost.exe[1216] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10023DF4 .text C:\WINDOWS\System32\svchost.exe[1216] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10023C3C .text C:\WINDOWS\System32\svchost.exe[1216] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10023E78 .text C:\WINDOWS\System32\svchost.exe[1216] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10023AF0 .text C:\WINDOWS\System32\svchost.exe[1216] ws2_32.dll!send 71A14C27 5 Bytes JMP 10023264 .text C:\WINDOWS\System32\svchost.exe[1216] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100227F8 .text C:\WINDOWS\System32\svchost.exe[1216] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1002278C .text C:\WINDOWS\System32\svchost.exe[1216] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10023A9C .text C:\WINDOWS\Explorer.EXE[1276] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10023DF4 .text C:\WINDOWS\Explorer.EXE[1276] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10023C3C .text C:\WINDOWS\Explorer.EXE[1276] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10023E78 .text C:\WINDOWS\Explorer.EXE[1276] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10023AF0 .text C:\WINDOWS\Explorer.EXE[1276] ws2_32.dll!send 71A14C27 5 Bytes JMP 10023264 .text C:\WINDOWS\Explorer.EXE[1276] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100227F8 .text C:\WINDOWS\Explorer.EXE[1276] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1002278C .text C:\WINDOWS\Explorer.EXE[1276] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10023A9C .text C:\WINDOWS\system32\spoolsv.exe[1636] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10023DF4 .text C:\WINDOWS\system32\spoolsv.exe[1636] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10023C3C .text C:\WINDOWS\system32\spoolsv.exe[1636] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10023E78 .text C:\WINDOWS\system32\spoolsv.exe[1636] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10023AF0 .text C:\WINDOWS\system32\spoolsv.exe[1636] ws2_32.dll!send 71A14C27 5 Bytes JMP 10023264 .text C:\WINDOWS\system32\spoolsv.exe[1636] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100227F8 .text C:\WINDOWS\system32\spoolsv.exe[1636] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1002278C .text C:\WINDOWS\system32\spoolsv.exe[1636] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10023A9C .text C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10003DF4 .text C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10003E78 .text C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] WS2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] WS2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\svchost.exe[1880] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10023DF4 .text C:\WINDOWS\system32\svchost.exe[1880] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10023C3C .text C:\WINDOWS\system32\svchost.exe[1880] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10023E78 .text C:\WINDOWS\system32\svchost.exe[1880] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10023AF0 .text C:\WINDOWS\system32\svchost.exe[1880] ws2_32.dll!send 71A14C27 5 Bytes JMP 10023264 .text C:\WINDOWS\system32\svchost.exe[1880] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100227F8 .text C:\WINDOWS\system32\svchost.exe[1880] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1002278C .text C:\WINDOWS\system32\svchost.exe[1880] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10023A9C .text C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10003DF4 .text C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10003E78 .text C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] WS2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] WS2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\ctfmon.exe[2084] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10023DF4 .text C:\WINDOWS\system32\ctfmon.exe[2084] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10023C3C .text C:\WINDOWS\system32\ctfmon.exe[2084] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10023E78 .text C:\WINDOWS\system32\ctfmon.exe[2084] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10023AF0 .text C:\WINDOWS\system32\ctfmon.exe[2084] ws2_32.dll!send 71A14C27 5 Bytes JMP 10023264 .text C:\WINDOWS\system32\ctfmon.exe[2084] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100227F8 .text C:\WINDOWS\system32\ctfmon.exe[2084] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1002278C .text C:\WINDOWS\system32\ctfmon.exe[2084] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10023A9C .text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10003DF4 .text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10003E78 .text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ws2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\Programme\FRITZ!\IWatch.exe[2536] ntdll.dll!NtOpenKey 7C91D5B0 5 Bytes JMP 10043DF4 .text C:\Programme\FRITZ!\IWatch.exe[2536] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10043C3C .text C:\Programme\FRITZ!\IWatch.exe[2536] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10043E78 .text C:\Programme\FRITZ!\IWatch.exe[2536] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10043AF0 .text C:\Programme\FRITZ!\IWatch.exe[2536] ws2_32.dll!send 71A14C27 5 Bytes JMP 10043264 .text C:\Programme\FRITZ!\IWatch.exe[2536] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100427F8 .text C:\Programme\FRITZ!\IWatch.exe[2536] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1004278C .text C:\Programme\FRITZ!\IWatch.exe[2536] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10043A9C ---- EOF - GMER 1.0.15 ---- Thomas |
29.03.2010, 09:03 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Seitenaufrufe aus Google werden umgeleitet Probier nochmal RootRepeal:
Code:
ATTFilter Drivers Files Processes SSDT Stealth Objects Hidden Services Shadow SSDT
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Seitenaufrufe aus Google werden umgeleitet |
antivir, askbar, aufrufe, bho, browser, cid, content.ie5, desktop, drvstore, excel, fehler, flash player, frage, google, heur, hkus\s-1-5-18, hängt, internet explorer, kaspersky, logfile, mmc.exe, msiexec.exe, officejet, programm, proxy, registry, remote control, security, server, software, trojaner, userinit.exe, virus, windows, windows xp, windows-sicherheitscenterdienst |