|
Plagegeister aller Art und deren Bekämpfung: Firefox: Unerwünschte WerbungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.04.2010, 10:52 | #1 |
| Firefox: Unerwünschte Werbung Hallo, seit einigen Tagen öffnet sich mit dem Firefox-Startfenster ein zusätzliches Fenster mit Werbung. Auch beim Klick auf Google-Suchergebnisse werde ich öfters auf Werbeseiten umgeleitet, ohne dass die gesuchte Seite sich öffnet. Ich habe mir scheinbar irgendetwas eingefangen. Malewarebytes findet allerdings nichts. Hoffe Ihr könnt mir helfen. Viele Grüße, Jens |
13.04.2010, 11:20 | #2 |
| Firefox: Unerwünschte Werbung Hi,
__________________OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop * Doppelklick auf die OTL.exe * Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen * Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output * Unter Extra Registry, wähle bitte Use SafeList * Klicke nun auf Run Scan links oben * Wenn der Scan beendet wurde werden 2 Logfiles erstellt * Poste die Logfiles hier in den Thread. Wenn kein 64Bit-System und kein Win7: Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ |
13.04.2010, 11:31 | #3 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox: Unerwünschte Werbung Bin mal gespannt, ob man da noch was findet. Hatte seinen PC von SecurityGuard befreit, der ließ sich nichtmal mehr vernünftig starten
__________________
__________________ |
13.04.2010, 11:54 | #4 |
| Firefox: Unerwünschte Werbung hier der Logfile: OTL logfile created on: 13.04.2010 12:37:40 - Run 1 OTL by OldTimer - Version 3.2.1.1 Folder = C:\Dokumente und Einstellungen\Jens\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.023,00 Mb Total Physical Memory | 437,00 Mb Available Physical Memory | 43,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 23,44 Gb Total Space | 3,40 Gb Free Space | 14,48% Space Free | Partition Type: NTFS Drive D: | 51,11 Gb Total Space | 1,96 Gb Free Space | 3,83% Space Free | Partition Type: NTFS E: Drive not present or media not loaded Drive F: | 30,84 Mb Total Space | 28,70 Mb Free Space | 93,03% Space Free | Partition Type: FAT G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: ÄTSCH Current User Name: Jens Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Jens\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\Adobelm_Cleanup.0001 (Macrovision Europe Ltd.) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) PRC - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (Lavasoft) PRC - C:\Programme\WinTV\EPG Services\System\EPGService.exe (Hauppauge Computer Works) PRC - C:\Programme\Outlook Express\msimn.exe (Microsoft Corporation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3\U3Launcher\LaunchU3.exe () PRC - C:\WINDOWS\system32\oodag.exe (O&O Software GmbH) PRC - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems) PRC - C:\Programme\SlySoft\CloneCD\CloneCDTray.exe (SlySoft, Inc.) PRC - C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe (Adobe Systems Incorporated) PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\Brmfrmps.exe (Brother Industries, Ltd.) PRC - C:\WINDOWS\system32\brsvc01a.exe (brother Industries Ltd) PRC - C:\WINDOWS\system32\brss01a.exe (brother Industries Ltd) PRC - C:\WINDOWS\system32\drivers\CDANTSRV.EXE (C-Dilla Ltd) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Jens\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) ========== Win32 Services (SafeList) ========== SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (Macromedia Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe () SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (aawservice) -- C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (Lavasoft) SRV - (EPGService) -- C:\Programme\WinTV\EPG Services\System\EPGService.exe (Hauppauge Computer Works) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (O&O Defrag) -- C:\WINDOWS\system32\oodag.exe (O&O Software GmbH) SRV - (rpcapd) Remote Packet Capture Protocol v.0 (experimental) -- C:\Programme\WinPcap\rpcapd.exe (CACE Technologies) SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems) SRV - (brmfrmps) -- C:\WINDOWS\System32\Brmfrmps.exe (Brother Industries, Ltd.) SRV - (Brother XP spl Service) -- C:\WINDOWS\system32\brsvc01a.exe (brother Industries Ltd) SRV - (C-DillaSrv) -- C:\WINDOWS\system32\drivers\CDANTSRV.EXE (C-Dilla Ltd) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (tbhsd) -- C:\WINDOWS\system32\drivers\tbhsd.sys (RapidSolution Software AG) DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation) DRV - (MPE) -- C:\WINDOWS\system32\drivers\mpe.sys (Microsoft Corporation) DRV - (61883) -- C:\WINDOWS\system32\drivers\61883.sys (Microsoft Corporation) DRV - (Avc) -- C:\WINDOWS\system32\drivers\avc.sys (Microsoft Corporation) DRV - (MSDV) -- C:\WINDOWS\system32\drivers\msdv.sys (Microsoft Corporation) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\usbaudio.sys (Microsoft Corporation) DRV - (USB28xxBGA) -- C:\WINDOWS\system32\drivers\emBDA.sys (eMPIA Technology, Inc.) DRV - (USB28xxOEM) -- C:\WINDOWS\system32\drivers\emOEM.sys (eMPIA Technology, Inc.) DRV - (se27unic) Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM) -- C:\WINDOWS\system32\drivers\se27unic.sys (MCCI) DRV - (SE27obex) -- C:\WINDOWS\system32\drivers\SE27obex.sys (MCCI) DRV - (se27nd5) Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS) -- C:\WINDOWS\system32\drivers\se27nd5.sys (MCCI) DRV - (SE27mgmt) Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\SE27mgmt.sys (MCCI) DRV - (SE27mdm) -- C:\WINDOWS\system32\drivers\SE27mdm.sys (MCCI) DRV - (SE27mdfl) -- C:\WINDOWS\system32\drivers\SE27mdfl.sys (MCCI) DRV - (SE27bus) Sony Ericsson Device 039 Driver driver (WDM) -- C:\WINDOWS\system32\drivers\SE27bus.sys (MCCI) DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG) DRV - (Epiusb) -- C:\WINDOWS\system32\drivers\Epiusb.sys (Ericsson Mobile Communications AB) DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH) DRV - (MODBDA2) -- C:\WINDOWS\system32\drivers\modbda2.sys (DiBcom SA) DRV - (MODLOAD2) -- C:\WINDOWS\system32\drivers\modload2.sys (DiBcom S.A) DRV - (SunkFilt) -- C:\WINDOWS\system32\drivers\Sunkfilt.sys (Alcor Micro Corp.) DRV - (NPF) -- C:\WINDOWS\system32\drivers\npf.sys (CACE Technologies) DRV - (ElbyCDFL) -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys (SlySoft, Inc.) DRV - (k750obex) -- C:\WINDOWS\system32\drivers\k750obex.sys (MCCI) DRV - (k750mgmt) -- C:\WINDOWS\system32\drivers\k750mgmt.sys (MCCI) DRV - (k750mdm) -- C:\WINDOWS\system32\drivers\k750mdm.sys (MCCI) DRV - (k750mdfl) -- C:\WINDOWS\system32\drivers\k750mdfl.sys (MCCI) DRV - (k750bus) Sony Ericsson 750 driver (WDM) -- C:\WINDOWS\system32\drivers\k750bus.sys (MCCI) DRV - (WISTechVIDCAP) -- C:\WINDOWS\system32\drivers\wisgostrm.sys () DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation) DRV - (WisTunerLoader) WIS EZ-USB FX2 FIRMWARE LOADER (WisTunerLoader.sys) -- C:\WINDOWS\system32\drivers\WisTunerLoader.sys (anchor chips) DRV - (ctdvda2k) -- C:\WINDOWS\system32\drivers\ctdvda2k.sys (Creative Technology Ltd) DRV - (w22n51) Intel(R) -- C:\WINDOWS\system32\drivers\w22n51.sys (Intel® Corporation) DRV - (BrScnUsb) -- C:\WINDOWS\system32\drivers\BrScnUsb.sys (Brother Industries Ltd.) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (sbusb) -- C:\WINDOWS\system32\drivers\sbusb.sys (Creative Technology Ltd.) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (ALCXSENS) -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS (Sensaura Ltd) DRV - (ctsfm2k) -- C:\WINDOWS\system32\drivers\ctsfm2k.sys (Creative Technology Ltd) DRV - (ossrv) -- C:\WINDOWS\system32\drivers\ctoss2k.sys (Creative Technology Ltd.) DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems) DRV - (PfModNT) -- C:\WINDOWS\system32\drivers\PfModNT.sys (Creative Technology Ltd.) DRV - (ASPI) -- C:\WINDOWS\system32\drivers\ASPI32.SYS (Adaptec) DRV - (C-Dilla) -- C:\WINDOWS\system32\drivers\CDANT.SYS (Macrovision) DRV - (Sentinel) -- C:\WINDOWS\System32\Drivers\SENTINEL.SYS () ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.myheritage.com IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Prev Search Page = hxxp://google.icq.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\..\URLSearchHook: {961A277B-F7DF-C578-F934-F51FE465D9D1} - File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2008.08.20 07:42:19 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Firefox\Extensions\\tunebite-firefox-surf-and-catch-extension@audials.com: C:\Programme\RapidSolution\Tunebite\plugins\GeckoBased\tunebite-firefox-surf-and-catch-extension@audials.com\ [2009.02.08 10:35:37 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.07 16:08:53 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.04 11:33:30 | 000,000,000 | ---D | M] [2009.07.24 19:24:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Mozilla\Extensions [2010.04.12 15:32:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\u0fariak.Standard\extensions [2010.03.03 16:55:54 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\u0fariak.Standard\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2009.10.30 11:29:02 | 000,000,000 | ---D | M] (PDF Download) -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\u0fariak.Standard\extensions\{37E4D8EA-8BDA-4831-8EA1-89053939A250} [2009.07.24 19:25:18 | 000,000,000 | ---D | M] (IE Tab) -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\u0fariak.Standard\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9} [2009.07.24 19:25:17 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\u0fariak.Standard\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} [2009.09.11 12:49:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\u0fariak.Standard\extensions\de-DE@dictionaries.addons.mozilla.org [2010.04.12 15:32:38 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.03.12 20:12:28 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.03.12 20:12:28 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.03.12 20:12:28 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.01.14 11:09:21 | 000,003,803 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\MyHeritage.xml [2010.04.06 17:44:13 | 000,001,208 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\search.xml [2010.03.12 20:12:28 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.03.12 20:12:28 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.04.08 01:28:24 | 000,238,054 | RHS- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: localhost 127.0.0.1 O1 - Hosts: localhost 127.0.0.1 O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.1001-search.info O1 - Hosts: 127.0.0.1 1001-search.info O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.123topsearch.com O1 - Hosts: 127.0.0.1 123topsearch.com O1 - Hosts: 127.0.0.1 www.132.com O1 - Hosts: 127.0.0.1 132.com O1 - Hosts: 127.0.0.1 www.136136.net O1 - Hosts: 8349 more lines... O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - No CLSID value found. O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\ShellBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.) O4 - HKLM..\Run: [CloneCDTray] C:\Programme\SlySoft\CloneCD\CloneCDTray.exe (SlySoft, Inc.) O4 - HKLM..\Run: [ctfmon] C:\WINDOWS\ctfmon.exe File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [SbUsb AudCtrl] C:\WINDOWS\System32\sbusbdll.dll (Creative Technology Ltd) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE (Microsoft Corporation) O4 - HKCU..\Run: [ICQ] C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LaunchU3.exe.lnk = C:\WINDOWS\Installer\{D8E363A7-88B7-446D-B2C0-E26CE4DC8E54}\_294823.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ClassicShell = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoThemesTab = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoBandCustomize = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoColorChoice = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoSizeChoice = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispCPL = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoVisualStyleChoice = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispSettingsPage = 0 O8 - Extra context menu item: &ICQ Toolbar Search - C:\Programme\ICQToolbar\toolbaru.dll (ICQ Inc.) O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.) O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - Reg Error: Value error. File not found O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - Reg Error: Value error. File not found O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} hxxp://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab (Checkers Class) O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} hxxp://www.bilderservice.de/direkt/static/download/iedropupload.cab (PIXACO upload plugin) O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} hxxp://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab (Minesweeper Flags Class) O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab (MessengerStatsClient Class) O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} hxxp://www.o2c.de/download/o2cplayer.cab (O2C-Player (ELECO Software GmbH)) O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.220.18.38 89.246.64.38 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Ätsch O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mctp {d7b95390-b1c5-11d0-b111-0080c712fe82} - C:\Programme\Microsoft ActiveSync\aatp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKCU Winlogon: Shell - ("C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a515ffe\SGa515.exe") - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a515ffe\SGa515.exe File not found O20 - HKCU Winlogon: Shell - (/s /d) - File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O27 - HKLM IFEO\mrt.exe: Debugger - svchost.exe (Microsoft Corporation) O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O30 - LSA: Authentication Packages - (rqrqom.dll) - File not found O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2005.10.10 13:52:33 | 000,000,042 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{5f1fa2f0-f02c-11dc-8a91-000e35116c83}\Shell - "" = AutoRun O33 - MountPoints2\{5f1fa2f0-f02c-11dc-8a91-000e35116c83}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{5f1fa2f0-f02c-11dc-8a91-000e35116c83}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found O33 - MountPoints2\{f1d38990-d320-11dd-8d98-000e35116c83}\Shell - "" = AutoRun O33 - MountPoints2\{f1d38990-d320-11dd-8d98-000e35116c83}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{f1d38990-d320-11dd-8d98-000e35116c83}\Shell\AutoRun\command - "" = F:\pushinst.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (OODBS) - C:\WINDOWS\System32\OODBS.exe (O&O Software GmbH) O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe () O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.04.08 08:33:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2010.04.08 08:32:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Avira [2010.04.08 08:26:04 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2010.04.08 08:26:03 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.04.08 08:26:03 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2010.04.08 08:26:03 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys [2010.04.08 08:26:03 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys [2010.04.08 08:26:02 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2010.04.08 08:26:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2010.04.08 07:57:36 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2010.04.08 05:49:06 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe [2010.04.07 23:26:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2010.04.07 23:26:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe [2010.04.06 15:22:59 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\oodag [2010.04.06 13:34:01 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SGLWRFLD [2010.03.18 18:13:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\OpenOffice.org [2010.03.18 18:09:07 | 000,000,000 | ---D | C] -- C:\Programme\OpenOffice.org 3 [2010.03.18 18:08:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun [2010.03.18 18:08:24 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.03.18 18:08:24 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.03.18 18:08:24 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.02.28 14:08:35 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\pcouffin.sys [2009.05.07 08:45:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft [2009.04.08 21:54:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google [2009.04.08 15:47:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google [2009.02.26 20:20:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2009.02.25 18:28:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia [2007.03.06 17:32:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft [2005.06.03 20:08:04 | 000,059,392 | ---- | C] ( ) -- C:\WINDOWS\System32\a3d.dll [2005.05.24 19:29:34 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft [2005.05.24 19:29:34 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [12 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.04.13 07:43:25 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.04.13 07:42:56 | 000,000,236 | ---- | M] () -- C:\WINDOWS\tasks\OGALogon.job [2010.04.13 07:42:53 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.04.13 07:42:44 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.04.13 07:42:40 | 000,399,834 | ---- | M] () -- C:\WINDOWS\System32\OODBS.lor [2010.04.12 22:29:47 | 018,087,936 | -H-- | M] () -- C:\Dokumente und Einstellungen\Jens\NTUSER.DAT [2010.04.12 22:29:47 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Jens\ntuser.ini [2010.04.12 18:00:23 | 000,000,448 | ---- | M] () -- C:\WINDOWS\tasks\ParetoLogic Registration.job [2010.04.12 12:26:53 | 000,040,840 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\termdd.sys [2010.04.11 19:45:05 | 000,423,670 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Desktop\_1koi_Hof.gif [2010.04.11 19:40:36 | 000,002,673 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Desktop\images.jpg [2010.04.09 08:13:07 | 000,070,633 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Desktop\show_area2.php [2010.04.08 08:26:40 | 000,001,704 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2010.04.08 07:46:55 | 000,000,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.04.08 01:28:24 | 000,238,054 | RHS- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2010.04.06 13:19:34 | 000,002,553 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LaunchU3.exe.lnk [2010.04.05 15:57:32 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn [2010.04.01 16:07:08 | 000,105,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.04.01 08:09:12 | 000,174,200 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.03.31 17:57:40 | 000,569,315 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Desktop\SUP018MR.pdf [2010.03.30 23:21:11 | 001,050,652 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.03.30 23:21:11 | 000,451,970 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.03.30 23:21:11 | 000,435,260 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.03.30 23:21:11 | 000,080,928 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.03.30 23:21:11 | 000,068,156 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.03.30 00:46:30 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.03.30 00:45:52 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.03.25 10:07:26 | 000,002,227 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SmartFTP Client.lnk [2010.03.19 08:45:34 | 000,790,728 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.03.18 19:27:24 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.03.18 18:08:07 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deploytk.dll [2010.03.18 18:08:07 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.03.18 18:08:07 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.03.18 18:08:07 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.03.18 18:08:07 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2010.03.14 20:34:21 | 000,146,245 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Desktop\34101919_1.pdf [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [12 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.04.11 19:45:03 | 000,423,670 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\_1koi_Hof.gif [2010.04.11 19:40:34 | 000,002,673 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\images.jpg [2010.04.09 08:13:07 | 000,070,633 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\show_area2.php [2010.04.08 08:26:40 | 000,001,704 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2010.03.31 17:57:40 | 000,569,315 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\SUP018MR.pdf [2010.03.23 19:48:25 | 000,164,103 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\presseschau_2010_01_08_.pdf [2010.03.14 20:34:21 | 000,146,245 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\34101919_1.pdf [2010.02.28 14:08:43 | 000,000,034 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\pcouffin.log [2010.02.28 14:08:35 | 000,087,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\inst.exe [2010.02.28 14:08:35 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\pcouffin.cat [2010.02.28 14:08:35 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\pcouffin.inf [2010.02.27 21:26:12 | 000,290,816 | ---- | C] () -- C:\WINDOWS\System32\decdll.dll [2010.02.21 15:57:52 | 000,178,176 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2010.01.15 10:30:50 | 000,021,504 | ---- | C] () -- C:\WINDOWS\System32\WBCustomizer.dll [2010.01.10 15:39:35 | 008,676,883 | ---- | C] () -- C:\WINDOWS\System32\mp3Media2.dll [2009.08.03 15:07:42 | 000,403,816 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll [2009.05.20 17:15:26 | 000,000,135 | ---- | C] () -- C:\WINDOWS\wwwbatch.ini [2009.05.20 17:13:35 | 000,172,032 | ---- | C] () -- C:\WINDOWS\WsBtn.dll [2008.11.06 08:33:46 | 000,017,698 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\idyka.ban [2008.09.22 19:25:46 | 000,062,464 | ---- | C] () -- C:\WINDOWS\System32\Mod32.dll [2008.09.22 19:25:44 | 000,574,976 | ---- | C] () -- C:\WINDOWS\System32\HEKRNL32.DLL [2008.09.22 19:25:44 | 000,225,792 | ---- | C] () -- C:\WINDOWS\System32\IMGMAN30.DLL [2008.09.22 19:25:44 | 000,187,392 | ---- | C] () -- C:\WINDOWS\System32\HEICON32.DLL [2008.09.22 19:25:44 | 000,155,136 | ---- | C] () -- C:\WINDOWS\System32\HEMENU32.DLL [2008.09.22 19:25:44 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\HEDLG32.DLL [2008.09.22 19:25:44 | 000,067,072 | ---- | C] () -- C:\WINDOWS\System32\HERTF32.DLL [2008.09.22 19:25:44 | 000,039,936 | ---- | C] () -- C:\WINDOWS\System32\HETOOL32.DLL [2008.09.03 11:45:14 | 000,000,050 | ---- | C] () -- C:\WINDOWS\Progs_.ini [2008.07.20 12:24:07 | 000,001,943 | ---- | C] () -- C:\WINDOWS\vtplus32.ini [2008.07.20 12:24:04 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.INI [2008.07.20 12:23:37 | 000,032,297 | ---- | C] () -- C:\WINDOWS\Irremote.ini [2008.07.20 12:23:08 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\hcwChDB.dll [2008.07.20 12:22:43 | 000,002,094 | ---- | C] () -- C:\WINDOWS\HCWPNP.INI [2008.06.18 15:59:56 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2008.05.28 18:44:31 | 000,000,051 | ---- | C] () -- C:\WINDOWS\TSetup.INI [2008.03.16 19:05:40 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll [2008.03.16 19:05:40 | 000,110,080 | ---- | C] () -- C:\WINDOWS\System32\advd.dll [2008.03.16 19:05:40 | 000,023,040 | ---- | C] () -- C:\WINDOWS\System32\auth.dll [2008.02.27 11:30:18 | 000,000,022 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\60a7806a-0eea-424c-a464-20f4730cd631 [2008.02.08 10:38:22 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2007.07.21 10:33:56 | 000,000,009 | ---- | C] () -- C:\Programme\LANGUAGE.INF [2007.07.21 10:30:21 | 000,000,163 | ---- | C] () -- C:\WINDOWS\SIERRA.INI [2007.05.20 21:11:23 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2007.05.20 21:11:22 | 000,471,552 | ---- | C] () -- C:\WINDOWS\System32\Smab.dll [2007.05.20 20:07:29 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\AVEQT.dll [2007.05.19 16:54:41 | 000,106,047 | ---- | C] () -- C:\WINDOWS\System32\NWNETAPI.DLL [2007.05.19 16:54:41 | 000,035,308 | ---- | C] () -- C:\WINDOWS\System32\NWIPXSPX.DLL [2007.03.29 09:05:13 | 000,000,021 | ---- | C] () -- C:\WINDOWS\CS_SETUP.ini [2007.01.25 22:34:11 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2007.01.25 22:34:11 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2006.12.12 11:58:21 | 000,003,301 | ---- | C] () -- C:\WINDOWS\tm.ini [2006.12.12 11:50:22 | 000,000,228 | ---- | C] () -- C:\WINDOWS\BUHL.INI [2006.11.24 23:02:28 | 000,105,472 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2006.11.11 22:52:52 | 000,454,656 | ---- | C] () -- C:\WINDOWS\System32\mmSQL.dll [2006.08.28 11:06:53 | 000,000,088 | ---- | C] () -- C:\WINDOWS\Mensa2.ini [2006.06.09 13:34:18 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\dmcrypto.dll [2006.06.09 13:30:01 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\bdadll.dll [2006.05.30 18:55:22 | 000,229,760 | R--- | C] () -- C:\WINDOWS\System32\drivers\wisgostrm.sys [2006.05.30 18:55:22 | 000,021,504 | R--- | C] () -- C:\WINDOWS\System32\drivers\wisboard.dll [2006.05.30 18:00:22 | 000,000,034 | ---- | C] () -- C:\WINDOWS\DevCap.ini [2006.05.27 14:06:51 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI [2006.01.23 16:57:25 | 000,002,724 | ---- | C] () -- C:\WINDOWS\dibDVBT.ini [2006.01.23 14:22:21 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2005.10.12 20:48:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Brownie.ini [2005.10.11 20:14:49 | 000,000,050 | ---- | C] () -- C:\WINDOWS\brmx2001.ini [2005.10.11 20:14:49 | 000,000,040 | ---- | C] () -- C:\WINDOWS\opt_2460.ini [2005.10.11 19:56:17 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\brss01a.ini [2005.10.11 19:44:31 | 000,001,371 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini [2005.10.11 19:44:31 | 000,000,425 | ---- | C] () -- C:\WINDOWS\brwmark.ini [2005.10.11 19:44:31 | 000,000,147 | ---- | C] () -- C:\WINDOWS\brpcfx.ini [2005.10.11 19:44:31 | 000,000,079 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI [2005.10.11 19:37:04 | 000,027,114 | ---- | C] () -- C:\WINDOWS\maxlink.ini [2005.10.10 13:52:31 | 000,066,560 | ---- | C] () -- C:\WINDOWS\System32\D32util.dll [2005.10.10 13:52:30 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\Dbmvs32.dll [2005.09.13 13:46:06 | 000,000,222 | ---- | C] () -- C:\WINDOWS\psui.INI [2005.09.04 20:29:45 | 000,002,369 | ---- | C] () -- C:\WINDOWS\ULEAD32.INI [2005.08.13 07:28:33 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll [2005.08.02 23:24:01 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll [2005.07.31 23:19:55 | 000,000,041 | ---- | C] () -- C:\WINDOWS\pos.ini [2005.07.30 10:25:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OPPRIN~1.INI [2005.07.25 14:11:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NokiaContentCopier.INI [2005.06.13 22:47:00 | 000,073,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\SENTINEL.SYS [2005.06.13 22:47:00 | 000,047,616 | ---- | C] () -- C:\WINDOWS\System32\SNTI386.DLL [2005.06.13 22:47:00 | 000,017,920 | ---- | C] () -- C:\WINDOWS\System32\RNBOVDD.DLL [2005.06.05 17:11:46 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2005.06.03 20:08:30 | 000,000,231 | ---- | C] () -- C:\WINDOWS\AC3API.INI [2005.06.03 20:07:58 | 000,005,981 | ---- | C] () -- C:\WINDOWS\System32\SBUSB.INI [2005.06.03 20:05:51 | 000,000,072 | ---- | C] () -- C:\WINDOWS\SBWIN.INI [2005.05.25 00:36:29 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL [2005.05.25 00:36:14 | 000,000,123 | ---- | C] () -- C:\WINDOWS\KPCMS.INI [2005.05.25 00:13:07 | 000,000,516 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2005.05.24 22:12:44 | 000,000,109 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2005.05.24 20:49:34 | 000,155,648 | R--- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll [2005.05.24 19:36:57 | 000,000,300 | -HS- | C] () -- C:\Dokumente und Einstellungen\Jens\ntuser.ini [2005.05.24 19:36:55 | 018,087,936 | -H-- | C] () -- C:\Dokumente und Einstellungen\Jens\NTUSER.DAT [2005.05.24 19:36:55 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\Jens\NTUSER.DAT.LOG [2004.10.27 00:39:05 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll [2003.12.12 06:42:14 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll [2002.12.10 16:18:02 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL [2002.03.04 10:16:34 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Jpeg32.dll [2002.01.25 18:59:49 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\msxclv11.dll [2001.03.06 19:47:48 | 000,077,560 | ---- | C] () -- C:\WINDOWS\System32\libungif.dll [2000.12.19 02:40:34 | 000,031,824 | ---- | C] () -- C:\Programme\KWR.hlp ========== Alternate Data Streams ========== @Alternate Data Stream - 143 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMPFC5A2B2 < End of report > |
13.04.2010, 12:35 | #5 |
| Firefox: Unerwünschte Werbung Hi, tja, und gleich das nächste Teil an Land gezogen ...
Code:
ATTFilter :OTL IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\..\URLSearchHook: {961A277B-F7DF-C578-F934-F51FE465D9D1} - File not found O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - No CLSID value found. O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LaunchU3.exe.lnk = C:\WINDOWS\Installer\{D8E363A7-88B7-446D-B2C0-E26CE4DC8E54}\_294823.exe File not found O20 - HKCU Winlogon: Shell - ("C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a515ffe\SGa515.exe") - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a515ffe\SGa515.exe File not found O20 - HKCU Winlogon: Shell - (/s /d) - File not found :Commands [emptytemp] [Reboot]
Interressante Domäne: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Ätsch Poste unbedingt das GMER-Log, falls GMER nicht läuft, im abgesicherten (F8 beim Booten) Modus probieren... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
13.04.2010, 12:47 | #6 |
| Firefox: Unerwünschte Werbung was ist ein GMER-Log??? hier das otl-fix-log: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{961A277B-F7DF-C578-F934-F51FE465D9D1} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{961A277B-F7DF-C578-F934-F51FE465D9D1}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4EFB-9B51-7695ECA05670}\ not found. C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LaunchU3.exe.lnk moved successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a515ffe\SGa515.exe" deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:/s /d deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 84 bytes User: Jens ->Temp folder emptied: 2531364 bytes ->Temporary Internet Files folder emptied: 10278285 bytes ->Java cache emptied: 25578264 bytes ->FireFox cache emptied: 53704947 bytes ->Flash cache emptied: 1884339 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 66369 bytes User: NetworkService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 643924 bytes ->Flash cache emptied: 1791 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2231197 bytes %systemroot%\System32 .tmp files removed: 10520967 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 35999266 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 137,00 mb OTL by OldTimer - Version 3.2.1.1 log created on 04132010_133756 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
13.04.2010, 13:27 | #7 |
| Firefox: Unerwünschte Werbung
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
13.04.2010, 16:46 | #8 |
| Firefox: Unerwünschte Werbung hier nun das GMER-Ergebnis: GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-04-13 17:44:33 Windows 5.1.2600 Service Pack 3 Running: p0x0l8nr.exe; Driver: C:\DOKUME~1\Jens\LOKALE~1\Temp\fxtdrpog.sys ---- System - GMER 1.0.15 ---- SSDT F7D6FD1E ZwCreateKey SSDT F7D6FD14 ZwCreateThread SSDT F7D6FD23 ZwDeleteKey SSDT F7D6FD2D ZwDeleteValueKey SSDT F7D6FD32 ZwLoadKey SSDT F7D6FD00 ZwOpenProcess SSDT F7D6FD05 ZwOpenThread SSDT F7D6FD3C ZwReplaceKey SSDT F7D6FD37 ZwRestoreKey SSDT F7D6FD28 ZwSetValueKey ---- Kernel code sections - GMER 1.0.15 ---- init C:\WINDOWS\system32\drivers\ALCXSENS.SYS entry point in "init" section [0xF6976510] .rsrc C:\WINDOWS\system32\DRIVERS\termdd.sys entry point in ".rsrc" section [0xF7907214] ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\System32\svchost.exe[1244] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0091000A .text C:\WINDOWS\System32\svchost.exe[1244] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes JMP 0092000A .text C:\WINDOWS\System32\svchost.exe[1244] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 1 Byte [84] .text C:\WINDOWS\System32\svchost.exe[1244] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0090000C .text C:\WINDOWS\System32\svchost.exe[1244] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 0313000A .text C:\WINDOWS\System32\svchost.exe[1244] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 0280000A .text C:\WINDOWS\Explorer.EXE[1740] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B6000A .text C:\WINDOWS\Explorer.EXE[1740] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00BC000A .text C:\WINDOWS\Explorer.EXE[1740] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B5000C .text C:\Programme\Mozilla Firefox\firefox.exe[2684] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 011D000A .text C:\Programme\Mozilla Firefox\firefox.exe[2684] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 011E000A .text C:\Programme\Mozilla Firefox\firefox.exe[2684] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 011C000C .text C:\WINDOWS\explorer.exe[3216] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B6000A .text C:\WINDOWS\explorer.exe[3216] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00BC000A .text C:\WINDOWS\explorer.exe[3216] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B5000C ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device -> \Driver\atapi \Device\Harddisk0\DR0 87B47AC8 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys@start 1 Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys@type 1 Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpaxt.sys Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys@group file system Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpaxt.sys Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSofxh.dll Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSpaxt.dat Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSosvd.dll Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSnrsr.dll Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSriqp.dll Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSScfum.dll Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSfxmp.log Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSnmxh.dll Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSmqlt.log Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSofxh.log Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 365E58B51C930AA73E9FF21604EE30C2A5138C0918E52AB9835B162F16ED1AA510BFE4124BD85A04272E214E1CC13B865596C98D1C4AC737F587484BB2A525E361A711F05276FCE0AEF956 BAC0FAF41B7C6E4DF36789BA7656CC7B7E435DA07D1CE09FA75230C3E406889ED4A02CC85AB00009FC5BA3FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C FEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667A6A0AC4980AC7933FEBC9E127BECC74CA6A0AC4980AC793356EBEF1742F43F0048BEDCFA8CD0A9C2F84AD17708F721E677E061 C9A4A1E95D4703DB84A3A5BA481CB3DBE416F054BFA4176AF47553AB56E363AA02BF13167C1CA193E1B1D51C2947BD4884815F47D7A5676DDA350E8E5356C09C880742C4530163E3ED52FA 2BEB8EADCDF69BD17AC17ADF07419F45932225948992F753B2D3C57ADA1B4CD8B2CBDB68DC0B1554E828443C28F6ECE989F8CC0D8089F6B99BDF5E294C10CC8C04FB3C6829C404C81628C9 CA08F83DBFC204696E598BCB404450E2C8CEA6E403F0A15FB92C5B61E105D474ED9C0091DF13E0C011AC69218473718F453FED077FD2539BFD203A8A263F32531C2671D0B7D4A3B7DD5AA8 07F8F303431E39290E1A05A0686B868041F2503D96DE24EAC587E5D35A548204706192390469234D35BCE50AE349A303AAF6C86194D35BBC1EE328EA560 ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\system32\DRIVERS\termdd.sys suspicious modification File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification ---- EOF - GMER 1.0.15 ---- |
13.04.2010, 19:38 | #9 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firefox: Unerwünschte WerbungZitat:
Entweder hab ich den in letzten Strang von Dir übersehen oder der kam wieder rein!
__________________ Logfiles bitte immer in CODE-Tags posten |
13.04.2010, 22:13 | #10 |
| Firefox: Unerwünschte Werbung Das Problem taucht schon seit letzter Woche auf (SecurityGuard). Und jetzt? Wie bekomm ich das Ding weg? ... |
14.04.2010, 06:48 | #11 |
| Firefox: Unerwünschte Werbung Hi, prüfe ob auf Deinem Rechner ein Verzeichnis "C:\WINDOWS\ServicePackFiles\i386" existiert! Der TDSS-Killer braucht eine "saubere" Version der Dateien (termdd.sys und atapi.sys), sonst klappt das nicht. Wenn nicht vorhanden Verzeichnis anlegen und die Dateien von Hand von der XP-CD rüberkopieren und entpacken... (expand C:\WINDOWS\ServicePackFiles\i386\atapi.sy_ C:\WINDOWS\ServicePackFiles\i386\atapi.sys etc.) Du kannst aber auch erst mal den TDSS-Killer so auf die Reise schicken... TDSS-Killer Download und Anweisung unter: http://www.trojaner-board.de/82358-t...tml#post640150 Entpacke alle Dateien! Start.bat erstellen: Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein: Code:
ATTFilter @ECHO OFF TDSSKiller.exe -l report.txt -v DEL %0
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt. Danach Cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
14.04.2010, 19:36 | #12 |
| Firefox: Unerwünschte Werbung TDSSKiller-Report: 20:33:45:120 3168 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04 20:33:45:120 3168 ================================================================================ 20:33:45:120 3168 SystemInfo: 20:33:45:120 3168 OS Version: 5.1.2600 ServicePack: 3.0 20:33:45:120 3168 Product type: Workstation 20:33:45:120 3168 ComputerName: ÄTSCH 20:33:45:120 3168 UserName: Jens 20:33:45:120 3168 Windows directory: C:\WINDOWS 20:33:45:120 3168 Processor architecture: Intel x86 20:33:45:120 3168 Number of processors: 1 20:33:45:120 3168 Page size: 0x1000 20:33:45:130 3168 Boot type: Normal boot 20:33:45:130 3168 ================================================================================ 20:33:45:130 3168 UnloadDriverW: NtUnloadDriver error 1 20:33:45:130 3168 ForceUnloadDriverW: UnloadDriverW(klmd21) error 1 20:33:45:140 3168 LoadDriverW: Driver already loaded 20:33:45:140 3168 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system 20:33:45:140 3168 wfopen_ex: MyNtCreateFileW error 32 (C0000043) 20:33:45:140 3168 wfopen_ex: Trying to KLMD file open 20:33:45:140 3168 wfopen_ex: File opened ok (Flags 2) 20:33:45:140 3168 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software 20:33:45:140 3168 wfopen_ex: MyNtCreateFileW error 32 (C0000043) 20:33:45:140 3168 wfopen_ex: Trying to KLMD file open 20:33:45:140 3168 wfopen_ex: File opened ok (Flags 2) 20:33:45:140 3168 Initialize success 20:33:45:140 3168 20:33:45:140 3168 Scanning Services ... 20:33:45:511 3168 Raw services enum returned 389 services 20:33:45:521 3168 20:33:45:521 3168 Scanning Kernel memory ... 20:33:45:521 3168 Devices to scan: 3 20:33:45:521 3168 20:33:45:521 3168 Driver Name: Disk 20:33:45:521 3168 IRP_MJ_CREATE : F77D4BB0 20:33:45:521 3168 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E 20:33:45:521 3168 IRP_MJ_CLOSE : F77D4BB0 20:33:45:521 3168 IRP_MJ_READ : F77CED1F 20:33:45:521 3168 IRP_MJ_WRITE : F77CED1F 20:33:45:521 3168 IRP_MJ_QUERY_INFORMATION : 804FA88E 20:33:45:521 3168 IRP_MJ_SET_INFORMATION : 804FA88E 20:33:45:521 3168 IRP_MJ_QUERY_EA : 804FA88E 20:33:45:521 3168 IRP_MJ_SET_EA : 804FA88E 20:33:45:521 3168 IRP_MJ_FLUSH_BUFFERS : F77CF2E2 20:33:45:521 3168 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E 20:33:45:521 3168 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E 20:33:45:521 3168 IRP_MJ_DIRECTORY_CONTROL : 804FA88E 20:33:45:521 3168 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E 20:33:45:521 3168 IRP_MJ_DEVICE_CONTROL : F77CF3BB 20:33:45:521 3168 IRP_MJ_INTERNAL_DEVICE_CONTROL : F77D2F28 20:33:45:521 3168 IRP_MJ_SHUTDOWN : F77CF2E2 20:33:45:521 3168 IRP_MJ_LOCK_CONTROL : 804FA88E 20:33:45:521 3168 IRP_MJ_CLEANUP : 804FA88E 20:33:45:521 3168 IRP_MJ_CREATE_MAILSLOT : 804FA88E 20:33:45:521 3168 IRP_MJ_QUERY_SECURITY : 804FA88E 20:33:45:521 3168 IRP_MJ_SET_SECURITY : 804FA88E 20:33:45:521 3168 IRP_MJ_POWER : F77D0C82 20:33:45:521 3168 IRP_MJ_SYSTEM_CONTROL : F77D599E 20:33:45:521 3168 IRP_MJ_DEVICE_CHANGE : 804FA88E 20:33:45:521 3168 IRP_MJ_QUERY_QUOTA : 804FA88E 20:33:45:521 3168 IRP_MJ_SET_QUOTA : 804FA88E 20:33:45:531 3168 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1 20:33:45:531 3168 20:33:45:531 3168 Driver Name: Disk 20:33:45:531 3168 IRP_MJ_CREATE : F77D4BB0 20:33:45:531 3168 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E 20:33:45:531 3168 IRP_MJ_CLOSE : F77D4BB0 20:33:45:531 3168 IRP_MJ_READ : F77CED1F 20:33:45:531 3168 IRP_MJ_WRITE : F77CED1F 20:33:45:531 3168 IRP_MJ_QUERY_INFORMATION : 804FA88E 20:33:45:531 3168 IRP_MJ_SET_INFORMATION : 804FA88E 20:33:45:531 3168 IRP_MJ_QUERY_EA : 804FA88E 20:33:45:531 3168 IRP_MJ_SET_EA : 804FA88E 20:33:45:531 3168 IRP_MJ_FLUSH_BUFFERS : F77CF2E2 20:33:45:531 3168 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E 20:33:45:531 3168 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E 20:33:45:531 3168 IRP_MJ_DIRECTORY_CONTROL : 804FA88E 20:33:45:531 3168 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E 20:33:45:531 3168 IRP_MJ_DEVICE_CONTROL : F77CF3BB 20:33:45:531 3168 IRP_MJ_INTERNAL_DEVICE_CONTROL : F77D2F28 20:33:45:531 3168 IRP_MJ_SHUTDOWN : F77CF2E2 20:33:45:541 3168 IRP_MJ_LOCK_CONTROL : 804FA88E 20:33:45:541 3168 IRP_MJ_CLEANUP : 804FA88E 20:33:45:541 3168 IRP_MJ_CREATE_MAILSLOT : 804FA88E 20:33:45:541 3168 IRP_MJ_QUERY_SECURITY : 804FA88E 20:33:45:541 3168 IRP_MJ_SET_SECURITY : 804FA88E 20:33:45:541 3168 IRP_MJ_POWER : F77D0C82 20:33:45:541 3168 IRP_MJ_SYSTEM_CONTROL : F77D599E 20:33:45:541 3168 IRP_MJ_DEVICE_CHANGE : 804FA88E 20:33:45:541 3168 IRP_MJ_QUERY_QUOTA : 804FA88E 20:33:45:541 3168 IRP_MJ_SET_QUOTA : 804FA88E 20:33:45:541 3168 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1 20:33:45:541 3168 20:33:45:541 3168 Driver Name: atapi 20:33:45:541 3168 IRP_MJ_CREATE : 87B41AC8 20:33:45:541 3168 IRP_MJ_CREATE_NAMED_PIPE : 87B41AC8 20:33:45:541 3168 IRP_MJ_CLOSE : 87B41AC8 20:33:45:541 3168 IRP_MJ_READ : 87B41AC8 20:33:45:541 3168 IRP_MJ_WRITE : 87B41AC8 20:33:45:541 3168 IRP_MJ_QUERY_INFORMATION : 87B41AC8 20:33:45:541 3168 IRP_MJ_SET_INFORMATION : 87B41AC8 20:33:45:541 3168 IRP_MJ_QUERY_EA : 87B41AC8 20:33:45:541 3168 IRP_MJ_SET_EA : 87B41AC8 20:33:45:541 3168 IRP_MJ_FLUSH_BUFFERS : 87B41AC8 20:33:45:541 3168 IRP_MJ_QUERY_VOLUME_INFORMATION : 87B41AC8 20:33:45:541 3168 IRP_MJ_SET_VOLUME_INFORMATION : 87B41AC8 20:33:45:541 3168 IRP_MJ_DIRECTORY_CONTROL : 87B41AC8 20:33:45:541 3168 IRP_MJ_FILE_SYSTEM_CONTROL : 87B41AC8 20:33:45:541 3168 IRP_MJ_DEVICE_CONTROL : 87B41AC8 20:33:45:541 3168 IRP_MJ_INTERNAL_DEVICE_CONTROL : 87B41AC8 20:33:45:541 3168 IRP_MJ_SHUTDOWN : 87B41AC8 20:33:45:541 3168 IRP_MJ_LOCK_CONTROL : 87B41AC8 20:33:45:541 3168 IRP_MJ_CLEANUP : 87B41AC8 20:33:45:541 3168 IRP_MJ_CREATE_MAILSLOT : 87B41AC8 20:33:45:541 3168 IRP_MJ_QUERY_SECURITY : 87B41AC8 20:33:45:541 3168 IRP_MJ_SET_SECURITY : 87B41AC8 20:33:45:541 3168 IRP_MJ_POWER : 87B41AC8 20:33:45:541 3168 IRP_MJ_SYSTEM_CONTROL : 87B41AC8 20:33:45:541 3168 IRP_MJ_DEVICE_CHANGE : 87B41AC8 20:33:45:541 3168 IRP_MJ_QUERY_QUOTA : 87B41AC8 20:33:45:541 3168 IRP_MJ_SET_QUOTA : 87B41AC8 20:33:45:541 3168 Driver "atapi" infected by TDSS rootkit! 20:33:45:541 3168 C:\WINDOWS\system32\drivers\tsk5A.tmp - Verdict: 3 20:33:45:541 3168 20:33:45:541 3168 Completed 20:33:45:541 3168 20:33:45:541 3168 Results: 20:33:45:541 3168 Memory objects infected / cured / cured on reboot: 1 / 0 / 0 20:33:45:541 3168 Registry objects infected / cured / cured on reboot: 0 / 0 / 0 20:33:45:541 3168 File objects infected / cured / cured on reboot: 0 / 0 / 0 20:33:45:541 3168 20:33:45:541 3168 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system 20:33:45:541 3168 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software 20:33:45:541 3168 UnloadDriverW: NtUnloadDriver error 1 20:33:45:541 3168 KLMD(ARK) unloaded successfully |
14.04.2010, 19:47 | #13 |
| Firefox: Unerwünschte Werbung Hi, TDSS (neue Version) fragt sich nur ob der Killer ihn geschafft hat...(sieht nicht so aus...) Cureit durchführen. Falls es zu Problemen kommt und die Kiste hängen bleibt beim Booten muss der Treiber per Hand ersetzt werden. Hast Du eine Boot-CD (XP) zur Hand? Hardcore http://www.file-upload.net/download-...berXp.zip.html Lade Dir die Sammlung runter, packe sie aus und kopiere die notwendigen Dateien (meist die atapi.sys) auf den Rechner (Verzeichnis C:\STreiber anlegen und benötigte Dateien reinkopieren). Achtung: Kopiere die atapi.sys auch auf atapi2.sys, die brauchen wir ev. wegen der temporären Datei die der TDSKILLER angelegt hat... Im Verzeichnis "C:\STreiber" muss Du folgende Dateien haben: termdd.sys atapi.sys atapi2.sys Bei Fehlern bootet der Rechner nicht mehr, da die atapi.sys der "Festplattentreiber" ist... Danach folgendes Script für Avenger ausführen: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to move: C:\WINDOWS\system32\drivers\atapi.sys | C:\STreiber\atapi.sys.vir C:\WINDOWS\system32\DRIVERS\termdd.sys | C:\STreiber\termdd.sys.vir C:\STreiber\atapi.sys | C:\WINDOWS\system32\drivers\atapi.sys C:\STreiber\atapi2.sys | C:\WINDOWS\system32\drivers\tsk5A.tmp C:\STreiber\termdd.sys | C:\WINDOWS\system32\DRIVERS\termdd.sys 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (14.04.2010 um 20:00 Uhr) |
14.04.2010, 20:10 | #14 |
| Firefox: Unerwünschte Werbung ich kann CureIT nicht asführen, da mein rechner sich nicht im abgesicherten modus starten lässt. wähle ich nach f5 abgesicherten modus komme ich wieder in das auswahlfenster, bin in einer schleife drin. was jetzt? gleich den avenger starten??? wenn ich den rechner neu starte kommt seit gestern auch von avira antivir eine warnung, dass ich derzeit mit administrativen rechten arbeite, hat das was mit otl zu tun? |
14.04.2010, 20:19 | #15 |
| Firefox: Unerwünschte Werbung Hi, nein, das macht die Avira Version 10 so... Man sollte nie als Admin arbeiten oder surfen, da hat die Malware gleich alle Rechte sich zu installieren... was in einem eingeschränkten Benutzerkonto nicht gehen würde... Avenger ist gefährlich, wenn was schief geht mußt Du das System über eine Reperaturinstallation wiederbeleben... Probiere CureIT im normalen Modus zu starten... Er hat allerdings sich beim Entfernen auch schon mal aufgehangen, der neue TDSS ist ein hartes Teil... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu Firefox: Unerwünschte Werbung |
fenster, firefox, gesuch, gesuchte, irgendetwas, klick, malewarebytes, schei, tagen, umgeleitet, unerwünschte, unerwünschte werbung, werbeseite, werbeseiten, werbun, werbung, zusätzliches, öffnet, öfters |