| |
| |||||||
Log-Analyse und Auswertung: hijack + combofix logs checkenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.04.2010, 16:41
| #1 |
 |  hijack + combofix logs checken wurde gestern abend befallen : ich poste hier 4 logs : combofix , hijackthis , filelist.zip , alle installierten programme als erstes mal combofix, während dem scan wurde 1x neu gebootet da "....rootkitaktivitäten erkannt wurden" danach im nächsten post die anderen 3 logs ComboFix 10-04-19.05 - jan 20.04.2010 16:50:14.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1639 [GMT 2:00] ausgeführt von:: C:\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\vbzlib1.dll Infizierte Kopie von c:\windows\system32\drivers\afd.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack  wurde wiederhergestellt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SSHNAS ((((((((((((((((((((((( Dateien erstellt von 2010-03-20 bis 2010-04-20 )))))))))))))))))))))))))))))) . 2010-04-19 21:24 . 2010-04-20 13:45 3921705 ----a-r- C:\ComboFix.exe 2010-04-19 20:00 . 2010-04-19 20:00 172032 ----a-w- c:\windows\Ujemaa.exe 2010-04-13 19:34 . 2010-04-13 19:34 294009 ----a-w- c:\windows\Video_Download_Toolbar_Uninstaller_5578.exe 2010-04-13 19:34 . 2010-04-13 19:34 -------- d-----w- c:\programme\Video Download Toolbar 2010-04-13 19:33 . 2010-04-13 19:33 -------- d-----w- c:\dokumente und einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\TubeTilla 2010-04-12 17:19 . 2010-04-12 17:19 46 ----a-w- c:\windows\system32\DonationCoder_urlsnooper_InstallInfo.dat 2010-04-12 17:19 . 2010-04-12 17:19 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\DonationCoder 2010-04-12 17:18 . 2010-04-12 17:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DonationCoder 2010-04-05 22:42 . 2010-04-05 22:42 3734 ----a-r- c:\dokumente und einstellungen\jan\Anwendungsdaten\Microsoft\Installer\{9A3EC491-4FBB-4269-B5D1-03894E3254DA}\_B1A55ED8F23D72104281E1.exe 2010-04-05 22:42 . 2010-04-05 22:42 3734 ----a-r- c:\dokumente und einstellungen\jan\Anwendungsdaten\Microsoft\Installer\{9A3EC491-4FBB-4269-B5D1-03894E3254DA}\_6FEFF9B68218417F98F549.exe 2010-04-05 22:42 . 2010-04-05 22:42 3734 ----a-r- c:\dokumente und einstellungen\jan\Anwendungsdaten\Microsoft\Installer\{9A3EC491-4FBB-4269-B5D1-03894E3254DA}\_3473A82F06A9EAF6695B5C.exe 2010-04-05 22:32 . 2010-04-05 22:32 -------- d-----w- c:\dokumente und einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\Picture Ripper 2010-04-02 22:50 . 2010-04-02 22:50 -------- d-----w- c:\programme\CaptureText.com 2010-04-01 03:05 . 2010-04-01 03:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG 2010-03-30 17:09 . 2010-03-30 17:09 -------- d-----w- c:\dokumente und einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\YouTubeAssistant 2010-03-30 17:06 . 2010-03-30 17:06 -------- d-----w- c:\dokumente und einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\utd 2010-03-30 17:06 . 2010-03-30 17:06 -------- d-----w- c:\dokumente und einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\YouTubeBatchDownloader 2010-03-24 17:54 . 2010-03-31 18:29 -------- d-----w- c:\dokumente und einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoft 2010-03-24 17:54 . 2010-03-31 18:29 -------- d-----w- c:\dokumente und einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\Conduit 2010-03-24 17:54 . 2010-03-24 17:54 -------- d-----w- c:\programme\Conduit 2010-03-24 17:54 . 2010-03-24 17:54 -------- d-----w- c:\programme\DVDVideoSoft 2010-03-24 17:54 . 2010-03-24 17:54 52224 ----a-w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll 2010-03-24 17:54 . 2010-03-24 17:54 101376 ----a-w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll 2010-03-24 17:54 . 2010-04-14 17:16 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2010-03-24 17:54 . 2010-03-24 17:54 -------- d-----w- c:\programme\tool 2010-03-24 00:28 . 2010-02-25 18:04 57856 ----a-w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\piclens@cooliris.com\components\coolirisstub.dll 2010-03-24 00:28 . 2010-02-25 18:04 545280 ----a-w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe 2010-03-24 00:28 . 2010-02-25 18:04 4689408 ----a-w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\piclens@cooliris.com\libs\cooliris192.dll 2010-03-24 00:28 . 2010-02-25 18:04 153088 ----a-w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll 2010-03-24 00:28 . 2010-02-25 18:04 103424 ----a-w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\piclens@cooliris.com\libs\pixomatic.dll 2010-03-24 00:28 . 2010-02-25 18:04 425984 ----a-w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe 2010-03-24 00:20 . 2010-03-24 00:28 -------- d-----w- C:\myyoutube 2010-03-24 00:17 . 2010-03-24 00:17 -------- d-----w- c:\programme\Gemeinsame Dateien\eSellerate 2010-03-24 00:17 . 2010-03-24 00:19 -------- d-----w- C:\E-Zsoft . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-20 14:56 . 2010-03-01 01:43 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Orbit 2010-04-20 13:28 . 2009-10-22 20:04 1324 ----a-w- c:\windows\system32\d3d9caps.dat 2010-04-19 21:22 . 2008-11-03 18:58 -------- d-----w- c:\programme\tools 2010-04-19 20:29 . 2008-11-04 18:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-04-19 20:29 . 2008-11-04 19:24 5918776 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2010-04-19 20:23 . 2010-03-09 21:48 263912 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2010-04-18 17:01 . 2009-09-18 17:42 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\uTorrent 2010-04-18 16:22 . 2010-03-13 03:15 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\UltraGet 2010-04-15 11:19 . 2010-03-01 22:16 -------- d-----w- c:\programme\Orbitdownloader 2010-04-13 09:32 . 2008-11-03 23:42 -------- d-----w- c:\programme\Google 2010-04-12 17:18 . 2009-09-29 18:21 -------- d-----w- c:\programme\WinPcap 2010-04-05 22:20 . 2010-03-12 22:22 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Free Download Manager 2010-04-01 17:28 . 2004-08-17 12:01 448470 ----a-w- c:\windows\system32\perfh007.dat 2010-04-01 17:28 . 2004-08-17 12:01 79910 ----a-w- c:\windows\system32\perfc007.dat 2010-04-01 03:09 . 2009-09-26 18:28 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Orbit 2010-03-29 22:46 . 2008-11-04 18:45 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-03-29 22:45 . 2008-11-04 18:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-19 00:41 . 2008-11-03 20:09 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-03-16 21:06 . 2010-03-16 21:06 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\vlc 2010-03-16 21:01 . 2010-03-16 21:01 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Media Player Classic 2010-03-16 20:13 . 2010-03-16 20:13 25432 ----a-w- c:\dokumente und einstellungen\pc\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-03-12 23:54 . 2010-03-12 23:54 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Xilisoft 2010-03-12 19:19 . 2010-03-12 19:19 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Moyea 2010-03-12 01:48 . 2010-03-12 01:04 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Movier 2010-03-12 01:16 . 2010-03-12 01:11 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Youtube Downloader HD 2010-03-11 12:31 . 2004-08-17 12:07 832512 ----a-w- c:\windows\system32\wininet.dll 2010-03-11 12:31 . 2004-08-17 11:55 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-03-11 12:31 . 2004-08-17 11:53 17408 ------w- c:\windows\system32\corpol.dll 2010-03-11 00:17 . 2010-03-11 00:17 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\TubeBox 2010-03-11 00:17 . 2010-03-11 00:17 355574 ----a-r- c:\dokumente und einstellungen\jan\Anwendungsdaten\Microsoft\Installer\{D761C5D2-E727-415A-BC4E-52642CEA1A1C}\_C51AC446E55030A0A00560.exe 2010-03-11 00:17 . 2010-03-11 00:17 9662 ----a-r- c:\dokumente und einstellungen\jan\Anwendungsdaten\Microsoft\Installer\{D761C5D2-E727-415A-BC4E-52642CEA1A1C}\_6FEFF9B68218417F98F549.exe 2010-03-11 00:17 . 2010-03-11 00:17 355574 ----a-r- c:\dokumente und einstellungen\jan\Anwendungsdaten\Microsoft\Installer\{D761C5D2-E727-415A-BC4E-52642CEA1A1C}\_5C66B4E6C91CC8430E3BDC.exe 2010-03-11 00:17 . 2010-03-11 00:17 25214 ----a-r- c:\dokumente und einstellungen\jan\Anwendungsdaten\Microsoft\Installer\{D761C5D2-E727-415A-BC4E-52642CEA1A1C}\_E1F21350FC4E4B34537E50.exe 2010-03-11 00:17 . 2010-03-11 00:17 10134 ----a-r- c:\dokumente und einstellungen\jan\Anwendungsdaten\Microsoft\Installer\{D761C5D2-E727-415A-BC4E-52642CEA1A1C}\_5D8F7BC09188A29CEF3140.exe 2010-03-09 21:44 . 2010-03-09 21:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks 2010-03-09 18:25 . 2010-03-09 18:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\IsolatedStorage 2010-03-09 11:09 . 2004-08-17 12:06 430080 ----a-w- c:\windows\system32\vbscript.dll 2010-03-09 03:00 . 2010-03-09 03:00 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Template 2010-03-02 00:34 . 2010-02-28 20:24 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\GrabPro 2010-03-01 01:34 . 2009-12-25 20:41 -------- d-----w- c:\programme\Iomega 2010-02-26 23:29 . 2010-02-26 23:29 159881 ----a-w- c:\windows\FlickrDown Uninstaller.exe 2010-02-26 06:06 . 2010-02-26 06:06 2626360 ----a-w- c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll 2010-02-24 13:11 . 2004-08-17 11:57 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2010-02-23 20:42 . 2010-02-23 20:42 -------- d-----w- c:\dokumente und einstellungen\jan\Anwendungsdaten\JLC's Software 2010-02-16 19:04 . 2004-08-17 12:00 2148864 ----a-w- c:\windows\system32\ntoskrnl.exe 2010-02-16 19:04 . 2004-08-04 00:50 2027008 ----a-w- c:\windows\system32\ntkrnlpa.exe 2010-02-12 04:33 . 2004-08-17 11:53 100864 ----a-w- c:\windows\system32\6to4svc.dll 2010-02-11 12:02 . 2004-08-17 12:04 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys 2010-02-10 15:18 . 2010-03-09 18:23 201616 ----a-w- c:\programme\Gemeinsame Dateien\AskInstallChecker.exe 2009-08-28 00:07 . 2009-08-28 00:07 253472 ----a-w- c:\programme\snapshot.exe 2008-10-30 23:58 . 2008-10-31 23:17 6637592 ----a-w- c:\programme\SUPERAntiSpyware.exe 2008-10-10 19:12 . 2008-10-31 23:17 19153264 ----a-w- c:\programme\aaw2008.exe 2008-10-10 19:07 . 2008-10-10 19:07 2189864 ----a-w- c:\programme\mbam-setup.exe 2008-10-09 15:31 . 2008-10-31 23:17 1318952 ----a-w- c:\programme\SetupOneCare.exe 2008-10-09 15:30 . 2008-10-09 17:03 5154304 ----a-w- c:\programme\WindowsDefender.msi . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVDV.dll" [2010-03-09 2355224] [HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83BD144C-5E53-4E12-8E99-5A7F1BBF3EA0}] 2010-04-13 19:34 815104 ----a-w- c:\programme\Video Download Toolbar\v3.3.0.3\Video_Download_Toolbar.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B29002A0-87A1-4DC4-AC55-5982034EB61E}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}] 2010-03-09 10:06 2355224 ----a-w- c:\programme\DVDVideoSoft\tbDVDV.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVDV.dll" [2010-03-09 2355224] "{E52BE12D-A44A-4F51-9DC1-34F37A488CC7}"= "c:\programme\Video Download Toolbar\v3.3.0.3\Video_Download_Toolbar.dll" [2010-04-13 815104] [HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}] [HKEY_CLASSES_ROOT\clsid\{e52be12d-a44a-4f51-9dc1-34f37a488cc7}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\programme\DVDVideoSoft\tbDVDV.dll" [2010-03-09 2355224] [HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 339968] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792] "YouTubeDownloader_upgrade"="c:\programme\tools\YouTubeDownloader\YouTubeDownloader.exe" [2009-12-21 364544] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\pc\Startmen\Programme\Autostart\ Adobe Media Player.lnk - c:\programme\Adobe Media Player\Adobe Media Player.exe [2008-11-3 260096] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Capture Text.lnk - c:\windows\Installer\{8D4EFE36-7B1B-4732-842A-002D95358EB7}\CaptureText.exe1_D0A569983F9642C8914B3AD0CB76B5BC.exe [2010-4-3 49152] Orbit.lnk - c:\programme\Orbitdownloader\orbitdm.exe [2010-3-2 1805584] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Hama Wireless LAN Utility.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Hama Wireless LAN Utility.lnk backup=c:\windows\pss\Hama Wireless LAN Utility.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Orbit.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Orbit.lnk backup=c:\windows\pss\Orbit.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] 2008-08-08 12:11 490952 ----a-w- c:\programme\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update] 2009-08-28 00:04 133104 ----atw- c:\dokumente und einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2009-11-12 15:33 141600 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2009-11-10 22:08 417792 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RetroExpress] 2008-07-16 15:39 9499928 ----a-w- c:\progra~1\RETROS~1\RETROS~1.5\RetroExpress.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] 2004-06-30 12:33 1388544 ----a-w- c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-08-28 00:22 149280 ----a-w- c:\programme\tools\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] 2008-11-03 23:42 39408 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "m:\\daten\\utorrent\\uTorrent.exe"= "e:\\eMule\\emule.exe"= "c:\\Programme\\Orbitdownloader\\orbitdm.exe"= "c:\\Programme\\Orbitdownloader\\orbitnet.exe"= R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [27.11.2009 23:51 108289] R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20.10.2009 20:19 50704] S2 gupdate1ca277453bb86ee;Google Update Service (gupdate1ca277453bb86ee);c:\programme\Google\Update\GoogleUpdate.exe [28.08.2009 02:13 133104] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.11.2008 02:59 717296] . Inhalt des "geplante Tasks" Ordners 2010-04-20 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-11-03 00:12] 2010-04-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-08-28 00:13] 2010-04-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-08-28 00:13] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050 uInternet Settings,ProxyOverride = *.local IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201 IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204 IE: Alles mit FDM herunterladen - file://c:\programme\tools\Free Download Manager\dlall.htm IE: Auswahl mit FDM herunterladen - file://c:\programme\tools\Free Download Manager\dlselected.htm IE: Datei mit FDM herunterladen - file://c:\programme\tools\Free Download Manager\dllink.htm IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203 IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202 IE: Download Video by Free YouTuBe Utility - c:\programme\tools\Free YouTuBe Utility\IEydown.htm IE: Download with Xilisoft Download YouTube Video - c:\programme\tools\Download YouTube Video\upod_link.HTM IE: Videos mit FDM herunterladen - file://c:\programme\tools\Free Download Manager\dlfvideo.htm TCP: {1B38F9B3-9F18-4B8F-B9F8-72B0FEB99F16} = 192.168.0.1 FF - ProfilePath - c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\ FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q= FF - component: c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll FF - component: c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll FF - component: c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\piclens@cooliris.com\components\coolirisstub.dll FF - component: c:\programme\Orbitdownloader\addons\OneClickYouTubeDownloader\components\GrabXpcom.dll FF - component: c:\programme\tools\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll FF - plugin: c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll FF - plugin: c:\dokumente und einstellungen\jan\Anwendungsdaten\Mozilla\Firefox\Profiles\rd78uixu.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll FF - plugin: c:\dokumente und einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\npGoogleOneClick8.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Google Updater\2.4.1698.5652\npCIDetect13.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\tools\Java\jre6\bin\new_plugin\npdeploytk.dll FF - plugin: c:\programme\tools\Java\jre6\bin\new_plugin\npjp2.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . . ------- Dateityp-Verknüpfung ------- . .reg=Regedit.Document . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) MSConfigStartUp-SVCHOST - c:\windows\system32\drivers\svchost.exe AddRemove-PicaLoader_is1 - c:\programme\toolsßPicaLoader\UninsHs.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-04-20 16:56 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Hotspot Shield\bin\openvpnas.exe c:\programme\Hotspot Shield\HssWPR\hsssrv.exe c:\programme\tools\Java\jre6\bin\jqs.exe c:\programme\Retrospect\Retrospect Express HD 2.5\retrorun.exe c:\programme\Orbitdownloader\orbitnet.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-04-20 16:58:36 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-04-20 14:58 Vor Suchlauf: 2.418.520.064 Bytes frei Nach Suchlauf: 2.422.702.080 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - D844DA97ADB24FBDC40F0399A90C0381 |
| Themen zu hijack + combofix logs checken |
| 0 bytes, afd.sys, antivir, avg, avgnt, avira, bonjour, browser, combofix, components, desktop, download, einstellungen, explorer, firefox, firefox.exe, fontcache, free download, google earth, gupdate, hijack, home, hotspot, hotspot shield, internet, internet explorer, lan, malwarebytes, mozilla, opera, popup, programme, richtlinie, scan, sptd.sys, suchlauf, system, windows, windows recovery, windows xp, wireless lan, youtube downloader |
Baum-Darstellung