| |
| |||||||
Log-Analyse und Auswertung: Internet Explorer/Firefox öffnet automatisch WerbungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
28.05.2010, 15:22
| #16 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Internet Explorer/Firefox öffnet automatisch Werbung Gut. Dann mach mal jetzt einen Durchgang mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
29.05.2010, 09:15
| #17 |
| Gesperrt | Internet Explorer/Firefox öffnet automatisch Werbung Ok hab alles ausgeführt. Hier das log-file
__________________Combofix Logfile: Code:
ATTFilter ComboFix 10-05-28.02 - * 26.05.2010 11:51:13.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\All Users\Desktops\cofi.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\*\Anwendungsdaten\020000009f4d3e7e922C.manifest
c:\dokumente und einstellungen\*\Anwendungsdaten\020000009f4d3e7e922O.manifest
c:\dokumente und einstellungen\*\Anwendungsdaten\020000009f4d3e7e922P.manifest
c:\dokumente und einstellungen\*\Anwendungsdaten\020000009f4d3e7e922S.manifest
c:\programme\Mozilla Firefox\components\npclntax.xpt
c:\windows\Downloaded Program Files\f3initialsetup1.0.0.15-3.inf
c:\windows\system32\system.dat
c:\windows\system32\Vb40032.dll
Infizierte Kopie von c:\windows\system32\drivers\tcpip.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-04-26 bis 2010-05-26 ))))))))))))))))))))))))))))))
.
2010-05-26 11:30 . 2010-05-26 11:30 -------- d-----w- c:\programme\CCleaner
2010-05-26 11:30 . 2010-05-26 11:30 -------- d-----w- C:\_OTL
2010-05-24 10:31 . 2010-05-24 10:31 -------- d-----w- c:\dokumente und einstellungen\*\Anwendungsdaten\Malwarebytes
2010-05-24 10:31 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-24 10:31 . 2010-05-24 10:31 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-24 10:31 . 2010-05-24 10:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-24 10:31 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-24 10:17 . 2010-05-26 11:01 823808 ----a-w- c:\windows\system32\drivers\ztnfxdc.sys
2010-05-23 10:13 . 2008-04-13 19:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-05-23 10:12 . 2008-04-13 19:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-05-23 10:11 . 2008-04-13 19:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-05-07 21:15 . 2010-05-07 21:15 -------- d-----w- c:\programme\ffdshow
2010-05-04 20:50 . 2010-05-04 20:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-05-04 20:32 . 2010-05-04 20:24 -------- d-----w- c:\windows\SxsCaPendDel
2010-04-30 21:00 . 2010-04-30 21:00 -------- d-----w- c:\dokumente und einstellungen\*\Lokale Einstellungen\Anwendungsdaten\PIXELA
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-26 11:42 . 2008-10-08 13:35 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-05-26 11:40 . 2007-05-18 14:17 -------- d-----w- c:\dokumente und einstellungen\*\Anwendungsdaten\Launchy
2010-05-26 11:39 . 2000-01-20 12:59 58064 -c--a-w- c:\dokumente und einstellungen\*\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-26 10:53 . 2007-08-21 08:02 -------- d-----w- c:\dokumente und einstellungen\*\Anwendungsdaten\Free Download Manager
2010-05-24 10:14 . 2007-09-04 16:41 -------- d-----w- c:\dokumente und einstellungen\*\Anwendungsdaten\gtk-2.0
2010-05-23 10:19 . 2008-10-11 17:03 1 ----a-w- c:\dokumente und einstellungen\*\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-18 09:24 . 2008-09-01 12:36 -------- d-----w- c:\dokumente und einstellungen\*\Anwendungsdaten\tunebite
2010-05-09 08:30 . 2009-07-31 19:54 -------- d-----w- c:\dokumente und einstellungen\*\Anwendungsdaten\vlc
2010-05-04 20:53 . 2010-05-04 20:53 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-05-04 20:50 . 2010-05-04 20:53 1180952 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-05-04 20:31 . 2010-02-15 09:18 -------- d-----w- c:\programme\Franzis
2010-05-04 20:31 . 2007-08-09 10:54 -------- d-----w- c:\programme\DivX
2010-04-08 15:23 . 2009-11-07 13:43 -------- d-----w- c:\dokumente und einstellungen\*\Anwendungsdaten\Skype
2010-04-08 14:56 . 2008-05-12 09:37 -------- d-----w- c:\dokumente und einstellungen\*\Anwendungsdaten\skypePM
2010-03-31 08:01 . 2005-10-30 11:34 -------- d-----w- c:\programme\mg9
2010-03-30 22:18 . 2010-03-30 22:18 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2010-03-21 21:22 . 2010-03-21 21:11 256 ----a-w- c:\windows\system32\pool.bin
2010-03-11 12:31 . 2001-08-18 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:31 . 2000-01-20 12:16 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:31 . 2001-08-18 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 11:09 . 2001-08-18 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-08 17:59 . 2010-03-08 17:59 94208 ----a-w- c:\windows\system32\dpl100.dll
2009-10-08 11:06 . 2009-10-08 11:06 8 --sh--w- c:\programme\.drv120405.dat
2009-10-08 11:06 . 2009-10-08 11:06 8 --sh--w- c:\programme\.data211204.dat
2009-10-08 11:06 . 2009-10-08 11:06 8 --sh--w- c:\programme\.data211004.dat
2009-10-08 11:06 . 2009-10-08 11:06 8 --sh--w- c:\programme\.data110704.dat
2009-10-08 11:06 . 2009-10-08 11:06 8 --sh--w- c:\programme\.dat000002.dat
2009-10-08 11:06 . 2009-10-08 11:06 8 --sh--w- c:\programme\.dat000001.dat
2005-05-13 16:12 . 2005-05-13 16:12 217073 -csha-r- c:\windows\meta4.exe
2005-07-14 11:31 . 2005-07-14 11:31 27648 -csha-r- c:\windows\system32\AVSredirect.dll
2005-06-26 14:32 . 2005-06-26 14:32 616448 -csha-r- c:\windows\system32\cygwin1.dll
2005-06-21 21:37 . 2005-06-21 21:37 45568 -csha-r- c:\windows\system32\cygz.dll
2004-01-24 23:00 . 2004-01-24 23:00 70656 --sha-r- c:\windows\system32\i420vfw.dll
2005-02-28 12:16 . 2005-02-28 12:16 240128 -csha-r- c:\windows\system32\x.264.exe
2004-01-24 23:00 . 2004-01-24 23:00 70656 --sha-r- c:\windows\system32\yv12vfw.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2007-08-30 205480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Launchy.lnk - c:\programme\Launchy\Launchy.exe [2008-3-15 552960]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\windows\system32\logonui.exe"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
2005-05-17 16:42 933888 ------w- c:\programme\Brother\ControlCenter2\brctrcen.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager]
2008-05-20 15:27 2474031 ----a-w- c:\programme\Free Download Manager\fdm.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-10-28 19:21 141600 ----a-w- c:\programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-09-05 00:54 417792 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
2005-01-26 17:02 49152 ------w- c:\programme\Brother\Brmfl05a\BrStDvPt.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Free Download Manager"="c:\programme\Free Download Manager\fdm.exe" -autorun
"Power2GoExpress"="e:\progs\not much used\CyberLink DVD 7\Power2Go\Power2GoExpress.exe" /Startup
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"PPAP"=c:\dokumente und einstellungen\All Users\Anwendungsdaten\PPLiveVA\Application\PPAP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"PDVD8LanguageShortcut"="e:\progs\not much used\CyberLink DVD 7\PowerDVD8\Language\Language.exe"
"InstantBurn"=e:\progs\NOTMUC~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
"IgfxTray"=c:\windows\System32\igfxtray.exe
"HotKeysCmds"=c:\windows\System32\hkcmd.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"
"CLMLServer"="e:\progs\not much used\CyberLink DVD 7\Power2Go\CLMLSvc.exe"
"RemoteControl8"="e:\progs\not much used\CyberLink DVD 7\PowerDVD8\PDVD8Serv.exe"
"PaperPort PTD"=c:\programme\ScanSoft\PaperPort\pptd40nt.exe
"IndexSearch"=c:\programme\ScanSoft\PaperPort\IndexSearch.exe
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"P2Go_Menu"="e:\progs\not much used\CyberLink DVD 7\Power2Go\MUITransfer\MUIStartMenu.exe" "e:\progs\not much used\CyberLink DVD 7\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
"UpdatePDRShortCut"="e:\progs\not much used\CyberLink DVD 7\DVD Suite\MUITransfer\MUIStartMenu.exe" "e:\progs\not much used\CyberLink DVD 7\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
"UpdatePPShortCut"="e:\progs\not much used\CyberLink DVD 7\PowerProducer\MUITransfer\MUIStartMenu.exe" "e:\progs\not much used\CyberLink DVD 7\PowerProducer" update "Software\CyberLink\PowerProducer\5.0"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\system32\\ccapp.exe"=
"c:\\Programme\\MyMDb\\MyMDb.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R1 CLBStor;InstantBurn Storage Helper Driver;c:\windows\system32\drivers\CLBStor.sys [01.01.2010 11:59 15784]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.05.2009 11:00 108289]
R2 CLBUDF;CyberLink InstantBurn UDF Filesystem;c:\windows\system32\drivers\CLBUDF.sys [01.01.2010 11:59 162344]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - ztnfxdc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchMigratedDefaultUrl =
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
IE: {{FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} -
DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} - hxxp://install.anark.com/client/version4/windows-ie/en/AMClient.cab
FF - ProfilePath - c:\dokumente und einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\fi1sla89.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/webhp?rls=ig
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-BlockChecker - c:\programme\Block Checker\block-checker.exe
MSConfigStartUp-ClipIncSrvTray - e:\clipinc\Player\ClipIncTray.exe
MSConfigStartUp-Free Uploader Oe Integration - c:\programme\Free Download Manager\FUM\fumoei.exe
MSConfigStartUp-Microsoft Works Portfolio - c:\programme\Microsoft Works\WksSb.exe
MSConfigStartUp-Microsoft Works Update Detection - c:\programme\Microsoft Works\WkDetect.exe
MSConfigStartUp-MsnMsgr - c:\programme\MSN Messenger\MsnMsgr.Exe
MSConfigStartUp-WorksFUD - c:\programme\Microsoft Works\wkfud.exe
AddRemove-SLABCOMM&10C4&EA60 - c:\windows\system32\Silabs\DriverUninstaller.exe VCP CP210x Cardinal\SLABCOMM&10C4&EA60
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-26 12:01
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ztnfxdc]
.
Zeit der Fertigstellung: 2010-05-26 12:18:22
ComboFix-quarantined-files.txt 2010-05-26 11:18
Vor Suchlauf: 1.605.591.040 Bytes frei
Nach Suchlauf: 1.629.450.240 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /TUTag=GMU4ET
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /fastdetect /NoExecute=OptIn /KERNEL=ntoskvs1.exe /TUTag=GMU4ET-BAK
- - End Of File - - 0EE61EC6A4EB1D4515E04356F56CB1B4
[/HTML] Bevor ich combofix ausgeführt habe, hab ich anitvir deaktiviert. dann hat er sich jedoch neu gestartet und es kamen (während comofix lief) zwei virenwarnmeldungen, weil anitvir sich beim neustart automatsich gestartet hat. ich hab die dateien in quarantäne. |
|
30.05.2010, 15:21
| #18 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Internet Explorer/Firefox öffnet automatisch Werbung Ok. Dann probier jetzt mal Logs mit GMER und OSAM zu erstellen. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führt nur OSAM aus.
__________________
__________________ |
|
30.05.2010, 21:19
| #19 |
| Gesperrt | Internet Explorer/Firefox öffnet automatisch Werbung hier schonmal das logfile von gmer: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-26 12:42:16
Windows 5.1.2600 Service Pack 3
Running: ryrw4bgv.exe; Driver: C:\DOKUME~1\*\LOKALE~1\Temp\pwriypog.sys
---- System - GMER 1.0.15 ----
SSDT F8BEC856 ZwCreateKey
SSDT F8BEC84C ZwCreateThread
SSDT F8BEC85B ZwDeleteKey
SSDT F8BEC865 ZwDeleteValueKey
SSDT F8BEC86A ZwLoadKey
SSDT F8BEC838 ZwOpenProcess
SSDT F8BEC83D ZwOpenThread
SSDT F8BEC874 ZwReplaceKey
SSDT F8BEC86F ZwRestoreKey
SSDT F8BEC860 ZwSetValueKey
SSDT F8BEC847 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.pak2 C:\WINDOWS\system32\drivers\ztnfxdc.sys entry point in ".pak2" section [0xF841A4E0]
? C:\WINDOWS\system32\drivers\ztnfxdc.sys Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE Ntfs.sys F82D4E55 4 Bytes CALL 823D6429
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 82289FE0
Device \FileSystem\Udfs \UdfsCdRom CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)
Device \FileSystem\Udfs \UdfsDisk CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] ztnfxdc <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\ztnfxdc@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ztnfxdc@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ztnfxdc@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ztnfxdc@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\ztnfxdc@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\ztnfxdc@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\ztnfxdc@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\ztnfxdc@Group Boot Bus Extender
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\69B89D107E68E7E44A375D232870FEE2@P_:}À\xf7\f\0ð!\xa8\3\fïµ\0ú.1}\xbd/1}\xa0o:}øö\f\0X_:}\x2dc\a ????@A?????????MZ??????????????????????@???????????????????????????????????????????????!??L?!This program cannot be run in DOS mode. $????????w{???????????????x???????{???????H?????????|???o?h?????o?x?v???o?{???????o???????g???????i???????m?????Rich????????????PE??L???T??H???????????!?????x???r???????????????????????????????????????????????0???????W???????????????????????????????????????v??????????\'??????????????????????????????????????????????????????????????@???????????????p???????????????????????????.text???'v???????x?????????????????? ??`.data???X=???????????|??????????????@???.rsrc????0???????(??????????????????@??@.reloc??R.???????0??????????????????@??B????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
---- EOF - GMER 1.0.15 ----
|
|
31.05.2010, 08:53
| #21 |
| Gesperrt | Internet Explorer/Firefox öffnet automatisch Werbung hier das osam-logfile: OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 http://www.online-solutions.ru/en/ Saved at 12:09:39 on 26.05.2010 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.0 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~2\avconfig.cpl "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "%USB\vid_054c&pid_0155.DeviceDesc%" (ovt519) - "OmniVision Technologies, Inc." - C:\WINDOWS\System32\Drivers\ov519vid.sys "Apple Mobile USB Driver" (USBAAPL) - "Apple, Inc." - C:\WINDOWS\System32\Drivers\usbaapl.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "BlackBerry-Smartphone" (RimUsb) - ? - C:\WINDOWS\System32\Drivers\RimUsb.sys (File not found) "catchme" (catchme) - ? - C:\DOKUME~1\*\LOKALE~1\Temp\catchme.sys (File not found) "CyberLink InstantBurn UDF Filesystem" (CLBUDF) - "CyberLink Corporation." - C:\WINDOWS\system32\drivers\CLBUDF.sys "DSL-Manager Service" (TSMPacket) - ? - C:\WINDOWS\System32\DRIVERS\tsmpkt.sys (File not found) "InstantBurn Storage Helper Driver" (CLBStor) - "Cyberlink Co.,Ltd." - C:\WINDOWS\system32\drivers\CLBStor.sys "Logitech QuickCam IM(PID_PEPI)" (PID_PEPI) - ? - C:\WINDOWS\System32\DRIVERS\LV302V32.SYS (File not found) "Logitech USB Monitor Filter" (LVUSBSta) - ? - C:\WINDOWS\System32\drivers\LVUSBSta.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "TAP VPN Adapter" (tapvpn) - "The OpenVPN Project" - C:\WINDOWS\System32\DRIVERS\tapvpn.sys "Tunebite High-Speed Dubbing" (tbhsd) - "RapidSolution Software" - C:\WINDOWS\System32\drivers\tbhsd.sys "Volume Adapter" (pepifilter) - ? - C:\WINDOWS\System32\DRIVERS\lv302af.sys (File not found) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "ztnfxdc" (ztnfxdc) - ? - C:\WINDOWS\system32\drivers\ztnfxdc.sys (Hidden registry entry, rootkit activity | File not found) [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll {19741013-C829-11D1-8233-0020AF3E97A9} "Context Menu Shell Extension" - ? - (File not found | COM-object registry key not found) {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {F49C55B9-D417-45A1-A6E7-D6E057946280} "FdmUplShlExt Class" - ? - C:\Programme\Free Download Manager\FUM\fumshext.dll {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {73B24247-042E-4EF5-ADC2-42F62E6FD654} "ICQ Lite Shell Extension" - ? - (File not found | COM-object registry key not found) {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll {44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll {e57ce731-33e8-4c51-8354-bb4de9d215d1} "Universelle Plug & Play-Geräte" - ? - (File not found | COM-object registry key not found) [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )----- {32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found) -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "Klicke hier um das Projekt xp-AntiSpy zu unterstützen" - ? - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {6E5E167B-1566-4316-B27F-0DDAB3484CF7} "Image Uploader Control" - "Aurigma, Inc." - C:\WINDOWS\Downloaded Program Files\ImageUploader4.ocx / http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} "Java Plug-in 1.5.0_04" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll / http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "Java Plug-in 1.5.0_10" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll / http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {4F1E5B1A-2A80-42CA-8532-2D05CB959537} "MSN Photo Upload Tool" - "Microsoft® Corporation" - C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll / http://by111fd.bay111.hotmail.msn.com/resources/MsnPUpld.cab {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} "QuickTime Object" - "Apple Inc." - C:\Programme\QuickTime\QTPlugin.ocx / http://www.apple.com/qtactivex/qtplugin.cab {166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\macromed\Director\SwDir.dll / http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx / http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab {051D0E35-F4E3-4C8D-B411-AB0875F4C683} "{051D0E35-F4E3-4C8D-B411-AB0875F4C683}" - ? - (File not found | COM-object registry key not found) / http://install.anark.com/client/version4/windows-ie/en/AMClient.cab {A8F2B9BD-A6A0-486A-9744-18920D898429} "{A8F2B9BD-A6A0-486A-9744-18920D898429}" - ? - (File not found | COM-object registry key not found) / http://www.sibelius.com/download/software/win/ActiveXPlugin.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} "Upload" - ? - (File not found | COM-object registry key not found) [Logon] -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "ISUSPM" - "Macrovision Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "avm:" - "AVM Berlin GmbH" - C:\WINDOWS\system32\avmprmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Programme\CyberLink\Shared Files\RichVideo.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll "TuneUp Drive Defrag-Dienst" (TuneUp.Defrag) - "TuneUp Software" - C:\WINDOWS\System32\TuneUpDefragService.exe "TuneUp Program Statistics Service" (TuneUp.ProgramStatisticsSvc) - "TuneUp Software" - C:\WINDOWS\System32\TUProgSt.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit http://forum.online-solutions.ru[/HTML] |
|
31.05.2010, 09:47
| #22 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Internet Explorer/Firefox öffnet automatisch Werbung Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter registry keys to delete:
HKLM\SYSTEM\ControlSet002\Services\ztnfxdc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\69B89D107E68E7E44A375D232870FEE2
files to delete:
C:\WINDOWS\system32\drivers\ztnfxdc.sys
drivers to delete:
ztnfxdc
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken
__________________ Logfiles bitte immer in CODE-Tags posten |
|
31.05.2010, 11:44
| #23 |
| Gesperrt | Internet Explorer/Firefox öffnet automatisch Werbung Der Link: h**p://www.file-upload.net/download-2561470/backup.zip.html HTML-Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Registry key "HKLM\SYSTEM\ControlSet002\Services\ztnfxdc" deleted successfully. File "C:\WINDOWS\system32\drivers\ztnfxdc.sys" deleted successfully. Driver "ztnfxdc" deleted successfully. Registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\69B89D107E68E7E44A375D232870FEE2" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
02.06.2010, 15:56
| #25 |
| Gesperrt | Internet Explorer/Firefox öffnet automatisch Werbung hier das neue GMER log: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-31 20:11:40
Windows 5.1.2600 Service Pack 3
Running: i6h5spry.exe; Driver: C:\DOKUME~1\*\LOKALE~1\Temp\pwriypog.sys
---- System - GMER 1.0.15 ----
SSDT F8B39956 ZwCreateKey
SSDT F8B3994C ZwCreateThread
SSDT F8B3995B ZwDeleteKey
SSDT F8B39965 ZwDeleteValueKey
SSDT F8B3996A ZwLoadKey
SSDT F8B39938 ZwOpenProcess
SSDT F8B3993D ZwOpenThread
SSDT F8B39974 ZwReplaceKey
SSDT F8B3996F ZwRestoreKey
SSDT F8B39960 ZwSetValueKey
SSDT F8B39947 ZwTerminateProcess
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Udfs \UdfsCdRom CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)
Device \FileSystem\Udfs \UdfsDisk CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)
---- EOF - GMER 1.0.15 ----
|
|
03.06.2010, 10:55
| #26 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Internet Explorer/Firefox öffnet automatisch Werbung Rootkit ist weg, sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.06.2010, 19:04
| #27 |
| Gesperrt | Internet Explorer/Firefox öffnet automatisch Werbung HIer schon mal das malwarbytes log: HTML-Code: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4168 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 04.06.2010 21:18:47 mbam-log-2010-06-04 (21-18-47).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|G:\|I:\|) Durchsuchte Objekte: 423558 Laufzeit: 9 Stunde(n), 52 Minute(n), 54 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
08.06.2010, 18:33
| #28 |
| Gesperrt | Internet Explorer/Firefox öffnet automatisch Werbung Hier noch das andere log-file (kommt verspätet da ich die letzten tage verhindert war): HTML-Code: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 06/08/2010 at 11:12 PM Application Version : 4.38.1004 Core Rules Database Version : 5045 Trace Rules Database Version: 2857 Scan type : Complete Scan Total Scan Time : 00:30:56 Memory items scanned : 407 Memory threats detected : 0 Registry items scanned : 5853 Registry threats detected : 2 File items scanned : 309369 File threats detected : 4 Adware.Zango Toolbar/Hb HKLM\Software\ZangoToolbar HKLM\Software\ZangoToolbar\ZangoToolbar Adware.Flash Tracking Cookie C:\Dokumente und Einstellungen\*\Anwendungsdaten\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\7BQUVV5U\IA.MEDIA-IMDB.COM Trojan.Agent/Gen-Krpytik C:\WESTWOOD\MONOPOLY\DLG_GER.DLL Trojan.Agent/Gen-Cryptor C:\_OTL\MOVEDFILES\05262010_123016\C_DOKUMENTE UND EINSTELLUNGEN\*\LOKALE EINSTELLUNGEN\TEMP\DN1EFYWU8.EXE Trojan.Smitfraud Variant-Gen/Bensorty C:\_OTL\MOVEDFILES\05262010_123016\C_WINDOWS\SYSTEM32\T3JHO1.DLL |
|
08.06.2010, 20:00
| #29 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Internet Explorer/Firefox öffnet automatisch Werbung Waren nur einige Überbleibsel. Rechner wieder ok?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
08.06.2010, 20:14
| #30 |
| Gesperrt | Internet Explorer/Firefox öffnet automatisch Werbung Ja alles wieder ok, jedenfalls hab ich soweit keine probleme mehr. Vielen vielen Dank, du hast mir wirklich sehr geholfen. Danke. Aber noch eine frage: Soll ich die passwörter der accounts ändern, die ich während der zeit benutzt habe, oder ist das nicht nötig? |
|
| Themen zu Internet Explorer/Firefox öffnet automatisch Werbung |
| .dll, antivir guard, avira, bho, bonjour, browseui preloader, desktop, einstellungen, explorer, firefox, free download, hijack, hijackthis, hijackthis log-file, hkus\s-1-5-18, internet, internet explorer, logfile, malware, mozilla, programm, rundll, scan, software, systemcheck, temp, viren, virus, werbung, windows, windows xp, öffnet, öffnet automatisch |
Linear-Darstellung
