|
Log-Analyse und Auswertung: Trojaner an Bord und nicht zu kriegen...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.07.2010, 19:34 | #1 |
| Trojaner an Bord und nicht zu kriegen... Mal nen Wochenende nicht da gewesen... schon was aufm Rechner ... bin selbst kein Computercrak... und bin über Google über dieses Forum gestolpert. Das Problem... beim Online Banking meiner Ma ist eine gefälschte Seite aufgetaucht die verschiedene Tan nummern verlangt... Und der Rechner kommt mir seit dem ein wenig langsammer vor als vorher.... Danke schon im vorraus. HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:11:24, on 20.07.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: D:\WINXP\System32\smss.exe D:\WINXP\system32\winlogon.exe D:\WINXP\system32\services.exe D:\WINXP\system32\lsass.exe D:\WINXP\system32\nvsvc32.exe D:\WINXP\system32\svchost.exe D:\WINXP\System32\svchost.exe D:\WINXP\system32\spoolsv.exe D:\WINXP\System32\svchost.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe D:\Programme\Java\jre6\bin\jqs.exe D:\WINXP\system32\svchost.exe D:\WINXP\RTHDCPL.EXE C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe D:\WINXP\system32\RUNDLL32.EXE D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe D:\Programme\AGEIA Technologies\TrayIcon.exe D:\WINXP\system32\ctfmon.exe C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe D:\WINXP\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Firefox\plugin-container.exe D:\Dokumente und Einstellungen\Uther\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" O4 - HKLM\..\Run: [nwiz] D:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINXP\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [AGEIA PhysX SysTray] D:\Programme\AGEIA Technologies\TrayIcon.exe O4 - HKCU\..\Run: [ctfmon.exe] D:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = ? O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: D:\Programme\Internet Explorer\Plugins\NPDocBox.dll O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - D:\WINXP\system32\nvsvc32.exe -- End of file - 5427 bytes |
20.07.2010, 20:05 | #2 |
| Trojaner an Bord und nicht zu kriegen...Hallo, poste mal diese Logs: http://www.trojaner-board.de/85104-o...-oldtimer.html http://www.trojaner-board.de/51187-a...i-malware.html lg. *******************************************
__________________ |
20.07.2010, 20:26 | #3 |
| Trojaner an Bord und nicht zu kriegen... Mit ein Weekend weg und was drauf... war gemeint .... Meine Ma ht sich das beim rum Surfen eingefangen nicht ich^^
__________________OTL Logfile: Code:
ATTFilter OTL logfile created on: 20.07.2010 21:12:07 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = D:\Dokumente und Einstellungen\Uther\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free Paging file location(s): D:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = D: | %SystemRoot% = D:\WINXP | %ProgramFiles% = D:\Programme Drive C: | 97,65 Gb Total Space | 57,19 Gb Free Space | 58,56% Space Free | Partition Type: NTFS Drive D: | 14,13 Gb Total Space | 2,24 Gb Free Space | 15,83% Space Free | Partition Type: NTFS Drive E: | 1,74 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: SANGINIUS Current User Name: Uther Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - D:\Dokumente und Einstellungen\Uther\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe (Kaspersky Lab) PRC - D:\WINXP\explorer.exe (Microsoft Corporation) PRC - C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe (ZyXEL Technology Corporation) PRC - D:\Programme\AGEIA Technologies\TrayIcon.exe () ========== Modules (SafeList) ========== MOD - D:\Dokumente und Einstellungen\Uther\Desktop\OTL.exe (OldTimer Tools) MOD - D:\WINXP\system32\mpnohare.dll () MOD - D:\WINXP\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcr80.dll (Microsoft Corporation) MOD - D:\WINXP\system32\msscript.ocx (Microsoft Corporation) MOD - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll (Kaspersky Lab) MOD - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll (Kaspersky Lab) MOD - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\adialhk.dll (Kaspersky Lab) ========== Win32 Services (SafeList) ========== SRV - (Akamai) -- d:\Programme\Gemeinsame Dateien\Akamai\rswin_3725.dll () SRV - (AVP) -- C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe (Kaspersky Lab) ========== Driver Services (SafeList) ========== DRV - (XDva289) -- D:\WINXP\System32\XDva289.sys File not found DRV - (GMSIPCI) -- E:\INSTALL\GMSIPCI.SYS File not found DRV - (EagleNT) -- D:\WINXP\System32\drivers\EagleNT.sys File not found DRV - (nv) -- D:\WINXP\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (HDAudBus) -- D:\WINXP\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (klif) -- D:\WINXP\system32\drivers\klif.sys (Kaspersky Lab) DRV - (klim5) -- D:\WINXP\system32\drivers\klim5.sys (Kaspersky Lab) DRV - (kl1) -- D:\WINXP\system32\drivers\kl1.sys (Kaspersky Lab) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- D:\WINXP\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.) DRV - (ZY760_XP) -- D:\WINXP\system32\drivers\WlanUZXP.SYS (ZyDAS Technology Corporation) DRV - (ZDCNDIS5) -- D:\WINXP\ZDCndis5.sys (ZDC., Inc. (ZDC)) DRV - (ZDPSp50) -- D:\WINXP\system32\drivers\ZDPSp50.sys (Printing Communications Assoc., Inc. (PCAUSA)) DRV - (nvata) -- D:\WINXP\system32\DRIVERS\nvata.sys (NVIDIA Corporation) DRV - (nvnetbus) -- D:\WINXP\system32\drivers\nvnetbus.sys (NVIDIA Corporation) DRV - (NVENETFD) -- D:\WINXP\system32\drivers\NVENETFD.sys (NVIDIA Corporation) DRV - (AmdK8) -- D:\WINXP\system32\drivers\AmdK8.sys (Advanced Micro Devices) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = D:\WINXP\system32\blank.htm IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.6.8 FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.3 FF - prefs.js..extensions.enabledItems: {1018e4d6-728f-4b20-ad56-37578a4de76b}:4.0.4 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.08 13:41:38 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.08 13:41:38 | 000,000,000 | ---D | M] [2009.11.06 15:35:05 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\Mozilla\Extensions [2010.07.20 20:57:21 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\Mozilla\Firefox\Profiles\78q5wx4z.default\extensions [2010.04.28 13:34:46 | 000,000,000 | ---D | M] (Flagfox) -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\Mozilla\Firefox\Profiles\78q5wx4z.default\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b} [2010.04.28 13:34:32 | 000,000,000 | ---D | M] (DownloadHelper) -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\Mozilla\Firefox\Profiles\78q5wx4z.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2010.04.28 13:34:44 | 000,000,000 | ---D | M] (Download Statusbar) -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\Mozilla\Firefox\Profiles\78q5wx4z.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} O1 HOSTS File: ([2010.07.12 11:18:46 | 000,411,976 | R--- | M]) - D:\WINXP\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 14235 more lines... O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx () O4 - HKLM..\Run: [AGEIA PhysX SysTray] D:\Programme\AGEIA Technologies\TrayIcon.exe () O4 - HKLM..\Run: [Alcmtr] D:\WINXP\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [AVP] C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe (Kaspersky Lab) O4 - HKLM..\Run: [NvCplDaemon] D:\WINXP\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] D:\WINXP\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] D:\Programme\NVIDIA Corporation\nView\nwiz.exe File not found O4 - HKLM..\Run: [SkyTel] D:\WINXP\SkyTel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe (ZyXEL Technology Corporation) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm () O9 - Extra Button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll (Kaspersky Lab) O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O12 - Plugin for: .spop - D:\Programme\Internet Explorer\Plugins\NPDocBox.dll (Intertrust Technologies, Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll) - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\adialhk.dll (Kaspersky Lab) O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\WINXP\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\klogon: DllName - D:\WINXP\system32\klogon.dll - D:\WINXP\system32\klogon.dll (Kaspersky Lab) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: D:\Dokumente und Einstellungen\Uther\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: D:\Dokumente und Einstellungen\Uther\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.11.05 18:30:49 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: calcsn32 - (D:\WINXP\system32\mpnohare.dll) - D:\WINXP\system32\mpnohare.dll () O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.07.20 21:10:20 | 000,574,976 | ---- | C] (OldTimer Tools) -- D:\Dokumente und Einstellungen\Uther\Desktop\OTL.exe [2010.07.20 20:08:48 | 000,401,720 | ---- | C] (Trend Micro Inc.) -- D:\Dokumente und Einstellungen\Uther\Desktop\HiJackThis.exe [2010.07.12 11:06:37 | 000,000,000 | ---D | C] -- D:\Programme\Spybot - Search & Destroy [14 D:\WINXP\*.tmp files -> D:\WINXP\*.tmp -> ] [1 D:\WINXP\System32\*.tmp files -> D:\WINXP\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.07.20 21:16:38 | 000,213,280 | -HS- | M] () -- D:\WINXP\System32\drivers\fidbox.dat [2010.07.20 21:15:37 | 000,000,032 | -HS- | M] () -- D:\WINXP\System32\drivers\fidbox.idx [2010.07.20 20:42:25 | 000,759,328 | -HS- | M] () -- D:\WINXP\System32\drivers\fidbox2.dat [2010.07.20 20:41:11 | 008,126,464 | -H-- | M] () -- D:\Dokumente und Einstellungen\Uther\NTUSER.DAT [2010.07.20 20:38:24 | 000,001,917 | ---- | M] () -- D:\WINXP\imsins.BAK [2010.07.20 17:21:47 | 000,253,748 | ---- | M] () -- D:\WINXP\System32\NvApps.xml [2010.07.20 17:21:35 | 000,002,206 | ---- | M] () -- D:\WINXP\System32\wpa.dbl [2010.07.20 17:21:35 | 000,000,006 | -H-- | M] () -- D:\WINXP\tasks\SA.DAT [2010.07.20 17:21:33 | 000,002,048 | --S- | M] () -- D:\WINXP\bootstat.dat [2010.07.19 23:37:53 | 000,075,200 | -HS- | M] () -- D:\WINXP\System32\drivers\fidbox2.idx [2010.07.12 13:32:50 | 000,021,504 | ---- | M] () -- D:\Dokumente und Einstellungen\Uther\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.12 11:18:46 | 000,411,976 | R--- | M] () -- D:\WINXP\System32\drivers\etc\hosts [2010.07.06 16:46:17 | 000,033,814 | ---- | M] () -- D:\Dokumente und Einstellungen\Uther\Desktop\ROCKHARZ_2010_-_RunningOrder.pdf [2010.06.26 23:21:33 | 000,000,481 | ---- | M] () -- D:\Dokumente und Einstellungen\Uther\Desktop\ED.lnk [2010.06.26 15:55:35 | 000,046,592 | -H-- | M] () -- D:\WINXP\System32\mpnohare.dll [2010.06.25 17:07:32 | 000,879,863 | ---- | M] () -- D:\Dokumente und Einstellungen\Uther\Desktop\DSC00268.JPG [14 D:\WINXP\*.tmp files -> D:\WINXP\*.tmp -> ] [1 D:\WINXP\System32\*.tmp files -> D:\WINXP\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.07.06 16:46:16 | 000,033,814 | ---- | C] () -- D:\Dokumente und Einstellungen\Uther\Desktop\ROCKHARZ_2010_-_RunningOrder.pdf [2010.06.26 23:20:40 | 000,000,481 | ---- | C] () -- D:\Dokumente und Einstellungen\Uther\Desktop\ED.lnk [2010.06.26 15:55:35 | 000,046,592 | -H-- | C] () -- D:\WINXP\System32\mpnohare.dll [2010.06.25 19:12:13 | 000,879,863 | ---- | C] () -- D:\Dokumente und Einstellungen\Uther\Desktop\DSC00268.JPG [2010.04.03 15:26:30 | 000,354,816 | ---- | C] () -- D:\WINXP\System32\psisdecd.dll [2010.03.13 17:18:10 | 000,165,376 | ---- | C] () -- D:\WINXP\System32\unrar.dll [2010.03.13 17:18:09 | 000,000,038 | ---- | C] () -- D:\WINXP\avisplitter.ini [2010.03.13 17:18:06 | 000,881,664 | ---- | C] () -- D:\WINXP\System32\xvidcore.dll [2010.03.13 17:18:06 | 000,205,824 | ---- | C] () -- D:\WINXP\System32\xvidvfw.dll [2010.03.13 17:18:04 | 000,085,504 | ---- | C] () -- D:\WINXP\System32\ff_vfw.dll [2010.03.13 17:18:04 | 000,000,547 | ---- | C] () -- D:\WINXP\System32\ff_vfw.dll.manifest [2010.03.03 21:42:50 | 000,000,440 | ---- | C] () -- D:\WINXP\CTL3D991.DLL [2009.11.19 21:47:11 | 000,021,504 | ---- | C] () -- D:\WINXP\jestertb.dll [2009.11.06 14:05:05 | 000,028,672 | ---- | C] () -- D:\WINXP\System32\InsDrvZD.dll [2009.11.06 14:05:05 | 000,015,872 | ---- | C] () -- D:\WINXP\System32\InsDrvZD64.DLL [2009.11.06 14:05:01 | 000,001,162 | ---- | C] () -- D:\WINXP\System32\W32N55.INI [2009.11.05 18:56:04 | 000,053,299 | ---- | C] () -- D:\WINXP\System32\pthreadVC.dll [2009.11.05 18:45:47 | 000,135,168 | R--- | C] () -- D:\WINXP\System32\RtlCPAPI.dll [2006.03.20 21:43:15 | 000,045,056 | ---- | C] () -- D:\WINXP\System32\AgCPanelTraditionalChinese.dll [2006.03.20 21:43:15 | 000,045,056 | ---- | C] () -- D:\WINXP\System32\AgCPanelSwedish.dll [2006.03.20 21:43:15 | 000,045,056 | ---- | C] () -- D:\WINXP\System32\AgCPanelSpanish.dll [2006.03.20 21:43:15 | 000,045,056 | ---- | C] () -- D:\WINXP\System32\AgCPanelSimplifiedChinese.dll [2006.03.20 21:43:15 | 000,045,056 | ---- | C] () -- D:\WINXP\System32\AgCPanelPortugese.dll [2006.03.20 21:43:15 | 000,045,056 | ---- | C] () -- D:\WINXP\System32\AgCPanelKorean.dll [2006.03.20 21:43:15 | 000,045,056 | ---- | C] () -- D:\WINXP\System32\AgCPanelJapanese.dll [2006.03.20 21:43:15 | 000,045,056 | ---- | C] () -- D:\WINXP\System32\AgCPanelGerman.dll [2006.03.20 21:43:15 | 000,045,056 | ---- | C] () -- D:\WINXP\System32\AgCPanelFrench.dll ========== LOP Check ========== [2009.11.16 18:05:26 | 000,000,000 | -H-D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2010.06.06 16:05:40 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files [2010.01.27 18:59:39 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft [2009.12.21 16:36:39 | 000,000,000 | -H-D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A4B500C8-F3EB-4AD9-9762-515CCA35FD16} [2010.04.13 10:32:55 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\Gool [2010.05.03 18:19:13 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\ICQ [2009.11.06 14:38:57 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\InterTrust [2010.06.06 19:14:48 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\LolClient [2009.11.06 17:52:19 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\OpenOffice.org [2009.11.12 06:39:15 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\Orqy [2010.01.12 20:55:22 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\SPORE ========== Purity Check ========== < End of report > |
21.07.2010, 21:29 | #4 |
| Trojaner an Bord und nicht zu kriegen... Und weiss jemand was ich aufm Rechner hab? |
22.07.2010, 15:54 | #5 |
| Trojaner an Bord und nicht zu kriegen... Man kann dir nicht helfen, wenn du nicht die erwünschten logs postest. es fehlt Malwarebytes und OTL extras.txt Akamai NetSession Interface
__________________ Arroganz ist das Selbstbewusstsein des Minderwertigkeitskomplexes. (Jean Rostand) |
23.07.2010, 14:07 | #6 |
| Trojaner an Bord und nicht zu kriegen... OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 20.07.2010 21:12:07 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = D:\Dokumente und Einstellungen\Uther\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free Paging file location(s): D:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = D: | %SystemRoot% = D:\WINXP | %ProgramFiles% = D:\Programme Drive C: | 97,65 Gb Total Space | 57,19 Gb Free Space | 58,56% Space Free | Partition Type: NTFS Drive D: | 14,13 Gb Total Space | 2,24 Gb Free Space | 15,83% Space Free | Partition Type: NTFS Drive E: | 1,74 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: SANGINIUS Current User Name: Uther Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 1 "FirewallDisableNotify" = 1 "UpdatesDisableNotify" = 1 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] "DisableMonitoring" = 1 "" = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 "57434:TCP" = 57434:TCP:*:Enabled:Pando Media Booster "57434:UDP" = 57434:UDP:*:Enabled:Pando Media Booster [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 "DisableNotifications" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008 "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 "57434:TCP" = 57434:TCP:*:Enabled:Pando Media Booster "57434:UDP" = 57434:UDP:*:Enabled:Pando Media Booster "8394:TCP" = 8394:TCP:*:Enabled:League of Legends Launcher "8394:UDP" = 8394:UDP:*:Enabled:League of Legends Launcher ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "D:\Programme\Pando Networks\Media Booster\PMB.exe" = D:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- () [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\Programme\ICQ6.5\ICQ.exe" = D:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.) "C:\Games\Kalypso\Sins of a Solar Empire\Sins of a Solar Empire.exe" = C:\Games\Kalypso\Sins of a Solar Empire\Sins of a Solar Empire.exe:*:Enabled:Sins of a Solar Empire -- (Ironclad Games) "C:\Games\Electronic Arts\BattleForge\Bootstrapper.exe" = C:\Games\Electronic Arts\BattleForge\Bootstrapper.exe:*:Enabled:BattleForge™ Launcher -- (EA Phenomic) "C:\Games\Electronic Arts\BattleForge\BattleForge.exe" = C:\Games\Electronic Arts\BattleForge\BattleForge.exe:*:Enabled:BattleForge™ -- (EA Phenomic) "D:\Programme\Pando Networks\Media Booster\PMB.exe" = D:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- () "C:\Games\League of Legends\Air\LolClient.exe" = C:\Games\League of Legends\Air\LolClient.exe:*:Enabled:League of Legends Lobby -- () "C:\Games\League of Legends\Game\League of Legends.exe" = C:\Games\League of Legends\Game\League of Legends.exe:*:Enabled:League of Legends Game Client -- () ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP2500_series" = Canon iP2500 series "{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter "{16536AE9-7CFB-4BC9-B601-DA59F57D117B}" = WLAN Quick Starter "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{1C4C16A8-3D06-4B15-905A-19B76F9647CD}" = WLAN Monitor "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 20 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{5F374D5D-DB43-4263-9C29-BAB2C93FEFE6}" = Warhammer® Mark of Chaos "{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5 "{62C3CFD3-4B1C-4C8F-8C2E-9B13B66768AB}" = ZyXEL G-220 v2 Wireless Adapter Utility-Programm "{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0 "{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{888DD888-82BE-4D85-BCB2-2E042CD3E844}" = Tom Clancy's Splinter Cell Chaos Theory "{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player "{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster "{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9DF0196F-B6B8-4C3A-8790-DE42AA530101}" = SPORE™ "{9F78DB3D-4F90-4A10-AD0A-85C271C88106}" = Gothic 3 "{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR "{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder "{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter "{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player "{C580908C-B3BA-4C19-BD60-16F02F272201}" = BattleForge™ "{C774410D-3EF9-4DE7-AC01-332613163ECF}" = Kaspersky Security Suite CBE "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CC016F21-3970-11DE-B878-005056806466}" = Google Earth "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{ECCA8FE7-767A-4C8A-9DAA-BAB60F877C41}" = Sins of a Solar Empire "{EFC97089-04D6-42CE-A707-A343B4A7D2CD}" = Ghost Recon Advanced Warfighter "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 "Adobe AIR" = Adobe AIR "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "AGEIA PhysX v2.3.3" = AGEIA PhysX v2.3.3 "Akamai" = Akamai NetSession Interface "Die Gilde 2 - Gold Edition" = Die Gilde 2 - Gold Edition "DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters "FlorensiaEN" = FlorensiaEN 1.10.26 "Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2 "Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.2 "HijackThis" = HijackThis 2.0.2 "InstallWIX_{C774410D-3EF9-4DE7-AC01-332613163ECF}" = Kaspersky Security Suite CBE "KLiteCodecPack_is1" = K-Lite Codec Pack 5.8.0 (Full) "League of Legends_is1" = League of Legends "Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0 "Mozilla Firefox (3.6.6)" = Mozilla Firefox (3.6.6) "NVIDIA Drivers" = NVIDIA Drivers "NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager "Sins of a Solar Empire" = Sins of a Solar Empire "Uninstall_is1" = Uninstall 1.0.0.1 "WinRAR archiver" = WinRAR archiver ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 12.07.2010 05:05:55 | Computer Name = SANGINIUS | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der angegebene Server kann den angeforderten Vorgang nicht ausführen. . Error - 12.07.2010 05:05:55 | Computer Name = SANGINIUS | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 12.07.2010 05:05:55 | Computer Name = SANGINIUS | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der angegebene Server kann den angeforderten Vorgang nicht ausführen. . Error - 12.07.2010 07:23:35 | Computer Name = SANGINIUS | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung rundll32.exe, Version 5.1.2600.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x309210a0. Error - 13.07.2010 04:51:49 | Computer Name = SANGINIUS | Source = WmiAdapter | ID = 4099 Description = Dienst konnte nicht geöffnet werden. Error - 18.07.2010 17:51:49 | Computer Name = SANGINIUS | Source = WmiAdapter | ID = 4099 Description = Dienst konnte nicht geöffnet werden. Error - 19.07.2010 12:37:49 | Computer Name = SANGINIUS | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung plugin-container.exe, Version 1.9.2.3828, fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x0000100b. Error - 20.07.2010 11:27:19 | Computer Name = SANGINIUS | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 20.07.2010 11:41:22 | Computer Name = SANGINIUS | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung 0.7798517513172442.exe, Version 0.0.0.0, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x10001000. Error - 20.07.2010 13:56:14 | Computer Name = SANGINIUS | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung avp.exe, Version 7.0.1.325, fehlgeschlagenes Modul , Version 0.0.0.0, Fehleradresse 0x00000000. [ System Events ] Error - 31.05.2010 09:29:57 | Computer Name = SANGINIUS | Source = PSched | ID = 14103 Description = QoS [Adapter {ECB24804-7272-4FD5-A63A-FCC41030F606}]: Die Abfrage des Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen. Error - 03.06.2010 09:56:40 | Computer Name = SANGINIUS | Source = Service Control Manager | ID = 7031 Description = Der Dienst "Akamai NetSession Interface" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 1000 Millisekunden durchgeführt: Starten Sie den Dienst neu.. Error - 04.06.2010 16:09:59 | Computer Name = SANGINIUS | Source = Service Control Manager | ID = 7031 Description = Der Dienst "Akamai NetSession Interface" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 1000 Millisekunden durchgeführt: Starten Sie den Dienst neu.. Error - 15.06.2010 02:48:17 | Computer Name = SANGINIUS | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1055" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Error - 16.06.2010 14:12:48 | Computer Name = SANGINIUS | Source = PSched | ID = 14103 Description = QoS [Adapter {23E14F75-3459-420D-B4D7-130BDC7F0698}]: Die Abfrage des Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen. Error - 20.06.2010 13:24:30 | Computer Name = SANGINIUS | Source = PSched | ID = 14103 Description = QoS [Adapter {23E14F75-3459-420D-B4D7-130BDC7F0698}]: Die Abfrage des Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen. Error - 06.07.2010 15:16:09 | Computer Name = SANGINIUS | Source = PSched | ID = 14103 Description = QoS [Adapter {ECB24804-7272-4FD5-A63A-FCC41030F606}]: Die Abfrage des Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen. Error - 10.07.2010 15:36:05 | Computer Name = SANGINIUS | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1055" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} < End of report > Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4332 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 20.07.2010 22:39:00 mbam-log-2010-07-20 (22-39-00).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 181871 Laufzeit: 1 Stunde(n), 14 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 1 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\Gool (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: D:\Dokumente und Einstellungen\Uther\Anwendungsdaten\Gool\livey.ivk (Trojan.Agent) -> Quarantined and deleted successfully. |
23.07.2010, 16:03 | #7 | ||
| Trojaner an Bord und nicht zu kriegen... Bitte mal diese Datei Zitat:
hier: VirusTotal - Kostenloser online Viren- und Malwarescanner hochladen und überprüfen lassen. Poste das gesamte Log dann hier! Kaspersky Wächter davor deaktivieren und in Ordneroptionen auch versteckte Dateien anzeigen lassen. Danach, wenn ich ok gesagt habe, führst du den OTL fix durch: OTL FIX DURCHGANG: Alles an Programmen schliessen! OTL als Admin. starten. Antiviren Wächter deaktivieren. In das weisse, leere Feld (Benutzerdefinierte Fixes) kopierst du genau den Inhalt vom Codefenster (unten) ein. Danach auf den roten "FIX" Button klicken. Der PC startet neu! Das Log kommt automatisch nach dem Neustart. Poste es. Zitat:
__________________ Arroganz ist das Selbstbewusstsein des Minderwertigkeitskomplexes. (Jean Rostand) Geändert von MalwareHero (23.07.2010 um 16:11 Uhr) |
23.07.2010, 16:23 | #8 |
| Trojaner an Bord und nicht zu kriegen... Antivirus Version letzte aktualisierung Ergebnis a-squared 5.0.0.31 2010.07.12 - AhnLab-V3 2010.07.10.00 2010.07.09 - AntiVir 8.2.4.10 2010.07.12 - Antiy-AVL 2.0.3.7 2010.07.12 - Authentium 5.2.0.5 2010.07.11 - Avast 4.8.1351.0 2010.07.12 - Avast5 5.0.332.0 2010.07.12 - AVG 9.0.0.836 2010.07.12 PSW.Generic8.DKN BitDefender 7.2 2010.07.12 - CAT-QuickHeal 11.00 2010.07.12 - ClamAV 0.96.0.3-git 2010.07.12 - Comodo 5403 2010.07.12 - DrWeb 5.0.2.03300 2010.07.12 - eSafe 7.0.17.0 2010.07.11 - eTrust-Vet 36.1.7700 2010.07.12 - F-Prot 4.6.1.107 2010.07.11 - F-Secure 9.0.15370.0 2010.07.12 - Fortinet 4.1.143.0 2010.07.11 - GData 21 2010.07.12 - Ikarus T3.1.1.84.0 2010.07.12 - Jiangmin 13.0.900 2010.07.12 - Kaspersky 7.0.0.125 2010.07.12 - McAfee 5.400.0.1158 2010.07.12 - McAfee-GW-Edition 2010.1 2010.07.12 - Microsoft 1.5902 2010.07.12 TrojanSpy:Win32/Ursnif.gen!I NOD32 5272 2010.07.12 - Norman 6.05.11 2010.07.12 - nProtect 2010-07-12.01 2010.07.12 - Panda 10.0.2.7 2010.07.11 Trj/CI.A PCTools 7.0.3.5 2010.07.12 - Prevx 3.0 2010.07.12 - Rising 22.56.00.04 2010.07.12 - Sophos 4.55.0 2010.07.12 Troj/Spyurs-Gen Sunbelt 6566 2010.07.10 - SUPERAntiSpyware 4.40.0.1006 2010.07.12 - Symantec 20101.1.0.89 2010.07.12 - TheHacker 6.5.2.1.312 2010.07.12 - TrendMicro 9.120.0.1004 2010.07.12 - TrendMicro-HouseCall 9.120.0.1004 2010.07.12 - VBA32 3.12.12.6 2010.07.12 - ViRobot 2010.7.12.3932 2010.07.12 - VirusBuster 5.0.27.0 2010.07.12 - weitere Informationen File size: 46592 bytes MD5 : 7799ee2d701401fbf0975fca762b2d8e SHA1 : 6532101c282e1a154408cf53a55e5839cef0d5b8 SHA256: a1d7a5f019aaae5274b97491b9a3407927f8f5ba019b92b4f2697ab475d4fbf7 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x13E7 timedatestamp.....: 0x3A3B984C (Sat Dec 16 17:29:00 2000) machinetype.......: 0x14C (Intel I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x7000 0x6800 7.17 0d548973c3612bf54887bc8d697dabd4 .data 0x8000 0x1000 0x200 2.75 bda26dcdc2fdaf2480f4d04f05df748a .kdata 0x9000 0x5000 0x4600 7.09 2d064b88e5c9c0d8ca470df27778a037 .reloc 0xE000 0x1000 0x200 0.51 07546777a87893007750446324508cea ( 1 imports ) > kernel32.dll: GetThreadPriority, CreateEventA, GetCurrentThreadId, OpenThread, ExitProcess, LoadLibraryExA ( 1 exports ) > CreateProcessNotify, DllGetVersion TrID : File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 768:8PHDMrB8jTBJM8RPobM2WgePmPAlrg4+XcT0BPDnd2x/+JbI3VG0bO:8fDJYEPobQPllrQXxR2Rp3VRb sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned PEiD : - RDS : NSRL Reference Data Set - |
23.07.2010, 16:30 | #9 |
| Trojaner an Bord und nicht zu kriegen... Bei dir läuft ein Passwort und Benutzerinfo stehlender Trojaner. Ändere alle deine Passwörter, die du/ihr im Netz verwendest, (Mails,Bank,Loggins) so schnell wie möglich, von einem sauberen zweiten PC. _________________________________________________________ Du kannst jetzt den OTL Fix durchführen. Poste das Log dann hier. **************
__________________ Arroganz ist das Selbstbewusstsein des Minderwertigkeitskomplexes. (Jean Rostand) Geändert von MalwareHero (23.07.2010 um 16:44 Uhr) |
23.07.2010, 16:44 | #10 |
| Trojaner an Bord und nicht zu kriegen... All processes killed Error: Unable to interpret <MOD - D:\WINXP\system32\mpnohare.dll ()> in the current context! Error: Unable to interpret <DRV - (XDva289) -- D:\WINXP\System32\XDva289.sys File not found> in the current context! Error: Unable to interpret <DRV - (GMSIPCI) -- E:\INSTALL\GMSIPCI.SYS File not found> in the current context! Error: Unable to interpret <DRV - (EagleNT) -- D:\WINXP\System32\drivers\EagleNT.sys File not found> in the current context! Error: Unable to interpret <O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx ()> in the current context! Error: Unable to interpret <O36 - AppCertDlls: calcsn32 - (D:\WINXP\system32\mpnohare.dll) - D:\WINXP\system32\mpnohare.dll ()> in the current context! Error: Unable to interpret <[2010.07.20 17:21:35 | 000,000,006 | -H-- | M] () -- D:\WINXP\tasks\SA.DAT> in the current context! ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User ->Flash cache emptied: 41620 bytes User: LocalService User: NetworkService User: Uther ->Flash cache emptied: 48389 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Uther ->Temp folder emptied: 403 bytes ->Temporary Internet Files folder emptied: 32969 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 30791204 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2610062 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 16384 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 32,00 mb D:\WINXP\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.9.1 log created on 07232010_173912 Files\Folders moved on Reboot... File\Folder D:\WINXP\temp\Perflib_Perfdata_79c.dat not found! Registry entries deleted on Reboot... |
23.07.2010, 16:49 | #11 | |
| Trojaner an Bord und nicht zu kriegen... Bitte den OTL Fix noch mal durchführen, er wurde nicht korrekt durchgeführt. Das: :OTL hast du nicht eingefügt. Es muss aber dabei sein. Füge GENAU diesen Text in das weisse Feld ein: (ohne zitat) Zitat:
__________________ Arroganz ist das Selbstbewusstsein des Minderwertigkeitskomplexes. (Jean Rostand) |
23.07.2010, 16:54 | #12 |
| Trojaner an Bord und nicht zu kriegen... Sorry hatte es wohl nicht makiert...... All processes killed ========== OTL ========== Service XDva289 stopped successfully! Service XDva289 deleted successfully! File D:\WINXP\System32\XDva289.sys File not found not found. Service GMSIPCI stopped successfully! Service GMSIPCI deleted successfully! File E:\INSTALL\GMSIPCI.SYS File not found not found. Service EagleNT stopped successfully! Service EagleNT deleted successfully! File D:\WINXP\System32\drivers\EagleNT.sys File not found not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\ deleted successfully. C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx moved successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\calcsn32:\WINXP\system32\mpnohare.dll deleted successfully. D:\WINXP\system32\mpnohare.dll moved successfully. D:\WINXP\tasks\SA.DAT moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User ->Flash cache emptied: 0 bytes User: LocalService User: NetworkService User: Uther ->Flash cache emptied: 0 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Uther ->Temp folder emptied: 586045 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 17708347 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 16384 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 18,00 mb D:\WINXP\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.9.1 log created on 07232010_175051 Files\Folders moved on Reboot... File\Folder D:\WINXP\temp\Perflib_Perfdata_5c8.dat not found! Registry entries deleted on Reboot... |
23.07.2010, 17:04 | #13 |
| Trojaner an Bord und nicht zu kriegen... diesmal ist es richtig. Du solltest dich unbedingt bei allen zukünftigen Anweisungen ganz genau an die Anweisungen halten da das sonst unnötig viel extra Arbeit und Zeit in Anspruch nimmt. Führe jetzt Combofix ganz genau nach dieser Anleitung aus: Ein Leitfaden und Tutorium zur Nutzung von ComboFix Alle Antivirenwächter/Antispywächter müssen deaktiviert werden bevor Combofix scannt! Alle Programme geschlossen sein! (auch InternetExplorer Firefox) Nichts anklicken wenn Combofix scannt! Warte geduldig ab bis CF fertig ist und das Log kommt. Poste es dann hier. *******************************************
__________________ Arroganz ist das Selbstbewusstsein des Minderwertigkeitskomplexes. (Jean Rostand) |
23.07.2010, 17:07 | #14 |
| Trojaner an Bord und nicht zu kriegen... Das Fenster auf der Sparkassen seite ist weg.... werden jetzt neue Zugriffsdaten anfordern. Vielen Dank für die Hilfe MfG Uther |
23.07.2010, 17:09 | #15 | |
| Trojaner an Bord und nicht zu kriegen...Zitat:
Mach das lieber nach dem wir hier fertig sind mit der Bereinigung.
__________________ Arroganz ist das Selbstbewusstsein des Minderwertigkeitskomplexes. (Jean Rostand) |
Themen zu Trojaner an Bord und nicht zu kriegen... |
adobe, bho, desktop, dll, einstellungen, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, mozilla, nvidia, online banking, plug-in, programme, rundll, security, software, system, systray, tan, trojaner, windows, windows xp |