| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXEWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.07.2010, 22:28
| #16 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Hast Du einen Ordner C:\_OTL ?
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
27.07.2010, 16:27
| #17 |
 | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Hallo Arne,
__________________hab folgendes gefunden: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\sysbrowseClient deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\cdpcqddtutsahivzkslgTaskMgr deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully. G:\AUTORUN.INF moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{85ebf1a2-df19-11dc-a064-88964e928636}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85ebf1a2-df19-11dc-a064-88964e928636}\ not found. File F:\autorun.bat not found. C:\WINDOWS\System32\lowsec folder moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 143837 bytes User: Sebastian ->Temp folder emptied: 386959376 bytes ->Temporary Internet Files folder emptied: 9120985 bytes ->Java cache emptied: 96584442 bytes ->FireFox cache emptied: 99304518 bytes ->Flash cache emptied: 1843 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 4764359 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 569,00 mb OTL by OldTimer - Version 3.2.9.1 log created on 07262010_185002 Ist das,das was du brauchst!? |
|
27.07.2010, 16:42
| #18 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Dann bitte jetzt CF ausführen:
__________________ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ |
|
28.07.2010, 17:47
| #19 |
| | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Servus, So,CCleaner ist durchgeführt! Hab zum ComboFix noch eine Frage:Muß ich Ad-Aware dazu auch schließen? Ich hab nämlich keinen Plan wie ich den abschalte?! (hat mir mal mein Schwager instaliert!) Auserdem kann ich irgendwie nix auf dem Desktop speichern,das Fenster mit den Speicheroptionen kommt bei mir nie!? Es speichert immer gleich unter eigene Dateien!? Grützi |
|
29.07.2010, 14:28
| #20 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Ad-Aware kannst Du auch getrost deinstallieren, das Tool ist nicht notwendig.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
29.07.2010, 18:43
| #21 |
| | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Soo,ComboFix hab ich nun nach einigen Startproblemen durchgeführt! Hier der Logfile: Combofix Logfile: Code:
ATTFilter ComboFix 10-07-28.04 - Sebastian 29.07.2010 19:34:04.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Sebastian\Eigene Dateien\Downloads\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\enemies-names.txt
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\local.ini
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\lsrslt.ini
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA\userid.dat
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-28 bis 2010-07-29 ))))))))))))))))))))))))))))))
.
2010-07-22 18:53 . 2010-07-22 18:53 -------- d-s---w- c:\dokumente und einstellungen\Sebastian\UserData
2010-07-22 13:10 . 2010-07-22 13:10 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2010-07-21 18:38 . 2010-07-22 19:25 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-07-21 18:38 . 2010-07-22 19:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-21 18:34 . 2010-07-21 18:34 16409960 ----a-w- C:\spybotsd162.exe
2010-07-21 17:39 . 2010-07-21 17:39 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\TeamViewer
2010-07-21 17:01 . 2010-07-21 17:01 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Uniblue
2010-07-21 15:03 . 2010-07-22 19:39 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\sysbrowseClient
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-29 17:06 . 2010-07-22 19:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-07-29 15:16 . 2009-06-23 20:10 1 ----a-w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-28 16:49 . 2010-07-28 16:49 -------- d-----w- c:\programme\CCleaner
2010-07-23 18:30 . 2010-07-23 18:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-07-23 18:21 . 2010-07-23 18:21 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Malwarebytes
2010-07-23 18:20 . 2010-07-23 18:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-22 19:22 . 2010-07-22 19:22 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-07-22 18:37 . 2009-08-31 19:05 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\HPAppData
2004-08-03 22:58 . 2008-02-17 10:51 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
------- Sigcheck -------
[-] 2004-08-10 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PtiuPbmd"="ptipbm.dll" [2003-05-20 24576]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-27 1454080]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-23 149280]
"CTHelper"="CTHELPER.EXE" [2005-06-18 16384]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Sebastian^Startmenü^Programme^Autostart^Antimalware Doctor.lnk]
path=c:\dokumente und einstellungen\Sebastian\Startmenü\Programme\Autostart\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\DOKUME~1
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\dokume~1\SEBAST~1
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\dokume~1\SEBAST~1\LOKALE~1
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\dokume~1\SEBAST~1\LOKALE~1\Temp
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mscj.exe]
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA\mscj.exe [BU]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2006-10-22 11:22 86016 ----a-w- c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
2000-05-11 00:00 90112 ------w- c:\windows\Updreg.EXE
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HPHUPD08"=c:\programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"nwiz"=nwiz.exe /install
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=HDAudPropShortcut.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HD Publishing\\Joint Task Force\\jtf.exe"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1947:TCP"= 1947:TCP:HASP SRM
"1947:UDP"= 1947:UDP:HASP SRM
R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe -run [x]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-27 4352]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-27 265088]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-05-28 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\2583n4r2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
BHO-{18344FB9-CFC4-42D3-8646-BD31341FC8CF} - (no file)
MSConfigStartUp-ope28 - c:\dokume~1\SEBAST~1\LOKALE~1\Temp\ope28.exe
MSConfigStartUp-ope32 - c:\dokume~1\SEBAST~1\LOKALE~1\Temp\ope32.exe
MSConfigStartUp-mscj - c:\dokumente und einstellungen\sebastian\anwendungsdaten\msa\mscj.exe
MSConfigStartUp-setupupdater0002 - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\setupupdater0002.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-29 19:36
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1482476501-884357618-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e9,82,32,03,e8,c0,63,f3,63,48,db,f8,8b,a6,4c,e2,2d,64,c7,47,5f,8d,c5,
7d,c2,af,e9,b4,dd,91,9d,a0,f7,a3,b6,71,84,09,5b,8b,0f,fa,8a,99,95,e0,5f,84,\
"??"=hex:32,6d,17,bd,ce,bc,fe,c7,b0,58,a8,8f,4a,f8,bf,a3
.
Zeit der Fertigstellung: 2010-07-29 19:38:32
ComboFix-quarantined-files.txt 2010-07-29 17:38
Vor Suchlauf: 10 Verzeichnis(se), 227.401.904.128 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 227.367.788.544 Bytes frei
- - End Of File - - 578DB679979863772FF30B59FB2E9527
Ps: Hab ja jetzt das AdAware gelöscht!!!! Mein momentaner Schutz besteht nur aus der Freeware von Antivir.Hab keine Firewall oder Sonstiges.Ist das ausreichend!?!?!?!? Gruß Daniel |
|
29.07.2010, 19:32
| #22 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mscj.exe]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
Folder::
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
30.07.2010, 14:56
| #23 |
| | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Servus Arne, Wie schon geschildert,bin ich zu doof um den ComboFix auf dem Desktop zu speichern!? Irgendwie kommt bei mir nie das Fenster mit den Auswahlmöglichkeiten. Es kommt nur: Datei Speichern/Abbrechen.Wenn ich dann Speichern drück,speichert er automatisch unter "Eigene Dateien". Ähem,hüstel,hüstel. Ich find kein Notpad bei mir. (War ursprünglich mal der PC von nem Kumpel) |
|
30.07.2010, 15:31
| #24 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Rechtsklick auf den Link => Ziel speichern unter
__________________ Logfiles bitte immer in CODE-Tags posten |
|
31.07.2010, 18:25
| #25 |
| | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE So,hab jetzt,denk ich,alles hinbekommen!? Hier der neueste logfile: Combofix Logfile: Code:
ATTFilter ComboFix 10-07-31.01 - Sebastian 31.07.2010 19:03:05.2.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Sebastian\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sebastian\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-28 bis 2010-07-31 ))))))))))))))))))))))))))))))
.
2010-07-22 18:53 . 2010-07-22 18:53 -------- d-s---w- c:\dokumente und einstellungen\Sebastian\UserData
2010-07-22 13:10 . 2010-07-22 13:10 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2010-07-21 18:38 . 2010-07-22 19:25 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-07-21 18:38 . 2010-07-22 19:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-21 18:34 . 2010-07-21 18:34 16409960 ----a-w- C:\spybotsd162.exe
2010-07-21 17:39 . 2010-07-21 17:39 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\TeamViewer
2010-07-21 17:01 . 2010-07-21 17:01 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Uniblue
2010-07-21 15:03 . 2010-07-22 19:39 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\sysbrowseClient
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-29 17:06 . 2010-07-22 19:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-07-29 15:16 . 2009-06-23 20:10 1 ----a-w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-28 16:49 . 2010-07-28 16:49 -------- d-----w- c:\programme\CCleaner
2010-07-23 18:30 . 2010-07-23 18:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-07-23 18:21 . 2010-07-23 18:21 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Malwarebytes
2010-07-23 18:20 . 2010-07-23 18:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-22 19:22 . 2010-07-22 19:22 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-07-22 18:37 . 2009-08-31 19:05 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\HPAppData
2004-08-03 22:58 . 2008-02-17 10:51 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
------- Sigcheck -------
[-] 2004-08-10 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((( SnapShot@2010-07-29_17.37.01 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-31 16:52 . 2010-07-31 16:52 16384 c:\windows\Temp\Perflib_Perfdata_66c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PtiuPbmd"="ptipbm.dll" [2003-05-20 24576]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-27 1454080]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-23 149280]
"CTHelper"="CTHELPER.EXE" [2005-06-18 16384]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Sebastian^Startmenü^Programme^Autostart^Antimalware Doctor.lnk]
path=c:\dokumente und einstellungen\Sebastian\Startmenü\Programme\Autostart\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mscj.exe]
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA\mscj.exe [BU]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2006-10-22 11:22 86016 ----a-w- c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
2000-05-11 00:00 90112 ------w- c:\windows\Updreg.EXE
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HPHUPD08"=c:\programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"nwiz"=nwiz.exe /install
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=HDAudPropShortcut.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HD Publishing\\Joint Task Force\\jtf.exe"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1947:TCP"= 1947:TCP:HASP SRM
"1947:UDP"= 1947:UDP:HASP SRM
R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe -run [x]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-27 4352]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-27 265088]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-05-28 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\2583n4r2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-31 19:05
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1482476501-884357618-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e9,82,32,03,e8,c0,63,f3,63,48,db,f8,8b,a6,4c,e2,2d,64,c7,47,5f,8d,c5,
7d,c2,af,e9,b4,dd,91,9d,a0,f7,a3,b6,71,84,09,5b,8b,0f,fa,8a,99,95,e0,5f,84,\
"??"=hex:32,6d,17,bd,ce,bc,fe,c7,b0,58,a8,8f,4a,f8,bf,a3
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2528)
c:\windows\system32\msi.dll
.
Zeit der Fertigstellung: 2010-07-31 19:07:06
ComboFix-quarantined-files.txt 2010-07-31 17:07
ComboFix2.txt 2010-07-29 17:38
Vor Suchlauf: 11 Verzeichnis(se), 227.356.459.008 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 227.347.648.512 Bytes frei
- - End Of File - - EE07420B5DE2A1B47D857368F66D2927
|
|
31.07.2010, 19:31
| #26 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter registry keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\mscj.exe
folders to delete:
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.08.2010, 17:51
| #27 |
| | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Servus! Anbei das LogFile von Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: folder "c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA" not found! Deletion of folder "c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\mscj.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
05.08.2010, 09:39
| #28 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE |
| andere, anderen, beenden, beendet, ebanking, ebay, einfach, emails, entfernen, fenster, gestern, iexplore.exe, langsam, lüfter, mozilla, pc sehr langsam, pornoseiten, problem, probleme, recht, runterfahren, schließe, sehr langsam, sofort, sybot, wirklich, öffnen |
Linear-Darstellung
