|
Plagegeister aller Art und deren Bekämpfung: Der Trojaner TR/Spy.Browse.A ist bei mir auf dem RechnerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.07.2010, 12:42 | #1 |
| Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Hallo liebe Helfer! Ich habe den Trojaner TR/Spy.Browse.A bei mir an Bord! Antivir meldet" In der Datei 'C:\WINDOWS\system32\ntbaeset.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Browse.A' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern" Das Thema wurde ja hier "http://www.trojaner-board.de/88339-d...gefunden.html" schon mal behandelt! Kann ich das genauso abarbeiten? mfg Michael |
30.07.2010, 15:36 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Hallo und
__________________Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
30.07.2010, 18:45 | #3 |
| Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Hallo!
__________________zum 1.malwarebyts log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4370 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 30.07.2010 19:41:25 mbam-log-2010-07-30 (19-41-25).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|M:\|P:\|S:\|) Durchsuchte Objekte: 263788 Laufzeit: 43 Minute(n), 48 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{BE77D039-FB39-4C79-A245-FBE077943FA6}\RP129\A0040894.exe (Malware.Packer.Gen) -> No action taken. F:\System Volume Information\_restore{BE77D039-FB39-4C79-A245-FBE077943FA6}\RP132\A0042326.exe (Malware.Packer.Gen) -> No action taken. P:\System Volume Information\_restore{BE77D039-FB39-4C79-A245-FBE077943FA6}\RP132\A0042396.exe (Malware.Packer.Gen) -> No action taken. |
30.07.2010, 18:48 | #4 |
| Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Hier der Rest OTL Logfile: Code:
ATTFilter OTL logfile created on: 30.07.2010 19:43:39 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = D:\download Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 64,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 83,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = P:\Programme Drive C: | 73,44 Gb Total Space | 38,55 Gb Free Space | 52,50% Space Free | Partition Type: NTFS Drive D: | 75,61 Gb Total Space | 10,41 Gb Free Space | 13,77% Space Free | Partition Type: NTFS E: Drive not present or media not loaded Drive F: | 153,79 Gb Total Space | 24,39 Gb Free Space | 15,86% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Drive M: | 20,02 Gb Total Space | 9,33 Gb Free Space | 46,61% Space Free | Partition Type: NTFS Drive P: | 29,29 Gb Total Space | 23,86 Gb Free Space | 81,46% Space Free | Partition Type: NTFS Drive S: | 29,78 Gb Total Space | 15,85 Gb Free Space | 53,20% Space Free | Partition Type: NTFS Computer Name: HILSCHER-1B09E8 Current User Name: hilscher Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - D:\download\OTL.exe (OldTimer Tools) PRC - P:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - P:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom) PRC - P:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom) PRC - P:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (Microsoft Corporation) PRC - P:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) PRC - C:\Dokumente und Einstellungen\hilscher\Lokale Einstellungen\Apps\2.0\K27OL6Y1.ZVV\27NWOCG3.JTW\frit..tion_8488884cfbcefd60_0002.0001_383382c5c60b72bd\fritzbox-usb-fernanschluss.exe (AVM Berlin) PRC - P:\Programme\CDBurnerXP\NMSAccessU.exe () PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) PRC - P:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - P:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\WINDOWS\system32\TUProgSt.exe (TuneUp Software) PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company) PRC - P:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - P:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin) PRC - P:\Programme\FRITZ!DSL\FwebProt.exe (AVM Berlin) PRC - P:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin) PRC - P:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software) PRC - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE (SEIKO EPSON CORPORATION) ========== Modules (SafeList) ========== MOD - D:\download\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (RoxLiveShare9) -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe File not found SRV - (TomTomHOMEService) -- P:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom) SRV - (SeaPort) -- P:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (Microsoft Corporation) SRV - (NMSAccess) -- P:\Programme\CDBurnerXP\NMSAccessU.exe () SRV - (AntiVirService) -- P:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- P:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (TuneUp.ProgramStatisticsSvc) -- C:\WINDOWS\system32\TUProgSt.exe (TuneUp Software) SRV - (TuneUp.Defrag) -- C:\WINDOWS\system32\TuneUpDefragService.exe (TuneUp Software) SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company) SRV - (fsssvc) -- P:\Programme\Windows Live\Family Safety\fsssvc.exe (Microsoft Corporation) SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software) SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (IGDCTRL) -- P:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin) SRV - (StarWindServiceAE) -- P:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software) SRV - (EPSON_PM_RPCV4_01) EPSON V3 Service4(01) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE (SEIKO EPSON CORPORATION) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (FirebirdServerMAGIXInstance) -- P:\Programme\MAGIX\Common\Database\bin\fbserver.exe (MAGIX®) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation) ========== Driver Services (SafeList) ========== DRV - (MotDev) -- C:\WINDOWS\System32\DRIVERS\motodrv.sys File not found DRV - (motccgpfl) -- C:\WINDOWS\System32\DRIVERS\motccgpfl.sys File not found DRV - (motccgp) -- C:\WINDOWS\System32\DRIVERS\motccgp.sys File not found DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation) DRV - (avmaura) -- C:\WINDOWS\system32\drivers\avmaura.sys (AVM Berlin) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys () DRV - (ithsgt) -- C:\WINDOWS\system32\drivers\ithsgt.sys () DRV - (lilsgt) -- C:\WINDOWS\system32\drivers\lilsgt.sys () DRV - (motmodem) -- C:\WINDOWS\system32\drivers\motmodem.sys (Motorola) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (avgio) -- P:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (fssfltr) -- C:\WINDOWS\system32\drivers\fssfltr_tdi.sys (Microsoft Corporation) DRV - (xfilt) -- C:\WINDOWS\system32\DRIVERS\xfilt.sys (VIA Technologies,Inc) DRV - (videX32) -- C:\WINDOWS\system32\DRIVERS\videX32.sys (VIA Technologies, Inc.) DRV - (61883) -- C:\WINDOWS\system32\drivers\61883.sys (Microsoft Corporation) DRV - (Avc) -- C:\WINDOWS\system32\drivers\avc.sys (Microsoft Corporation) DRV - (MSDV) -- C:\WINDOWS\system32\drivers\msdv.sys (Microsoft Corporation) DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (DiskSec) -- C:\WINDOWS\System32\drivers\disksec.sys (MAGIX) DRV - (c2scsi) -- C:\WINDOWS\System32\drivers\c2scsi.sys (Sonic Solutions) DRV - (sfsync03) StarForce Protection Synchronization Driver (version 3.x) -- C:\WINDOWS\System32\drivers\sfsync03.sys (Protection Technology) DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology) DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology) DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices) DRV - (viaagp1) -- C:\WINDOWS\system32\DRIVERS\viaagp1.sys (VIA Technologies, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "www.bild.de" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0 FF - prefs.js..extensions.enabledItems: fb_add_on@avm.de:1.5.5 FF - prefs.js..extensions.enabledItems: sparweltgutscheinewl@sparwelt.de:1.0 FF - prefs.js..extensions.enabledItems: {9220f99f-5b7d-4a4d-97ca-209991796400}:1.5 FF - user.js..browser.search.openintab: false FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Components: P:\Programme\Mozilla Firefox\components [2010.07.13 19:37:11 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Plugins: P:\Programme\Mozilla Firefox\plugins [2010.07.04 16:39:20 | 000,000,000 | ---D | M] [2009.05.02 08:07:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\Mozilla\Extensions [2009.05.02 08:07:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com [2010.07.29 21:31:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\Mozilla\Firefox\Profiles\se08j9ic.default\extensions [2009.06.27 06:40:08 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\Mozilla\Firefox\Profiles\se08j9ic.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.05.24 07:31:55 | 000,000,000 | ---D | M] (Gutscheinaffe) -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\Mozilla\Firefox\Profiles\se08j9ic.default\extensions\{9220f99f-5b7d-4a4d-97ca-209991796400} [2009.07.18 21:39:21 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\Mozilla\Firefox\Profiles\se08j9ic.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.04.05 06:34:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\Mozilla\Firefox\Profiles\se08j9ic.default\extensions\fb_add_on@avm.de [2010.04.11 18:44:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\Mozilla\Firefox\Profiles\se08j9ic.default\extensions\sparweltgutscheinewl@sparwelt.de [2009.03.23 14:34:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\Mozilla\Firefox\Profiles\se08j9ic.default\extensions\toolbar_extras@de.yahoo.com [2010.07.29 21:31:59 | 000,000,000 | ---D | M] -- P:\Programme\Mozilla Firefox\extensions [2009.03.23 14:34:12 | 000,000,000 | ---D | M] -- P:\Programme\Mozilla Firefox\extensions\toolbar_extras@de.yahoo.com [2010.07.04 16:39:16 | 000,001,392 | ---- | M] () -- P:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.07.04 16:39:16 | 000,002,344 | ---- | M] () -- P:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.07.04 16:39:16 | 000,006,805 | ---- | M] () -- P:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.07.04 16:39:16 | 000,001,178 | ---- | M] () -- P:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.07.04 16:39:16 | 000,001,105 | ---- | M] () -- P:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - P:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll (Microsoft Corporation) O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - P:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - P:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation) O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - P:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - P:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] P:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Cmaudio] File not found O4 - HKLM..\Run: [StartCCC] P:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKCU..\Run: [Automatisch An OneNote 2007 senden auf HILSCHER-6FE713] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE (SEIKO EPSON CORPORATION) O4 - HKCU..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\hilscher\Lokale Einstellungen\Apps\2.0\K27OL6Y1.ZVV\27NWOCG3.JTW\frit..tion_8488884cfbcefd60_0002.0001_383382c5c60b72bd\AVMAutoStart.exe (AVM Berlin) O4 - HKCU..\Run: [ccleaner] P:\Programme\CCleaner\CCleaner.exe (Piriform Ltd) O4 - HKCU..\Run: [EPSON SX410 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFCE.EXE (SEIKO EPSON CORPORATION) O4 - HKCU..\Run: [TomTomHOME.exe] P:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom) O4 - Startup: C:\Dokumente und Einstellungen\hilscher\Startmenü\Programme\Autostart\FRITZ!DSL Protect.lnk = P:\Programme\FRITZ!DSL\FwebProt.exe (AVM Berlin) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoPropertiesMyComputer = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileAssociate = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFind = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogoff = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispCPL = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispSettingsPage = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideClock = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoTrayItemsDisplay = 0 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - P:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - P:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - P:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - P:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - P:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - P:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - P:\Programme\FRITZ!DSL\\sarah.dll () O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - P:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - P:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - P:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - P:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet) O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet) O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} file://D:\components\hidinputmonitorx.ocx (HidInputMonitorX Control) O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} file://D:\components\A9.ocx (A9Helper.A9) O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} file://D:\components\wmvhdrating.ocx (WMVHDRatingCtrl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {E4CF4E86-D0DC-4864-8F0E-4F6EA2526334} hxxp://img.ui-portal.de/1und1/smartdrive/activex/v1/1und1_de_osupload_2002.cab (UI File Upload Control) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - P:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18 - Protocol\Handler\haufereader - No CLSID value found O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - P:\Programme\Windows Live\Messenger\msgrapp.14.0.8064.0206.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - P:\Programme\Windows Live\Messenger\msgrapp.14.0.8064.0206.dll (Microsoft Corporation) O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - P:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\vista.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\vista.bmp O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - P:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.03.23 14:05:41 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2007.04.15 12:57:52 | 000,000,025 | -HS- | M] () - C:\autorun.inf -- [ NTFS ] O33 - MountPoints2\{8dc88d13-36df-11de-be56-00138f29382b}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: autoeate - (C:\WINDOWS\system32\ntbaeset.dll) - C:\WINDOWS\system32\ntbaeset.dll () O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.07.30 18:39:26 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\hilscher\Recent [2010.07.30 07:53:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\Malwarebytes [2010.07.30 07:52:57 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.07.30 07:52:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.07.30 07:52:51 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.07.30 07:52:51 | 000,000,000 | ---D | C] -- P:\Programme\Malwarebytes' Anti-Malware [2010.07.30 06:46:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2010.07.15 20:58:56 | 000,744,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\helpsvc.exe [2010.07.15 20:38:00 | 000,000,000 | ---D | C] -- P:\Programme\TomTom DesktopSuite [2010.07.12 19:26:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\WinBatch [2010.07.08 21:48:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\hilscher\Anwendungsdaten\Canneverbe Limited [2010.07.08 21:48:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2010.07.08 21:48:08 | 000,000,000 | ---D | C] -- P:\Programme\CDBurnerXP [2010.07.06 20:23:49 | 000,000,000 | ---D | C] -- P:\Programme\PantsOff [2004.11.24 21:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll ========== Files - Modified Within 30 Days ========== [2010.07.30 19:00:00 | 000,000,498 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job [2010.07.30 18:39:44 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.07.30 18:38:45 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.07.30 18:38:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.07.30 18:38:39 | 2146,750,464 | -HS- | M] () -- C:\hiberfil.sys [2010.07.30 15:19:21 | 005,242,880 | ---- | M] () -- C:\Dokumente und Einstellungen\hilscher\ntuser.dat [2010.07.30 15:19:21 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\hilscher\ntuser.ini [2010.07.30 15:19:05 | 000,452,452 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.07.30 15:19:05 | 000,435,714 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.07.30 15:19:05 | 000,081,408 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.07.30 15:19:05 | 000,068,610 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.07.30 15:19:04 | 001,051,126 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.07.30 13:32:05 | 000,002,493 | ---- | M] () -- C:\Dokumente und Einstellungen\hilscher\Desktop\Microsoft Office Outlook 2007.lnk [2010.07.30 07:53:00 | 000,000,575 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.30 07:15:27 | 000,000,581 | ---- | M] () -- C:\Dokumente und Einstellungen\hilscher\Desktop\CCleaner.lnk [2010.07.13 17:39:45 | 000,087,552 | ---- | M] () -- C:\Dokumente und Einstellungen\hilscher\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.12 21:35:33 | 000,000,054 | ---- | M] () -- C:\Dokumente und Einstellungen\hilscher\Desktop\_Za00336 [2010.07.08 21:48:11 | 000,001,503 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk [2010.07.08 21:38:24 | 000,046,592 | ---- | M] () -- C:\WINDOWS\System32\ntbaeset.dll [2010.07.04 12:48:10 | 000,000,202 | ---- | M] () -- C:\WINDOWS\System\CmiCnfg.ini [2010.07.04 06:07:30 | 000,001,606 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk ========== Files Created - No Company Name ========== [2010.07.30 07:53:00 | 000,000,575 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.12 21:35:31 | 000,000,054 | ---- | C] () -- C:\Dokumente und Einstellungen\hilscher\Desktop\_Za00336 [2010.07.08 21:48:11 | 000,001,503 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk [2010.07.08 21:48:09 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2010.07.08 21:38:24 | 000,046,592 | ---- | C] () -- C:\WINDOWS\System32\ntbaeset.dll [2010.07.04 06:40:40 | 000,302,160 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2010.01.10 18:17:03 | 000,000,029 | ---- | C] () -- C:\WINDOWS\DEBUGSM.INI [2009.08.27 14:21:13 | 000,034,308 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll [2009.08.27 10:48:50 | 000,162,432 | ---- | C] () -- C:\WINDOWS\System32\drivers\ithsgt.sys [2009.08.27 10:48:50 | 000,012,032 | ---- | C] () -- C:\WINDOWS\System32\drivers\lilsgt.sys [2009.06.10 19:53:09 | 000,000,106 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2009.05.25 10:21:19 | 000,000,101 | ---- | C] () -- C:\WINDOWS\BUZZTWLC.INI [2009.05.16 16:05:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\musiceditor.INI [2009.04.06 19:33:02 | 000,000,046 | ---- | C] () -- C:\WINDOWS\PCCT.INI [2009.04.06 19:29:41 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll [2009.03.30 21:55:20 | 000,000,241 | ---- | C] () -- C:\WINDOWS\lexstat.ini [2009.03.27 08:47:43 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDE DX8400DEFGIPS.ini [2009.03.25 21:38:24 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2009.03.25 21:35:41 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2009.03.23 14:56:54 | 000,685,816 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2009.03.23 14:28:37 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll [2009.03.23 14:28:17 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI [2009.03.23 14:28:16 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI [2009.03.23 14:28:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini [2009.03.23 14:28:07 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll [2009.03.23 14:25:13 | 000,003,364 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2009.03.23 14:25:12 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2008.12.19 17:15:58 | 004,338,246 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll [2008.12.17 19:41:18 | 000,884,237 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll [2008.12.17 19:22:58 | 000,093,184 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll [2008.12.17 19:22:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2008.12.17 19:17:34 | 000,239,247 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll [2008.12.17 18:59:54 | 000,560,802 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll [2008.12.11 13:27:02 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest [2008.11.26 22:28:48 | 000,000,261 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2005.07.15 20:35:56 | 000,831,488 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll [2005.07.15 20:35:56 | 000,159,744 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll [2005.07.15 20:35:24 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2004.10.03 19:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll [1999.01.27 00:00:00 | 000,114,816 | ---- | C] () -- C:\WINDOWS\System32\MSMT4232.DLL < End of report > |
30.07.2010, 18:53 | #5 |
| Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Noch ne Datei war da nicht! |
30.07.2010, 19:19 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoPropertiesMyComputer = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileAssociate = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFind = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogoff = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispCPL = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispSettingsPage = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideClock = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoTrayItemsDisplay = 0 O32 - AutoRun File - [2007.04.15 12:57:52 | 000,000,025 | -HS- | M] () - C:\autorun.inf -- [ NTFS ] O33 - MountPoints2\{8dc88d13-36df-11de-be56-00138f29382b}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe -- File not found O36 - AppCertDlls: autoeate - (C:\WINDOWS\system32\ntbaeset.dll) - C:\WINDOWS\system32\ntbaeset.dll () :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ --> Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner |
30.07.2010, 19:55 | #7 |
| Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Hier das ergebniss: All processes killed ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoCDBurning deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoResolveTrack deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoPropertiesMyComputer deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoViewContextMenu deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoFileAssociate deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoFind deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoClose deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\StartMenuLogoff deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\NoDispCPL deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\NoDispBackgroundPage deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\NoDispSettingsPage deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\NoDispScrSavPage deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoCDBurning deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HideClock deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoTrayItemsDisplay deleted successfully. C:\autorun.inf moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8dc88d13-36df-11de-be56-00138f29382b}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8dc88d13-36df-11de-be56-00138f29382b}\ not found. File E:\InstallTomTomHOME.exe not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\autoeate:C:\WINDOWS\system32\ntbaeset.dll deleted successfully. File move failed. C:\WINDOWS\system32\ntbaeset.dll scheduled to be moved on reboot. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: hilscher ->Temp folder emptied: 151305 bytes ->Temporary Internet Files folder emptied: 68203 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 48413865 bytes ->Flash cache emptied: 405 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->FireFox cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 33251 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 46,00 mb OTL by OldTimer - Version 3.2.9.1 log created on 07302010_205134 Files\Folders moved on Reboot... File move failed. C:\WINDOWS\system32\ntbaeset.dll scheduled to be moved on reboot. Registry entries deleted on Reboot... |
30.07.2010, 20:25 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
30.07.2010, 20:55 | #9 |
| Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Das ergebniss: Combofix Logfile: Code:
ATTFilter ComboFix 10-07-30.01 - hilscher 30.07.2010 21:43:43.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1596 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\hilscher\Desktop\confi.exe.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\hilscher\Anwendungsdaten\inst.exe C:\Install.exe Infizierte Kopie von c:\windows\system32\midimap.dll wurde gefunden und desinfiziert Kopie von - c:\windows\VistaMizer\old\midimap.dll wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2010-06-28 bis 2010-07-30 )))))))))))))))))))))))))))))) . 2010-07-30 05:53 . 2010-07-30 05:53 -------- d-----w- c:\dokumente und einstellungen\hilscher\Anwendungsdaten\Malwarebytes 2010-07-30 05:52 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-07-30 05:52 . 2010-07-30 05:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-07-30 05:52 . 2010-07-30 05:53 -------- d-----w- p:\programme\Malwarebytes' Anti-Malware 2010-07-30 05:52 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-07-15 18:58 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe 2010-07-15 18:38 . 2010-07-15 18:38 -------- d-----w- p:\programme\TomTom DesktopSuite 2010-07-12 17:26 . 2010-07-12 17:26 -------- d-----w- c:\dokumente und einstellungen\hilscher\Anwendungsdaten\WinBatch 2010-07-08 19:48 . 2010-07-08 19:48 -------- d-----w- c:\dokumente und einstellungen\hilscher\Anwendungsdaten\Canneverbe Limited 2010-07-08 19:48 . 2010-07-08 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited 2010-07-08 19:48 . 2009-11-12 12:48 7168 ----a-w- c:\windows\system32\drivers\StarOpen.sys 2010-07-08 19:48 . 2010-07-08 19:48 -------- d-----w- p:\programme\CDBurnerXP 2010-07-08 19:38 . 2010-07-08 19:38 46592 ----a-w- c:\windows\system32\ntbaeset.dll 2010-07-06 18:23 . 2010-07-30 11:54 -------- d-----w- p:\programme\PantsOff 2010-07-04 04:40 . 2010-07-04 04:40 302160 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-07-30 19:39 . 2009-03-25 19:32 -------- d-----w- c:\dokumente und einstellungen\hilscher\Anwendungsdaten\FRITZ! 2010-07-30 13:20 . 2009-06-09 18:18 -------- d-----w- c:\dokumente und einstellungen\hilscher\Anwendungsdaten\Media Player Classic 2010-07-30 13:19 . 2006-02-28 12:00 81408 ----a-w- c:\windows\system32\perfc007.dat 2010-07-30 13:19 . 2006-02-28 12:00 452452 ----a-w- c:\windows\system32\perfh007.dat 2010-07-30 05:15 . 2009-03-31 18:33 -------- d-----w- p:\programme\CCleaner 2010-07-16 04:55 . 2009-03-23 15:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-07-13 18:46 . 2009-03-23 17:39 -------- d-----w- p:\programme\MOBackup 2010-07-13 15:38 . 2009-05-25 08:39 -------- d-----w- c:\dokumente und einstellungen\hilscher\Anwendungsdaten\UseNeXT 2010-07-08 20:12 . 2009-06-20 19:19 -------- d-----w- c:\dokumente und einstellungen\hilscher\Anwendungsdaten\dvdcss 2010-06-27 04:16 . 2010-04-11 16:44 -------- d-----w- c:\dokumente und einstellungen\hilscher\Anwendungsdaten\SparweltGutschein 2010-06-20 18:28 . 2009-04-01 17:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON 2010-06-16 20:20 . 2010-06-16 20:20 664 ----a-w- c:\windows\system32\d3d9caps.dat 2010-06-16 18:31 . 2010-06-16 18:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\POIbase 2010-06-16 18:29 . 2010-06-16 18:27 -------- d-----w- p:\programme\POIbase 2010-06-14 14:31 . 2009-03-23 12:01 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe 2010-06-14 06:57 . 2010-06-14 06:57 -------- d-----w- p:\programme\MSXML 6.0 2010-06-12 21:10 . 2009-04-06 05:59 -------- d-----w- p:\programme\Microsoft Silverlight 2010-06-06 13:39 . 2010-06-06 13:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\tmp 2010-06-06 13:39 . 2009-03-29 12:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps 2010-06-06 13:37 . 2010-06-06 13:37 -------- d-----w- p:\programme\CeWe Color 2010-06-03 09:13 . 2009-06-20 18:40 -------- d-----w- c:\dokumente und einstellungen\hilscher\Anwendungsdaten\Vso 2010-06-03 09:08 . 2010-06-03 09:07 -------- d-----w- c:\dokumente und einstellungen\hilscher\Anwendungsdaten\gtk-2.0 2010-06-01 19:09 . 2010-06-01 19:09 -------- d-----w- p:\programme\GIMP-2.0 2010-05-24 13:43 . 2010-05-24 13:43 15086 ----a-r- c:\dokumente und einstellungen\hilscher\Anwendungsdaten\Microsoft\Installer\{63D3D558-EAF4-419B-880C-208DAC13F794}\ARPPRODUCTICON.exe 2010-05-06 10:31 . 2006-02-28 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-05-02 08:05 . 2006-02-28 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys . ------- Sigcheck ------- [-] 2008-04-14 . AD37DF3FB8F168E42C09B77B487F6812 . 552448 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe [-] 2008-04-14 . AD37DF3FB8F168E42C09B77B487F6812 . 552448 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe [7] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\VistaMizer\old\winlogon.exe [7] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\353532c428eb23a15c972081863622b7\winlogon.exe [7] 2006-02-28 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe [-] 2008-04-14 . F162D52EC8FEF363659AA6C667CE6989 . 724992 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll [-] 2008-04-14 . F162D52EC8FEF363659AA6C667CE6989 . 724992 . . [5.82] . . c:\windows\system32\comctl32.dll [7] 2008-04-14 . AD28671D1B83A386B070DC451A113C13 . 617472 . . [5.82] . . c:\windows\VistaMizer\old\comctl32.dll [7] 2008-04-14 . AD28671D1B83A386B070DC451A113C13 . 617472 . . [5.82] . . c:\windows\SoftwareDistribution\Download\353532c428eb23a15c972081863622b7\comctl32.dll [7] 2008-04-14 . 3C93CE6C6985C55952B7BE6673E9FD15 . 1054208 . . [6.0] . . c:\windows\SoftwareDistribution\Download\353532c428eb23a15c972081863622b7\asms\60\msft\windows\common\controls\comctl32.dll [7] 2006-02-28 . 2CF914215226B3F7FA1AE4A47E4D261C . 611328 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll [-] 2008-04-14 . BF517C3FA60065DF6D97744648602957 . 589312 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll [-] 2008-04-14 . BF517C3FA60065DF6D97744648602957 . 589312 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll [7] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\VistaMizer\old\user32.dll [7] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\353532c428eb23a15c972081863622b7\user32.dll [7] 2006-02-28 . 56785FD5236D7B22CF471A6DA9DB46D8 . 578560 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\user32.dll [-] 2008-04-14 . E36DF1443AC667E81FC1764DC3AD763E . 1555456 . . [6.00.2900.5512] . . c:\windows\explorer.exe [-] 2008-04-14 . E36DF1443AC667E81FC1764DC3AD763E . 1555456 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe [7] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\VistaMizer\old\explorer.exe [7] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\353532c428eb23a15c972081863622b7\explorer.exe [7] 2006-02-28 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\explorer.exe [-] 2008-04-14 . 149CF402512520027FEC06A978D59801 . 1312256 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ole32.dll [-] 2008-04-14 . 149CF402512520027FEC06A978D59801 . 1312256 . . [5.1.2600.5512] . . c:\windows\system32\ole32.dll [7] 2008-04-14 . E08D638BA3D3DD6DF6E31216AB66AE0B . 1287680 . . [5.1.2600.5512] . . c:\windows\VistaMizer\old\ole32.dll [7] 2008-04-14 . E08D638BA3D3DD6DF6E31216AB66AE0B . 1287680 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\353532c428eb23a15c972081863622b7\ole32.dll [7] 2006-02-28 . D700449AD3045E81680C25A79620A171 . 1281536 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ole32.dll [-] 2008-04-14 . 7270F0B822CB67F0C32BEF7FB00CA4D4 . 25088 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe [-] 2008-04-14 . 7270F0B822CB67F0C32BEF7FB00CA4D4 . 25088 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe [7] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\VistaMizer\old\ctfmon.exe [7] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\353532c428eb23a15c972081863622b7\ctfmon.exe [7] 2006-02-28 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ccleaner"="p:\programme\CCleaner\CCleaner.exe" [2010-07-23 1755960] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\hilscher\Lokale Einstellungen\Apps\2.0\K27OL6Y1.ZVV\27NWOCG3.JTW\frit..tion_8488884cfbcefd60_0002.0001_383382c5c60b72bd\AVMAutoStart.exe" [2010-04-18 139264] "TomTomHOME.exe"="p:\programme\TomTom HOME 2\TomTomHOMERunner.exe" [2010-06-24 247144] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="p:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "StartCCC"="p:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-25 61440] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-10-12 198160] "GrooveMonitor"="p:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 25088] c:\dokumente und einstellungen\hilscher\Startmen\Programme\Autostart\ FRITZ!DSL Protect.lnk - p:\programme\FRITZ!DSL\FwebProt.exe [2007-9-7 1070384] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "p:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "p:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "p:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "p:\\Programme\\FRITZ!fax\\FriFax32.exe"= "p:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "p:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "p:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"= "s:\\level r\\LevelR\\LevelR.bin"= "p:\\Programme\\FRITZ!fax\\igd_finder.exe"= "p:\\Programme\\Motorola\\Software Update\\msu.exe"= "p:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "p:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "p:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Dokumente und Einstellungen\\hilscher\\Lokale Einstellungen\\Apps\\2.0\\K27OL6Y1.ZVV\\27NWOCG3.JTW\\frit..tion_8488884cfbcefd60_0002.0001_383382c5c60b72bd\\fritzbox-usb-fernanschluss.exe"= R0 DiskSec;Magix Volume Filter Driver;c:\windows\system32\drivers\disksec.sys [06.04.2009 16:32 14208] R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [06.12.2005 17:11 35328] R2 AntiVirSchedulerService;Avira AntiVir Planer;p:\programme\Avira\AntiVir Desktop\sched.exe [23.03.2009 09:02 108289] R2 IGDCTRL;AVM IGD CTRL Service;p:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 10:14 87344] R2 TomTomHOMEService;TomTomHOMEService;p:\programme\TomTom HOME 2\TomTomHOMEService.exe [24.06.2010 16:41 92008] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [18.04.2010 05:41 101248] S1 c2scsi;c2scsi;c:\windows\system32\drivers\c2scsi.sys [07.04.2009 14:10 241664] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;p:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.03.2009 07:58 1527900] S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys --> c:\windows\system32\DRIVERS\motccgp.sys [?] S3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys --> c:\windows\system32\DRIVERS\motccgpfl.sys [?] S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\DRIVERS\motodrv.sys --> c:\windows\system32\DRIVERS\motodrv.sys [?] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.03.2009 14:56 685816] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] 2009-03-17 11:14 451872 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe . Inhalt des "geplante Tasks" Ordners 2010-07-30 c:\windows\Tasks\1-Klick-Wartung.job - p:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-13 10:03] . . ------- Zusätzlicher Suchlauf ------- . IE: Nach Microsoft E&xel exportieren - p:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 LSP: p:\programme\FRITZ!DSL\\sarah.dll DPF: {E4CF4E86-D0DC-4864-8F0E-4F6EA2526334} - hxxp://img.ui-portal.de/1und1/smartdrive/activex/v1/1und1_de_osupload_2002.cab FF - ProfilePath - c:\dokumente und einstellungen\hilscher\Anwendungsdaten\Mozilla\Firefox\Profiles\se08j9ic.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.bild.de FF - component: c:\dokumente und einstellungen\hilscher\Anwendungsdaten\Mozilla\Firefox\Profiles\se08j9ic.default\extensions\fb_add_on@avm.de\components\FB_AddOn.dll FF - component: c:\program files\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll FF - plugin: c:\program files\real\realplayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\real\realplayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\real\realplayer\Netscape6\nprpjplug.dll FF - plugin: p:\programme\Microsoft\Office Live\npOLW.dll FF - plugin: p:\programme\Windows Live\Photo Gallery\NPWLPG.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: browser.blink_allowed - true FF - user.js: network.prefetch-next - true FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: layout.spellcheckDefault - 1 FF - user.js: browser.urlbar.autoFill - false FF - user.js: browser.search.openintab - false FF - user.js: browser.tabs.closeButtons - 1 FF - user.js: browser.tabs.opentabfor.middleclick - true FF - user.js: browser.tabs.tabMinWidth - 100 FF - user.js: browser.urlbar.hideGoButton - false FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 p:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); p:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true); p:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true); p:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true); p:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); p:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true); p:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true); p:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true); p:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); p:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5); p:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45); p:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); p:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true); p:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); p:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); p:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); p:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); p:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); p:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); p:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); p:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true); p:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true); p:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true); p:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true); p:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file) HKLM-Run-Cmaudio - cmicnfg.cpl AddRemove-{C427E746-4EC9-4E3C-AACB-C6BB1F714D7F} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{148D8B8A-8F96-4822-81EC-D510B626B7D5}\DriverScanner_Setup.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-07-30 21:49 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1343024091-562591055-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(688) c:\windows\system32\SETUPAPI.dll c:\windows\system32\sfc_os.dll c:\windows\system32\Ati2evxx.dll c:\windows\system32\COMRes.dll c:\windows\system32\cscui.dll - - - - - - - > 'lsass.exe'(744) c:\windows\system32\wdigest.dll c:\windows\system32\SETUPAPI.dll - - - - - - - > 'explorer.exe'(960) c:\windows\system32\SHDOCVW.dll c:\windows\system32\COMRes.dll c:\windows\System32\cscui.dll c:\windows\system32\LINKINFO.dll c:\windows\system32\ntshrui.dll c:\windows\system32\webcheck.dll c:\windows\system32\stobject.dll c:\windows\system32\SETUPAPI.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll c:\windows\system32\NETSHELL.dll c:\windows\system32\credui.dll c:\windows\system32\MSVCP60.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe p:\programme\Avira\AntiVir Desktop\avguard.exe c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE p:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe p:\programme\CDBurnerXP\NMSAccessU.exe p:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe p:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe c:\windows\System32\TUProgSt.exe c:\windows\system32\RunDll32.exe p:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe p:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe c:\windows\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe c:\windows\system32\wbem\wmiapsrv.exe p:\programme\FRITZ!DSL\StCenter.EXE . ************************************************************************** . Zeit der Fertigstellung: 2010-07-30 21:53:06 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-07-30 19:53 Vor Suchlauf: 10 Verzeichnis(se), 41.305.559.040 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 41.353.445.376 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=1,2,3,4 - - End Of File - - 17A1725EE8EB03401099C7F529A50ED6 |
30.07.2010, 20:58 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner c:\windows\system32\ntbaeset.dll Bitte diese Datei bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
__________________ Logfiles bitte immer in CODE-Tags posten |
30.07.2010, 21:07 | #11 |
| Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Ich hoffe ich habe es richtig gemacht!!!! |
30.07.2010, 21:10 | #12 |
| Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner ich hoffe es hat alles geklappt!! |
31.07.2010, 13:45 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Hat leider nicht so geklappt wie ich das wollte. Angekommen ist eine leere Datei. Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete: c:\windows\system32\ntbaeset.dll 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken
__________________ Logfiles bitte immer in CODE-Tags posten |
31.07.2010, 14:01 | #14 |
| Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Hier das eine Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "c:\windows\system32\ntbaeset.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
31.07.2010, 14:03 | #15 |
| Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner Hier der rest! File-Upload.net - backup.zip |
Themen zu Der Trojaner TR/Spy.Browse.A ist bei mir auf dem Rechner |
.dll, aktion, behandelt, c:\windows, datei, gefunde, helfer, liebe, melde, meldet, programm, rechner, system, system32, thema, tr/spy.browse.a, troja, trojaner, unerwünschtes, unerwünschtes programm, verweigern, virus, windows, zugriff |