| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.08.2010, 14:29
| #1 |
 |  svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Hallo Leute, vor etwa zwei Tagen war ich im Internet am surfen als plötzlich meherer Fenster sich öffneten und irgendetwas heruntergeladen wurde. Ich habe sofort reagiert und den Rechner über den Resetknopf ausgeschaltet. Als er dann wieder hochfuhr und ich ins Internet ging, öffneten sich urplötzlich immer wieder neue Fenster. Ich habe alle Fenster geschlossen, Antivir und Spybot aktuallisiert und laufen lassen. Es wurden insgesamt 16 Viren/Warnungen und schädliche Dateien gefunden. Ich dachte das Problem wäre damit behoben aber Pustekuchen. Daraufhin installierte ich noch Ad-Aware und Hijackthis. Ad-Aware fand auch noch mal 13 Viren/Warnungen und verdächtige Dateien. Hijackthis habe ich auch einmal scannen lassen und die Logdatei online überprüfen lassen. Jedch war alles im grünen Bereich. Es öffnen sich jetzt zwar keine Fenster mehr, allerdings bekomme ich immer wieder folgenden ähnlichen Hinweis von Ad-Aware: "Ad-Watch Life hat verhindert das svchost.exe eine Verbindung zu einer schädlichen Seite herstellt." Mit IP-Adresse und Portangabe. oder "Ad-Watch Life hat verhindert das firefox.exe eine Verbindung zu einer schädlichen Seite herstellt." Mit IP-Adresse und Portangabe. Ich hatte noch nie größere Probleme mit meinem System. Alles lief sehr stabil und ohne Abstürze. Als Betriebsystem benutze ich XP Pro mit SP2 und Firefox als Browser. Zum Schutz des PCs habe ich Antivir, Spybot und XP-Antispy installiert. Seit zwei Tagen nun auch noch Ad-Aware. Ein weiteres Problem, welches ich soeben entdeckt habe ist, sobald ich einen Mailto-Link anklicke und eine Mail schreiben möchte stürzt Firefox ab und folgender Fehler wird in einem Fenster dargestellt: "Ein Problem ist aufgetreten und Firefox ist abgestürzt. Es wird versucht, Ihre Tabs und Fenster bei einem Neustart wiederherzustellen..." Ich bin mir fast sicher, dass dieses Problem mit dem Virus oder was auch immer es ist, den ich mir vor zwei Tagen eingefangen habe zusammenhängt. Wer kann mir weiterhelfen? Vielen Dank im Voraus. Gruß Costa Geändert von Costa2000 (15.08.2010 um 15:28 Uhr) |
|
15.08.2010, 20:00
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellenZitat:
Aus den Regeln: 5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe) Fehlen diese Angaben, kann und wird dir hier niemand helfen.
__________________ |
|
16.08.2010, 09:09
| #3 |
| | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Hallo Cosinus,
__________________ich habe die Programme Malwarebytes "Anti-Malware" und OTL heruntergeladen und durchgeführt. Ich denke, dass könnte weiterhelfen. Der erste Scan mit Malwarebytes ist ein QUICKSCAN gewesen: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4434 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.13 16.08.2010 00:00:11 mbam-log-2010-08-16 (00-00-11).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 139236 Laufzeit: 5 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 9 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 12 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\INCG9WP8HQ (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\XTF1BQO4MU (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\incg9wp8hq (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Infizierte Dateien: C:\Programme\Mozilla Firefox\0.4042669355472518.exe (Spyware.Passwords) -> No action taken. C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart\syscron.exe (Heuristics.Shuriken) -> No action taken. C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\e.exe (Spyware.Passwords) -> No action taken. C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\FwPjLEfAqY.exe (Rogue.Security.Tool) -> No action taken. C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\14C.tmp (Rootkit.Dropper) -> No action taken. C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\14D.tmp (Rootkit.Dropper) -> No action taken. C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\7B.tmp (Rootkit.TDSS) -> No action taken. C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\48.tmp (Rootkit.Dropper) -> No action taken. C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\4E.tmp (Rootkit.Dropper) -> No action taken. C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\usernt.dat (Malware.Trace) -> No action taken. C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> No action taken. C:\WINDOWS\system32\drivers\asc3550p.sys (Rootkit.Agent) -> No action taken. Der zweite Scan mit Malwarebytes ist ein VOLLSCAN gewesen: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4434 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.13 16.08.2010 00:58:33 mbam-log-2010-08-16 (00-58-33).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|J:\|K:\|) Durchsuchte Objekte: 227723 Laufzeit: 50 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Eshye\meisz.exe (Heuristics.Shuriken) -> No action taken. C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\hc.exe (Rogue.Installer) -> No action taken. C:\Programme\Ascaron Entertainment\Port Royale 2\dsetup.dll (Malware.Packer.Gen) -> No action taken. Gruß Costa |
|
16.08.2010, 09:12
| #4 |
| | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Und hier habe ich die beiden OTL Logfiles:OTL Logfile: Code:
ATTFilter OTL logfile created on: 16.08.2010 01:08:14 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 66,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 83,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 172,77 Gb Total Space | 138,06 Gb Free Space | 79,91% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded Drive I: | 97,66 Gb Total Space | 79,74 Gb Free Space | 81,65% Space Free | Partition Type: NTFS Drive J: | 97,66 Gb Total Space | 4,88 Gb Free Space | 5,00% Space Free | Partition Type: NTFS Drive K: | 97,66 Gb Total Space | 59,57 Gb Free Space | 60,99% Space Free | Partition Type: NTFS Computer Name: COMPUTER Current User Name: Benutzername Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Standard ========== Processes (SafeList) ========== PRC - [2010.08.16 00:07:11 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\OTL.exe PRC - [2010.08.15 00:50:31 | 001,355,416 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe PRC - [2010.08.15 00:50:31 | 000,864,624 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe PRC - [2010.07.25 14:43:52 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe PRC - [2010.07.11 11:42:46 | 002,199,040 | ---- | M] () -- C:\Programme\Rainlendar2\Rainlendar2.exe PRC - [2010.04.30 23:09:04 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2010.03.02 11:28:23 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.03.05 17:07:20 | 002,260,480 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe PRC - [2007.06.13 15:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.02.16 19:49:50 | 000,411,168 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe PRC - [2005.11.21 12:34:24 | 000,081,920 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE PRC - [2005.11.15 04:07:28 | 000,679,936 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\StCenter.exe PRC - [2004.08.04 14:00:00 | 000,060,416 | ---- | M] (Microsoft Corporation) -- C:\Programme\Outlook Express\msimn.exe PRC - [2003.05.15 01:19:50 | 000,217,193 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe PRC - [2003.03.19 17:43:00 | 000,065,536 | ---- | M] (Brother Industries, Ltd.) -- C:\WINDOWS\system32\Brmfrmps.exe PRC - [2003.02.06 16:08:54 | 001,572,864 | ---- | M] (Scansoft, Inc.) -- C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe PRC - [2002.08.08 10:38:16 | 000,045,108 | ---- | M] (ScanSoft, Inc.) -- C:\Programme\Scansoft\PaperPort\pptd40nt.exe PRC - [2001.08.17 14:36:38 | 000,032,256 | ---- | M] (Brother Industries, Ltd.) -- C:\WINDOWS\system32\BrmfRsmg.exe PRC - [2001.02.23 11:07:30 | 000,270,336 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe ========== Modules (SafeList) ========== MOD - [2010.08.16 00:07:11 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\OTL.exe MOD - [2006.08.25 09:46:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll MOD - [2004.08.04 14:00:00 | 000,102,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx ========== Win32 Services (SafeList) ========== SRV - [2010.08.15 00:50:31 | 001,355,416 | ---- | M] (Lavasoft) [Auto | Running] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service) SRV - [2010.04.30 23:09:04 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2008.10.24 15:17:52 | 000,145,248 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2007.02.16 19:49:50 | 000,411,168 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc) SRV - [2006.10.02 19:58:06 | 000,024,072 | ---- | M] (TuneUp Software GmbH) [Auto | Running] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp) SRV - [2005.11.21 12:34:24 | 000,081,920 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- (AVM IGD CTRL Service) SRV - [2005.11.21 11:48:06 | 000,315,392 | ---- | M] (AVM Berlin) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe -- (de_serv) SRV - [2005.04.04 01:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2004.09.29 12:14:36 | 000,069,632 | ---- | M] (HP) [On_Demand | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12) SRV - [2003.03.19 17:43:00 | 000,065,536 | ---- | M] (Brother Industries, Ltd.) [Auto | Running] -- C:\WINDOWS\System32\Brmfrmps.exe -- (brmfrmps) SRV - [2001.02.23 11:07:30 | 000,270,336 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\w810mdm.sys -- (w810mdm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\w810mdfl.sys -- (w810mdfl) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\w810bus.sys -- (w810bus) Sony Ericsson W810 Driver driver (WDM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys -- (SANDRA) DRV - [2010.08.15 00:50:43 | 000,015,008 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\kernexplorer.sys -- (Lavasoft Kernexplorer) DRV - [2010.08.14 20:34:03 | 000,095,024 | ---- | M] (Sunbelt Software) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SBREDrv.sys -- (SBRE) DRV - [2010.06.21 19:44:11 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd) DRV - [2010.03.01 10:05:19 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2010.02.16 14:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.11.30 15:17:47 | 000,021,504 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSHDRV51.sys -- (SSHDRV51) DRV - [2009.11.24 15:27:38 | 000,053,760 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSHDRV76.sys -- (SSHDRV76) DRV - [2009.11.21 04:34:54 | 010,235,968 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv) DRV - [2009.11.13 05:00:01 | 000,281,504 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt) DRV - [2009.11.13 05:00:01 | 000,025,888 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt) DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.02.13 13:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008.12.20 21:07:51 | 000,392,320 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter) DRV - [2008.12.20 21:07:51 | 000,032,768 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter) DRV - [2008.12.20 21:07:34 | 000,114,048 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman) DRV - [2008.04.11 16:14:32 | 000,097,728 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AnyDVD.sys -- (AnyDVD) DRV - [2007.08.07 21:48:33 | 000,025,160 | ---- | M] (Elaborate Bytes AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys -- (ElbyCDIO) DRV - [2006.06.27 11:42:14 | 003,972,672 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\alcxwdm.sys -- (ALCXWDM) Service for Realtek AC97 Audio (WDM) DRV - [2006.03.21 11:19:50 | 000,060,672 | R--- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UDTT7049A.sys -- (UDTT7049A) DRV - [2006.03.03 04:54:24 | 000,016,896 | R--- | M] (DTV-DVB) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UDTT7049HID.sys -- (UDTT7049HID) DRV - [2005.09.30 06:52:22 | 000,013,056 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus) DRV - [2005.09.30 06:52:20 | 000,034,048 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD) DRV - [2005.08.18 10:52:06 | 000,093,568 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvata.sys -- (nvata) DRV - [2005.06.27 09:14:35 | 000,066,560 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfvfs02.sys -- (sfvfs02) StarForce Protection VFS Driver (version 2.x) DRV - [2005.05.17 14:48:21 | 000,050,176 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x) DRV - [2005.05.16 15:20:39 | 000,006,656 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x) DRV - [2004.08.13 04:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor) DRV - [2004.08.04 14:00:00 | 000,095,360 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\atapi.sys -- (atapi) DRV - [2004.08.04 14:00:00 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf) DRV - [2004.08.04 00:10:14 | 000,015,360 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE) DRV - [2004.04.30 09:37:02 | 000,160,640 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\a347bus.sys -- (a347bus) DRV - [2004.04.30 09:33:00 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\a347scsi.sys -- (a347scsi) DRV - [2003.03.14 02:04:20 | 000,061,952 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell) DRV - [2002.09.16 18:32:08 | 000,004,228 | ---- | M] (PowerQuest Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\PQNTDRV.sys -- (PQNTDrv) DRV - [2001.08.17 13:12:22 | 000,010,368 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrUsbScn.sys -- (BrUsbScn) Brother MFC-Scannertreiber (USB) DRV - [2001.08.17 13:12:20 | 000,011,008 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrUsbMdm.sys -- (BrUsbMdm) Brother MFC-nur-Fax-Modem (USB) DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "eBay" FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2 FF - prefs.js..extensions.enabledItems: 5 FF - prefs.js..extensions.enabledItems: 2 FF - prefs.js..extensions.enabledItems: 2 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.1 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..network.proxy.ftp: "localhost" FF - prefs.js..network.proxy.ftp_port: 8118 FF - prefs.js..network.proxy.gopher: "localhost" FF - prefs.js..network.proxy.gopher_port: 8118 FF - prefs.js..network.proxy.http: "localhost" FF - prefs.js..network.proxy.http_port: 8118 FF - prefs.js..network.proxy.socks: "localhost" FF - prefs.js..network.proxy.socks_port: 9050 FF - prefs.js..network.proxy.ssl: "localhost" FF - prefs.js..network.proxy.ssl_port: 8118 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.08.10 11:55:48 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.12 15:28:45 | 000,000,000 | ---D | M] [2009.01.10 12:26:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Extensions [2010.08.15 14:20:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\extensions [2010.07.10 04:29:49 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.04.03 22:31:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\extensions\firefox@tvunetworks.com [2010.08.15 14:20:51 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.06.25 20:47:48 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.06.25 20:47:48 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.06.25 20:47:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.06.25 20:47:48 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.06.25 20:47:48 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.08.12 04:14:47 | 000,422,921 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 99.189.54 O1 - Hosts: 127.0.0.1 99.189.52 O1 - Hosts: 127.0.0.1 99.14.103 O1 - Hosts: 127.0.0.1 98.223.73 O1 - Hosts: 127.0.0.1 97.80.137 O1 - Hosts: 127.0.0.1 95.134.16 O1 - Hosts: 127.0.0.1 95.133.8. O1 - Hosts: 127.0.0.1 95.133.23 O1 - Hosts: 127.0.0.1 95.133.23 O1 - Hosts: 127.0.0.1 95.133.14 O1 - Hosts: 127.0.0.1 95.133.11 O1 - Hosts: 127.0.0.1 95.105.17 O1 - Hosts: 127.0.0.1 94.53.2.1 O1 - Hosts: 127.0.0.1 94.23.201 O1 - Hosts: 127.0.0.1 94.179.55 O1 - Hosts: 127.0.0.1 94.179.48 O1 - Hosts: 127.0.0.1 94.179.19 O1 - Hosts: 127.0.0.1 94.179.11 O1 - Hosts: 127.0.0.1 94.178.65 O1 - Hosts: 127.0.0.1 93.39.197 O1 - Hosts: 127.0.0.1 93.186.17 O1 - Hosts: 127.0.0.1 93.136.83 O1 - Hosts: 127.0.0.1 93.112.91 O1 - Hosts: 127.0.0.1 92.86.197 O1 - Hosts: 14678 more lines... O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe () O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.) O4 - HKLM..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl03a\BrStDvPt.exe () O4 - HKCU..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe () O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SmartUI.lnk = C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe (Scansoft, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoUserNameInStartMenu = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: MaxRecentDocs = 11 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet) O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\haufereader - No CLSID value found O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\ACD Hintergrund.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\ACD Hintergrund.bmp O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.12.19 17:59:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe () O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.16 00:07:10 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\OTL.exe [2010.08.15 23:53:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Malwarebytes [2010.08.15 23:53:02 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.08.15 23:53:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.08.15 23:53:00 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.08.15 23:53:00 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.08.15 23:51:39 | 006,153,648 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\mbam-setup.exe [2010.08.15 23:33:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Identities [2010.08.15 14:41:22 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Benutzername\Recent [2010.08.15 14:32:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Bilder Kopie [2010.08.15 14:15:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia [2010.08.15 00:50:49 | 000,064,288 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\Lbd.sys [2010.08.15 00:47:27 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{90FF8911-FC06-4E49-8959-C3CF1CA226BB} [2010.08.15 00:47:14 | 000,000,000 | ---D | C] -- C:\Programme\Lavasoft [2010.08.15 00:44:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Ad-Al.8.3 [2010.08.15 00:21:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\backups [2010.08.14 22:52:09 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\HiJackThis204.exe [2010.08.14 20:34:03 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys [2010.08.14 20:25:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software [2010.08.14 20:24:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft [2010.08.14 20:19:32 | 128,750,008 | ---- | C] (Lavasoft ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Ad-AwareInstall.exe [2010.08.14 16:00:24 | 000,000,000 | ---D | C] -- C:\Programme\Rainlendar2 [2010.08.14 03:43:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2010.08.13 15:48:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Die_Wahrheit___ber_Bauchmuskeln [2010.08.12 15:28:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0 [2010.08.11 16:41:42 | 000,839,680 | ---- | C] (hxxp://www.mp3dev.org/) -- C:\WINDOWS\System32\lameACM.acm [2010.08.11 16:41:41 | 000,217,088 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\yv12vfw.dll [2010.08.11 16:41:41 | 000,151,552 | ---- | C] (fccHandler) -- C:\WINDOWS\System32\ac3acm.acm [2010.08.11 16:35:20 | 015,166,257 | ---- | C] ( ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\K-Lite_Codec_Pack_620_Full.exe [2010.08.10 11:43:59 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Apple [2010.08.10 11:42:36 | 033,850,672 | ---- | C] (Apple Inc.) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\QuickTimeInstaller.exe [2010.08.05 16:36:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Baahme [2010.08.01 01:06:48 | 000,000,000 | ---D | C] -- C:\Programme\Uconomix [2010.08.01 01:06:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\uMarkPro1_3Setup [2010.07.31 21:20:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla-Cache [2010.07.23 13:19:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\TeamViewer [2010.07.21 22:52:40 | 000,000,000 | ---D | C] -- C:\Programme\Hardcopy [2010.07.21 22:52:19 | 000,501,760 | ---- | C] (www.sw4you.de Siegfried Weckmann) -- C:\WINDOWS\SwSetupu.exe [2010.07.21 22:49:25 | 017,327,195 | ---- | C] (Mooii) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\PhotoScapeSetup_V3.5.exe [2010.07.20 00:53:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Buttons and Icons [2010.07.18 22:23:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\foxit-pdf-editor-2.1.0-build-0119 [2009.04.29 00:06:15 | 000,160,640 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347bus.sys [2009.04.29 00:06:15 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347scsi.sys [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.08.16 01:02:27 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job [2010.08.16 01:02:27 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job [2010.08.16 01:02:27 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job [2010.08.16 01:02:27 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job [2010.08.16 01:01:41 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job [2010.08.16 01:01:36 | 000,002,160 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini [2010.08.16 01:01:24 | 000,272,291 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2010.08.16 01:01:20 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.08.16 01:01:19 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.16 01:01:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.16 00:59:34 | 010,485,760 | -H-- | M] () -- C:\Dokumente und Einstellungen\Benutzername\NTUSER.DAT [2010.08.16 00:42:01 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.08.16 00:07:11 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\OTL.exe [2010.08.15 23:53:05 | 000,000,686 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.15 23:51:46 | 006,153,648 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\mbam-setup.exe [2010.08.15 23:36:16 | 000,003,327 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Doku225588ment.rtf [2010.08.15 22:14:53 | 000,041,195 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Vivien1.jpg [2010.08.15 22:14:38 | 000,030,996 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Vivien2.jpg [2010.08.15 21:51:52 | 000,068,130 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Ladeliste1508_Firefox_Profiles_m51lj4ia.pdf [2010.08.15 21:49:22 | 000,105,456 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\LabelPr1508ofiles_m51lj4ia.pdf [2010.08.15 16:31:54 | 000,002,495 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Desktop\Microsoft Word.lnk [2010.08.15 14:34:41 | 000,036,864 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.08.14 23:11:27 | 000,025,208 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.08.14 22:52:09 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\HiJackThis204.exe [2010.08.14 20:34:03 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys [2010.08.14 20:22:31 | 128,750,008 | ---- | M] (Lavasoft ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Ad-AwareInstall.exe [2010.08.14 16:00:00 | 005,295,153 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Rainlendar-Lite-2.7-32bit.exe [2010.08.14 05:29:29 | 000,139,648 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.08.14 05:28:11 | 000,932,660 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.08.14 05:28:11 | 000,420,824 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.08.14 05:28:11 | 000,405,388 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.08.14 05:28:11 | 000,076,538 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.08.14 05:28:11 | 000,063,222 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.08.14 05:04:18 | 000,025,208 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.08.14 04:59:31 | 000,000,621 | ---- | M] () -- C:\WINDOWS\wininit.ini [2010.08.13 17:15:00 | 000,000,410 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job [2010.08.12 20:10:50 | 000,069,656 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\11221lj4ia.pdf [2010.08.12 20:09:48 | 000,021,595 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\1111111111111n_Mozilla_.pdf [2010.08.12 15:59:01 | 000,002,519 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Desktop\Microsoft FrontPage.lnk [2010.08.12 15:28:46 | 000,001,814 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk [2010.08.12 04:14:47 | 000,422,921 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2010.08.12 04:11:42 | 000,422,921 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20100812-041447.backup [2010.08.12 04:02:49 | 000,000,162 | -H-- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\~$L01FFF.doc [2010.08.12 03:51:16 | 000,422,921 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20100812-041142.backup [2010.08.12 02:37:53 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Benutzername\ntuser.ini [2010.08.11 16:37:32 | 015,166,257 | ---- | M] ( ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\K-Lite_Codec_Pack_620_Full.exe [2010.08.10 12:20:12 | 035,297,702 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Big_booty_Milf_squirting.flv [2010.08.10 11:43:21 | 033,850,672 | ---- | M] (Apple Inc.) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\QuickTimeInstaller.exe [2010.08.08 08:03:59 | 003,686,454 | ---- | M] () -- C:\WINDOWS\ACD Hintergrund.bmp [2010.08.05 19:33:29 | 000,002,441 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\uMark Professional.lnk [2010.08.05 15:52:42 | 000,023,309 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\.recently-used.xbel [2010.08.04 19:57:39 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.08.03 16:23:36 | 006,790,294 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\BobHome2008.pdf [2010.07.28 23:39:54 | 000,196,410 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Anlage-EKS-Erklaerung-Einkommen-Selbstaendiger.pdf [2010.07.25 20:36:29 | 000,017,551 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Amazon.de - Bestellung 028-...pdf [2010.07.25 14:43:40 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.07.21 22:50:46 | 017,327,195 | ---- | M] (Mooii) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\PhotoScapeSetup_V3.5.exe [2010.07.18 22:28:32 | 000,001,066 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Desktop\PDFEdit.lnk [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.15 23:53:05 | 000,000,686 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.15 23:36:16 | 000,003,327 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Doku225588ment.rtf [2010.08.15 22:59:25 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job [2010.08.15 22:59:25 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job [2010.08.15 22:59:24 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job [2010.08.15 22:59:24 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job [2010.08.15 22:14:53 | 000,041,195 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Vivien1.jpg [2010.08.15 22:14:37 | 000,030,996 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Vivien2.jpg [2010.08.15 21:51:52 | 000,068,130 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Ladeliste1508_Firefox_Profiles_m51lj4ia.pdf [2010.08.15 21:49:22 | 000,105,456 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\LabelPr1508ofiles_m51lj4ia.pdf [2010.08.15 14:38:50 | 000,015,880 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe [2010.08.14 15:59:54 | 005,295,153 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Rainlendar-Lite-2.7-32bit.exe [2010.08.14 03:29:12 | 000,005,120 | -HS- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Thumbs.db [2010.08.12 20:10:50 | 000,069,656 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\11221lj4ia.pdf [2010.08.12 20:09:48 | 000,021,595 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\1111111111111n_Mozilla_.pdf [2010.08.12 15:28:46 | 000,001,814 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk [2010.08.12 04:02:49 | 000,000,162 | -H-- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\~$L01FFF.doc [2010.08.11 16:41:43 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini [2010.08.11 16:41:42 | 000,000,414 | ---- | C] () -- C:\WINDOWS\System32\lame_acm.xml [2010.08.11 16:41:41 | 000,790,528 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2010.08.11 16:41:41 | 000,134,144 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2010.08.11 16:41:41 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2010.08.11 16:41:41 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest [2010.08.10 12:12:28 | 035,297,702 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Big_booty_Milf_squirting.flv [2010.08.05 15:52:42 | 000,023,309 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\.recently-used.xbel [2010.08.04 19:57:39 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.08.03 16:23:36 | 006,790,294 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\BobHome2008.pdf [2010.08.01 01:06:49 | 000,002,441 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\uMark Professional.lnk [2010.07.28 23:39:54 | 000,196,410 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Anlage-EKS-Erklaerung-Einkommen-Selbstaendiger.pdf [2010.07.25 20:36:29 | 000,017,551 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Amazon.de - Bestellung 028-...pdf [2010.07.18 22:28:32 | 000,001,066 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Desktop\PDFEdit.lnk [2010.07.15 15:00:17 | 000,000,132 | ---- | C] () -- C:\WINDOWS\picture-shark.INI [2010.05.28 16:46:38 | 000,000,040 | ---- | C] () -- C:\WINDOWS\opt_2460.ini [2010.05.28 16:30:57 | 000,000,051 | ---- | C] () -- C:\WINDOWS\brmx2001.ini [2010.05.28 16:25:55 | 000,000,585 | ---- | C] () -- C:\WINDOWS\Brpcfx.ini [2010.05.28 16:25:55 | 000,000,052 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI [2010.05.28 16:25:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brwmark.ini [2010.05.28 16:23:40 | 000,000,767 | ---- | C] () -- C:\WINDOWS\maxlink.ini [2010.05.28 15:57:52 | 000,002,160 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini [2010.04.30 17:21:53 | 000,000,621 | ---- | C] () -- C:\WINDOWS\wininit.ini [2010.02.19 01:04:00 | 000,000,384 | ---- | C] () -- C:\WINDOWS\EasyCT.INI [2010.02.11 17:13:37 | 000,000,023 | ---- | C] () -- C:\WINDOWS\BlendSettings.ini [2009.12.02 15:16:13 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll [2009.11.30 15:17:47 | 000,021,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV51.sys [2009.11.24 15:27:38 | 000,053,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV76.sys [2009.11.08 01:10:33 | 000,060,672 | R--- | C] () -- C:\WINDOWS\System32\drivers\UDTT7049A.sys [2009.11.06 01:52:18 | 000,165,376 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2009.08.07 20:28:56 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\psfind.dll [2009.05.07 03:25:57 | 000,000,059 | ---- | C] () -- C:\WINDOWS\Sysprns.dll [2009.04.22 23:14:45 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys [2009.01.27 23:55:08 | 000,281,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2009.01.27 23:55:08 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2008.12.20 02:22:41 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll [2008.12.20 02:14:00 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll [2008.12.19 21:49:37 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini [2008.12.19 21:04:46 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2008.12.19 19:25:44 | 000,143,360 | R--- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2008.12.19 19:25:28 | 000,020,543 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2008.12.19 19:25:28 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys [2008.12.19 19:25:18 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2008.10.07 14:33:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2008.10.07 10:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll [2008.10.07 10:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll [2004.08.04 14:00:00 | 000,095,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\atapi.sys [2004.05.12 07:31:54 | 000,002,550 | ---- | C] () -- C:\WINDOWS\PWRPLAY.INI [2002.08.08 09:20:40 | 000,101,376 | ---- | C] () -- C:\WINDOWS\System32\Welsof32.dll [2002.05.16 01:38:40 | 000,091,136 | ---- | C] () -- C:\WINDOWS\System32\mp4fil32.dll [2002.05.04 15:19:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\avisynthEx.dll [2002.03.21 16:39:02 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\UNACEV2.DLL [2002.01.08 16:57:34 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\Jpeg32.dll [1999.01.27 00:00:00 | 000,114,816 | ---- | C] () -- C:\WINDOWS\System32\MSMT4232.DLL ========== Alternate Data Streams ========== @Alternate Data Stream - 24 bytes -> C:\WINDOWS:639B060CEB39B037 @Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0 < End of report > |
|
16.08.2010, 09:18
| #5 |
| | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Den zweiten OTL Scan kann ich momentan nicht posten. Irgendwie komm ich nicht durch oder ist der Text zu lang? Es heißt "Verbindung unterbrochen". Ich versuche es später noch einmal. Danke. Gruß Costa |
|
16.08.2010, 09:30
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellenZitat:
__________________ --> svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen |
|
16.08.2010, 09:31
| #7 |
| | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Moin, Port Royale 2 ist ein Spiel, eine Simulation so ähnlich wie "Pirates". |
|
16.08.2010, 09:32
| #8 |
| | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Ich kann das zweite OTL Logfile nicht eingeben. Das scheint zu lang zu sein. Oder mache ich irgendetwas falsch? |
|
16.08.2010, 09:45
| #9 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellenZitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
16.08.2010, 09:53
| #10 |
| | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Ich besitze das Spiel als Originalversion. Ich habe es vor Jahren gekauft und installiert. Soweit ich mich erinnern kann habe ich es mal aktualisiert und gepatched. |
|
16.08.2010, 09:59
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Gepatcht heißt, du hast es mal aktualisiert? Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
FF - prefs.js..network.proxy.ftp: "localhost"
FF - prefs.js..network.proxy.ftp_port: 8118
FF - prefs.js..network.proxy.gopher: "localhost"
FF - prefs.js..network.proxy.gopher_port: 8118
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 8118
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 8118
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:639B060CEB39B037
@Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.08.2010, 11:17
| #12 |
| | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Das Spiel habe ich irgendwann mal mit einem Patch aktualisiert z.B. von Version 1.1 auf 1.2. All processes killed ========== OTL ========== Prefs.js: "localhost" removed from network.proxy.ftp Prefs.js: 8118 removed from network.proxy.ftp_port Prefs.js: "localhost" removed from network.proxy.gopher Prefs.js: 8118 removed from network.proxy.gopher_port Prefs.js: "localhost" removed from network.proxy.http Prefs.js: 8118 removed from network.proxy.http_port Prefs.js: "localhost" removed from network.proxy.socks Prefs.js: 9050 removed from network.proxy.socks_port Prefs.js: "localhost" removed from network.proxy.ssl Prefs.js: 8118 removed from network.proxy.ssl_port ADS C:\WINDOWS:639B060CEB39B037 deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0 deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: All Users User: Benutzername ->Temp folder emptied: 1454125318 bytes ->Temporary Internet Files folder emptied: 85416 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 29894668 bytes ->Flash cache emptied: 5052 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 41 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 552 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 3061158 bytes ->Flash cache emptied: 866 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2216420 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1317485 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 1.422,00 mb OTL by OldTimer - Version 3.2.9.1 log created on 08162010_122258 Files\Folders moved on Reboot... File move failed. C:\WINDOWS\S96A258C3.tmp scheduled to be moved on reboot. Registry entries deleted on Reboot... Geändert von Costa2000 (16.08.2010 um 11:24 Uhr) |
|
16.08.2010, 11:26
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Ok. Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.08.2010, 15:15
| #14 |
| | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Combofix Logfile: Code:
ATTFilter ComboFix 10-08-15.04 - Benutzername 16.08.2010 16:05:05.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Benutzername\Desktop\cofi.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\winlogon.bak
c:\windows\system32\winlogon.exe . . . ist infiziert!!
Infizierte Kopie von c:\windows\system32\drivers\ssmdrv.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3550P
-------\Legacy_SSHNAS
((((((((((((((((((((((( Dateien erstellt von 2010-07-16 bis 2010-08-16 ))))))))))))))))))))))))))))))
.
2010-08-16 10:22 . 2010-08-16 10:22 -------- d-----w- C:\_OTL
2010-08-15 21:53 . 2010-08-15 21:53 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Malwarebytes
2010-08-15 21:53 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-15 21:53 . 2010-08-15 21:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-15 21:53 . 2010-08-15 21:53 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-08-15 21:53 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-15 12:38 . 2010-06-21 17:44 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-08-14 22:50 . 2010-06-21 17:44 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-08-14 22:47 . 2010-08-14 22:47 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{90FF8911-FC06-4E49-8959-C3CF1CA226BB}
2010-08-14 22:47 . 2010-06-21 17:52 2978768 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{90FF8911-FC06-4E49-8959-C3CF1CA226BB}\Ad-AwareInstall.exe
2010-08-14 22:47 . 2010-08-14 22:47 -------- d-----w- c:\programme\Lavasoft
2010-08-14 18:34 . 2010-08-14 18:34 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-08-14 18:25 . 2010-08-14 18:25 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-08-14 18:24 . 2010-08-14 22:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-08-14 14:00 . 2010-08-14 14:00 -------- d-----w- c:\programme\Rainlendar2
2010-08-11 14:41 . 2010-07-14 08:00 108032 ----a-w- c:\windows\system32\ff_vfw.dll
2010-08-11 14:41 . 2010-06-08 16:10 790528 ----a-w- c:\windows\system32\xvidcore.dll
2010-08-11 14:41 . 2010-06-08 16:10 134144 ----a-w- c:\windows\system32\xvidvfw.dll
2010-08-11 14:41 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2010-08-10 09:43 . 2010-08-10 09:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-08-05 14:36 . 2010-08-14 02:59 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Baahme
2010-08-04 17:57 . 2010-08-04 17:57 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-07-31 23:06 . 2010-07-31 23:06 -------- d-----w- c:\programme\Uconomix
2010-07-31 19:20 . 2010-07-31 19:21 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla-Cache
2010-07-23 11:19 . 2010-07-23 11:19 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\TeamViewer
2010-07-21 20:52 . 2010-07-22 11:57 -------- d-----w- c:\programme\Hardcopy
2010-07-21 20:52 . 2010-03-20 07:45 501760 ----a-w- c:\windows\SwSetupu.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-16 13:59 . 2009-01-01 19:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-08-16 10:48 . 2008-12-19 23:29 0 --sh--w- c:\windows\S96A258C3.tmp
2010-08-16 10:43 . 2008-12-21 15:28 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Media Player Classic
2010-08-16 10:43 . 2009-11-03 22:45 -------- d-----w- c:\programme\CCleaner
2010-08-15 22:58 . 2010-07-07 13:56 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Eshye
2010-08-15 19:53 . 2008-12-19 19:08 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\AdobeUM
2010-08-14 19:52 . 2010-05-21 15:23 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Siidg
2010-08-14 03:28 . 2004-08-04 12:00 76538 ----a-w- c:\windows\system32\perfc007.dat
2010-08-14 03:28 . 2004-08-04 12:00 420824 ----a-w- c:\windows\system32\perfh007.dat
2010-08-14 03:19 . 2009-05-12 16:50 -------- d-----w- c:\programme\IrfanView
2010-08-14 03:04 . 2008-12-19 19:09 25208 ----a-w- c:\dokumente und einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-14 03:01 . 2008-12-20 00:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-14 02:59 . 2010-06-02 21:16 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Incaa
2010-08-14 02:54 . 2009-06-14 14:07 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Bemuev
2010-08-14 02:54 . 2009-11-06 06:31 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Adykem
2010-08-14 02:52 . 2010-07-10 02:52 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Xexuys
2010-08-14 02:43 . 2009-02-25 11:31 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Encoma
2010-08-14 02:43 . 2010-06-14 10:26 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Heirce
2010-08-14 02:43 . 2009-03-07 10:23 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Avedez
2010-08-14 02:43 . 2009-11-17 01:18 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Sovozo
2010-08-13 16:19 . 2010-03-24 02:16 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\aborange
2010-08-12 13:28 . 2008-12-19 19:06 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-08-11 14:42 . 2009-11-05 23:52 -------- d-----w- c:\programme\K-Lite Codec Pack
2010-08-10 09:55 . 2009-05-17 08:21 -------- d-----w- c:\programme\QuickTime
2010-08-05 13:52 . 2010-06-14 09:54 -------- d-----w- c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\gtk-2.0
2010-07-31 23:29 . 2010-07-15 13:01 -------- d-----w- c:\programme\PMlabs
2010-07-16 22:57 . 2010-04-18 00:53 -------- d-----w- c:\programme\MSECache
2010-07-15 13:00 . 2010-07-15 12:51 -------- d-----w- c:\programme\picture-shark
2010-06-14 14:30 . 2008-12-19 15:57 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-05-28 14:25 . 2010-05-28 14:25 50 ----a-w- c:\windows\system32\m8440def.dat
.
------- Sigcheck -------
[-] 2008-12-19 . 33AA1F31DE9099BB306F4195FEC61421 . 507392 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"PaperPort PTD"="c:\programme\Scansoft\PaperPort\pptd40nt.exe" [2002-08-08 45108]
"IndexSearch"="c:\programme\Scansoft\PaperPort\IndexSearch.exe" [2002-08-08 36864]
"SetDefPrt"="c:\programme\Brother\Brmfl03a\BrStDvPt.exe" [2003-10-30 45056]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\dokumente und einstellungen\Benutzername\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2008-12-19 679936]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]
SmartUI.lnk - c:\programme\Scansoft\PaperPort\SmartUI\SmartUI.exe [2003-2-6 1572864]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2007-02-16 17:49 149024 ----a-w- c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
2007-02-17 12:35 1966928 ----a-w- c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38 34672 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2008-04-11 05:42 2075584 ----a-w- c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-04 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
2004-12-15 12:59 176128 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\hpztsb12.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2008-09-11 10:32 339240 ----a-w- c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-11-20 19:32 12669544 ----a-w- c:\windows\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-11-20 19:32 110184 ----a-w- c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-06-20 21:42 577536 ------r- c:\windows\soundman.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-31 13:23 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2007-02-17 12:31 1194728 ----a-w- c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
"i:\\eMule\\emule.exe"=
"c:\\Programme\\LeechFTP\\Leechftp.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Dokumente und Einstellungen\\Benutzername\\Eigene Dateien\\Warcraft III\\Warcraft III.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"51084:TCP"= 51084:TCP:Mumule
"59510:UDP"= 59510:UDP:Mumule
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [29.04.2009 00:06 5248]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [15.08.2010 00:50 64288]
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [14.08.2010 20:34 95024]
R1 SSHDRV51;SSHDRV51;c:\windows\system32\drivers\SSHDRV51.sys [30.11.2009 15:17 21504]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [24.11.2009 15:27 53760]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.11.2009 00:56 135336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [21.06.2010 19:44 1355416]
S2 gupdate1c98720debe81a0;Google Update Service (gupdate1c98720debe81a0);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2009 01:32 133104]
S3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [28.05.2010 15:57 2944]
S3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [14.03.2003 02:04 61952]
S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);c:\windows\system32\drivers\BrUsbMdm.sys [28.05.2010 15:57 11008]
S3 BrUsbScn;Brother MFC-Scannertreiber (USB);c:\windows\system32\drivers\BrUsbScn.sys [28.05.2010 15:57 10368]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [15.08.2010 00:50 15008]
S3 UDTT7049A;DTV-DVB 7049A DVB-T USB Stick;c:\windows\system32\drivers\UDTT7049A.sys [08.11.2009 01:10 60672]
S3 UDTT7049HID;UDTT7049HID - HID Driver;c:\windows\system32\drivers\UDTT7049HID.sys [08.11.2009 01:10 16896]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [29.04.2009 00:06 160640]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-08-13 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 17:58]
2010-08-16 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-06-21 22:50]
2010-08-16 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-06-21 22:50]
2010-08-16 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-06-21 22:50]
2010-08-16 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-06-21 22:50]
2010-08-16 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-01-01 21:38]
2010-08-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 23:32]
2010-08-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 23:32]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\
FF - prefs.js: browser.search.selectedEngine - eBay
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-nwiz - nwiz.exe
MSConfigStartUp-QuickTime Task - c:\programme\QuickTime\QTTask.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-16 16:11
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-515967899-179605362-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}\InProcServer32*]
"kagchbgmdlecloambmbnng"=hex:62,61,67,66,00,00
"jagcicenacilmeokbaec"=hex:63,61,61,66,6a,6e,00,6e
"iagcidcngiapaajiae"=hex:69,61,61,66,6d,6e,65,6e,6a,70,64,63,64,69,68,62,65,66,
00,01
"kagcldppbpdimgpfhflgmm"=hex:63,61,63,66,68,6a,00,01
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'lsass.exe'(864)
c:\windows\system32\relog_ap.dll
- - - - - - - > 'explorer.exe'(2636)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\windows\system32\Brmfrmps.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\unsecapp.exe
c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-16 16:16:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-08-16 14:15
Vor Suchlauf: 11 Verzeichnis(se), 149.579.038.720 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 149.437.743.104 Bytes frei
- - End Of File - - 83048A1354E3F94DA3A286C02186F5F1
|
|
16.08.2010, 15:17
| #15 |
| | svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen Hallo Arne, bin ich noch infiziert oder schon geheilt?  Gruß Costa |
|
| Themen zu svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen |
| abstürze, ad-aware, ad-watch, antivir, betriebssystem, dateien, firefox, firefox.exe, folge, hijack, hijackthis, internet, ip-adresse, live, logdatei, neue, online, plötzlich, problem, probleme, quarantäne, rechner, schutz, schädliche, seite, sp2, spybot, svchost.exe, system, verbindung |
Linear-Darstellung
