Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: C:\windows\system32/winlogon.exe (auswertung logfile)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 07.09.2010, 15:59   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.09.2010, 19:05   #17
LevO
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



Combofix Logfile:
Code:
ATTFilter
ComboFix 10-09-06.04 - Levent 07.09.2010  19:41:52.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.676 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Levent\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\Levent\Anwendungsdaten\MSA
c:\dokumente und einstellungen\Levent\Anwendungsdaten\MSA\userid.dat
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\Levent\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\Windows Server
c:\dokumente und einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\Windows Server\admin.txt
c:\dokumente und einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\Windows Server\flags.ini
c:\dokumente und einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\Windows Server\server.dat
c:\dokumente und einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\Windows Server\uses32.dat
c:\windows\system32\AutoRun.inf
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\Temp
c:\windows\system32\wpcap.dll

----- BITS: Eventuell infizierte Webseiten -----

hxxp://pvpv.ws
Infizierte Kopie von c:\windows\system32\drivers\cdrom.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt 

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2010-08-07 bis 2010-09-07  ))))))))))))))))))))))))))))))
.

2010-09-07 15:16 . 2010-09-07 15:16	--------	d-----w-	c:\programme\CCleaner
2010-09-07 14:46 . 2010-09-07 14:46	--------	d-----w-	C:\_OTL
2010-09-06 17:34 . 2010-09-06 17:34	--------	d-----w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\Malwarebytes
2010-09-06 17:26 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-06 17:26 . 2010-09-06 20:09	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-09-06 17:26 . 2010-09-06 17:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-06 17:26 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-06 16:26 . 2010-09-06 16:26	--------	d-----w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\Helper
2010-09-05 11:51 . 2010-09-05 11:53	80767800	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools\DownloadManager\Spyware Doctor8.0\sdsetup_dl.exe
2010-09-05 11:51 . 2010-09-05 11:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2010-09-05 11:32 . 2010-09-05 11:32	388096	----a-r-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-05 11:32 . 2010-09-05 11:32	--------	d-----w-	c:\programme\Trend Micro
2010-09-01 21:14 . 2010-09-02 19:32	--------	d-----w-	c:\programme\Mozilla Firefox 4.0 Beta 4
2010-08-30 20:52 . 2008-04-14 02:23	26624	----a-w-	c:\windows\system32\stu2.exe
2010-08-23 20:15 . 2010-08-23 20:15	--------	d-----w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-08-15 11:36 . 2010-08-15 11:36	503808	----a-w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-22f9343a-n\msvcp71.dll
2010-08-15 11:36 . 2010-08-15 11:36	61440	----a-w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-351ad979-n\decora-sse.dll
2010-08-15 11:36 . 2010-08-15 11:36	499712	----a-w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-22f9343a-n\jmc.dll
2010-08-15 11:36 . 2010-08-15 11:36	348160	----a-w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-22f9343a-n\msvcr71.dll
2010-08-15 11:36 . 2010-08-15 11:36	12800	----a-w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-351ad979-n\decora-d3d.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-07 17:55 . 2010-01-30 16:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\Akamai
2010-09-06 14:33 . 2009-10-18 16:01	--------	d-----w-	c:\programme\Warcraft III
2010-09-05 18:02 . 2009-09-08 05:24	96	---ha-w-	c:\windows\system32\HsInfo.dat
2010-09-05 11:28 . 2010-01-15 13:30	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-09-03 20:25 . 2010-01-29 00:56	--------	d-----w-	c:\programme\alaplaya
2010-09-02 19:32 . 2010-07-24 11:12	--------	d-----w-	c:\programme\Project64 1.6
2010-09-02 19:32 . 2010-04-20 09:30	--------	d-----w-	c:\programme\Wolfenstein - Enemy Territory
2010-09-02 19:32 . 2010-03-18 01:11	--------	d-----w-	c:\programme\UrbanTerror
2010-09-02 19:32 . 2010-02-04 19:35	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-28 09:31 . 2009-10-04 19:23	--------	d-----w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\vlc
2010-08-23 20:15 . 2010-03-23 22:00	--------	d-----w-	c:\programme\DVDVideoSoft
2010-08-19 12:01 . 2010-01-14 22:15	16416	----a-w-	c:\dokumente und einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-18 20:50 . 2009-09-07 20:50	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-08-17 21:41 . 2010-05-18 11:30	--------	d-----w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\Itne
2010-08-16 17:31 . 2010-08-28 16:07	154252	----a-w-	c:\windows\PCHealth\HelpCtr\Config\Cache\Personal_32_1031.dat
2010-08-16 01:02 . 2003-04-02 12:00	95282	----a-w-	c:\windows\system32\perfc007.dat
2010-08-16 01:02 . 2003-04-02 12:00	484304	----a-w-	c:\windows\system32\perfh007.dat
2010-07-30 07:36 . 2010-06-06 18:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-07-29 20:13 . 2009-09-24 11:30	214816	----a-w-	c:\windows\system32\PnkBstrB.exe
2010-07-29 20:00 . 2009-09-24 11:30	138328	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2010-07-24 09:44 . 2010-07-24 09:40	--------	d-----w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\BitComet
2010-07-23 04:01 . 2009-09-18 22:06	--------	d-----w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\Musoux
2010-07-22 22:54 . 2010-07-22 22:53	--------	d-----w-	c:\programme\Flash Player
2010-07-21 12:16 . 2010-07-21 12:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-07-21 11:41 . 2009-09-14 18:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2010-07-21 11:41 . 2009-09-14 18:55	--------	d-----w-	c:\programme\HP
2010-07-16 11:33 . 2010-07-16 11:33	542	----a-w-	c:\windows\eReg.dat
2010-07-16 11:29 . 2010-07-16 11:29	--------	d-----w-	c:\programme\Lionhead Studios Ltd
2010-07-12 20:46 . 2009-09-07 20:23	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2010-07-12 20:45 . 2009-09-07 19:20	--------	d-----w-	c:\programme\Messenger Plus! Live
2010-07-12 13:43 . 2009-10-04 18:28	--------	d-----w-	c:\programme\Google
2010-07-12 10:28 . 2009-10-05 21:32	--------	d-----w-	c:\dokumente und einstellungen\Levent\Anwendungsdaten\dvdcss
2010-06-30 12:28 . 2003-04-02 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2004-01-21 16:24	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2003-04-02 12:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2003-04-02 12:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2003-04-02 12:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2009-09-01 19:41	744448	----a-w-	c:\windows\PCHealth\HelpCtr\Binaries\helpsvc.exe
2010-06-14 07:41 . 2003-04-02 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 153136]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104]
"LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	\0

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22	1695232	------w-	c:\programme\Messenger\msmsgs.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\Metin2_Germany\\metin2.bin"=
"c:\\WINDOWS\\Downloaded Program Files\\ijjiOptimizer.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonEU\\NGM\\NGM.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Dokumente und Einstellungen\\Levent\\Eigene Dateien\\Downloads\\teeworlds-0.5.2-win32\\teeworlds_srv.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"20208:TCP"= 20208:TCP:BitComet 20208 TCP
"20208:UDP"= 20208:UDP:BitComet 20208 UDP
"1033:TCP"= 1033:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [02.04.2003 14:00 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.07.2010 14:16 108289]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [30.10.2009 14:31 1021256]
R3 als4k;Avance Audio Miniport Driver (WDM);c:\windows\system32\drivers\als4000.sys [07.09.2009 22:50 28919]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 07:24 10064]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [03.07.2010 20:34 136176]
S3 Mkd2kfNt;Mkd2kfNt;c:\windows\system32\drivers\mkd2kfnt.sys [19.01.2010 01:31 131072]
S3 Mkd2Nadr;Mkd2Nadr;c:\windows\system32\drivers\mkd2nadr.sys [19.01.2010 01:31 79104]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
Akamai	REG_MULTI_SZ   	Akamai

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-09-07 c:\windows\Tasks\Automatische Problemsuche.job
- c:\programme\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-10-30 12:38]

2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-03 18:34]

2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-03 18:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
mStart Page = 
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Levent\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
DPF: {A672558F-A878-4D5A-A921-627C091CEB66} - hxxp://80.237.209.20/objects/NpFp501.dll
DPF: {A672558F-A878-4D5A-A921-627C091CEB69} - hxxp://92.51.137.94/objects/NpFp522.dll
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab
DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} - hxxp://92.51.137.94/objects/NpFv415.dll
DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} - hxxp://92.51.137.94/objects/NpFv41629.dll
DPF: {E55FD215-A32E-43FE-A777-A7E8F165F560} - hxxp://80.237.209.20/objects/NpFv522.dll
FF - ProfilePath - c:\dokumente und einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - component: c:\dokumente und einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\extensions\{542e4d79-1970-4e95-9862-fdb96f61b280}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\extensions\{542e4d79-1970-4e95-9862-fdb96f61b280}\components\RadioWMPCore.dll
FF - component: c:\dokumente und einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\RadioWMPCore.dll
FF - component: c:\dokumente und einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\npNxGameeu.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\npNxGameUS.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npBitCometAgent.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npdeployJava1.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npDivxPlayerPlugin.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\NpFp501.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\NpFp522.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\NpFv415.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\NpFv41629.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\NpFv501.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\NpFv522.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npOGPPlugin.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\windows\system32\npOGPPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-07 19:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3745.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3745.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2800)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-07  20:02:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-07 18:02

Vor Suchlauf: 11 Verzeichnis(se), 121.417.822.208 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 121.382.309.888 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /usepmtimer

- - End Of File - - 01BB3AC2B00AAE4B5B0BA3AF6E6AABAF
         
--- --- ---
__________________


Alt 07.09.2010, 19:34   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________
__________________

Alt 08.09.2010, 15:34   #19
LevO
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-08 03:14:43
Windows 5.1.2600 Service Pack 3
Running: 6f1nhon8.exe; Driver: C:\DOKUME~1\Levent\LOKALE~1\Temp\kwlcakod.sys


---- System - GMER 1.0.15 ----

SSDT            F7E6386E                                                                                            ZwCreateKey
SSDT            F7E63864                                                                                            ZwCreateThread
SSDT            F7E63873                                                                                            ZwDeleteKey
SSDT            F7E6387D                                                                                            ZwDeleteValueKey
SSDT            F7E63882                                                                                            ZwLoadKey
SSDT            F7E63850                                                                                            ZwOpenProcess
SSDT            F7E63855                                                                                            ZwOpenThread
SSDT            F7E6388C                                                                                            ZwReplaceKey
SSDT            F7E63887                                                                                            ZwRestoreKey
SSDT            F7E63878                                                                                            ZwSetValueKey
SSDT            F7E6385F                                                                                            ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?               Combo-Fix.sys                                                                                       Das System kann die angegebene Datei nicht finden. !
.text           C:\WINDOWS\System32\DRIVERS\nv4_mini.sys                                                            section is writeable [0xF6C32360, 0x24BB1D, 0xE8000020]
?               C:\DOKUME~1\Levent\LOKALE~1\Temp\mbr.sys                                                            Das System kann die angegebene Datei nicht finden. !
?               C:\cofi\catchme.sys                                                                                 Das System kann den angegebenen Pfad nicht finden. !
?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                          Das System kann die angegebene Datei nicht finden. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\explorer.exe[2800] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]           [00C42F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\explorer.exe[2800] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]  [00C42C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\explorer.exe[2800] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                [00C42CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\explorer.exe[2800] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]      [00C42CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
wie soll ich den bitte beim bootkit remover alles kopieren ? wenn ich kopieren will geht das fenster wieder weg ? 




---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ea13191ff                         
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ea13191ff@60d0a94d7b34            0x41 0xEF 0x23 0x3B ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000ea13191ff (not active ControlSet)     
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000ea13191ff@60d0a94d7b34                0x41 0xEF 0x23 0x3B ...

---- EOF - GMER 1.0.15 ----
         
--- --- ---

Geändert von LevO (08.09.2010 um 15:40 Uhr) Grund: geschaffT!

Alt 08.09.2010, 15:40   #20
LevO
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.
OS Version: Microsoft W

System volume is \\.\C:
\\.\C: -> \\.\PhysicalD
Boot sector MD5 is: 5dd

Size Device Name
----------------------
149 GB \\.\Physical

Unknown boot code has b
To inspect the boot cod
remover.exe dump <devic
To disinfect the master
remover.exe fix <device


Done;


Alt 08.09.2010, 19:37   #21
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



Das Log vom Bootkit Remover sollte schon vollständig gepostet werden. Man kann auch einen Screenshot aus der CMD-Konsole machen oder den Text herauskopieren. Aber lass mal gut sein. Kommt das OSAM Log noch?

Nach OSAM bitte auch MBRCheck ausführen:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
--> C:\windows\system32/winlogon.exe (auswertung logfile)

Alt 08.09.2010, 20:16   #22
LevO
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 122):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7D2F000 \WINDOWS\system32\KDCOM.DLL
0xF7C3F000 \WINDOWS\system32\BOOTVID.dll
0xF77DF000 ACPI.sys
0xF7D31000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF77CE000 pci.sys
0xF782F000 isapnp.sys
0xF783F000 ohci1394.sys
0xF784F000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF7DF7000 pciide.sys
0xF7AAF000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF7D33000 viaide.sys
0xF785F000 MountMgr.sys
0xF77AF000 ftdisk.sys
0xF7AB7000 PartMgr.sys
0xF786F000 VolSnap.sys
0xF7797000 atapi.sys
0xF787F000 disk.sys
0xF788F000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF7777000 fltmgr.sys
0xF7765000 sr.sys
0xF789F000 PxHelp20.sys
0xF774E000 KSecDD.sys
0xF773B000 WudfPf.sys
0xF76AE000 Ntfs.sys
0xF7681000 NDIS.sys
0xF78AF000 uagp35.sys
0xF7667000 Mup.sys
0xF78BF000 gagp30kx.sys
0xF7A7F000 \SystemRoot\System32\DRIVERS\amdk7.sys
0xF6A1D000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
0xF6A09000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF7B17000 \SystemRoot\system32\drivers\als4000.sys
0xF69E5000 \SystemRoot\system32\drivers\portcls.sys
0xF7A8F000 \SystemRoot\system32\drivers\drmk.sys
0xF69C2000 \SystemRoot\system32\drivers\ks.sys
0xF7B1F000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xF699E000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF7B27000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF7A9F000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF78EF000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF6E7D000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF7B2F000 \SystemRoot\System32\DRIVERS\fetnd5.sys
0xF7B37000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF6E6D000 \SystemRoot\System32\DRIVERS\serial.sys
0xF7D13000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF698A000 \SystemRoot\System32\DRIVERS\parport.sys
0xF7D17000 \SystemRoot\System32\DRIVERS\gameenum.sys
0xF7EE5000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF6E5D000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF7D1B000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF6973000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF6E4D000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF6E3D000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF7B3F000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF6962000 \SystemRoot\System32\DRIVERS\psched.sys
0xF6E2D000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF7B47000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF7B4F000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF6E0D000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7B57000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF7B5F000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF7D5B000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF6904000 \SystemRoot\System32\DRIVERS\update.sys
0xF7D2B000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF6DFD000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF790F000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF7D5D000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF7CBB000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7D61000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7F5E000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D63000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7B6F000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xF7B77000 \SystemRoot\System32\drivers\vga.sys
0xF7D65000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D67000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7B7F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7B87000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7CCB000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xF5781000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xF5728000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xF5700000 \SystemRoot\System32\DRIVERS\netbt.sys
0xF56DE000 \SystemRoot\System32\drivers\afd.sys
0xF793F000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF7B8F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF56B3000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xF5643000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF795F000 \SystemRoot\System32\Drivers\Fips.SYS
0xF561D000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF796F000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF5561000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D6B000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF7B97000 \SystemRoot\System32\DRIVERS\usbccgp.sys
0xF7CE3000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xF798F000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xF52D2000 \SystemRoot\system32\DRIVERS\LV302V32.SYS
0xF799F000 \SystemRoot\system32\drivers\usbaudio.sys
0xF7CE7000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xF7CEF000 \SystemRoot\System32\DRIVERS\kbdhid.sys
0xF79BF000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF5292000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D73000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF57EC000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BA7000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7E44000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF4A46000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF4A16000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xF3789000 \SystemRoot\system32\drivers\wdmaud.sys
0xF55DD000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7D8D000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF318D000 \SystemRoot\System32\DRIVERS\srv.sys
0xF7C07000 \SystemRoot\system32\DRIVERS\LVPr2Mon.sys
0xF7EFA000 \??\C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys
0xF2C17000 \SystemRoot\System32\Drivers\HTTP.sys
0xF29CA000 \SystemRoot\system32\DRIVERS\hidgame.sys
0xF17BF000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 40):
0 System Idle Process
4 System
684 C:\WINDOWS\system32\smss.exe
836 csrss.exe
860 C:\WINDOWS\system32\winlogon.exe
940 C:\WINDOWS\system32\services.exe
952 C:\WINDOWS\system32\lsass.exe
1136 C:\WINDOWS\system32\svchost.exe
1212 svchost.exe
1324 C:\WINDOWS\system32\svchost.exe
1364 C:\WINDOWS\system32\svchost.exe
1552 svchost.exe
1708 svchost.exe
1872 C:\WINDOWS\system32\spoolsv.exe
1920 C:\Programme\Avira\AntiVir Desktop\sched.exe
1940 C:\Programme\Avira\AntiVir Desktop\avguard.exe
456 C:\WINDOWS\explorer.exe
888 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
904 C:\WINDOWS\system32\rundll32.exe
1020 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1072 C:\Programme\DivX\DivX Update\DivXUpdate.exe
1144 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
1280 C:\WINDOWS\system32\ctfmon.exe
1256 C:\WINDOWS\system32\svchost.exe
160 svchost.exe
608 C:\Programme\Java\jre6\bin\jqs.exe
1444 C:\Programme\Gemeinsame Dateien\logishrd\LVMVFM\LVPrcSrv.exe
140 C:\WINDOWS\system32\svchost.exe
384 C:\WINDOWS\system32\nvsvc32.exe
1788 C:\WINDOWS\system32\svchost.exe
2084 C:\WINDOWS\system32\PnkBstrA.exe
2204 C:\WINDOWS\system32\svchost.exe
2336 C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
1396 C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
2072 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
2788 alg.exe
2892 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
484 C:\Programme\Mozilla Firefox 4.0 Beta 4\firefox.exe
144 C:\Dokumente und Einstellungen\Levent\Desktop\Neuer Ordner (4)\osam.exe
2268 C:\Dokumente und Einstellungen\Levent\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600LB-55EDA0, Rev: 15.05R15

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Alt 08.09.2010, 20:16   #23
LevO
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 21:15:19 on 08.09.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 4.0b4

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Avance Audio Miniport Driver (WDM)" (als4k) - "Avance Logic, Inc." - C:\WINDOWS\System32\drivers\als4000.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"EagleNT" (EagleNT) - ? - C:\WINDOWS\system32\drivers\EagleNT.sys  (File not found)
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys
"LGE Mobile Composite USB Device" (usbbus) - ? - C:\WINDOWS\System32\DRIVERS\lgusbbus.sys  (File not found)
"LGE Mobile USB Modem" (USBModem) - ? - C:\WINDOWS\System32\DRIVERS\lgusbmodem.sys  (File not found)
"LGE Mobile USB Serial Port" (UsbDiag) - ? - C:\WINDOWS\System32\DRIVERS\lgusbdiag.sys  (File not found)
"Mkd2kfNt" (Mkd2kfNt) - "AhnLab, Inc." - C:\WINDOWS\System32\drivers\Mkd2kfNt.sys
"Mkd2Nadr" (Mkd2Nadr) - "AhnLab, Inc." - C:\WINDOWS\System32\drivers\Mkd2Nadr.sys
"NPPTNT2" (NPPTNT2) - "INCA Internet Co., Ltd." - C:\WINDOWS\system32\npptNT2.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"TuneUpUtilitiesDrv" (TuneUpUtilitiesDrv) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\DseShExt-x86.dll
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{A672558F-A878-4D5A-A921-627C091CEB66} "Flatcast Producer 5.0" - "1 mal 1 Software GmbH" - C:\PROGRA~1\MOZILL~1\plugins\NpFp501.dll / hxxp://80.237.209.20/objects/NpFp501.dll
{E55FD215-A32E-43FE-A777-A7E8F165F551} "Flatcast Viewer 4.15" - "1 mal 1 Software GmbH" - C:\PROGRA~1\MOZILL~1\plugins\NpFv415.dll / hxxp://92.51.137.94/objects/NpFv415.dll
{E55FD215-A32E-43FE-A777-A7E8F165F554} "Flatcast Viewer 4.16" - "1 mal 1 Software GmbH" - C:\WINDOWS\DOWNLO~1\NPFV41~1.DLL / hxxp://92.51.137.94/objects/NpFv41629.dll
{E55FD215-A32E-43FE-A777-A7E8F165F557} "Flatcast Viewer 5.0" - "1 mal 1 Software GmbH" - C:\PROGRA~1\MOZILL~1\plugins\NpFv501.dll / hxxp://80.237.209.20/objects/NpFv501.dll
{E55FD215-A32E-43FE-A777-A7E8F165F560} "Flatcast Viewer 5.2" - "1 mal 1 Software GmbH" - C:\PROGRA~1\MOZILL~1\plugins\NpFv522.dll / hxxp://80.237.209.20/objects/NpFv522.dll
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{C3F79A2B-B9B4-4A66-B012-3EE46475B072} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
{233C1507-6A77-46A4-9443-F871F945D258} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\SwDir.dll / hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10h.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{5D6F45B3-9043-443D-A792-115447494D24} "UnoCtrl Class" - "Microsoft" - C:\WINDOWS\Downloaded Program Files\GAME_UNO1.dll / hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab
{BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} "Zylom Games Player" - "Zylom Games" - C:\WINDOWS\Downloaded Program Files\zylomgamesplayer.dll / hxxp://game.zylom.com/activex/zylomgamesplayer.cab
{A672558F-A878-4D5A-A921-627C091CEB69} "{A672558F-A878-4D5A-A921-627C091CEB69}" - ? -   (File not found | COM-object registry key not found) / hxxp://92.51.137.94/objects/NpFp522.dll
{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} "{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"msnmsgr" - "Microsoft Corporation" - "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"DivXUpdate" - ? - "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"LogitechQuickCamRibbon" - "Logitech Inc." - "C:\Programme\Logitech\Logitech WebCam Software\LWS.exe" /hide
"NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"LIDIL hpzll5ha" - "Hewlett-Packard Company" - C:\WINDOWS\system32\hpzll5ha.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Akamai NetSession Interface" (Akamai) - ? - C:\Programme\Gemeinsame Dateien\Akamai\rswin_3745.dll  (File found, but it contains no detailed information)
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZinw12.dll
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
"nProtect GameGuard Service" (npggsvc) - "INCA Internet Co., Ltd." - C:\WINDOWS\system32\GameMon.des
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZipm12.dll
"PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)
"Process Monitor" (LVPrcSrv) - "Logitech Inc." - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
"TuneUp Drive Defrag-Dienst" (TuneUp.Defrag) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
"TuneUp Utilities Service" (TuneUp.UtilitiesSvc) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Alt 08.09.2010, 20:22   #24
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.09.2010, 07:08   #25
LevO
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/10/2010 at 07:31 AM

Application Version : 4.42.1000

Core Rules Database Version : 5481
Trace Rules Database Version: 3293

Scan type : Complete Scan
Total Scan Time : 05:59:27

Memory items scanned : 456
Memory threats detected : 0
Registry items scanned : 6295
Registry threats detected : 0
File items scanned : 77487
File threats detected : 146

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Levent\Cookies\levent@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@xiti[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@apmebf[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@ad.reklamport[2].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@vodafonegroup.122.2o7[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@mediaplex[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@ads.webme[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@klick-tracking-domain[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@ad.adserver01[2].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@zanox[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@atdmt[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@www.usenext[2].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@serving-sys[2].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@adtech[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@tracking.quisma[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@tracking.mlsat02[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@traffictrack[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@ad.adc-serv[2].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@ad.beepworld[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@ad.adition[2].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@doubleclick[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@fastclick[2].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@adserver.clipscale[1].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Levent\Cookies\levent@unitymedia[2].txt
.doubleclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.adfarm1.adition.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
studivz.adfarm1.adition.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad2.adfarm1.adition.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad.zanox.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.zanox.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.lfstmedia.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.lfstmedia.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.content.yieldmanager.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.invitemedia.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.apmebf.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.fastclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.fastclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.fastclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.fastclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.atdmt.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.atdmt.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.lfstmedia.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.www.anitoplist.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
rts.pgmediaserve.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
rts.pgmediaserve.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
rts.pgmediaserve.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
www.sexcounter.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.momsteachingteens.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.momsteachingteens.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.momsteachingteens.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.momsteachingteens.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.momsteachingteens.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.momsteachingteens.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.join.momsteachingteens.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.join.momsteachingteens.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.join.momsteachingteens.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.im.banner.t-online.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
rotator.adjuggler.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
rotator.adjuggler.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
rotator.adjuggler.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.tracking.quisma.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.unitymedia.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.unitymedia.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.tracking.quisma.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
adsrv.admediate.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
adsrv.admediate.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
adsrv.admediate.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.webmasterplan.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.webmasterplan.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.traffictrack.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.webmasterplan.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.zanox-affiliate.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.specificclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.specificclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.specificclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.specificclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.specificclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.specificclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.specificclick.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.adviva.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
track.adform.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
track.adform.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.bs.serving-sys.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.serving-sys.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.im.banner.t-online.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.webmasterplan.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
tracking.mlsat02.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
www.active-tracking.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.www.active-tracking.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.www.active-tracking.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.www.anitoplist.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.partypoker.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.partypoker.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
adfarm1.adition.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.tracking.mindshare.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.msnportal.112.2o7.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.questionmarket.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.questionmarket.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.tns-counter.ru [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
www.elitepvpers.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
www.elitepvpers.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
www.elitepvpers.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.elitepvpers.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.elitepvpers.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.elitepvpers.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.elitepvpers.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.elitepvpers.de [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
www.googleadservices.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
ad.zanox.com [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
.tele2de.112.2o7.net [ C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\ziuq8g0k.default\cookies.sqlite ]
statse.webtrendslive.com [ C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\r7whv5y2.default\cookies.sqlite ]
adx.chip.de [ C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\r7whv5y2.default\cookies.sqlite ]
.doubleclick.net [ C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\r7whv5y2.default\cookies.sqlite ]
.adtech.de [ C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\r7whv5y2.default\cookies.sqlite ]
.zanox.com [ C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\r7whv5y2.default\cookies.sqlite ]
.adfarm1.adition.com [ C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\r7whv5y2.default\cookies.sqlite ]

Adware.Vundo/Variant-X32
C:\WINDOWS\SYSTEM32\DSPROP32(2).DLL
C:\WINDOWS\SYSTEM32\DSPROP32.DLL

Trojan.Agent/Gen-FakeAlert
C:\_OTL\MOVEDFILES\09072010_164641\C_WINDOWS\SYSTEM32\AUTOEPAD.DLL

Alt 10.09.2010, 07:08   #26
LevO
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4573

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.09.2010 02:00:13
mbam-log-2010-09-09 (02-00-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 200572
Laufzeit: 3 Stunde(n), 43 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 10.09.2010, 11:26   #27
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



Da wurden nur Überreste und Cookies gefunden, kannste alles entfernen.
Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.09.2010, 13:41   #28
LevO
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



Probleme bzw. Funde nichts deresgleichen alles in ordnung eigentlich
habe keine probleme bis jetzt gehabt seit paar tagen.

Alt 11.09.2010, 11:32   #29
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.09.2010, 15:18   #30
LevO
 
C:\windows\system32/winlogon.exe   (auswertung logfile) - Standard

C:\windows\system32/winlogon.exe (auswertung logfile)



ja wenn dann alles soweit in ordnung ist und wir druch sind dann bedank ich mir herzlich bei dir
Vielen lieben dank für die Mühe und für deine Hilfe hast mir wirklich sehr geholfen
ich kann nur sagen hut ab also danke noch mal


gruß LevO

Antwort

Themen zu C:\windows\system32/winlogon.exe (auswertung logfile)
0 bytes, adobe, antivir, antivir guard, auswertung logfile, avira, bho, converter, desktop, einstellungen, explorer, firefox, google, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, logfile, lws.exe, mozilla, mp3, nvidia, plug-in, rundll, software, system, windows, windows xp




Ähnliche Themen: C:\windows\system32/winlogon.exe (auswertung logfile)


  1. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  2. C:\system32\winlogon.exe <-- nicht normal?
    Log-Analyse und Auswertung - 22.12.2011 (3)
  3. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  4. C:\WINDOWS\System32\winlogon.exe Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 22.01.2011 (3)
  5. winlogon.exe nicht in Windows/System 32
    Plagegeister aller Art und deren Bekämpfung - 08.10.2010 (7)
  6. Win32.Loader.O (DB) in C:\WINDOWS\SYSTEM32\WINLOGON.EXE und C:\WINDOWS\Explorer.EXE
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (3)
  7. Virus im Ordner Windows/system32/drivers - Hijackthis logfile
    Log-Analyse und Auswertung - 22.06.2010 (34)
  8. Logfile auswertung, Probleme mit Windows 7
    Log-Analyse und Auswertung - 28.04.2010 (14)
  9. Logfile Auswertung bei Windows Vista
    Log-Analyse und Auswertung - 25.01.2009 (0)
  10. Logfile!!! Winlogon Virus und andere Probleme! Bitte helft mir!!!
    Log-Analyse und Auswertung - 14.10.2008 (1)
  11. bitte logfile-auswertung - trojaner? + windows-problem
    Log-Analyse und Auswertung - 19.05.2008 (11)
  12. Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon
    Plagegeister aller Art und deren Bekämpfung - 25.03.2008 (22)
  13. Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.
    Log-Analyse und Auswertung - 25.02.2008 (7)
  14. Trojaner der in system32/winlogon.exe sein unwesen treibt
    Plagegeister aller Art und deren Bekämpfung - 30.03.2007 (1)
  15. Wie lösche ich C:\windows\system32\winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 30.03.2007 (2)
  16. Spy Sheriff, Folgeprobleme: kein System32-Ordner, winlogon-prob?
    Plagegeister aller Art und deren Bekämpfung - 29.04.2006 (11)
  17. winlogon.exe ---> Windows Logon Procedure
    Plagegeister aller Art und deren Bekämpfung - 09.08.2005 (1)

Zum Thema C:\windows\system32/winlogon.exe (auswertung logfile) - Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix Lade dir ComboFix hier herunter auf deinen Desktop . Benenne es beim Runterladen um in cofi.exe - C:\windows\system32/winlogon.exe (auswertung logfile)...
Archiv
Du betrachtest: C:\windows\system32/winlogon.exe (auswertung logfile) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.