| |
| |||||||
Log-Analyse und Auswertung: Downloads im Hintergrund - Hijackthis und Malwarbytes LogWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
05.10.2010, 00:41
| #1 |
 |  Downloads im Hintergrund - Hijackthis und Malwarbytes Log Servus @ all, seit einiger Zeit beobachte ich, dass svchost.exe im Hintergrund größere Datenmengen hochlädt und downloadet, obwohl ich keine Windows updates abgerufen habe und automatische updates abgeschaltet sind. Ich habe AVIRA als Anti Virenprogramm, Lavasoft Ad-Aware als Anti Spyware und Comodo Internet Security als Firewall laufen. Alle 3 Programme behaupten nach scans, mein Rechner wäre sauber. Auch ein scan mit DE cleaner und mit GMER verlief ohne Ergebnis - oder besser mit dem Ergebnis, dass mein Rechner angeblich sauber wäre. Hab heute zunächst mit HijackThis gescannt. Ein scan mit Malwarebytes hat 4 Infektionen gefunden. Protokolle als Anlage. Bitte schaut mal drüber, eine Reinigung mit Malwarebytes hab ich jetzt noch nicht durchgeführt. Protokoll HijackThis: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 22:37:16, on 04.10.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINXP\Explorer.EXE C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe C:\WINXP\SOUNDMAN.EXE C:\WINXP\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe F:\COMODO\COMODO Internet Security\cfp.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe F:\Mobile Partner\Mobile Partner.exe D:\Downloads\HiThere2.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - F:\Orbitdownloader\orbitcth.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - F:\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [COMODO Internet Security] "F:\COMODO\COMODO Internet Security\cfp.exe" -h O4 - HKLM\..\Run: [QuickTime Task] "F:\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &Download by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9936DD4B-0007-4A25-AAEE-194FDE57A2A6}: NameServer = 156.154.70.22,156.154.71.22 O17 - HKLM\System\CCS\Services\Tcpip\..\{9C91B09A-0258-4975-8C0E-0C839A4016DC}: NameServer = 156.154.70.22,156.154.71.22 O20 - AppInit_DLLs: C:\WINXP\system32\guard32.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - F:\COMODO\COMODO Internet Security\cmdagent.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NMSAccess - Unknown owner - F:\CDBurnerXP\NMSAccessU.exe -- End of file - 5437 bytes Und hier das Protokoll von Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4742 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 05.10.2010 01:24:47 mbam-log-2010-10-05 (01-24-47).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|) Durchsuchte Objekte: 168152 Laufzeit: 32 Minute(n), 31 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\nsldap32v50.dll (Spyware.OnlineGames) -> No action taken. C:\Programme\nsldappr32v50.dll (Spyware.OnlineGames) -> No action taken. C:\Dokumente und Einstellungen\All Users\readme.bat (Trojan.Downloader) -> No action taken. |
|
05.10.2010, 06:59
| #2 |
  | Downloads im Hintergrund - Hijackthis und Malwarbytes Log Hi,
__________________Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris
__________________ |
|
05.10.2010, 07:22
| #3 |
| | Downloads im Hintergrund - Hijackthis und Malwarbytes Log Danke Chris,
__________________Programme hab ich schon runter geladen, mache mich dann an die Arbeit und melde mich wieder. Beste Grüße Klaus |
|
05.10.2010, 08:15
| #4 |
| | Downloads im Hintergrund - Hijackthis und Malwarbytes Log Combo Fix Log: Combofix Logfile: Code:
ATTFilter ComboFix 10-10-04.01 - The Secret 05.10.2010 8:53.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\All Users\Desktop\ComboFix.exe
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programme\INSTALL.LOG
F:\Uninstall.exe
Infizierte Kopie von c:\winxp\system32\ctfmon.exe wurde gefunden und desinfiziert
Kopie von - c:\winxp\system32\ctfmon.exe.backup wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-05 bis 2010-10-05 ))))))))))))))))))))))))))))))
.
2010-10-04 22:17 . 2010-10-04 22:17 -------- d-----w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Malwarebytes
2010-10-04 22:16 . 2010-04-29 13:39 38224 ----a-w- c:\winxp\system32\drivers\mbamswissarmy.sys
2010-10-04 22:16 . 2010-10-04 22:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-04 22:16 . 2010-04-29 13:39 20952 ----a-w- c:\winxp\system32\drivers\mbam.sys
2010-10-03 06:37 . 2010-10-03 06:37 -------- d-----w- c:\dokumente und einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\Buhl
2010-10-03 06:33 . 2010-10-03 06:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2010-10-02 10:11 . 2010-10-02 10:11 -------- d-----w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Apple Computer
2010-09-30 19:27 . 2010-09-30 19:27 552 ----a-w- c:\winxp\system32\d3d8caps.dat
2010-09-27 22:05 . 2010-09-27 22:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-09-27 22:05 . 2010-09-28 05:34 -------- d-----w- c:\dokumente und einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-27 12:44 . 2010-09-27 12:44 -------- d-----w- c:\dokumente und einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\Help
2010-09-27 12:41 . 2010-09-27 12:41 -------- d-----w- c:\programme\CICLO
2010-09-27 12:39 . 2010-09-27 12:39 766 ----a-r- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Microsoft\Installer\{1EAE0B34-CA37-41CB-83C0-9AA54B78D552}\CICLO4.exe
2010-09-27 12:39 . 2010-09-27 12:39 766 ----a-r- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Microsoft\Installer\{1EAE0B34-CA37-41CB-83C0-9AA54B78D552}\CICLO3.exe
2010-09-27 12:39 . 2010-09-27 12:39 40960 ----a-r- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Microsoft\Installer\{1EAE0B34-CA37-41CB-83C0-9AA54B78D552}\_8CA5CAE1A261_4CAA_8D98_70B5696C2059.exe
2010-09-27 12:38 . 2010-09-27 12:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Borland Shared
2010-09-26 12:08 . 2010-09-26 12:08 -------- d-----w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\ProgSense
2010-09-26 11:07 . 2010-09-26 11:07 -------- d-----w- C:\downloads
2010-09-26 11:07 . 2010-09-26 11:07 -------- d-----w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\GrabPro
2010-09-26 11:07 . 2010-09-29 12:18 -------- d-----w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Orbit
2010-09-07 18:41 . 2008-04-13 21:24 22016 -c--a-w- c:\winxp\system32\dllcache\msircomm.sys
2010-09-07 18:41 . 2008-04-13 21:24 22016 ----a-w- c:\winxp\system32\drivers\MSIRCOMM.sys
2010-09-07 08:33 . 2010-09-07 08:33 -------- d-----w- c:\dokumente und einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\Identities
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-05 06:42 . 2010-08-12 15:30 1474832 ----a-w- c:\winxp\system32\drivers\sfi.dat
2010-10-05 06:32 . 2010-08-12 15:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-10-03 06:34 . 2010-08-10 13:58 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-10-02 10:09 . 2010-08-14 13:27 664 ----a-w- c:\winxp\system32\d3d9caps.dat
2010-10-01 21:16 . 2010-08-14 05:39 -------- d-----w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\vlc
2010-08-30 08:55 . 2010-08-16 10:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Teleca Shared
2010-08-30 08:55 . 2010-08-16 10:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2010-08-30 08:55 . 2008-04-14 08:00 81506 ----a-w- c:\winxp\system32\perfc007.dat
2010-08-30 08:55 . 2008-04-14 08:00 452470 ----a-w- c:\winxp\system32\perfh007.dat
2010-08-30 08:53 . 2010-08-16 10:11 -------- d-----w- c:\programme\Sony Ericsson
2010-08-30 08:50 . 2010-08-13 18:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-08-17 10:14 . 2010-08-17 10:14 -------- d-----w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Canneverbe Limited
2010-08-17 10:14 . 2010-08-12 10:56 62352 ----a-w- c:\dokumente und einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-17 10:13 . 2010-08-17 10:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2010-08-17 09:40 . 2010-08-17 09:40 -------- d-----w- c:\programme\MSXML 4.0
2010-08-17 08:39 . 2010-08-17 08:39 -------- d-----w- c:\programme\MSBuild
2010-08-17 08:39 . 2010-08-17 08:39 -------- d-----w- c:\programme\Reference Assemblies
2010-08-16 10:18 . 2010-08-16 10:18 -------- d-----w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Teleca
2010-08-16 10:13 . 2010-08-10 13:58 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-08-16 10:10 . 2010-08-16 10:10 -------- d-----w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sony Ericsson
2010-08-15 09:51 . 2010-08-15 09:51 503808 ----a-w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-191b2913-n\msvcp71.dll
2010-08-15 09:51 . 2010-08-15 09:51 499712 ----a-w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-191b2913-n\jmc.dll
2010-08-15 09:51 . 2010-08-15 09:51 348160 ----a-w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-191b2913-n\msvcr71.dll
2010-08-15 09:49 . 2010-08-15 09:49 61440 ----a-w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-7200dd04-n\decora-sse.dll
2010-08-15 09:49 . 2010-08-15 09:49 12800 ----a-w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-7200dd04-n\decora-d3d.dll
2010-08-14 22:34 . 2010-08-14 22:34 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-08-14 22:33 . 2010-08-14 22:34 423656 ----a-w- c:\winxp\system32\deployJava1.dll
2010-08-14 05:49 . 2010-08-14 05:49 -------- d-----w- c:\programme\extensions
2010-08-14 05:49 . 2010-08-14 05:49 -------- d-----w- c:\programme\uninstall
2010-08-14 05:49 . 2010-08-14 05:49 -------- d-----w- c:\programme\isp
2010-08-14 05:49 . 2010-08-14 05:49 -------- d-----w- c:\programme\components
2010-08-14 05:49 . 2010-08-14 05:49 -------- d-----w- c:\programme\chrome
2010-08-14 05:49 . 2010-08-14 05:49 -------- d-----w- c:\programme\res
2010-08-14 05:49 . 2010-08-14 05:49 -------- d-----w- c:\programme\greprefs
2010-08-14 05:49 . 2010-08-14 05:49 -------- d-----w- c:\programme\defaults
2010-08-14 05:42 . 2010-08-14 05:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-08-14 05:41 . 2010-08-14 05:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-08-14 05:41 . 2010-08-14 05:41 -------- d-----w- c:\programme\Apple Software Update
2010-08-14 05:41 . 2010-08-14 05:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-08-13 21:10 . 2010-08-13 21:10 -------- d-----w- c:\programme\Microsoft.NET
2010-08-13 21:09 . 2010-08-13 21:09 -------- d-----w- c:\programme\Microsoft Works
2010-08-13 20:15 . 2010-08-13 20:15 -------- d-----w- c:\programme\Java
2010-08-13 20:15 . 2010-08-13 20:15 152576 ----a-w- c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll
2010-08-13 18:29 . 2010-08-13 18:28 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-13 18:29 . 2010-08-13 18:29 -------- d-----w- c:\programme\DVDVideoSoft
2010-08-12 15:42 . 2010-08-12 15:42 95024 ----a-w- c:\winxp\system32\drivers\SBREDrv.sys
2010-08-12 15:15 . 2010-08-12 15:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo Downloader
2010-08-12 12:15 . 2010-08-12 12:15 0 ----a-w- c:\winxp\nsreg.dat
2010-08-12 10:14 . 2010-08-12 09:46 -------- d-----w- c:\programme\Intel
2010-08-12 10:07 . 2010-08-12 10:14 466944 ----a-w- c:\winxp\system32\w29NCPA.dll
2010-08-12 10:07 . 2010-08-12 10:14 3298432 ----a-w- c:\winxp\system32\drivers\w29n51.sys
2010-08-12 10:07 . 2010-08-12 10:14 1671168 ----a-w- c:\winxp\system32\w29mlres.dll
2010-08-12 10:00 . 2010-08-12 10:00 -------- d-----w- c:\programme\Synaptics
2010-08-12 09:54 . 2010-08-12 09:54 -------- d-----w- c:\programme\ltmoh
2010-08-10 13:58 . 2010-08-10 13:58 -------- d-----w- c:\programme\Fujitsu
2010-08-10 13:37 . 2010-08-10 12:55 86315 ----a-w- c:\winxp\pchealth\helpctr\OfflineCache\index.dat
2010-08-10 12:58 . 2010-08-10 12:58 -------- d-----w- c:\programme\microsoft frontpage
2010-08-10 12:55 . 2010-08-10 12:55 -------- d-----w- c:\programme\Online-Dienste
2010-08-10 12:54 . 2010-08-10 12:54 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2010-08-10 12:53 . 2010-08-10 12:53 21740 ----a-w- c:\winxp\system32\emptyregdb.dat
2010-08-10 12:52 . 2010-08-10 12:52 -------- d-----w- c:\programme\Windows Media Connect 2
2009-08-12 18:38 . 2010-08-14 05:49 721 ----a-w- c:\programme\updater.ini
2009-08-12 18:38 . 2010-08-14 05:49 261 ----a-w- c:\programme\README.txt
2009-08-12 17:53 . 2010-08-14 05:49 478 ----a-w- c:\programme\softokn3.chk
2009-08-12 17:53 . 2010-08-14 05:49 478 ----a-w- c:\programme\freebl3.chk
2009-08-12 17:53 . 2010-08-14 05:49 254077 ----a-w- c:\programme\freebl3.dll
2009-08-12 17:53 . 2010-08-14 05:49 168044 ----a-w- c:\programme\softokn3.dll
2009-08-12 17:53 . 2010-08-14 05:49 6452 ----a-w- c:\programme\LICENSE.txt
2009-08-12 17:53 . 2010-08-14 05:49 107903 ----a-w- c:\programme\license.html
.
------- Sigcheck -------
[-] 2008-12-10 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LoadBtnHnd"="c:\programme\Fujitsu\BtnHnd\BtnHnd.exe" [2003-08-20 61440]
"SoundMan"="SOUNDMAN.EXE" [2004-06-18 67584]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-05 88363]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2004-07-05 184320]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-06 98304]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-06 536576]
"QuickTime Task"="f:\quicktime\QTTask.exe" [2009-11-10 417792]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="f:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"Synchronization Manager"="c:\winxp\system32\mobsync.exe" [2008-04-14 144384]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"f:\\Orbitdownloader\\orbitdm.exe"=
"f:\\Orbitdownloader\\orbitnet.exe"=
"f:\\firefox.exe"=
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\winxp\system32\drivers\ewusbnet.sys [13.08.2010 18:41 114432]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\winxp\system32\drivers\ewusbdev.sys [13.08.2010 18:41 100736]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Download by Orbit - f:\orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - f:\orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - f:\orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - f:\orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft &Excel exportieren - f:\micros~1\OFFICE11\EXCEL.EXE/3000
TCP: {9936DD4B-0007-4A25-AAEE-194FDE57A2A6} = 156.154.70.22,156.154.71.22
TCP: {9C91B09A-0258-4975-8C0E-0C839A4016DC} = 156.154.70.22,156.154.71.22
FF - ProfilePath - c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Mozilla\Firefox\Profiles\t895gae0.default\
FF - prefs.js: browser.startup.homepage - hxxp://anonymouse.org/anonwww_de.html
FF - prefs.js: network.proxy.type - 4
FF - component: f:\orbitdownloader\addons\OneClickYouTubeDownloader\components\GrabXpcom.dll
FF - plugin: f:\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: f:\java\jre6\bin\new_plugin\npjp2.dll
FF - plugin: f:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin2.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin3.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin4.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin5.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin6.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin7.dll
FF - plugin: f:\vlc\npvlc.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\winxp\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
f:\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
f:\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
f:\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
AddRemove-HijackThis - d:\downloads\HijackThis.exe
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3572)
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
f:\java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
f:\cdburnerxp\NMSAccessU.exe
c:\winxp\SOUNDMAN.EXE
c:\winxp\AGRSMMSG.exe
c:\winxp\system32\wscntfy.exe
c:\winxp\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-05 09:00:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-10-05 07:00
Vor Suchlauf: 3.843.059.712 Bytes frei
Nach Suchlauf: 3.938.181.120 Bytes frei
- - End Of File - - CEFADAF6B2701E09F3F349255A3B87E0
|
|
05.10.2010, 08:25
| #5 |
| | Downloads im Hintergrund - Hijackthis und Malwarbytes Log OTL Log:OTL Logfile: Code:
ATTFilter OTL logfile created on: 05.10.2010 09:19:52 - Run 1 OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\The Secret\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 80,00% Memory free 3,00 Gb Paging File | 3,00 Gb Available in Paging File | 96,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme Drive C: | 10,00 Gb Total Space | 3,68 Gb Free Space | 36,85% Space Free | Partition Type: NTFS Drive D: | 48,83 Gb Total Space | 17,87 Gb Free Space | 36,60% Space Free | Partition Type: NTFS E: Drive not present or media not loaded Drive F: | 15,70 Gb Total Space | 13,75 Gb Free Space | 87,59% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: THESECRET Current User Name: The Secret Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 1 Day Output = Standard ========== Processes (SafeList) ========== PRC - [2010.10.05 08:20:46 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\The Secret\Desktop\OTL.exe PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () -- F:\CDBurnerXP\NMSAccessU.exe PRC - [2008.04.14 10:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINXP\explorer.exe PRC - [2004.07.05 21:30:00 | 000,184,320 | ---- | M] (Agere Systems) -- C:\Programme\ltmoh\ltmoh.exe PRC - [2004.06.18 14:01:02 | 000,067,584 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINXP\SOUNDMAN.EXE PRC - [2004.05.07 01:19:32 | 000,098,304 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe PRC - [2003.08.20 15:54:08 | 000,061,440 | ---- | M] (FUJITSU LIMITED) -- C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE ========== Modules (SafeList) ========== MOD - [2010.10.05 08:20:46 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\The Secret\Desktop\OTL.exe MOD - [2008.04.14 10:00:00 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINXP\system32\msscript.ocx MOD - [2004.05.07 01:19:26 | 000,066,048 | ---- | M] (Synaptics, Inc.) -- C:\WINXP\system32\SynTPFcs.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv) SRV - File not found [Disabled | Stopped] -- C:\WINXP\System32\hidserv.dll -- (HidServ) SRV - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- F:\CDBurnerXP\NMSAccessU.exe -- (NMSAccess) SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\THESEC~1\LOKALE~1\Temp\catchme.sys -- (catchme) DRV - [2010.08.12 12:07:49 | 003,298,432 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\w29n51.sys -- (w29n51) Intel(R) DRV - [2009.12.08 20:19:12 | 000,114,432 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\ewusbnet.sys -- (ewusbnet) DRV - [2009.12.07 19:53:12 | 000,102,912 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ewusbmdm.sys -- (hwdatacard) DRV - [2009.11.12 14:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\WINXP\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2009.10.12 15:21:54 | 000,100,736 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ewusbdev.sys -- (hwusbdev) DRV - [2005.07.25 04:04:08 | 000,048,640 | R--- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\ser2pl.sys -- (Ser2pl) DRV - [2004.08.05 01:00:00 | 000,121,344 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\b57xp32.sys -- (b57w2k) DRV - [2004.07.05 21:30:00 | 001,267,724 | R--- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\AGRSM.sys -- (AgereSoftModem) DRV - [2004.06.21 14:23:20 | 000,626,204 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM) DRV - [2004.05.07 01:14:56 | 000,182,688 | ---- | M] (Synaptics, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\SynTP.sys -- (SynTP) DRV - [2004.02.24 08:38:52 | 000,400,384 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ALCXSENS.SYS -- (ALCXSENS) DRV - [2003.08.20 15:54:08 | 000,019,712 | ---- | M] (FUJITSU LIMITED) [Kernel | Auto | Running] -- C:\Programme\Fujitsu\BtnHnd\BtnHnd.sys -- (BtnHnd) DRV - [2001.08.18 04:35:52 | 000,035,913 | ---- | M] (SMC) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\smcirda.sys -- (SMCIRDA) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 40 15 5D 56 81 5E CB 01 [binary data] IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "hxxp://anonymouse.org/anonwww_de.html" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {35379F86-8CCB-4724-AE33-4278DE266C70}:1.0.5 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2 FF - prefs.js..extensions.enabledItems: {00084897-021a-4361-8423-083407a033e0}:1.4 FF - prefs.js..network.proxy.type: 4 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: F:\components [2010.09.20 14:02:31 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: F:\plugins [2010.09.20 14:02:32 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: F:\components [2010.09.20 14:02:31 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: F:\plugins [2010.09.20 14:02:32 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Components: F:\components [2010.09.20 14:02:31 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Plugins: F:\plugins [2010.09.20 14:02:32 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Components: C:\Programme\components [2010.08.14 07:49:11 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Plugins: C:\Programme\plugins [2010.08.12 14:15:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Mozilla\Extensions [2010.10.04 15:41:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Mozilla\Firefox\Profiles\t895gae0.default\extensions [2010.09.27 23:47:10 | 000,000,000 | ---D | M] (CS Lite) -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Mozilla\Firefox\Profiles\t895gae0.default\extensions\{00084897-021a-4361-8423-083407a033e0} [2010.09.14 16:13:15 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Mozilla\Firefox\Profiles\t895gae0.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.09.27 23:39:36 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Mozilla\Firefox\Profiles\t895gae0.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} O1 HOSTS File: ([2010.10.05 08:58:10 | 000,000,027 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - F:\Orbitdownloader\orbitcth.dll (Orbitdownloader.com) O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - F:\Orbitdownloader\GrabPro.dll () O3 - HKCU\..\Toolbar\WebBrowser: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - F:\Orbitdownloader\GrabPro.dll () O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe (FUJITSU LIMITED) O4 - HKLM..\Run: [LtMoh] C:\Programme\ltmoh\ltmoh.exe (Agere Systems) O4 - HKLM..\Run: [SoundMan] C:\WINXP\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8 - Extra context menu item: &Download by Orbit - F:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O8 - Extra context menu item: &Grab video by Orbit - F:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O8 - Extra context menu item: Do&wnload selected by Orbit - F:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O8 - Extra context menu item: Down&load all by Orbit - F:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O8 - Extra context menu item: Nach Microsoft &Excel exportieren - F:\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.08.10 14:56:41 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 1 Day ========== [2010.10.05 08:52:13 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINXP\SWXCACLS.exe [2010.10.05 08:52:13 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINXP\SWREG.exe [2010.10.05 08:52:13 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINXP\SWSC.exe [2010.10.05 08:52:13 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINXP\NIRCMD.exe [2010.10.05 08:52:10 | 000,000,000 | ---D | C] -- C:\WINXP\ERDNT [2010.10.05 08:51:44 | 000,000,000 | ---D | C] -- C:\Qoobox [2010.10.05 08:51:12 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\The Secret\Recent [2010.10.05 08:41:54 | 000,000,000 | ---D | C] -- C:\Config.Msi [2010.10.05 08:19:21 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\The Secret\Desktop\OTL.exe [2010.10.05 00:17:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Malwarebytes [2010.10.05 00:16:43 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys [2010.10.05 00:16:40 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys [2010.10.05 00:16:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.10.04 23:18:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\The Secret\Desktop\MFTools [2010.08.14 07:49:11 | 000,023,672 | ---- | C] (Mozilla.org) -- C:\Programme\MapiProxy_InUse.dll [2010.08.14 07:49:11 | 000,011,888 | ---- | C] (Mozilla.org) -- C:\Programme\mozMapi32_InUse.dll [2010.08.14 07:49:10 | 000,012,392 | ---- | C] (Mozilla Foundation) -- C:\Programme\xpistub.dll [2010.08.14 07:49:09 | 008,318,056 | ---- | C] (Mozilla Corporation) -- C:\Programme\thunderbird.exe [2010.08.14 07:49:09 | 000,763,488 | ---- | C] (Mozilla Foundation) -- C:\Programme\nss3.dll [2010.08.14 07:49:09 | 000,458,848 | ---- | C] (Netscape Communications Corporation) -- C:\Programme\js3250.dll [2010.08.14 07:49:09 | 000,420,456 | ---- | C] (Mozilla Foundation) -- C:\Programme\xpcom_core.dll [2010.08.14 07:49:09 | 000,337,512 | ---- | C] (Mozilla Foundation) -- C:\Programme\nssckbi.dll [2010.08.14 07:49:09 | 000,254,077 | ---- | C] (Mozilla Foundation) -- C:\Programme\freebl3.dll [2010.08.14 07:49:09 | 000,208,488 | ---- | C] (Mozilla Foundation) -- C:\Programme\sqlite3.dll [2010.08.14 07:49:09 | 000,168,044 | ---- | C] (Mozilla Foundation) -- C:\Programme\softokn3.dll [2010.08.14 07:49:09 | 000,165,480 | ---- | C] (Mozilla Foundation) -- C:\Programme\nspr4.dll [2010.08.14 07:49:09 | 000,144,992 | ---- | C] (Mozilla Foundation) -- C:\Programme\ssl3.dll [2010.08.14 07:49:09 | 000,132,224 | ---- | C] (Mozilla Foundation) -- C:\Programme\updater.exe [2010.08.14 07:49:09 | 000,120,424 | ---- | C] (Mozilla Foundation) -- C:\Programme\nssdbm3.dll [2010.08.14 07:49:09 | 000,112,224 | ---- | C] (Mozilla Foundation) -- C:\Programme\smime3.dll [2010.08.14 07:49:09 | 000,087,656 | ---- | C] (Mozilla Foundation) -- C:\Programme\nssutil3.dll [2010.08.14 07:49:09 | 000,073,840 | ---- | C] (Mozilla Foundation) -- C:\Programme\xpicleanup.exe [2010.08.14 07:49:09 | 000,073,840 | ---- | C] (Mozilla Foundation) -- C:\Programme\xpcom_compat.dll [2010.08.14 07:49:09 | 000,034,416 | ---- | C] (Mozilla Foundation) -- C:\Programme\plc4.dll [2010.08.14 07:49:09 | 000,030,312 | ---- | C] (Mozilla Foundation) -- C:\Programme\plds4.dll [2010.08.14 07:49:09 | 000,023,672 | ---- | C] (Mozilla.org) -- C:\Programme\MapiProxy.dll [2010.08.14 07:49:09 | 000,013,944 | ---- | C] (Mozilla Foundation) -- C:\Programme\AccessibleMarshal.dll [2010.08.14 07:49:09 | 000,013,408 | ---- | C] (Mozilla Foundation) -- C:\Programme\xpcom.dll [2010.08.14 07:49:09 | 000,011,888 | ---- | C] (Mozilla.org) -- C:\Programme\mozMapi32.dll [3 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ] [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] ========== Files - Modified Within 1 Day ========== [2010.10.05 08:58:35 | 000,000,227 | ---- | M] () -- C:\WINXP\system.ini [2010.10.05 08:58:10 | 000,000,027 | ---- | M] () -- C:\WINXP\System32\drivers\etc\hosts [2010.10.05 08:57:58 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat [2010.10.05 08:56:27 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\The Secret\NTUSER.DAT [2010.10.05 08:56:27 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\The Secret\ntuser.ini [2010.10.05 08:42:27 | 001,474,832 | ---- | M] () -- C:\WINXP\System32\drivers\sfi.dat [2010.10.05 08:20:46 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\The Secret\Desktop\OTL.exe [2010.10.05 08:18:54 | 003,861,166 | R--- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ComboFix.exe [2010.10.05 00:16:46 | 000,000,483 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.10.05 00:12:04 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\The Secret\Desktop\defogger.exe [2010.10.05 00:11:53 | 000,284,915 | ---- | M] () -- C:\Dokumente und Einstellungen\The Secret\Desktop\Gmer.zip [2010.10.04 22:55:49 | 000,388,977 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Load.exe [2010.10.04 12:28:18 | 000,000,497 | ---- | M] () -- C:\WINXP\wiso.ini [3 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ] [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.10.05 08:52:13 | 000,256,512 | ---- | C] () -- C:\WINXP\PEV.exe [2010.10.05 08:52:13 | 000,098,816 | ---- | C] () -- C:\WINXP\sed.exe [2010.10.05 08:52:13 | 000,080,412 | ---- | C] () -- C:\WINXP\grep.exe [2010.10.05 08:52:13 | 000,077,312 | ---- | C] () -- C:\WINXP\MBR.exe [2010.10.05 08:52:13 | 000,068,096 | ---- | C] () -- C:\WINXP\zip.exe [2010.10.05 08:09:24 | 003,861,166 | R--- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ComboFix.exe [2010.10.05 00:16:46 | 000,000,483 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.10.05 00:01:33 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\The Secret\Desktop\defogger.exe [2010.10.04 23:18:42 | 000,284,915 | ---- | C] () -- C:\Dokumente und Einstellungen\The Secret\Desktop\Gmer.zip [2010.10.04 22:54:31 | 000,388,977 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Load.exe [2010.10.03 08:39:52 | 000,000,497 | ---- | C] () -- C:\WINXP\wiso.ini [2010.09.30 21:27:47 | 000,008,704 | ---- | C] () -- C:\Dokumente und Einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.08.17 11:02:33 | 000,007,168 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys [2010.08.14 07:49:11 | 000,000,721 | ---- | C] () -- C:\Programme\updater.ini [2010.08.14 07:49:09 | 000,145,032 | ---- | C] () -- C:\Programme\nsldap32v50.dll [2010.08.14 07:49:09 | 000,107,903 | ---- | C] () -- C:\Programme\license.html [2010.08.14 07:49:09 | 000,030,344 | ---- | C] () -- C:\Programme\nsldappr32v50.dll [2010.08.14 07:49:09 | 000,006,452 | ---- | C] () -- C:\Programme\LICENSE.txt [2010.08.14 07:49:09 | 000,000,478 | ---- | C] () -- C:\Programme\softokn3.chk [2010.08.14 07:49:09 | 000,000,478 | ---- | C] () -- C:\Programme\freebl3.chk [2010.08.14 07:49:09 | 000,000,261 | ---- | C] () -- C:\Programme\README.txt [2010.08.13 23:11:59 | 000,000,506 | ---- | C] () -- C:\WINXP\ODBC.INI [2010.08.13 22:02:51 | 000,116,224 | ---- | C] () -- C:\WINXP\System32\pdfcmnnt.dll [2010.08.12 12:00:32 | 000,077,824 | ---- | C] () -- C:\WINXP\System32\SynTPCoI.dll [2010.08.12 11:37:30 | 000,155,648 | ---- | C] () -- C:\WINXP\System32\RTLCPAPI.dll [2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINXP\System32\OUTLPERF.INI < End of report > |
|
05.10.2010, 09:19
| #6 |
| | Downloads im Hintergrund - Hijackthis und Malwarbytes Log Hi, falls noch nicht geschehen, die Funde von MAM bereinigen lassen! Bitte folgende Files prüfen (sollten saube sein): Dateien Online überprüfen lassen:
Code:
ATTFilter c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Microsoft\Installer\{1EAE0B34-CA37-41CB-83C0-9AA54B78D552}\CICLO3.exe
c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Microsoft\Installer\{1EAE0B34-CA37-41CB-83C0-9AA54B78D552}\_8CA5CAE1A261_4CAA_8D98_70B5696C2059.exe
c:\winxp\system32\sfcfiles.dll
Fix für OTL:
 Code:
ATTFilter
:OTL
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)
SRV - File not found [Disabled | Stopped] -- C:\WINXP\System32\hidserv.dll -- (HidServ)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
:Commands
[emptytemp]
[Reboot]
Cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris
__________________ --> Downloads im Hintergrund - Hijackthis und Malwarbytes Log |
|
| Themen zu Downloads im Hintergrund - Hijackthis und Malwarbytes Log |
| ad-aware, adobe, antivir, antivir guard, avg, avira, bho, cdburnerxp, desktop, downloader, downloads im hintergrund, einstellungen, excel, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, malwarebytes log, plug-in, programm, security, software, spyware, spyware.onlinegames, svchost.exe, system, updates, windows, windows updates, windows xp |
Hybrid-Darstellung
