|
Plagegeister aller Art und deren Bekämpfung: Trojaner öffnen ständig Seiten/Werbung über den Internet ExplorerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.10.2010, 15:12 | #1 |
| Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Hallo Miteinander, habe mich gerade hier neu angemeldet, weil sich mein 14-jähriger Sohn diverse Trojaner auf seinem Laptop eingefangen hat. Nun muss ich gleich dazu sagen, dass ich die alltäglichen Fuktionen am PC schon beherrsche, aber mich in den "Tiefen" eines PC´s nicht wirklich auskenne. Das Problem wurde gestern urspünglich über Avira Antivir entdeckt. Avira fand mal einen, mal zwei Trojaner, die wir in Quarantäne schoben und dann gelöscht haben. Weil aber bei jedem neuen Scan immer wieder welche gefunden wurden, habe ich gestern den ganzen Tag über Google nach Hife gesucht und habe dann letztendlich Malwarebytea Anti-Malware heruntergeladen. Dieses Programm hat dann schon 8 Trojaner gefunden. Ich habe sie wieder in Quarantäne verschoben und verusucht zu löschen. Übrig blieben aber immer wieder 2 Trojaner die sich anscheinend in der Registry festgesetzt haben. Nun habe ich heute angefangen Euren Anleitungen zu folgen die man vor der Registrierung ausführen soll. Ich glaube ich habe auch alle Logfiles hingekriegt, bis auf das von GMER. Bei Programm GMER "hängte" sich immer wieder auf und der Laptop stürzte ab. Nun hoffe ich auf Eure Hilfe und bitte seht mir nach, wenn ich als Laie vielleicht eine Anweisung erst nochmal nachfragen muss. Aber ich tue meine Bestes. Liebe Grüße Julena P.S. Die Namen und Orte der Trojaner habe ich in die Datei "Ausschnitt Malware" kopiert. MUSS ICH DIE LOGFILES HIER IN DEN TEXT KOPIEREN, ANSTATT IN DEN ANHANG ? BITTE HELFT MIR. Geändert von Julena (31.10.2010 um 15:35 Uhr) |
31.10.2010, 20:32 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner öffnen ständig Seiten/Werbung über den Internet ExplorerZitat:
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________ |
31.10.2010, 20:37 | #3 |
| Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Hallo Cosinus,
__________________danke Dir für Deine Antwort. Ich mache den Vollscan und melde mich dann wieder... |
31.10.2010, 22:29 | #4 |
| Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer So, jetzt bin ich wieder da. Ich habe den Vollscan mit Malwarebytes gemacht, dabei wurde aber nichts gefunden. Allerdings befinden sich ja immer noch die früher gefundenen 10 Trojaner in der Quarantäne (siehe unten). Logfile von Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5008 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18975 31.10.2010 21:52:51 mbam-log-2010-10-31 (21-52-51).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 287808 Laufzeit: 1 Stunde(n), 12 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) In Quarantäne: Anbieter Datum Kategorie Objekt Trojan.Downloader 31.10.2010 File C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job Trojan.FakeAlert.Gen 31.10.2010 File C:\Users\***\downloads\video-plugin.40012.exe Trojan.Downloader 31.10.2010 File C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job Trojan.FakeAlert. 31.10.2010 File C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job Trojan.FakeAlert. 31.10.2010 Registry Key HKEY_CURRENT_USER\SOFTWARE\NtWqlVLZEWZU Trojan.FakeAlert. 31.10.2010 Registry Key HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6 Trojan.FakeAlert. 31.10.2010 Registry Key HKEY_CURRENT_USER\SOFTWARE\XML Trojan.FakeAlert. 31.10.2010 Registry Key HKEY_CURRENT_USER\SOFTWARE\65MWRMP54G Trojan.FakeAlert. 31.10.2010 Registry Value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current\Version\Run\u36vrsflg6 (Data:C:\Users\***\AppData\Local\Temp\Hnd.exe) Trojan.Agent 31.10.2010 Registry Value HKEY_CURRENT_USER\SOFTWARE\ Microsoft\Windows\Current\Version\Run\vttqqpaudio (Data:rundll32.exe „c:\users\***\appdata\local\temp\xxvstq.dll“,s) Gruß Julena |
31.10.2010, 23:13 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O33 - MountPoints2\{5afea5de-113e-11de-a322-001377989c37}\Shell - "" = AutoRun O33 - MountPoints2\{5afea5de-113e-11de-a322-001377989c37}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found @Alternate Data Stream - 85 bytes -> C:\ProgramData:$SS_DESCRIPTOR_SVXWV4PVSVVVVFN4TF1RVDNPCLLTJP0JYFLKYWFVVGVFVF5VV4VH :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
31.10.2010, 23:29 | #6 |
| Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Ok, ich das hat soweit geklappt, der Rechner wurde auch neu gestartet. _____________________________________ All processes killed ========== OTL ========== Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5afea5de-113e-11de-a322-001377989c37}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5afea5de-113e-11de-a322-001377989c37}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5afea5de-113e-11de-a322-001377989c37}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5afea5de-113e-11de-a322-001377989c37}\ not found. File F:\LaunchU3.exe not found. ADS C:\ProgramData:$SS_DESCRIPTOR_SVXWV4PVSVVVVFN4TF1RVDNPCLLTJP0JYFLKYWFVVGVFVF5VV4VH deleted successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: J** ->Temp folder emptied: 96319854 bytes ->Temporary Internet Files folder emptied: 522351 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 40664390 bytes ->Flash cache emptied: 998 bytes User: N** ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 147212 bytes RecycleBin emptied: 21463 bytes Total Files Cleaned = 131,00 mb OTL by OldTimer - Version 3.2.17.1 log created on 10312010_232011 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
31.10.2010, 23:47 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
01.11.2010, 01:03 | #8 |
| Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Nun hab ich auch diese beiden Schritte mit CCleaner und ComboFix geschafft (bin aber zwischendurch 1000 Tode gestorben vor Angst etwas falsch zu machen ). Combofix Logfile: Code:
ATTFilter ComboFix 10-10-31.01 - ***** 01.11.2010 0:38.2.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3032.1898 [GMT 1:00] ausgeführt von:: c:\users\*****\Desktop\ComboFix.exe SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . ((((((((((((((((((((((( Dateien erstellt von 2010-09-28 bis 2010-10-31 )))))))))))))))))))))))))))))) . 2010-10-31 23:43 . 2010-10-31 23:43 -------- d-----w- c:\users\*****\AppData\Local\temp 2010-10-31 23:43 . 2010-10-31 23:43 -------- d-----w- c:\users\Default\AppData\Local\temp 2010-10-31 23:18 . 2010-10-31 23:18 -------- d-----w- c:\program files\CCleaner 2010-10-31 22:20 . 2010-10-31 22:20 -------- d-----w- C:\_OTL 2010-10-31 13:16 . 2010-10-31 13:16 -------- d-----w- c:\program files\7-Zip 2010-10-31 12:06 . 2010-10-31 12:08 -------- d-----w- c:\program files\ERUNT 2010-10-30 18:13 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-10-30 18:13 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-10-30 16:53 . 2010-10-30 16:53 -------- d-----w- c:\users\*****\AppData\Roaming\Malwarebytes 2010-10-30 16:52 . 2010-10-30 16:52 -------- d-----w- c:\users\*****\AppData\Roaming\Malwarebytes 2010-10-30 16:46 . 2010-10-30 18:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-10-30 16:46 . 2010-10-30 16:46 -------- d-----w- c:\programdata\Malwarebytes 2010-10-30 14:45 . 2010-10-30 14:45 2560 ----a-w- c:\windows\_MSRSTRT.EXE 2010-10-29 11:45 . 2010-10-07 23:21 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{D07D2983-EE2F-42D5-9870-C44FABF7F2D4}\mpengine.dll 2010-10-25 14:05 . 2007-02-08 13:45 29184 ----a-w- c:\windows\system32\drivers\ActionReplayDS.sys 2010-10-25 13:53 . 2010-10-25 13:53 -------- d-----w- c:\program files\Datel 2010-10-23 19:51 . 2010-08-26 04:23 13312 ----a-w- c:\program files\Internet Explorer\iecompat.dll 2010-10-17 12:46 . 2010-10-17 12:46 -------- d-----w- c:\users\*****\AppData\Roaming\InstallShield Installation Information 2010-10-17 12:46 . 2010-10-17 12:46 -------- d-----w- c:\users\*****\AppData\Local\AOL 2010-10-17 12:46 . 2010-10-31 08:19 -------- d-----w- c:\users\*****\AppData\Roaming\ICQ 2010-10-15 11:36 . 2010-09-13 13:56 168960 ----a-w- c:\program files\Windows Media Player\wmplayer.exe 2010-10-15 11:36 . 2010-09-13 13:56 8147456 ----a-w- c:\windows\system32\wmploc.DLL 2010-10-05 16:26 . 2010-10-05 16:27 -------- d-----w- c:\users\*****\AppData\Roaming\TS3Client 2010-10-05 16:26 . 2010-10-05 16:26 -------- d-----w- c:\users\*****\AppData\Local\TeamSpeak 3 Client 2010-10-03 15:21 . 2010-10-03 15:22 -------- d-----w- c:\users\*****\AppData\Roaming\TeamViewer 2010-10-03 15:21 . 2010-10-03 15:21 -------- d-----w- c:\users\*****\AppData\Roaming\TeamViewer . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-10-19 09:41 . 2009-10-03 07:24 222080 ------w- c:\windows\system32\MpSigStub.exe 2010-08-21 15:33 . 2010-08-21 15:33 45056 ----a-r- c:\users\*****\AppData\Roaming\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\GameShadow.exe1_D9316813509243FDA4C292F72F483E61.exe 2010-08-21 15:33 . 2010-08-21 15:33 45056 ----a-r- c:\users\*****\AppData\Roaming\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\GameShadow.exe_D9316813509243FDA4C292F72F483E61.exe 2010-08-21 15:33 . 2010-08-21 15:33 40960 ----a-r- c:\users\*****\AppData\Roaming\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\GSDR.exe_D9316813509243FDA4C292F72F483E61.exe 2010-08-17 14:11 . 2010-09-15 10:49 128000 ----a-w- c:\windows\system32\spoolsv.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-17 39408] "BitTorrent DNA"="c:\users\*****\Program Files\DNA\btdna.exe" [2010-06-18 323392] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184] "RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416] "SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472] "PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984] "IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368] "PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992] "BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536] "ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016] "Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-10-17 122880] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792] "AGEIA PhysX SysTray"="c:\program files\AGEIA Technologies\TrayIcon.exe" [2006-03-20 331776] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-28 136216] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-28 171032] "Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-28 170520] " Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.com.exe" [2010-04-29 1090952] c:\users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] c:\users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] OneNote Inhaltsverzeichnis.onetoc2 [2010-3-4 3656] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-12 723496] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1896260233-359134397-3295179695-1003] "EnableNotificationsRef"=dword:00000001 R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-27 135664] R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184] R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2010-02-24 3432444] R3 VMC302;Vimicro Camera Service VMC302;c:\windows\system32\Drivers\VMC302.sys [x] R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\Drivers\VMC326.sys [x] R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336] S2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\system32\DRIVERS\kmdfmemio.sys [2007-05-23 13312] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache . Inhalt des "geplante Tasks" Ordners 2010-10-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-27 15:19] 2010-10-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-27 15:19] 2010-10-31 c:\windows\Tasks\User_Feed_Synchronization-{300BEF11-1369-420D-BA8C-3F1AC8193F25}.job - c:\windows\system32\msfeedssync.exe [2010-10-15 04:25] 2010-10-31 c:\windows\Tasks\User_Feed_Synchronization-{AF1C7010-76DC-4C1C-A8DA-90DE89B9119A}.job - c:\windows\system32\msfeedssync.exe [2010-10-15 04:25] 2010-10-31 c:\windows\Tasks\User_Feed_Synchronization-{C77D9260-0D18-44B4-9FBE-349144314B5B}.job - c:\windows\system32\msfeedssync.exe [2010-10-15 04:25] 2010-10-31 c:\windows\Tasks\User_Feed_Synchronization-{EB9C923B-8CF8-4098-9B88-91CABFC19CF3}.job - c:\windows\system32\msfeedssync.exe [2010-10-15 04:25] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/webhp?sourceid=navclient&hl=de&ie=UTF-8&rlz=1T4GGLL_deDE349DE350 IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 LSP: c:\windows\system32\wpclsp.dll FF - ProfilePath - c:\users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\d1lderuu.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/webhp?hl=&sourceid=navclient-ff&rlz=1R0GGLL_de&ie=UTF-8 FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q= FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll FF - component: c:\users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\d1lderuu.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll FF - plugin: c:\programdata\NexonEU\NGM\npNxGameeu.dll FF - plugin: c:\users\*****\Program Files\DNA\plugins\npbtdna.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file) WebBrowser-{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - (no file) WebBrowser-{872B5B88-9DB5-4310-BDD0-AC189557E5F5} - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-11-01 00:43 Windows 6.0.6002 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" . Zeit der Fertigstellung: 2010-11-01 00:45:23 ComboFix-quarantined-files.txt 2010-10-31 23:45 Vor Suchlauf: 15 Verzeichnis(se), 45.268.545.536 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 45.022.826.496 Bytes frei - - End Of File - - 91405333D3728D5BF1DE2FD9332FD801 _______________________________________________________ Cosinus, ich sehe dass Du mittlerweile Offline bist. Das mache ich jetzt auch und gehe ins Bett. Ich hoffe, dass Du mir Morgen weiter behilflich sein kannst. Aber ich möchte mich jetzt schon einmal bedanken, weil Du mir mit der Schritt-für-Schritt-Anleitung sehr weiter hilfst. Gute Nacht
__________________ Gruß Julena |
01.11.2010, 01:06 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
01.11.2010, 12:59 | #10 |
| Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer So, jetzt geht es weiter... GMER Logfile: Code:
ATTFilter GMER 1.0.15.15477 - hxxp://www.gmer.net Rootkit scan 2010-11-01 12:23:03 Windows 6.0.6002 Service Pack 2 Running: 4y4r82n0.exe; Driver: C:\Users\*****\AppData\Local\Temp\kxldapob.sys ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 12:48:16 on 01.11.2010 OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit Default Browser: Mozilla Corporation Firefox 3.6 Scanner Settings Rootkits detection (hidden registry) Rootkits detection (hidden files) Retrieve files information Check Microsoft signatures Filters Trusted entries Empty entries Hidden registry entries (rootkit activity) Exclusively opened files Not found files Files without detailed information Existing files Non-startable services Non-startable drivers Active entries Disabled entries Risk Name Publisher Full Path Status Common %SystemRoot%\Tasks |||| "GoogleUpdateTaskMachineCore.job" "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists |||| "GoogleUpdateTaskMachineUA.job" "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists Control Panel Objects %SystemRoot%\system32 |||||| "iproset.cpl" "Intel(R) Corporation" C:\Windows\system32\iproset.cpl File exists |||||| "PhysX.cpl" C:\Windows\system32\PhysX.cpl File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls |||||| "mlcfg32.cpl" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL File exists |||||| "PROSet Tools" "Intel(R) Corporation" C:\Windows\System32\iPROSet.cpl File exists Drivers HKLM\SYSTEM\CurrentControlSet\Services |||||| "avgio" (avgio) "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\avgio.sys File exists |||||| "avgntflt" (avgntflt) "Avira GmbH" C:\Windows\System32\DRIVERS\avgntflt.sys File exists |||||| "avipbb" (avipbb) "Avira GmbH" C:\Windows\System32\DRIVERS\avipbb.sys File exists "catchme" (catchme) C:\Users\Julius\AppData\Local\Temp\catchme.sys File not found "EagleNT" (EagleNT) C:\Windows\system32\drivers\EagleNT.sys File not found |||||| "Hamachi Network Interface" (hamachi) "LogMeIn, Inc." C:\Windows\System32\DRIVERS\hamachi.sys File exists "IP in IP Tunnel Driver" (IpInIp) C:\Windows\System32\DRIVERS\ipinip.sys File not found "IPX Traffic Filter Driver" (NwlnkFlt) C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found "IPX Traffic Forwarder Driver" (NwlnkFwd) C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found "kxldapob" (kxldapob) C:\Users\Julius\AppData\Local\Temp\kxldapob.sys Hidden registry entry, rootkit activity | File not found |||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\Windows\System32\DRIVERS\ssmdrv.sys File exists "Vimicro Camera Service VMC302" (VMC302) C:\Windows\System32\Drivers\VMC302.sys File not found "Vimicro Camera Service VMC326" (VMC326) C:\Windows\System32\Drivers\VMC326.sys File not found Explorer HKLM\Software\Classes\Folder\shellex\ColumnHandlers |||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll File exists HKLM\Software\Classes\Protocols\Filter |||||| {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL File exists HKLM\Software\Classes\Protocols\Handler |||||| {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL File exists |||||| {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll File exists |||||| {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" "Skype Technologies" C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" File not found | COM-object registry key not found HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved {911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" File not found | COM-object registry key not found |||||| {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" "Igor Pavlov" C:\Program Files\7-Zip\7-zip.dll File exists {1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" File not found | COM-object registry key not found {34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" File not found | COM-object registry key not found {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" File not found | COM-object registry key not found {2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" File not found | COM-object registry key not found {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" File not found | COM-object registry key not found |||||| {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" "Microsoft Corporation" C:\Program Files\Microsoft Office\Office12\msohevi.dll File exists |||||| {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll File exists |||||| {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL File exists |||||| {00020d75-0000-0000-c000-000000000046} "Microsoft Office Outlook" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL File exists |||||| {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll File exists |||||| {7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" "Broadcom Corporation." C:\Windows\system32\btncopy.dll File exists |||||| {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL File exists {C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" File not found | COM-object registry key not found {E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" File not found | COM-object registry key not found |||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\shlext.dll File exists {da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" File not found | COM-object registry key not found Internet Explorer HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions |||| "ICQ7.2" "ICQ, LLC." C:\Users\Julius\AppData\Roaming\ICQ\Application\ICQ7.2\ICQ.exe File exists HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser || "Google Toolbar" "Google Inc." C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File exists ITBar7Height "ITBar7Height" File not found | COM-object registry key not found "ITBar7Layout" File not found | COM-object registry key not found HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units |||| {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2iexp.dll File exists |||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\npjpi160_20.dll File exists HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions |||||| "@btrez.dll,-4015" C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm File exists |||| {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll File exists |||| {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL File exists HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar || "Google Toolbar" "Google Inc." C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |||||| {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" "Adobe Systems Incorporated" C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File exists || {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" "Google Inc." C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File exists || {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" "Google Inc." C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll File exists |||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2ssv.dll File exists |||||| {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live ID-Anmelde-Hilfsprogramm" "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll File exists Logon %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup |||| "OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" "Microsoft Corporation" C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE Shortcut exists | File exists |||||| "desktop.ini" C:\Users\Julius\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini File exists "OneNote Inhaltsverzeichnis.onetoc2" C:\Users\Julius\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote Inhaltsverzeichnis.onetoc2 File exists %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup |||||| "desktop.ini" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini File exists |||| "BTTray.lnk" "Broadcom Corporation." C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe Shortcut exists | File exists HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |||| "BitTorrent DNA" "BitTorrent, Inc." "C:\Users\Julius\Program Files\DNA\btdna.exe" File exists |||| "Skype" "Skype Technologies S.A." "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized File exists |||| "swg" "Google Inc." "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File exists HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd "StartupPrograms" rdpclip File not found HKLM\Software\Microsoft\Windows\CurrentVersion\Run |||| "Adobe ARM" "Adobe Systems Incorporated" "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" File exists "Adobe Reader Speed Launcher" "Adobe Systems Incorporated" "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" File exists |||| "AGEIA PhysX SysTray" C:\Program Files\AGEIA Technologies\TrayIcon.exe File found, but it contains no detailed information |||||| "avgnt" "Avira GmbH" "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min File exists |||| "BrMfcWnd" "Brother Industries, Ltd." C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN File exists |||| "ControlCenter3" "Brother Industries, Ltd." C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun File exists |||| "Google Quick Search Box" "Google Inc." "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun File exists |||| "IndexSearch" "Nuance Communications, Inc." "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" File exists |||||| " Malwarebytes Anti-Malware (reboot)" "Malwarebytes Corporation" "C:\Program Files\Malwarebytes' Anti-Malware\mbam.com.exe" /runcleanupscript File exists |||| "PaperPort PTD" "Nuance Communications, Inc." "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" File exists |||| "PPort11reminder" "Nuance Communications, Inc." "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\ProgramData\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini" File exists |||| "SSBkgdUpdate" "Nuance Communications, Inc." "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot File exists |||| "SunJavaUpdateSched" "Sun Microsystems, Inc." "C:\Program Files\Common Files\Java\Java Update\jusched.exe" File exists Print Monitors HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors |||||| "Send To Microsoft OneNote Monitor" "Microsoft Corporation" C:\Windows\system32\msonpmon.dll File exists Services HKLM\SYSTEM\CurrentControlSet\Services |||||| "@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) "Microsoft Corporation" C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe File exists |||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\avguard.exe File exists |||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\sched.exe File exists |||||| "Bluetooth Service" (btwdins) "Broadcom Corporation." C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe File exists |||| "Google Software Updater" (gusvc) "Google" C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe File exists |||| "Google Update Service (gupdate)" (gupdate) "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists |||||| "Intel® PROSet/Wireless Event Log" (EvtEng) "Intel(R) Corporation" C:\Program Files\Intel\WiFi\bin\EvtEng.exe File exists |||||| "Intel® PROSet/Wireless Registry Service" (RegSrvc) "Intel(R) Corporation" C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe File exists |||||| "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) "Microsoft Corporation" C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe File exists |||||| "Microsoft Office Diagnostics Service" (odserv) "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE File exists |||| "nProtect GameGuard Service" (npggsvc) "INCA Internet Co., Ltd." C:\Windows\system32\GameMon.des File exists |||||| "Office Source Engine" (ose) "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE File exists |||||| "SQL Server (MSSMLBIZ)" (MSSQL$MSSMLBIZ) "Microsoft Corporation" C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe File exists |||||| "SQL Server VSS Writer" (SQLWriter) "Microsoft Corporation" C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe File exists |||||| "SQL Server-Browser" (SQLBrowser) "Microsoft Corporation" C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe File exists |||||| "SQL Server-Startdienst für Business Contact Manager" (BcmSqlStartupSvc) "Microsoft Corporation" C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe File exists |||||| "Windows Live ID Sign-in Assistant" (wlidsvc) "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE File exists If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru _______________________________________ MBRCheck, version 1.2.3 (c) 2010, ADCommand-line: Windows Version: Windows Vista Home Premium Edition Windows Information: Service Pack 2 (build 6002), 32-bit Base Board Manufacturer: SAMSUNG ELECTRONICS CO., LTD. BIOS Manufacturer: Phoenix Technologies Ltd. System Manufacturer: SAMSUNG ELECTRONICS CO., LTD. System Product Name: R509 Logical Drives Mask: 0x0000005c Kernel Drivers (total 142): 0x82408000 \SystemRoot\system32\ntoskrnl.exe 0x827B3000 \SystemRoot\system32\hal.dll 0x8A00D000 \SystemRoot\system32\kdcom.dll 0x8A014000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x8A084000 \SystemRoot\system32\PSHED.dll 0x8A095000 \SystemRoot\system32\BOOTVID.dll 0x8A09D000 \SystemRoot\system32\CLFS.SYS 0x8A0DE000 \SystemRoot\system32\CI.dll 0x8A1BE000 \SystemRoot\system32\drivers\Wdf01000.sys 0x8A23A000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x8A247000 \SystemRoot\system32\drivers\acpi.sys 0x8A28D000 \SystemRoot\system32\drivers\WMILIB.SYS 0x8A296000 \SystemRoot\system32\drivers\msisadrv.sys 0x8A29E000 \SystemRoot\system32\drivers\pci.sys 0x8A2C5000 \SystemRoot\System32\drivers\partmgr.sys 0x8A2D4000 \SystemRoot\system32\DRIVERS\compbatt.sys 0x8A2D7000 \SystemRoot\system32\DRIVERS\BATTC.SYS 0x8A2E1000 \SystemRoot\system32\drivers\volmgr.sys 0x8A2F0000 \SystemRoot\System32\drivers\volmgrx.sys 0x8A33A000 \SystemRoot\System32\drivers\mountmgr.sys 0x8A40C000 \SystemRoot\system32\DRIVERS\iaStor.sys 0x8A4DC000 \SystemRoot\system32\drivers\atapi.sys 0x8A4E4000 \SystemRoot\system32\drivers\ataport.SYS 0x8A502000 \SystemRoot\system32\drivers\fltmgr.sys 0x8A534000 \SystemRoot\system32\drivers\fileinfo.sys 0x8A544000 \SystemRoot\System32\Drivers\ksecdd.sys 0x8A5B5000 \SystemRoot\system32\drivers\ndis.sys 0x8A6C0000 \SystemRoot\system32\drivers\msrpc.sys 0x8A6EB000 \SystemRoot\system32\drivers\NETIO.SYS 0x8A805000 \SystemRoot\System32\drivers\tcpip.sys 0x8A8EF000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x8A90A000 \SystemRoot\System32\Drivers\Ntfs.sys 0x8AA1A000 \SystemRoot\system32\drivers\volsnap.sys 0x8AA53000 \SystemRoot\System32\Drivers\spldr.sys 0x8AA5B000 \SystemRoot\System32\Drivers\mup.sys 0x8AA6A000 \SystemRoot\System32\drivers\ecache.sys 0x8AA91000 \SystemRoot\system32\drivers\disk.sys 0x8AAA2000 \SystemRoot\system32\drivers\CLASSPNP.SYS 0x8AAC3000 \SystemRoot\system32\drivers\crcdisk.sys 0x8ABA9000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x8ABB4000 \SystemRoot\system32\DRIVERS\tunmp.sys 0x8EC0A000 \SystemRoot\system32\DRIVERS\igdkmd32.sys 0x8F527000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x8F5C8000 \SystemRoot\System32\drivers\watchdog.sys 0x8F5D4000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0x8F5DF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x8F61D000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x8F62C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x8F6B9000 \SystemRoot\system32\DRIVERS\athr.sys 0x8A726000 \SystemRoot\system32\DRIVERS\yk60x86.sys 0x8F7E2000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0x8F7E6000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x8ABBD000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x8ABC8000 \SystemRoot\system32\DRIVERS\SynTP.sys 0x8F7F9000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x8A772000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x8A77D000 \SystemRoot\system32\DRIVERS\cdrom.sys 0x8F7FB000 \SystemRoot\System32\drivers\GEARAspiWDM.sys 0x8A795000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x8A7A4000 \SystemRoot\system32\DRIVERS\msiscsi.sys 0x8A34A000 \SystemRoot\system32\DRIVERS\storport.sys 0x8A7D3000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x8A7DE000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x8A7F5000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x8A38B000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x8A3AE000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x8A3BD000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x8A3D1000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x8A3E6000 \SystemRoot\system32\DRIVERS\termdd.sys 0x8F7FE000 \SystemRoot\system32\DRIVERS\swenum.sys 0x8FC0E000 \SystemRoot\system32\DRIVERS\ks.sys 0x8FC38000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x8FC42000 \SystemRoot\system32\DRIVERS\umbus.sys 0x8FC4F000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x8FC84000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x8FC95000 \SystemRoot\system32\drivers\RTKVHDA.sys 0x8FE95000 \SystemRoot\system32\drivers\portcls.sys 0x8FEC2000 \SystemRoot\system32\drivers\drmk.sys 0x8FEE7000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0x8FEF0000 \SystemRoot\System32\Drivers\Null.SYS 0x8FEF7000 \SystemRoot\System32\Drivers\Beep.SYS 0x8FEFE000 \SystemRoot\System32\drivers\vga.sys 0x8FF0A000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x8FF2B000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x8FF33000 \SystemRoot\system32\drivers\rdpencdd.sys 0x8FF3B000 \SystemRoot\System32\Drivers\Msfs.SYS 0x8FF46000 \SystemRoot\System32\Drivers\Npfs.SYS 0x8FF54000 \SystemRoot\System32\DRIVERS\rasacd.sys 0x8FF5D000 \SystemRoot\system32\DRIVERS\tdx.sys 0x8FF73000 \SystemRoot\system32\DRIVERS\smb.sys 0x8FF87000 \SystemRoot\system32\drivers\afd.sys 0x90004000 \SystemRoot\System32\DRIVERS\netbt.sys 0x90036000 \SystemRoot\system32\drivers\ws2ifsl.sys 0x9003F000 \SystemRoot\system32\DRIVERS\pacer.sys 0x90055000 \SystemRoot\system32\DRIVERS\netbios.sys 0x90063000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x90076000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0x9007C000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x900B8000 \SystemRoot\system32\drivers\nsiproxy.sys 0x900C2000 \SystemRoot\System32\Drivers\dfsc.sys 0x900D9000 \SystemRoot\system32\DRIVERS\avipbb.sys 0x900FB000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys 0x900FD000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0x90112000 \SystemRoot\System32\Drivers\crashdmp.sys 0x9011F000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0x901EF000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0x90206000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x9020F000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x9021F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x90226000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x98C30000 \SystemRoot\System32\win32k.sys 0x9022E000 \SystemRoot\System32\drivers\Dxapi.sys 0x90238000 \SystemRoot\system32\DRIVERS\monitor.sys 0x98E50000 \SystemRoot\System32\TSDDD.dll 0x98E70000 \SystemRoot\System32\cdd.dll 0x90247000 \SystemRoot\system32\drivers\luafv.sys 0x90262000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0x90277000 \SystemRoot\system32\DRIVERS\kmdfmemio.sys 0x9027F000 \SystemRoot\system32\drivers\spsys.sys 0x9032F000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x9033F000 \SystemRoot\system32\DRIVERS\nwifi.sys 0x90369000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x90373000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x90386000 \SystemRoot\system32\drivers\HTTP.sys 0x8FFCF000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x8AACC000 \SystemRoot\system32\DRIVERS\bowser.sys 0x8AAE5000 \SystemRoot\System32\drivers\mpsdrv.sys 0x8AAFA000 \SystemRoot\system32\drivers\mrxdav.sys 0x8AB1B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0x8AB3A000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0x8AB73000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0xAC40A000 \SystemRoot\System32\DRIVERS\srv2.sys 0xAC432000 \SystemRoot\System32\DRIVERS\srv.sys 0xAC498000 \SystemRoot\system32\drivers\peauth.sys 0xAC576000 \SystemRoot\System32\Drivers\secdrv.SYS 0xAC580000 \SystemRoot\System32\drivers\tcpipreg.sys 0xAC58C000 \SystemRoot\system32\DRIVERS\WUDFRd.sys 0xAC5A1000 \SystemRoot\system32\DRIVERS\WUDFPf.sys 0xAC5B3000 \SystemRoot\system32\DRIVERS\cdfs.sys 0xAC5C9000 \??\C:\Users\Julius\AppData\Local\Temp\kxldapob.sys 0xAC5E0000 \SystemRoot\system32\DRIVERS\asyncmac.sys 0x77570000 \Windows\System32\ntdll.dll Processes (total 83): 0 System Idle Process 4 System 456 C:\Windows\System32\smss.exe 588 csrss.exe 632 C:\Windows\System32\wininit.exe 644 csrss.exe 676 C:\Windows\System32\services.exe 688 C:\Windows\System32\lsass.exe 700 C:\Windows\System32\lsm.exe 776 C:\Windows\System32\winlogon.exe 888 C:\Windows\System32\svchost.exe 968 C:\Windows\System32\svchost.exe 1008 C:\Windows\System32\svchost.exe 1140 C:\Windows\System32\svchost.exe 1176 C:\Windows\System32\svchost.exe 1196 C:\Windows\System32\svchost.exe 1268 C:\Windows\System32\audiodg.exe 1292 C:\Windows\System32\svchost.exe 1308 C:\Windows\System32\SLsvc.exe 1340 C:\Windows\System32\svchost.exe 1464 C:\Windows\System32\svchost.exe 1684 C:\Windows\System32\wlanext.exe 1808 C:\Windows\System32\taskeng.exe 1816 C:\Windows\System32\spoolsv.exe 1848 C:\Program Files\Avira\AntiVir Desktop\sched.exe 1868 C:\Windows\System32\svchost.exe 324 C:\Program Files\Avira\AntiVir Desktop\avguard.exe 472 C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe 556 C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe 596 C:\Program Files\Intel\WiFi\bin\EvtEng.exe 880 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe 1952 C:\Windows\System32\svchost.exe 2064 C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe 2108 C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe 2144 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 2208 C:\Windows\System32\svchost.exe 2240 C:\Windows\System32\svchost.exe 2296 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE 2312 C:\Windows\System32\SearchIndexer.exe 2460 WUDFHost.exe 2828 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE 3316 C:\Windows\System32\taskeng.exe 3332 C:\Windows\System32\dwm.exe 3404 C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe 3412 C:\Windows\System32\taskeng.exe 3476 C:\Windows\explorer.exe 3564 C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe 3588 C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe 3596 C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe 3684 C:\Windows\System32\igfxext.exe 3712 C:\Windows\System32\igfxsrvc.exe 3996 C:\Program Files\Windows Defender\MSASCui.exe 4020 C:\Windows\RtHDVCpl.exe 4032 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 2228 C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe 1360 C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe 840 C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe 1628 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 732 C:\Program Files\AGEIA Technologies\TrayIcon.exe 2860 C:\Program Files\Common Files\Java\Java Update\jusched.exe 2980 C:\Windows\System32\igfxtray.exe 2848 C:\Windows\System32\hkcmd.exe 1052 C:\Program Files\Brother\Brmfcmon\BrMfcMon.exe 1612 C:\Program Files\Brother\ControlCenter3\BrccMCtl.exe 2724 C:\Windows\System32\igfxpers.exe 1856 C:\Windows\System32\igfxsrvc.exe 3060 C:\Program Files\Windows Sidebar\sidebar.exe 2320 C:\Windows\ehome\ehtray.exe 2088 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 3240 C:\Users\Julius\Program Files\DNA\btdna.exe 3376 C:\Windows\ehome\ehmsas.exe 3400 C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe 3524 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE 4492 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe 3680 C:\Program Files\Internet Explorer\iexplore.exe 5860 C:\Program Files\Internet Explorer\iexplore.exe 5596 C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe 1260 C:\Windows\System32\Macromed\Flash\FlashUtil10k_ActiveX.exe 2544 C:\Users\Julius\Desktop\osam.exe 5032 dllhost.exe 5932 dllhost.exe 2784 C:\Users\Julius\Desktop\MBRCheck.exe 340 C:\Windows\System32\conime.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000003`40100000 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001e`b8800000 (NTFS) PhysicalDrive0 Model Number: HitachiHTS543225L9A300, Rev: FBEOC4CC Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 898F3CF28E8EC7228D29035E39B672E205D702F2 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit:
__________________ Gruß Julena |
01.11.2010, 17:54 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Hast Du noch andere Betriebssysteme außer Vista installiert? Wenn nicht, schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen.
__________________ Logfiles bitte immer in CODE-Tags posten |
01.11.2010, 18:35 | #12 |
| Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Hallo Cosinus, soweit ich weiß, ist nur Windows Vista installiert. Ich weiß jetzt nicht mal genau, ob Vista schon vorinstalliert war oder ob es eine CD dazu gibt, weil mein Sohn seinen Laptop über/von seinem Vater bekommen hat und dieser alles im Laden einrichten ließ und ggf. auch alle Software noch bei sich hat. Aber ich wollte gestern mal den Abgesicherten Modus testen, also F8 drücken beim booten und da gab es diese ganzen Möglichkeiten der Systemwiederherstellungsoptionen, die auf der Notfall-PC beschrieben sind. Frage 1: Kann ich es dann auch ohne Notfall-CD über F8 machen ??? Ich habe noch nie eine CD gebrannt und müsste Morgen auch erstmal eine kaufen. Frage 2: Da ich mit den Logfiles nicht wirklich viel anfangen kann... Hat er sich da eine "größere" Infizierung eingefangen?
__________________ Gruß Julena |
01.11.2010, 19:14 | #13 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Wenn Du eine Vista-DVD zu normalen Installation da hast, geht das auch mit der. Evtl. geht auch eine Recovery-DVD, musst Du bitte testen. Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
01.11.2010, 19:18 | #14 |
| Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Ok, ich habe zwischenzeitlich mal gestöbert und eine CD-R gefunden. Versuche dann jetzt die Notfall-CD zu brennen und melde mich im Anschluss wieder.
__________________ Gruß Julena |
01.11.2010, 19:59 | #15 |
| Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer Hallo Cosinus, ich bin schon wieder da, viel schneller als ich gedacht habe. Das Brennen sowie das Booten mit der Notfall-CD hat auf Anhieb geklappt. Was muss ich jetzt als nächstes tun ?
__________________ Gruß Julena |
Themen zu Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer |
anti-malware, antivir, avira, avira antivir, diverse, explorer, folge, gelöscht, gen, google, internet, internet explorer, laptop, logfiles, neu, neue, problem, programm, quarantäne, registry, scan, seite, trojaner, zwei trojaner, öffnen |