| |
| |||||||
Log-Analyse und Auswertung: Google-Links führen zu WerbeseitenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
07.12.2010, 19:00
| #91 |
 |  Google-Links führen zu Werbeseiten [code] Combofix Logfile: Code:
ATTFilter ComboFix 10-12-06.04 - Admin 07.12.2010 18:49:43.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1570 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-07 bis 2010-12-07 ))))))))))))))))))))))))))))))
.
2010-12-01 21:33 . 2010-12-01 21:33 -------- d-----w- C:\_OTL
2010-11-14 12:18 . 2010-11-14 12:18 -------- d-----r- C:\MSOCache
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-22 11:43 . 2010-10-22 11:43 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-10-22 11:43 . 2010-10-22 11:43 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-09-18 11:22 . 2004-08-10 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-10 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-10 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-10 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-08-10 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-10 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-10 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
.
------- Sigcheck -------
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-11-15_20.20.32 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-07 17:48 . 2010-12-07 17:48 16384 c:\windows\temp\Perflib_Perfdata_204.dat
+ 2010-11-11 22:38 . 2009-05-12 14:12 26144 c:\windows\system32\spupdsvc.exe
- 2010-11-11 22:38 . 2009-01-07 17:20 26144 c:\windows\system32\spupdsvc.exe
+ 2010-11-12 19:28 . 2009-05-12 14:12 16928 c:\windows\system32\spmsg.dll
+ 2010-11-19 17:22 . 2010-04-19 19:47 41984 c:\windows\system32\ReinstallBackups\0007\DriverFiles\usbaapl.sys
+ 2010-11-22 15:40 . 2010-11-22 15:40 89088 c:\windows\system32\mbr.exe
+ 2010-11-19 17:22 . 2010-09-28 14:44 41984 c:\windows\system32\DRVSTORE\usbaapl_DECA0B114863448FE4957E5F5676B09528A18C9F\usbaapl.sys
+ 2010-11-19 17:22 . 2010-04-19 19:29 18432 c:\windows\system32\DRVSTORE\netaapl_A0C073C4137716F9478B8B08B2873A7AB3AECF72\netaapl.sys
+ 2010-11-12 18:12 . 2010-09-28 14:44 41984 c:\windows\system32\drivers\usbaapl.sys
- 2010-11-12 18:12 . 2010-04-19 19:47 41984 c:\windows\system32\drivers\usbaapl.sys
- 2010-11-15 11:45 . 2010-04-29 11:19 38224 c:\windows\system32\drivers\mbamswissarmy.sys
+ 2010-12-06 12:08 . 2010-11-29 16:42 38224 c:\windows\system32\drivers\mbamswissarmy.sys
- 2010-11-15 11:45 . 2010-04-29 11:19 20952 c:\windows\system32\drivers\mbam.sys
+ 2010-12-06 12:08 . 2010-11-29 16:42 20952 c:\windows\system32\drivers\mbam.sys
+ 2010-11-12 16:55 . 2010-11-22 21:11 61960 c:\windows\system32\drivers\avgntflt.sys
+ 2001-07-14 16:32 . 2001-07-14 16:32 69632 c:\windows\setupupd\temp\wsdueng.dll
+ 2010-11-14 12:30 . 2010-11-15 20:36 35088 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\oisicon.exe
- 2010-11-14 12:30 . 2010-11-15 13:01 35088 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\oisicon.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36 18704 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\mspicons.exe
- 2010-11-14 12:30 . 2010-11-15 13:01 18704 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\mspicons.exe
- 2010-11-14 12:30 . 2010-11-15 13:01 20240 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\cagicon.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36 20240 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\cagicon.exe
+ 2010-11-14 12:22 . 2010-11-15 20:36 35088 c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\oisicon.exe
- 2010-11-14 12:22 . 2010-11-15 13:03 35088 c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\oisicon.exe
+ 2010-11-14 12:22 . 2010-11-15 20:36 18704 c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\mspicons.exe
- 2010-11-14 12:22 . 2010-11-15 13:03 18704 c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\mspicons.exe
- 2010-11-14 12:22 . 2010-11-15 13:03 20240 c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\cagicon.exe
+ 2010-11-14 12:22 . 2010-11-15 20:36 20240 c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\cagicon.exe
+ 2008-10-25 07:18 . 2008-10-25 07:18 72568 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONFILTER.DLL
+ 2008-10-25 07:18 . 2008-10-25 07:18 98696 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONENOTEM.EXE
+ 2006-10-26 21:58 . 2006-10-26 21:58 33080 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.4518\VPREVIEW.EXE
+ 2009-03-04 16:24 . 2009-03-04 16:24 54088 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\SCANOST.EXE
+ 2009-03-04 16:24 . 2009-03-04 16:24 75608 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\RM.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24 38240 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\RECALL.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24 52072 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OUTLVBA.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24 34192 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\DUMPSTER.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24 87392 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\DLGSETP.DLL
+ 2008-05-26 21:18 . 2009-05-24 23:24 350208 c:\windows\system32\mssph.dll
- 2008-05-26 21:18 . 2008-05-26 21:18 350208 c:\windows\system32\mssph.dll
+ 2010-11-16 16:51 . 2010-11-16 16:51 153376 c:\windows\system32\javaws.exe
+ 2010-11-16 16:51 . 2010-11-16 16:51 145184 c:\windows\system32\javaw.exe
+ 2010-11-16 16:51 . 2010-11-16 16:51 145184 c:\windows\system32\java.exe
+ 2010-11-16 16:51 . 2010-11-16 16:51 472808 c:\windows\system32\deployJava1.dll
+ 2010-11-16 16:51 . 2010-11-16 16:51 180224 c:\windows\Installer\f34cb.msi
+ 2010-11-16 16:51 . 2010-11-16 16:51 676352 c:\windows\Installer\f34c6.msi
+ 2010-11-19 17:20 . 2010-11-19 17:20 811008 c:\windows\Installer\4b78ae.msi
+ 2010-08-04 14:13 . 2010-08-04 14:13 686080 c:\windows\Installer\100241.msp
+ 2009-05-26 17:53 . 2009-05-26 17:53 579072 c:\windows\Installer\10018b.msp
+ 2010-11-19 17:28 . 2010-11-19 17:28 380928 c:\windows\Installer\{FAE36873-1941-4076-A9A5-48812B5EA0B7}\iTunesIco.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36 888080 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\wordicon.exe
- 2010-11-14 12:30 . 2010-11-15 13:01 888080 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\wordicon.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36 922384 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\pptico.exe
- 2010-11-14 12:30 . 2010-11-15 13:01 922384 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\pptico.exe
- 2010-11-14 12:30 . 2010-11-15 13:01 217864 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\misc.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36 217864 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\misc.exe
- 2010-11-14 12:30 . 2010-11-15 13:01 184080 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\joticon.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36 184080 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\joticon.exe
- 2010-11-14 12:22 . 2010-11-15 13:03 845584 c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\outicon.exe
+ 2010-11-14 12:22 . 2010-11-15 20:36 845584 c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\outicon.exe
+ 2010-11-14 12:22 . 2010-11-15 20:36 217864 c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\misc.exe
- 2010-11-14 12:22 . 2010-11-15 13:03 217864 c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\misc.exe
+ 2009-04-03 17:11 . 2009-04-03 17:11 408424 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\WINWORD.EXE
+ 2010-11-15 13:01 . 2010-11-15 13:01 350064 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\PPTPIA.DLL
+ 2009-04-03 17:04 . 2009-04-03 17:04 521064 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\POWERPNT.EXE
+ 2008-10-25 06:52 . 2008-10-25 06:52 664968 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONBTTNOL.DLL
+ 2008-10-25 06:52 . 2008-10-25 06:52 604056 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONBTTNIE.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24 282032 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\SCNPST64.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24 273320 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\SCNPST32.DLL
+ 2009-03-06 01:06 . 2009-03-06 01:06 407904 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\RTFHTML.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24 420696 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\PSTPRX32.DLL
+ 2008-11-20 23:49 . 2008-11-20 23:49 169360 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OUTLPH.DLL
+ 2009-03-06 01:05 . 2009-03-06 01:05 593288 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OUTLMIME.DLL
+ 2008-10-30 20:24 . 2008-10-30 20:24 137552 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OUTLCTL.DLL
+ 2009-03-06 03:55 . 2009-03-06 03:55 194448 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OMSXP32.DLL
+ 2009-03-06 03:55 . 2009-03-06 03:55 661888 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OMSMAIN.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24 253808 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OLKFSTUB.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24 340304 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\MIMEDIR.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24 138072 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\IMPMAIL.DLL
+ 2008-11-20 23:48 . 2008-11-20 23:48 116600 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\EMABLT32.DLL
+ 2009-03-06 01:05 . 2009-03-06 01:05 127336 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\CONTAB32.DLL
+ 2009-08-04 13:06 . 2009-08-04 13:06 132352 c:\windows\Downloaded Program Files\as2stubie.dll
- 2010-11-15 13:01 . 2010-11-15 13:01 350064 c:\windows\assembly\GAC\Microsoft.Office.Interop.PowerPoint\12.0.0.0__71e9bce111e9429c\Microsoft.Office.Interop.PowerPoint.dll
+ 2010-11-15 20:30 . 2010-11-15 20:30 350064 c:\windows\assembly\GAC\Microsoft.Office.Interop.PowerPoint\12.0.0.0__71e9bce111e9429c\Microsoft.Office.Interop.PowerPoint.dll
+ 2010-11-12 18:12 . 2010-09-28 14:44 4184352 c:\windows\system32\usbaaplrc.dll
+ 2010-11-19 17:22 . 2010-04-19 19:47 3062048 c:\windows\system32\ReinstallBackups\0007\DriverFiles\usbaaplrc.dll
+ 2009-08-17 22:33 . 2009-08-17 22:33 1193832 c:\windows\system32\FM20.DLL
+ 2010-11-19 17:22 . 2010-09-28 14:44 4184352 c:\windows\system32\DRVSTORE\usbaapl_DECA0B114863448FE4957E5F5676B09528A18C9F\usbaaplrc.dll
+ 2010-11-19 17:22 . 2010-04-19 19:29 1461992 c:\windows\system32\DRVSTORE\netaapl_A0C073C4137716F9478B8B08B2873A7AB3AECF72\wdfcoinstaller01009.dll
+ 2010-11-19 17:28 . 2010-11-19 17:28 6237184 c:\windows\Installer\4b819f.msi
+ 2010-11-19 17:22 . 2010-11-19 17:22 3085312 c:\windows\Installer\4b78fb.msi
+ 2010-09-17 05:04 . 2010-09-17 05:04 9401856 c:\windows\Installer\1002a6.msp
+ 2010-02-21 00:03 . 2010-02-21 00:03 4472832 c:\windows\Installer\100295.msp
+ 2010-08-13 17:01 . 2010-08-13 17:01 8993280 c:\windows\Installer\10027e.msp
+ 2010-08-13 16:59 . 2010-08-13 16:59 8182272 c:\windows\Installer\10026d.msp
+ 2010-08-13 17:02 . 2010-08-13 17:02 2545664 c:\windows\Installer\10025c.msp
+ 2010-10-07 17:43 . 2010-10-07 17:43 1980416 c:\windows\Installer\100230.msp
+ 2010-08-13 17:00 . 2010-08-13 17:00 9404928 c:\windows\Installer\100215.msp
+ 2009-08-05 06:49 . 2009-08-05 06:49 3457024 c:\windows\Installer\100202.msp
+ 2010-03-24 17:54 . 2010-03-24 17:54 2516992 c:\windows\Installer\1001ef.msp
+ 2009-07-27 03:31 . 2009-07-27 03:31 3738624 c:\windows\Installer\1001d4.msp
+ 2010-04-24 16:07 . 2010-04-24 16:07 4667392 c:\windows\Installer\1001c3.msp
+ 2009-10-16 06:08 . 2009-10-16 06:08 2237952 c:\windows\Installer\1001a6.msp
+ 2009-08-18 12:08 . 2009-08-18 12:08 1373696 c:\windows\Installer\100171.msp
- 2010-11-14 12:30 . 2010-11-15 13:01 1172240 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\xlicons.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36 1172240 c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\xlicons.exe
+ 2009-04-03 16:57 . 2009-04-03 16:57 4671320 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\WRD12CNV.DLL
+ 2008-11-21 02:12 . 2008-11-21 02:12 3750256 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\VVIEWER.DLL
+ 2008-10-25 08:35 . 2008-10-25 08:35 1847160 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\VVIEWDWG.DLL
+ 2008-08-25 21:50 . 2008-08-25 21:50 2585592 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\VBE6.DLL
+ 2008-11-10 01:41 . 2008-11-10 01:41 2014584 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\PPTVIEW.EXE
+ 2009-04-03 17:04 . 2009-04-03 17:04 8468840 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\PPCORE.DLL
+ 2009-03-06 03:00 . 2009-03-06 03:00 6596472 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONMAIN.DLL
+ 2008-11-10 09:49 . 2008-11-10 09:49 1165680 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONLIBS.DLL
+ 2008-11-24 21:16 . 2008-11-24 21:16 1020776 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONENOTE.EXE
+ 2009-02-05 10:36 . 2009-02-05 10:36 1640800 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\OGL.DLL
+ 2009-03-06 03:26 . 2009-03-06 03:26 5291376 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\IPEDITOR.DLL
+ 2008-11-20 22:06 . 2008-11-20 22:06 1194848 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\FM20.DLL
+ 2009-03-06 01:05 . 2009-03-06 01:05 2964336 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OLMAPI32.DLL
+ 2010-07-23 00:04 . 2010-07-23 00:04 11395072 c:\windows\Installer\100160.msp
+ 2009-04-03 17:01 . 2009-04-03 17:01 15108448 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\XL12CNV.EXE
+ 2009-04-03 17:11 . 2009-04-03 17:11 17740136 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\WWLIB.DLL
+ 2009-04-03 17:46 . 2009-04-03 17:46 17314688 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\MSO.DLL
+ 2009-04-03 17:11 . 2009-04-03 17:11 18330984 c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\EXCEL.EXE
+ 2009-03-06 01:06 . 2009-03-06 01:06 12707696 c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OUTLOOK.EXE
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATICustomerCare"="c:\programme\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-05-04 311296]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"CTAPR2"="c:\programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 57344]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 180224]
"SPIRun"="SPIRun.dll" [2009-03-05 8704]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-17 421160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.11.2010 17:55 135336]
R3 t3;Sound Blaster X-Fi Xtreme Audio;c:\windows\system32\drivers\t3.sys [12.11.2010 18:08 742936]
R3 t3filt;t3filt;c:\windows\system32\drivers\t3filt.sys [12.11.2010 18:08 1803136]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [12.11.2010 20:22 79360]
.
Inhalt des "geplante Tasks" Ordners
2010-11-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} - hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-07 18:56
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SPIRun = Rundll32 SPIRun.dll,RunDLLEntry?
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(816)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-12-07 18:58:16
ComboFix-quarantined-files.txt 2010-12-07 17:58
ComboFix2.txt 2010-11-15 21:26
ComboFix3.txt 2010-11-15 20:22
Vor Suchlauf: 8 Verzeichnis(se), 202.445.713.408 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 202.465.796.096 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
- - End Of File - - A7C0B310A08FE4DDBFBCB22C21148453
|
|
07.12.2010, 21:23
| #92 |
| /// Malwareteam   | Google-Links führen zu Werbeseiten Schritt 1
__________________Combofix mit Skript laufen lassen
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Schritt 2 Wende bitte das http://www.trojaner-board.de/83866-a...ue-system.html an und berichte. |
|
07.12.2010, 22:15
| #93 |
| | Google-Links führen zu Werbeseiten [code]
__________________Combofix Logfile: Code:
ATTFilter ComboFix 10-12-06.04 - Admin 07.12.2010 22:01:52.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1573 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Admin\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-07 bis 2010-12-07 ))))))))))))))))))))))))))))))
.
2010-12-01 21:33 . 2010-12-01 21:33 -------- d-----w- C:\_OTL
2010-11-14 12:18 . 2010-11-14 12:18 -------- d-----r- C:\MSOCache
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-22 11:43 . 2010-10-22 11:43 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-10-22 11:43 . 2010-10-22 11:43 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-09-18 11:22 . 2004-08-10 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-10 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-10 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-10 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-08-10 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-10 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-10 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
.
(((((((((((((((((((((((((((((((((((((((((( SR_Search ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
[-] 5FDCCC838CD95F61097D8A637F842AA8 25600 c:\windows\system32\mspmsnsv.dll
[-] 5FDCCC838CD95F61097D8A637F842AA8 25600 \RP46\A0013428.dll
.
------- Sigcheck -------
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((( SnapShot_2010-12-07_17.56.16 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-07 20:59 . 2010-12-07 20:59 16384 c:\windows\temp\Perflib_Perfdata_114.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATICustomerCare"="c:\programme\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-05-04 311296]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"CTAPR2"="c:\programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 57344]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 180224]
"SPIRun"="SPIRun.dll" [2009-03-05 8704]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-17 421160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.11.2010 17:55 135336]
R3 t3;Sound Blaster X-Fi Xtreme Audio;c:\windows\system32\drivers\t3.sys [12.11.2010 18:08 742936]
R3 t3filt;t3filt;c:\windows\system32\drivers\t3filt.sys [12.11.2010 18:08 1803136]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [12.11.2010 20:22 79360]
.
Inhalt des "geplante Tasks" Ordners
2010-11-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} - hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-07 22:10
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SPIRun = Rundll32 SPIRun.dll,RunDLLEntry?
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(816)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-12-07 22:12:34
ComboFix-quarantined-files.txt 2010-12-07 21:12
ComboFix2.txt 2010-12-07 17:58
ComboFix3.txt 2010-11-15 21:26
ComboFix4.txt 2010-11-15 20:22
Vor Suchlauf: 9 Verzeichnis(se), 202.431.479.808 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 202.422.947.840 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
- - End Of File - - FB80F7D2161DFC95D9098E6B7002AA79
|
|
07.12.2010, 22:20
| #94 |
| | Google-Links führen zu Werbeseiten Der Download-Link des Rescue Systems führt nur zur Avira Seite, auf der steht, dass das Rescue Systems nur im kostenpflichtigen Premium Paket inbegriffen ist. |
|
08.12.2010, 13:42
| #95 |
| /// Malwareteam | Google-Links führen zu Werbeseiten Hier hast Du einen Link: Avira AntiVir Rescue System - Download |
|
08.12.2010, 19:47
| #96 |
| | Google-Links führen zu WerbeseitenCode:
ATTFilter Avira / Linux Version 1.9.152.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.
engine set: 8.2.4.122
VDF Version: 7.10.14.225
Scan start time: Wed Dec 8 20:09:33 2010
configuration file: /etc/avira/scancl.conf
ALERT: [Java/Agent.2212] /media/Devices/sda1/Dokumente und Einstellungen/******/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/38/595f3626-2be5e439 --> bpac/a.class <<< Contains signature of the Java virus JAVA/Agent.2212
ALERT: [Java/Agent.2212] /media/Devices/sda1/Dokumente und Einstellungen/******/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/59/31741c3b-147e31e6 --> bpac/a.class <<< Contains signature of the Java virus JAVA/Agent.2212
WARNING: [Archive is invalid or corrupt] /media/Devices/sda1/Programme/WinRAR/rarnew.dat
WARNING: [Error opening file. (Input/output error)] /media/Devices/sda1/WINDOWS/system32/dllcache/kdcom.dll
|
|
09.12.2010, 19:15
| #97 |
| /// Malwareteam | Google-Links führen zu Werbeseiten Schritt 1 Hosts reparieren Lade Dir bitte HostsXpert herunter. Entpacke die Zipdatei und starte das Tool. Klicke nun auf Restore MS Hosts File--> Ok--> Exit Programm. Solltest Du kein Zip-Programm haben kannst Du Dir die Testversion von Winzip herunterladen. Schritt 2 Combofix mit Skript laufen lassen
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Schritt 3 Wirst Du dauernd weiter geleitet oder nur zufällig ab und zu? |
|
09.12.2010, 20:55
| #98 |
| | Google-Links führen zu Werbeseiten Also das Weiterleiten erscheint mir eher zufällig. So ungefähr jeder zweite bis dritte Link führt auf eine nichterwünschte Seite. Dazu noch ab und zu ein Pop-up. [code] Combofix Logfile: Code:
ATTFilter ComboFix 10-12-08.04 - Admin 09.12.2010 20:36:37.5.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1575 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Admin\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-09 bis 2010-12-09 ))))))))))))))))))))))))))))))
.
2010-12-01 21:33 . 2010-12-01 21:33 -------- d-----w- C:\_OTL
2010-11-14 12:18 . 2010-11-14 12:18 -------- d-----r- C:\MSOCache
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-22 11:43 . 2010-10-22 11:43 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-10-22 11:43 . 2010-10-22 11:43 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-09-18 11:22 . 2004-08-10 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-10 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-10 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-10 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
.
------- Sigcheck -------
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((( SnapShot_2010-12-07_17.56.16 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-09 19:35 . 2010-12-09 19:35 16384 c:\windows\temp\Perflib_Perfdata_57c.dat
+ 2010-11-12 16:55 . 2010-12-09 18:46 135096 c:\windows\system32\drivers\avipbb.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATICustomerCare"="c:\programme\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-05-04 311296]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"CTAPR2"="c:\programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 57344]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 180224]
"SPIRun"="SPIRun.dll" [2009-03-05 8704]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-17 421160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.11.2010 17:55 135336]
R3 t3;Sound Blaster X-Fi Xtreme Audio;c:\windows\system32\drivers\t3.sys [12.11.2010 18:08 742936]
R3 t3filt;t3filt;c:\windows\system32\drivers\t3filt.sys [12.11.2010 18:08 1803136]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [12.11.2010 20:22 79360]
.
Inhalt des "geplante Tasks" Ordners
2010-11-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} - hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-09 20:46
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SPIRun = Rundll32 SPIRun.dll,RunDLLEntry?
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(816)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-12-09 20:48:08
ComboFix-quarantined-files.txt 2010-12-09 19:48
ComboFix2.txt 2010-12-07 21:12
ComboFix3.txt 2010-12-07 17:58
ComboFix4.txt 2010-11-15 21:26
ComboFix5.txt 2010-12-09 19:19
Vor Suchlauf: 9 Verzeichnis(se), 202.052.333.568 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 202.892.312.576 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
- - End Of File - - 564939D826B842AA4C7D389083507323
|
|
09.12.2010, 21:25
| #99 |
| /// Malwareteam | Google-Links führen zu Werbeseiten Wir packen das noch  Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast. Wähle hier:Abgesicherter Modus mit Netzwerktreibern Dann schaue einmal ob Du so auch umgeleitet wirst. |
|
10.12.2010, 16:50
| #100 |
| | Google-Links führen zu Werbeseiten Schön, dass du noch Hoffnung hast. Aber auch im Abgesicherten Modus verhält sich das System genauso (gleich die ersten beiden Links, die ich geöffnet habe, wurden umgeleitet). |
|
11.12.2010, 15:09
| #101 |
| /// Malwareteam | Google-Links führen zu Werbeseiten Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen Code:
ATTFilter c:\windows\system32\wininet.dll
c:\windows\system32\drivers\t3.sys
c:\windows\system32\drivers\t3filt.sys
|
|
13.12.2010, 12:41
| #102 |
| | Google-Links führen zu WerbeseitenCode:
ATTFilter File name: wininet.dll
Submission date: 2010-12-13 11:40:19 (UTC)
Current status: queued queued analysing finished
Result: 0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.13.01 2010.12.12 -
AntiVir 7.10.15.2 2010.12.13 -
Antiy-AVL 2.0.3.7 2010.12.13 -
Avast 4.8.1351.0 2010.12.13 -
Avast5 5.0.677.0 2010.12.13 -
AVG 9.0.0.851 2010.12.13 -
BitDefender 7.2 2010.12.13 -
CAT-QuickHeal 11.00 2010.12.13 -
ClamAV 0.96.4.0 2010.12.13 -
Command 5.2.11.5 2010.12.13 -
Comodo 7045 2010.12.13 -
DrWeb 5.0.2.03300 2010.12.13 -
Emsisoft 5.1.0.1 2010.12.13 -
eSafe 7.0.17.0 2010.12.09 -
eTrust-Vet 36.1.8037 2010.12.13 -
F-Prot 4.6.2.117 2010.12.13 -
F-Secure 9.0.16160.0 2010.12.13 -
Fortinet 4.2.254.0 2010.12.13 -
GData 21 2010.12.13 -
Ikarus T3.1.1.90.0 2010.12.13 -
Jiangmin 13.0.900 2010.12.13 -
K7AntiVirus 9.72.3219 2010.12.11 -
Kaspersky 7.0.0.125 2010.12.13 -
McAfee 5.400.0.1158 2010.12.13 -
McAfee-GW-Edition 2010.1C 2010.12.13 -
Microsoft 1.6402 2010.12.13 -
NOD32 5698 2010.12.13 -
Norman 6.06.12 2010.12.13 -
nProtect 2010-12-13.01 2010.12.13 -
Panda 10.0.2.7 2010.12.12 -
PCTools 7.0.3.5 2010.12.13 -
Prevx 3.0 2010.12.13 -
Rising 22.77.06.03 2010.12.13 -
Sophos 4.60.0 2010.12.13 -
SUPERAntiSpyware 4.40.0.1006 2010.12.12 -
Symantec 20101.3.0.103 2010.12.13 -
TheHacker 6.7.0.1.099 2010.12.13 -
TrendMicro 9.120.0.1004 2010.12.13 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.13 -
VBA32 3.12.14.2 2010.12.13 -
VIPRE 7630 2010.12.13 -
ViRobot 2010.12.13.4198 2010.12.13 -
VirusBuster 13.6.90.0 2010.12.13 -
Additional informationShow all
MD5 : 41e62e6aa4d4c03322467fb0d2d29967
SHA1 : 908c7b34d3f10bdcd4d3183e1a906e9f32ba8e64
SHA256: e337b2b10a3e152e139c851c46103c336a3c8f263c951d2ebd422d748768ac4d
|
|
13.12.2010, 12:50
| #103 |
| | Google-Links führen zu WerbeseitenCode:
ATTFilter File name: t3.sys
Submission date: 2010-12-13 11:51:08 (UTC)
Current status: queued (#6) queued (#6) analysing finished
Result: 0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.13.01 2010.12.12 -
AntiVir 7.10.15.2 2010.12.13 -
Antiy-AVL 2.0.3.7 2010.12.13 -
Avast 4.8.1351.0 2010.12.13 -
Avast5 5.0.677.0 2010.12.13 -
AVG 9.0.0.851 2010.12.13 -
BitDefender 7.2 2010.12.13 -
CAT-QuickHeal 11.00 2010.12.13 -
ClamAV 0.96.4.0 2010.12.13 -
Command 5.2.11.5 2010.12.13 -
Comodo 7045 2010.12.13 -
DrWeb 5.0.2.03300 2010.12.13 -
Emsisoft 5.1.0.1 2010.12.13 -
eSafe 7.0.17.0 2010.12.09 -
eTrust-Vet 36.1.8037 2010.12.13 -
F-Prot 4.6.2.117 2010.12.13 -
F-Secure 9.0.16160.0 2010.12.13 -
Fortinet 4.2.254.0 2010.12.13 -
GData 21 2010.12.13 -
Ikarus T3.1.1.90.0 2010.12.13 -
Jiangmin 13.0.900 2010.12.13 -
K7AntiVirus 9.72.3219 2010.12.11 -
Kaspersky 7.0.0.125 2010.12.13 -
McAfee 5.400.0.1158 2010.12.13 -
McAfee-GW-Edition 2010.1C 2010.12.13 -
Microsoft 1.6402 2010.12.13 -
NOD32 5698 2010.12.13 -
Norman 6.06.12 2010.12.13 -
nProtect 2010-12-13.01 2010.12.13 -
Panda 10.0.2.7 2010.12.12 -
PCTools 7.0.3.5 2010.12.13 -
Prevx 3.0 2010.12.13 -
Rising 22.77.06.03 2010.12.13 -
Sophos 4.60.0 2010.12.13 -
SUPERAntiSpyware 4.40.0.1006 2010.12.12 -
Symantec 20101.3.0.103 2010.12.13 -
TheHacker 6.7.0.1.099 2010.12.13 -
TrendMicro 9.120.0.1004 2010.12.13 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.13 -
VBA32 3.12.14.2 2010.12.13 -
VIPRE 7630 2010.12.13 -
ViRobot 2010.12.13.4198 2010.12.13 -
VirusBuster 13.6.90.0 2010.12.13 -
Additional informationShow all
MD5 : 3cc59343b63e210df8bc589442719c5e
SHA1 : 16c7e7056af0af8fc10b1d4aa79fff511848e52f
SHA256: c62cc16b425ead4dce915bc727cf5a61c1f04e840b7245796527674367e2fd97
|
|
13.12.2010, 12:57
| #104 |
| | Google-Links führen zu Werbeseiten hat ebenfalls nichts ergeben: Code:
ATTFilter File name: t3filt.sys
Submission date: 2010-12-13 11:52:35 (UTC)
Current status: queued (#2) queued (#2) analysing finished
Result: 0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.13.01 2010.12.12 -
AntiVir 7.10.15.2 2010.12.13 -
Antiy-AVL 2.0.3.7 2010.12.13 -
Avast 4.8.1351.0 2010.12.13 -
Avast5 5.0.677.0 2010.12.13 -
AVG 9.0.0.851 2010.12.13 -
BitDefender 7.2 2010.12.13 -
CAT-QuickHeal 11.00 2010.12.13 -
ClamAV 0.96.4.0 2010.12.13 -
Command 5.2.11.5 2010.12.13 -
Comodo 7045 2010.12.13 -
DrWeb 5.0.2.03300 2010.12.13 -
Emsisoft 5.1.0.1 2010.12.13 -
eSafe 7.0.17.0 2010.12.09 -
eTrust-Vet 36.1.8037 2010.12.13 -
F-Prot 4.6.2.117 2010.12.13 -
F-Secure 9.0.16160.0 2010.12.13 -
Fortinet 4.2.254.0 2010.12.13 -
GData 21 2010.12.13 -
Ikarus T3.1.1.90.0 2010.12.13 -
Jiangmin 13.0.900 2010.12.13 -
K7AntiVirus 9.72.3219 2010.12.11 -
Kaspersky 7.0.0.125 2010.12.13 -
McAfee 5.400.0.1158 2010.12.13 -
McAfee-GW-Edition 2010.1C 2010.12.13 -
Microsoft 1.6402 2010.12.13 -
NOD32 5698 2010.12.13 -
Norman 6.06.12 2010.12.13 -
nProtect 2010-12-13.01 2010.12.13 -
Panda 10.0.2.7 2010.12.12 -
PCTools 7.0.3.5 2010.12.13 -
Prevx 3.0 2010.12.13 -
Rising 22.77.06.03 2010.12.13 -
Sophos 4.60.0 2010.12.13 -
SUPERAntiSpyware 4.40.0.1006 2010.12.12 -
Symantec 20101.3.0.103 2010.12.13 -
TheHacker 6.7.0.1.099 2010.12.13 -
TrendMicro 9.120.0.1004 2010.12.13 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.13 -
VBA32 3.12.14.2 2010.12.13 -
VIPRE 7630 2010.12.13 -
ViRobot 2010.12.13.4198 2010.12.13 -
VirusBuster 13.6.90.0 2010.12.13 -
Additional informationShow all
MD5 : d0591e1226c3ca2c982060df5bde3200
SHA1 : f21cd1f2c02a5f49bb6fead45dbfd4b0434813fa
SHA256: dc8af8ab718c7c74cfec563bc92a6765839f18456a2d119b3f833b5d8a50d5ba
|
|
13.12.2010, 13:02
| #105 |
| /// Malwareteam | Google-Links führen zu Werbeseiten Also wir gehen zurück zu Deinem Router. Ich gehe davon aus, dass dort das Problem liegt. Lass einmal die IP vom PC automatisch ermittelt. Zudem schaue nach, welchen DNS-Server im Routr eingetragen ist. Welchen Router hast Du? |
|
Linear-Darstellung
