| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = VirusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.05.2011, 17:50
| #1 |
 |  RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus Hallo Liebes Trojaner Board Team, also ich habe folgendes Problem: Mein Anvira sagt mir neuerdings das folgende Datei infiziert ist: Hiloti.D.1419 Seitdem er diesen Virus gefunden hat, öffnet sich bei mir alle 5-10 Sekunden das dieses Fenster : hxxp://www.abload.de/image.php?img=screenshotymfi.jpg (beim kopieren des Links wurde das T von HTTP ständig durch ein X ersetzt, bitte korrigiert das wenn ihr den Link öffnen wollt.) Wenn ich dieses Fenster nicht ständig schließen würde, dann wären in 5 Minuten 25 von diesesn Tasks geöffnet. Als ich meinen Avira durchsuchen ließ, fand er keinen weiteren Virus. Könntet ihr mir sagen wie das aufhört? Liebe Grüße Seungho (16)! |
|
08.05.2011, 18:22
| #2 |
| /// Malware-holic   | RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus Systemscan mit OTL
__________________download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten. falls der scan nicht im normalen modus läuft, starte neu, f8 drücken dann abgesicherter modus wählen
__________________ |
|
08.05.2011, 19:24
| #3 |
| | RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus 1)
__________________HTML-Code: hxxp://www.file-upload.net/download-3416572/OTL.Txt.html HTML-Code: hxxp://www.file-upload.net/download-3416574/Extras.Txt.html |
|
08.05.2011, 20:05
| #4 |
| /// Malware-holic | RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus das nächste mal bitte logs im forum anhängen • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKU\S-1-5-21-1343024091-1177238915-1801674531-1003..\Run: [Lluyobilobakamo] C:\WINDOWS\shomsr.dll () O4 - HKLM..\Run: [Ppudabocu] C:\WINDOWS\emuvevamiw.dll () :Files C:\WINDOWS\shomsr.dll C:\WINDOWS\emuvevamiw.dll C:\WINDOWS\shomsr.dll C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job :Commands [purity] [EMPTYFLASH] [resethosts] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
08.05.2011, 20:32
| #5 |
| | RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus All processes killed ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-1343024091-1177238915-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Lluyobilobakamo deleted successfully. File C:\WINDOWS\shomsr.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Ppudabocu deleted successfully. C:\WINDOWS\emuvevamiw.dll moved successfully. ========== FILES ========== File\Folder C:\WINDOWS\shomsr.dll not found. File\Folder C:\WINDOWS\emuvevamiw.dll not found. File\Folder C:\WINDOWS\shomsr.dll not found. C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job moved successfully. C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job moved successfully. C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: Administrator ->Flash cache emptied: 56502 bytes User: All Users User: Default User ->Flash cache emptied: 56466 bytes User: Gast ->Flash cache emptied: 19011 bytes User: LocalService User: NetworkService User: Sarah ->Flash cache emptied: 65239 bytes User: Seungho ->Flash cache emptied: 56466 bytes Total Flash Files Cleaned = 0,00 mb C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: Gast ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 399017 bytes ->FireFox cache emptied: 34681514 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 14011301 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 3287270 bytes User: Sarah ->Temp folder emptied: 448 bytes ->Temporary Internet Files folder emptied: 19452583 bytes ->Java cache emptied: 1405765 bytes ->FireFox cache emptied: 61985706 bytes ->Flash cache emptied: 0 bytes User: Seungho ->Temp folder emptied: 173102 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2483406 bytes %systemroot%\System32 .tmp files removed: 3063 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 7070305 bytes Total Files Cleaned = 138,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05082011_212149 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Habe die Datei 'MovedFiles.rar' nun wie in der Anleitung beschrieben hochgeladen. Ich hofffe ich habe bis jetzt alles richtig gemacht. |
|
08.05.2011, 20:42
| #6 |
| /// Malware-holic | RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus
__________________ --> RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus |
|
08.05.2011, 21:29
| #7 |
| | RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus Combofix Logfile: Code:
ATTFilter ComboFix 11-05-08.02 - Sarah 08.05.2011 22:11:00.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.767.492 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sarah\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sunbelt Kerio Personal Firewall *Enabled* {E659E0EE-10E6-49B7-8696-60F38D0EB174}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\{6D73C9AB-646F-48EF-B705-8009AB69065B}
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\{6D73C9AB-646F-48EF-B705-8009AB69065B}\chrome.manifest
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\{6D73C9AB-646F-48EF-B705-8009AB69065B}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\{6D73C9AB-646F-48EF-B705-8009AB69065B}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\{6D73C9AB-646F-48EF-B705-8009AB69065B}\install.rdf
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{38C69D5E-4343-4794-A48A-32D241EF44C6}
c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{38C69D5E-4343-4794-A48A-32D241EF44C6}\chrome.manifest
c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{38C69D5E-4343-4794-A48A-32D241EF44C6}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{38C69D5E-4343-4794-A48A-32D241EF44C6}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{38C69D5E-4343-4794-A48A-32D241EF44C6}\install.rdf
c:\dokumente und einstellungen\Seungho\Lokale Einstellungen\Anwendungsdaten\{3C7D4704-1C0B-4B4F-862F-FA3C91A1B60A}
c:\dokumente und einstellungen\Seungho\Lokale Einstellungen\Anwendungsdaten\{3C7D4704-1C0B-4B4F-862F-FA3C91A1B60A}\chrome.manifest
c:\dokumente und einstellungen\Seungho\Lokale Einstellungen\Anwendungsdaten\{3C7D4704-1C0B-4B4F-862F-FA3C91A1B60A}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Seungho\Lokale Einstellungen\Anwendungsdaten\{3C7D4704-1C0B-4B4F-862F-FA3C91A1B60A}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Seungho\Lokale Einstellungen\Anwendungsdaten\{3C7D4704-1C0B-4B4F-862F-FA3C91A1B60A}\install.rdf
c:\windows\system32\AcroIEHelpe026.dll
c:\windows\system32\kock
c:\windows\system32\null0.26576512538663344.exe
c:\windows\system32\null0.3838691426491423.exe
c:\windows\system32\null0.39271551088126533.exe
c:\windows\system32\null0.9574857180023778.exe
c:\windows\system32\test.exe
c:\windows\system32\UAs
c:\windows\system32\UAs\firefox.exe_UAs001.dat
c:\windows\system32\UAs\iexplore.exe_UAs001.dat
c:\windows\system32\xmldm
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
-------\Service_SSHNAS
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-04-08 bis 2011-05-08 ))))))))))))))))))))))))))))))
.
.
2011-05-08 19:21 . 2011-05-08 19:27 -------- d-----w- C:\_OTL
2011-04-24 17:42 . 2011-04-24 17:42 -------- d-----w- c:\dokumente und einstellungen\Seungho
2011-04-24 17:39 . 2011-04-24 17:39 -------- d-----w- c:\programme\Microsoft
2011-04-24 17:39 . 2011-04-24 17:39 -------- d-----w- c:\programme\Windows Live SkyDrive
2011-04-24 17:39 . 2011-04-24 17:39 -------- d-----w- c:\programme\Windows Live
2011-04-23 13:08 . 2011-04-23 13:09 -------- d-----w- c:\programme\CCleaner
2011-04-23 12:21 . 2008-04-14 05:52 294912 ------w- c:\programme\Windows Media Player\dlimport.exe
2011-04-23 12:20 . 2008-04-14 05:24 25856 ------w- c:\windows\system32\drivers\hidbth.sys
2011-04-23 12:02 . 2011-04-23 12:02 781272 ----a-w- c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-04-23 12:02 . 2011-04-23 12:02 728024 ----a-w- c:\programme\Mozilla Firefox\libGLESv2.dll
2011-04-23 12:02 . 2011-04-23 12:02 1874904 ----a-w- c:\programme\Mozilla Firefox\mozjs.dll
2011-04-23 12:02 . 2011-04-23 12:02 15832 ----a-w- c:\programme\Mozilla Firefox\mozalloc.dll
2011-04-23 12:02 . 2011-04-23 12:02 142296 ----a-w- c:\programme\Mozilla Firefox\libEGL.dll
2011-04-23 12:02 . 2011-04-23 12:02 1893336 ----a-w- c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-04-23 12:02 . 2011-04-23 12:02 142296 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-04-23 12:02 . 2011-04-23 12:02 1975768 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-04-23 11:59 . 2011-04-23 11:59 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2011-04-23 11:58 . 2011-02-02 19:40 472808 ----a-w- c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2011-04-23 11:58 . 2011-02-02 19:40 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-04-23 11:20 . 2011-04-23 11:20 -------- d-----w- c:\dokumente und einstellungen\Administrator
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-23 12:02 . 2011-04-23 12:02 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\prxtbsof0.dll" [2011-01-17 175912]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54 175912 ----a-w- c:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-04-27 08:08 2393184 ----a-w- c:\programme\DVDVideoSoftTB\tbDVDV.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2011-01-17 14:54 175912 ----a-w- c:\programme\softonic-de3\prxtbsof0.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2011-02-01 17:17 1487240 ----a-w- c:\programme\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\prxtbsof0.dll" [2011-01-17 175912]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2011-02-01 1487240]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "c:\programme\softonic-de3\prxtbsof0.dll" [2011-01-17 175912]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2011-02-01 1487240]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="d:\eigene dateien\ICQ7.0\ICQ.exe" [2011-01-05 133432]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944]
"jv16 PT TempFileTool"="c:\programme\jv16 PowerTools\Plug-Ins\TempTool.exe" [2003-02-01 680448]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 08:38 209153 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 20:12 3872080 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Eigene Dateien\\ICQ7.0\\ICQ.exe"=
"d:\\Eigene Dateien\\ICQ7.0\\aolload.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
.
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [18.07.2006 09:32 284184]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [18.07.2006 09:32 91672]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.02.2010 17:25 108289]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.12.2010 23:33 136176]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://eis.esnips.com/page/search/?client_uuid=bda82ac0-85c3-4b48-b0d2-41fde8d1391d
mStart Page = hxxp://eis.esnips.com/page/search/?client_uuid=bda82ac0-85c3-4b48-b0d2-41fde8d1391d
IE: Free YouTube Download - c:\dokumente und einstellungen\Sarah\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Sarah\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ll1kg2pv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://eis.esnips.com/page/search_provider/?client_uuid=bda82ac0-85c3-4b48-b0d2-41fde8d1391d&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{C689C99E-3A8C-4c87-A79C-C80DC9C81632} - (no file)
HKCU-Run-Lluyobilobakamo - c:\windows\shomsr.dll
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-05-08 22:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1343024091-1177238915-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D7B7827B-6201-FEC0-6B50-0E0B201074EF}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iagcpfecobhhnnogmg"=hex:6b,61,6d,6c,62,66,6a,69,6c,67,6b,6a,6a,6b,66,65,6f,63,
67,6e,6a,63,00,00
"haaffgkceihanpka"=hex:6b,61,6d,6c,6e,66,66,6a,70,63,67,64,69,67,62,65,62,67,
6f,62,65,68,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(7880)
c:\programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\windows\system32\wscntfy.exe
c:\programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-08 22:27:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-05-08 20:27
.
Vor Suchlauf: 6 Verzeichnis(se), 26.041.569.280 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 26.727.559.168 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - F2BE3CF8EA9E8A56247D3F27D84C0DFD
|
|
09.05.2011, 18:42
| #8 |
| | RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus Ich hoffe das dies die richtige Datei ist, da mein Computer ungefähr 45 Minuten dafür brauchte. |
|
| Themen zu RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus |
| 5 minuten, avira, board, datei, dll, durchsuchen, fehler, fenster, folge, folgendes, infiziert, laden, minute, minuten, problem, rundll, schließe, schließen, sekunden, tasks, troja, trojaner, trojaner board, virus, virus gefunden, würde, öffnet |
Linear-Darstellung
