C:\Windows\system32\ezShellStart.exe

sun7386 · 02.06.2011, 06:22

C:\Windows\system32\ezShellStart.exe
diese datei wird als schädlich angesehen, kann diese nicht prüfen bei virustotal.com

da mir diese datei nicht angezeigt wird bei windows system 32

markusg · 02.06.2011, 10:33

hi,
wer findet was in dieser datei?
ich sitze nicht an deinem pc, also wenn du hilfe willst, infos :-)
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

sun7386 · 04.06.2011, 04:10

ok, probier das die tage,

das andere war hijack osä.

danke

markusg · 05.06.2011, 16:48

warum hast du 2 antiviren programme, deinstaliere eines, teile mir mit welches

sun7386 · 06.06.2011, 00:44

danke,

hab AVG gelöscht

markusg · 06.06.2011, 10:04

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

sun7386 · 06.06.2011, 20:47

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-06-06.02 - sun 06.06.2011  21:25:58.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3582.1974 [GMT 2:00]
ausgeführt von:: c:\users\sun\Downloads\ComboFix.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\ANTIGEN.drv
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\ANTIGEN.tmp
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\cb.dll
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\cb.tmp
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\cid.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\CLSV.dll
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\CLSV.exe
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\CLSV.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\CLSV.tmp
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\delfile.drv
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\eb.exe
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\eb.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\energy.tmp
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\exec.dll
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\exec.exe
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\exec.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\fan.exe
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\fix.dll
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\fix.drv
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\gid.tmp
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\grid.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\hymt.drv
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\hymt.exe
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\kernel32.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\pal.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\PE.dll
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\PE.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\PE.tmp
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\ppal.exe
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\SICKBOY.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\SICKBOY.tmp
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\sld.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\SM.drv
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\SM.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\snl2w.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\std.drv
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\tjd.exe
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\tjd.sys
c:\users\sun\AppData\Roaming\Microsoft\Windows\Recent\tjd.tmp
c:\users\sun\AppData\Roaming\Microsoft\Windows\Start Menu\Windows System Defender.lnk
c:\users\sun\AppData\Roaming\Windows System Defender
c:\users\sun\AppData\Roaming\Windows System Defender\cookies.sqlite
c:\users\sun\AppData\Roaming\Windows System Defender\Instructions.ini
c:\windows\system32\jusched.exe
c:\windows\system32\ui
c:\windows\system32\ui\BANNER\LOADINGEVENT1.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT2.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT3.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT4.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT5.SOR
c:\windows\system32\ui\BANNER\LOADINGIMGOPT.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER1.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER2.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER3.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER4.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER5.SOR
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-06 bis 2011-06-06  ))))))))))))))))))))))))))))))
.
.
2011-06-06 19:36 . 2011-06-06 19:36	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-06-06 16:57 . 2011-06-06 19:21	--------	d-----w-	C:\32788R22FWJFW
2011-06-06 15:16 . 2011-06-06 15:16	--------	d-----w-	c:\users\sun\AppData\Roaming\Reviversoft
2011-06-06 15:16 . 2011-06-06 15:16	--------	d-----w-	c:\program files\Reviversoft
2011-06-06 15:16 . 2011-05-17 12:51	16704	----a-w-	c:\windows\system32\roboot.exe
2011-06-06 12:21 . 2011-05-24 17:12	6962000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{6CE4965E-FA05-453F-A10D-98EF16EA3FC3}\mpengine.dll
2011-06-06 11:58 . 2011-06-06 11:58	0	---ha-w-	c:\users\sun\AppData\Local\BIT736E.tmp
2011-06-05 23:45 . 2011-06-05 23:45	--------	d-----w-	c:\program files\Common Files\Spigot
2011-06-05 23:45 . 2011-06-05 23:45	--------	d-----w-	c:\program files\Application Updater
2011-06-05 20:20 . 2011-06-05 20:22	--------	d-----w-	c:\programdata\Skype Extras
2011-06-05 20:20 . 2011-06-05 20:20	--------	d-----w-	c:\program files\Common Files\Skype
2011-05-12 09:47 . 2011-04-07 12:01	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
2011-05-12 09:47 . 2011-03-03 15:40	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2011-05-12 09:47 . 2011-03-03 13:35	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2011-05-12 09:47 . 2011-03-12 21:55	876032	----a-w-	c:\windows\system32\XpsPrint.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-24 17:14 . 2009-10-03 06:55	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-03-10 17:03 . 2011-04-13 09:47	1162240	----a-w-	c:\windows\system32\mfc42u.dll
2011-03-10 17:03 . 2011-04-13 09:47	1136640	----a-w-	c:\windows\system32\mfc42.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net\tbfree.dll" [2008-02-14 1555480]
"{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}"= "c:\program files\Eazel-DE\tbEaz0.dll" [2009-12-11 2166296]
.
[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]
.
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
2009-12-11 16:51	2166296	----a-w-	c:\program files\Eazel-DE\tbEaz0.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2008-02-14 12:54	1555480	----a-w-	c:\program files\free-downloads.net\tbfree.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net\tbfree.dll" [2008-02-14 1555480]
"{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}"= "c:\program files\Eazel-DE\tbEaz0.dll" [2009-12-11 2166296]
.
[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]
.
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "c:\program files\free-downloads.net\tbfree.dll" [2008-02-14 1555480]
"{69B6939F-C70D-45C5-9BBD-E2E2CC3DD8E5}"= "c:\program files\Eazel-DE\tbEaz0.dll" [2009-12-11 2166296]
.
[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]
.
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"\\BYPAT-7507E523B\EPSON Stylus D78 Series"="c:\windows\system32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE" [2006-09-22 139264]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-05-26 15147400]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 4874240]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-01-22 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-26 13789728]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"SearchSettings"="c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe" [2011-05-06 532320]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"="start http:" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
"ehTray.exe"=c:\windows\ehome\ehTray.exe
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe
"Sidebar"=c:\program files\Windows Sidebar\sidebar.exe /autoRun
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe
"SunJavaUpdateReg"="c:\windows\system32\jureg.exe"
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe"  -osboot
"AppleSyncNotifier"=c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1c9905b5d5bd5ea;Google Update Service (gupdate1c9905b5d5bd5ea);c:\program files\Google\Update\GoogleUpdate.exe [2009-02-16 133104]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2009-09-03 13224]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2009-02-16 133104]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 BTMgr;Bluelet Device Manager Service;c:\windows\System32\Drivers\BTMgr.sys [2002-08-21 34023]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-10-21 716272]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2011-05-06 393112]
S2 ezntsvc;EasyBits Magic Desktop Services for Windows NT;c:\windows\system32\ezNTSvc.exe [2008-05-07 33792]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-06 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 16:47]
.
2011-06-06 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-07-27 19:05]
.
2011-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-16 17:23]
.
2011-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-16 17:23]
.
2011-06-06 c:\windows\Tasks\User_Feed_Synchronization-{ED5E7BD0-796F-4599-90A8-35ACE314E49C}.job
- c:\windows\system32\msfeedssync.exe [2008-06-03 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2096149
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=desktop
uInternet Settings,ProxyOverride = *.local
IE: &AOL Toolbar-Suche - c:\program files\aol\aol toolbar 5.0\resources\de-de\local\search.html
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
TCP: DhcpNameServer = 83.169.186.225 83.169.186.97
FF - ProfilePath - c:\users\sun\AppData\Roaming\Mozilla\Firefox\Profiles\82sra3mw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1147646&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - DEUTSCHLAND version Customized Web Search
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1147646&SearchSource=2&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Eazel-DE Community Toolbar: {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - %profile%\extensions\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DEUTSCHLAND version Toolbar: {fe0383f0-af43-4832-a481-0555470194d1} - %profile%\extensions\{fe0383f0-af43-4832-a481-0555470194d1}
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-06-06 21:38
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2011-06-06  21:42:56
ComboFix-quarantined-files.txt  2011-06-06 19:42
.
Vor Suchlauf: 12 Verzeichnis(se), 316.406.706.176 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 317.159.317.504 Bytes frei
.
- - End Of File - - A06AD1EC91427325BCE996088DF1C262

--- --- ---

markusg · 07.06.2011, 10:04

download malwarebytes:
Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

sun7386 · 07.06.2011, 17:39

hab das gemacht, hatte dann aber keine inet verbindung und demzufolge auch kein log file.
da ich den rechner ja irgendwann neu staren mußte. soll ich das nun nochmal machen? eine datei hat er nicht gelöscht. auf dem pc find ich nur logfiles vom 5.06. was acuh keinen sinn macht da gestern ja der 6. war. bin verzweifelt, ich glaub ich schmeiß ihn aus den fenster.:-)

markusg · 07.06.2011, 17:40

oste mal alle Malwarebytes logs, unter Malwarebytes logdateien.
geht deine uhr denn richtig?

sun7386 · 07.06.2011, 19:43

oste??

was bedeutet das?

Scheduled update failed: IsInternetConnected failed with error code 12163

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6796

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

07.06.2011 18:18:45
mbam-log-2011-06-07 (18-18-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 348777
Laufzeit: 54 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (hxxp://search-gala.com/?&uid=222&q={searchTerms}) Good: (hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot.
c:\program files\alcohol soft\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Quarantined and deleted successfully.

markusg · 07.06.2011, 19:51

von welchem programm kam die?

sun7386 · 07.06.2011, 22:09

malwarebytes

markusg · 08.06.2011, 10:21

kannst dus bitte mal erneut versuchen?

sun7386 · 08.06.2011, 18:24

einige dinge sind schon besser geworden. meine verbindung aber wird immer schlechter, jetzt stürzt er alle drei minuten ab, (außer heut morgen)also die verbindung. der hinweis kam wieder mit der unterbrochenen inet verbindung, aber ich hatte eigentlich nur keinen ton mehr bei yt. aber es war früh am morgen^^.wie auch bei einen anderen rechner, dieser hat die selben symphtome, aber angeblich ein anderes problem. kenn mich ja net aus.:-(.
die nicht gelöschte datei wird nicht nochmal erwähnt.?

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6796

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

08.06.2011 16:35:37
mbam-log-2011-06-08 (16-35-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 354466
Laufzeit: 56 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

06.06.2011, 10:04	#6
markusg /// Malware-holic	$C:\Windows\system32\ezShellStart.exe - Standard$ C:\Windows\system32\ezShellStart.exe bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________ --> C:\Windows\system32\ezShellStart.exe

C:\Windows\system32\ezShellStart.exe

Log-Analyse und Auswertung: C:\Windows\system32\ezShellStart.exe