Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Überprüfung (https://www.trojaner-board.de/47116-bitte-um-uberpruefung.html)

tomasnet 18.12.2007 17:59
Bitte um Überprüfung
 
Hi,
kann sich mal einer bitte das Logfile anschauen, mein System läuft seit Tagen sehr instabil Firefox und explorer.exe stürzt ständig ab, CPU Auslastung immer wieder 100% dann geht nicht mehr viel, nicht mal mit dem Taskmanager lassen sich die hängenden Task´s beenden, Systemwiederherstellung ändert auch nichts

Danke für die Hilfe



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:28:49, on 18.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Spyware\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\E_S00RP2.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\1&1\1&1 Upload-Manager\DAVSRV.EXE
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\**\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://www.1und1.de/?ac=uc.overture_d
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ht*p://www.excid.com/spb/index.jsp?language=de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\DOKUME~1\**\EIGENE~1\TESTPR~2\PREISP~1\PPSEAR~1.DLL
O2 - BHO: metaspinner GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - blank (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\DOKUME~1\**\EIGENE~1\TESTPR~2\PREISP~1\IEBUTT~3.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Free Download Manager\iefdmcks.dll
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\DOKUME~1\**\EIGENE~1\TESTPR~2\PREISP~1\IEBUTT~2.DLL
O2 - BHO: metaspinner GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\DOKUME~1\**\EIGENE~1\TESTPR~2\PREISP~1\IEBUTT~1.DLL
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - blank (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PwrUpTweakMe] C:\WINDOWS\system32\PUXPTWKS.EXE /TWEAK
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /M "Stylus Photo RX500" /EF "HKCU"
O4 - HKCU\..\Run: [1&1_1&1 Upload-Manager] "C:\Programme\1&1\1&1 Upload-Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Dokumente und Einstellungen\\**\\Eigene Dateien\\test prog\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Free Download Manager\dlall.htm
O8 - Extra context menu item: amazon Suche - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Free Download Manager\dlselected.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\test prog\Preispiraten2\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/229?12ecda20fe94631915cfb90b1469b40
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/230?12ecda20fe94631915cfb90b1469b40
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF4AEF6F-5978-46EF-81B7-4E5B739F0C97}: NameServer = 192.168.122.252,192.168.122.253
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Dokumente und Einstellungen\**\Eigene Dateien\test prog\Spyware\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Desktop Manager 5.1.709.19590 (GoogleDesktopManager-091907-194040) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\test prog\Sandra\SiSoftware Sandra Lite XII\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\test prog\Sandra\SiSoftware Sandra Lite XII\RpcSandraSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 15600 bytes

tomasnet 18.12.2007 20:22
compofix log
 
hier noch das compofix log


ComboFix 07-12-18.1 - **** 2007-12-18 18:35:33.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.930 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\t\

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\NPF


((((((((((((((((((((((( Dateien erstellt von 2007-11-18 bis 2007-12-18 ))))))))))))))))))))))))))))))
.

2007-12-17 17:16 . 2007-12-17 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Grisoft
2007-12-17 17:16 . 2007-12-17 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-12-17 17:16 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-17 16:56 . 2004-08-03 23:10 61,056 --a------ C:\WINDOWS\system32\drivers\ohci1394.sys
2007-12-10 13:17 . 2007-12-10 13:17 210,540 --a------ C:\01-Goblin_Vs_Rocky_-_Japanise_Owa-zEn.mp3
2007-12-10 13:15 . 2007-12-10 13:16 901,120 --a------ C:\01-va_-_psychedelic_high_2-mycel.mp3
2007-12-06 15:29 . 2007-12-06 15:29 <DIR> d--h----- C:\SBE
2007-12-06 14:53 . 2004-08-04 13:00 15,360 --a--c--- C:\WINDOWS\system32\dllcache\ctfmon.exe.backup
2007-12-06 14:53 . 2004-08-04 13:00 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe.backup
2007-12-01 14:54 . 2007-12-12 19:29 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-01 14:54 . 2007-12-01 14:54 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-26 20:12 . 2007-11-26 20:12 <DIR> d-------- C:\WINDOWS\system32\Color
2007-11-26 20:12 . 2007-11-26 20:12 <DIR> d-------- C:\Programme\Quark
2007-11-25 16:00 . 2005-03-09 18:04 2,572,288 --a------ C:\WINDOWS\system32\m2v_enc.dll
2007-11-25 16:00 . 2004-10-19 23:20 2,089,052 --a------ C:\WINDOWS\system32\libmmd.dll
2007-11-25 16:00 . 2004-12-07 17:01 1,662,976 --a------ C:\WINDOWS\system32\mpa.dll
2007-11-25 16:00 . 2004-11-26 12:40 929,792 --a------ C:\WINDOWS\system32\nSDL.dll
2007-11-25 16:00 . 2004-11-26 12:38 122,880 --a------ C:\WINDOWS\system32\nanoLicence.dll
2007-11-20 22:32 . 2007-11-20 22:32 <DIR> d-------- C:\Programme\Aspecto Software

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-18 17:40 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ!
2007-12-18 16:07 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2007-12-18 00:03 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avant Browser
2007-12-17 22:48 --------- d-----w C:\Programme\Google
2007-12-17 22:30 --------- d-----w C:\Programme\Microsoft ActiveSync
2007-12-16 14:00 25,976 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat
2007-12-01 20:14 --------- d-----w C:\Programme\Windows Live Toolbar
2007-12-01 20:11 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2007-12-01 13:56 --------- d-----w C:\Programme\DVD Kopierer deLuxe
2007-11-27 22:15 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Free Download Manager
2007-11-25 15:00 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-25 14:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-11-14 18:32 --------- d-----w C:\Programme\Picasa2
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-04 10:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2007-11-01 16:46 --------- d-----w C:\Programme\Ashampoo
2007-10-30 23:53 58,242 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\mdb.bin
2007-10-30 20:56 --------- d-----w C:\Programme\AOL 9.0
2007-10-24 17:08 18,752 ----a-w C:\Dokumente und Einstellungen\****\Anwendungsdaten\wklnhst.dat
2007-09-25 21:57 286,720 ----a-w C:\WINDOWS\iun506.exe
2005-08-28 20:15 284 ----a-w C:\Dokumente und Einstellungen\****\Anwendungsdaten\ViewerApp.dat
2004-10-17 17:30 8 --sh--r C:\WINDOWS\system32\32828BBAAC.sys
2005-03-14 18:53 56 --sh--r C:\WINDOWS\system32\A9CC008D8C.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B660087-931C-4056-A04F-0423890E40B6}]
2005-03-18 11:18 129536 --a------ C:\DOKUME~1\****\EIGENE~1\TESTPR~2\PREISP~1\PPSEAR~1.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"EPSON Stylus Photo RX500"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.exe" [2003-09-12 04:00]
"1&1_1&1 Upload-Manager"="C:\Programme\1&1\1&1 Upload-Manager\DAVSRV.exe" [2007-01-22 11:44]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 00:00]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 20:05]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2004-09-20 23:09 C:\WINDOWS\system32\nwiz.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 15:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="RunDll32 cmicnfg.cpl" []
"Dit"="Dit.exe" [2004-07-20 17:18 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2004-02-24 13:05 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 16:15 C:\WINDOWS\CNYHKey.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 11:01 C:\WINDOWS\AGRSMMSG.exe]
"EPSON Stylus Photo RX500"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.exe" [2003-09-12 04:00]
"FinePrint Dispatcher v5"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" [2005-03-29 20:34]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 19:03]
"PwrUpTweakMe"="C:\WINDOWS\system32\PUXPTWKS.exe" [2005-09-12 09:36]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-12-18 00:27]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-12-06 14:53]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Telefonverbindungsmonitor.lnk]
backup=C:\WINDOWS\pss\Telefonverbindungsmonitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WD Backup Monitor.lnk]
backup=C:\WINDOWS\pss\WD Backup Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk]
backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1&1_1&1 Upload-Manager]
C:\Programme\1&1\1&1 Upload-Manager\DAVSRV.EXE /hide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2006-10-23 01:48 40048 --a------ C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOL Spyware Protection]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
2004-11-09 21:36 497240 --a------ C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-06-21 00:00 1211176 --a------ C:\Programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
2006-10-11 12:38 50736 --a------ C:\Programme\Gemeinsame Dateien\AOL\1174945439\ee\AOLSoftware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2007-03-02 15:24 257088 --a------ C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M3Development_WhenUSave_Installer]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mspwr]
2005-09-29 10:05 110592 --a------ C:\WINDOWS\system32\PuXpMan2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2005-04-14 15:56 1957888 --------- C:\Programme\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2004-10-21 10:03 81920 --a------ C:\Programme\Home Cinema\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-01-12 03:01 32768 --a------ C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpriteService]
2006-02-21 14:04 552960 --a------ C:\Programme\Sprite Software\Sprite Backup\SpriteService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WD Button Manager]
WDBtnMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2006-10-24 20:05 204288 --------- C:\Programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\X:]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\X:\Programme]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\X:\Programme\1&1]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\X:\Programme\1&1\1&1 EasyLogin]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\X:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe]
1&1 EasyLogin HIDE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"iPod Service"=3 (0x3)
"WMPNetworkSvc"=2 (0x2)
"BlueSoleil Hid Service"=2 (0x2)
"AOLService"=2 (0x2)
"AOL ACS"=2 (0x2)

R0 Defrag32b;Defrag32Boot;C:\WINDOWS\system32\drivers\Defrag32b.sys [2005-06-28 10:44]
R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2006-06-20 06:04]
R0 stwlfbus;stwlfbus;C:\WINDOWS\system32\DRIVERS\stwlfbus.sys [2003-04-27 11:39]
R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys [2003-12-03 17:44]
R1 Ext2Fs;Ext2Fs;C:\WINDOWS\system32\drivers\ext2.sys [2004-03-05 18:39]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 10:41]
R1 ui11rdr;ui11rdr;C:\WINDOWS\system32\DRIVERS\ui11rdr.sys [2007-01-22 11:43]
R2 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2000-01-08 09:22]
R2 Defrag32;Defrag32;C:\WINDOWS\system32\drivers\Defrag32.sys [2005-06-28 10:44]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 22:29]
R2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [2005-06-28 10:44]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 14:10]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 13:58]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 10:41]
R3 st3wolf;st3wolf;C:\WINDOWS\system32\DRIVERS\st3wolf.sys [2003-04-27 10:43]
R3 SUSCOM;Susteen Serial port driver;C:\WINDOWS\system32\DRIVERS\SUSCOM.SYS [2002-11-18 21:00]
R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 16:13]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 11:07]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 22:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 22:41]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2007-12-18 17:07]
S3 GoogleDesktopManager-091907-194040;Google Desktop Manager 5.1.709.19590;"C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-12-18 00:27]
S3 MPCSYS;MPCSYS;C:\WINDOWS\system32\DRIVERS\mpcsys.sys [2007-10-04 19:04]
S3 WD_FireWire_HID;WD FireWire Pseudo-HID driver;C:\WINDOWS\system32\DRIVERS\wdfwhid.sys [2006-03-22 10:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34876cf2-b5a9-11d9-920b-001109514cc3}]
\Shell\AutoRun\command - F:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b3cfd67-1bf5-11dc-881f-001109514cc3}]
\Shell\AutoRun\command - F:\WD_Windows_Tools\setup.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-12-17 17:38:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-12-18 16:55:01 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-18 18:43:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\HKCYDLL.dll
.
Zeit der Fertigstellung: 2007-12-18 18:46:05 - machine was rebooted
.
2007-12-11 23:33:41 --- E O F ---

cosinus 18.12.2007 20:44
Hallo.

Ich habda einige verdächtige Kandidaten gefunden:

Code:
C:\WINDOWS\system32\drivers\USBCRFT.SYS
C:\WINDOWS\system32\DRIVERS\ui11rdr.sys
C:\WINDOWS\system32\DRIVERS\UKBFLT.sys
C:\WINDOWS\system32\DRIVERS\mpcsys.sys
C:\WINDOWS\system32\32828BBAAC.sys
C:\WINDOWS\system32\A9CC008D8C.sys
C:\WINDOWS\system32\m2v_enc.dll
C:\WINDOWS\system32\mpa.dll
C:\WINDOWS\system32\nSDL.dll
C:\WINDOWS\system32\nanoLicence.dll
C:\WINDOWS\HKCYDLL.dll
Werte diese Dateien alle nacheinander bei Virustotal aus und poste sämtliche Ergebnisse zu jeder Datei inkl. Angaben zu Dateigrößen und Prüfsummen.

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
* Blacklight
* eScan
* Silentrunners
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131