Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile eScan und HiJack (https://www.trojaner-board.de/51175-logfile-escan-hijack.html)

monte23 29.03.2008 10:52
Logfile eScan und HiJack
 
Kann sich das mal bitte jemand ansehen? Hab ich selber aus dem Log vom eScan rauskopiert, weil die find.bat nicht funktionierte.
Kann mir jemand ne Anleitung geben um mein System wieder sauber zu kriegen??? Bitte

mfg Philipp



29 Mrz 2008 07:26:28 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
29 Mrz 2008 07:26:28 - Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Size: 359872].
29 Mrz 2008 07:26:28 - Indexed Spyware Databases Successfully Created...

29 Mrz 2008 07:26:31 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
29 Mrz 2008 08:37:13 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:13 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
29 Mrz 2008 08:37:13 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:17 - Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\handy\handy super paket\games\airattack\a\a\a\j.class
29 Mrz 2008 08:37:17 - System found infected with ipinsight Spyware/Adware (j.class)! Action taken: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:17 - Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Desktop\handy\handy super paket\games\dopewars
29 Mrz 2008 08:37:17 - Objekt "dope wars Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:17 - Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Desktop\handy\handy super paket\games\games no 1\videopoker
29 Mrz 2008 08:37:17 - Objekt "ace club casino Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:17 - Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\handy\handy super paket\games\games no 2\mohrhuhn\moorhuhn\j.class
29 Mrz 2008 08:37:17 - System found infected with ipinsight Spyware/Adware (j.class)! Action taken: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:17 - Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\handy\handy super paket\games\games no 2\mohrhuhn\moorhuhn\k.class
29 Mrz 2008 08:37:17 - System found infected with ipinsight Spyware/Adware (k.class)! Action taken: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:17 - Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Desktop\handy\handy super paket\games\siemens java games\videopoker
29 Mrz 2008 08:37:17 - Objekt "ace club casino Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:17 - Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Desktop\handy\handy super paket\games\videopoker
29 Mrz 2008 08:37:17 - Objekt "ace club casino Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:17 - Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\error cleaner.url
29 Mrz 2008 08:37:17 - System found infected with winfixer/errorsafe Adware (error cleaner.url)! Action taken: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:17 - Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\privacy protector.url
29 Mrz 2008 08:37:17 - System found infected with privacyprotector Corrupted Adware/Spyware (privacy protector.url)! Action taken: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:17 - Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\spyware&malware protection.url
29 Mrz 2008 08:37:17 - System found infected with privacyprotector Corrupted Adware/Spyware (spyware&malware protection.url)! Action taken: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:20 - Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com
29 Mrz 2008 08:37:20 - System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:20 - Offending Registry Entry found: hkey_local_machine\system\currentcontrolset\services\ipfilterdriver\enum
29 Mrz 2008 08:37:20 - System found infected with raptordefence Corrupted Adware/Spyware (hkey_local_machine\system\currentcontrolset\services\ipfilterdriver\enum)! Action taken: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:28 - Checking MountPoints2 Registry Key...
29 Mrz 2008 08:37:32 - Executable Command Found in {4ee22954-4a0b-11dc-8e3d-806d6172696f}\Name\Shell\AutoRun\command: G:\AUTORUN.EXE
29 Mrz 2008 08:37:32 - Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4ee22954-4a0b-11dc-8e3d-806d6172696f} !!!
29 Mrz 2008 08:37:32 - Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:32 - Invalid Command Found in {ce5c85d2-f783-11dc-940d-001bfcce73b0}\Shell\AutoRun\command: I:\wd_windows_tools\setup.exe
29 Mrz 2008 08:37:32 - Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ce5c85d2-f783-11dc-940d-001bfcce73b0} !!!
29 Mrz 2008 08:37:32 - Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:32 - Executable Command Found in {d167a72d-83a6-11dc-9d82-001bfcce73b0}\Shell\Autoplay\DropTarget\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
29 Mrz 2008 08:37:32 - Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d167a72d-83a6-11dc-9d82-001bfcce73b0} !!!
29 Mrz 2008 08:37:32 - Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:32 - Checking CLSID Reference Entries...
29 Mrz 2008 08:37:35 - Checking Module Usage Entries...
29 Mrz 2008 08:37:35 - Checking User Trusted External App Entries...
29 Mrz 2008 08:37:35 - Checking Shared DLL Entries...
29 Mrz 2008 08:37:36 - Checking Installer Entries...
29 Mrz 2008 08:37:36 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\ATI Technologies\ATI.ACE\Core-PreInstall\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:37 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Sony Ericsson\Mobile2\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:37 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Sony Ericsson\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:37 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Teleca Shared\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:37 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Motorola\Software Update\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:37 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Motorola\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:37 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Motorola Shared\MotPCSDrivers\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:37 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Motorola Shared\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:37 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "E:\Programme\Ad-Aware\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:38 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2008\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:38 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2008\Utilities\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Checking Shared Tools Entries...
29 Mrz 2008 08:37:39 - Checking File Extension Entries...
29 Mrz 2008 08:37:39 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".B6T". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".lock". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".p2p". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".php". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rdf". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".sqlite". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".torrent". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Checking Application Cache Entries...
29 Mrz 2008 08:37:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0.0.12)". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "WebVideo". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{868D7896-99D4-4513-BC62-2B3AD3E24926}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

29 Mrz 2008 08:37:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{99052DB7-9592-4522-A558-5417BBAD48EE}". Maßnahme ergriffen: Keine Maßnahme ergriffen.




---------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:42:57, on 29.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
E:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: qvdntlmw - {14108D7F-3AF9-436C-863C-8AD8921BDF02} - C:\WINDOWS\qvdntlmw.dll (file missing)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [Beziehungscounter] "E:\Neuer Ordner\Beziehungscounter\Beziehungscounter.exe"
O4 - Global Startup: Logitech SetPoint.lnk = E:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O21 - SSODL: zip - {8e30d5f5-fde6-4af4-b82d-6f4e8011b495} - C:\WINDOWS\Installer\{8e30d5f5-fde6-4af4-b82d-6f4e8011b495}\zip.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LVSrvLauncher - Logitech, Inc. - (no file)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 3475 bytes



Brauch dringend Hilfe!!!

undoreal 29.03.2008 11:00
Morgen Philipp..

In meiner Signatur findest du einen Link zu SASW. Befolge diese Anleitung bitte und poste danach ein frisches HJT log sowie das SASW log.

monte23 29.03.2008 11:56
Danke für die schnelle Ansage... so hier



SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/29/2008 at 11:39 AM

Application Version : 4.0.1154

Core Rules Database Version : 3427
Trace Rules Database Version: 1419

Scan type : Complete Scan
Total Scan Time : 00:25:37

Memory items scanned : 317
Memory threats detected : 0
Registry items scanned : 4741
Registry threats detected : 23
File items scanned : 78431
File threats detected : 6

Trojan.Unclassified/GTS
HKLM\Software\Classes\CLSID\{14108D7F-3AF9-436C-863C-8AD8921BDF02}
HKCR\CLSID\{14108D7F-3AF9-436C-863C-8AD8921BDF02}
HKCR\CLSID\{14108D7F-3AF9-436C-863C-8AD8921BDF02}
HKCR\CLSID\{14108D7F-3AF9-436C-863C-8AD8921BDF02}\InprocServer32
HKCR\CLSID\{14108D7F-3AF9-436C-863C-8AD8921BDF02}\InprocServer32#ThreadingModel
HKCR\CLSID\{14108D7F-3AF9-436C-863C-8AD8921BDF02}\ProgID
HKCR\CLSID\{14108D7F-3AF9-436C-863C-8AD8921BDF02}\Programmable
HKCR\CLSID\{14108D7F-3AF9-436C-863C-8AD8921BDF02}\TypeLib
HKCR\CLSID\{14108D7F-3AF9-436C-863C-8AD8921BDF02}\VersionIndependentProgID
C:\WINDOWS\QVDNTLMW.DLL
HKLM\Software\Microsoft\Internet Explorer\Toolbar#{14108D7F-3AF9-436C-863C-8AD8921BDF02}
HKCR\qvdntlmw.1
HKCR\qvdntlmw
HKCR\TypeLib\{C9B36848-A808-469F-B8B5-2A2D3D541F87}
HKCR\TypeLib\{C9B36848-A808-469F-B8B5-2A2D3D541F87}\1.0
HKCR\TypeLib\{C9B36848-A808-469F-B8B5-2A2D3D541F87}\1.0\0
HKCR\TypeLib\{C9B36848-A808-469F-B8B5-2A2D3D541F87}\1.0\0\win32
HKCR\TypeLib\{C9B36848-A808-469F-B8B5-2A2D3D541F87}\1.0\FLAGS
HKCR\TypeLib\{C9B36848-A808-469F-B8B5-2A2D3D541F87}\1.0\HELPDIR

Browser Hijacker.Internet Explorer Settings Hijack
HKU\S-1-5-21-1202660629-2139871995-725345543-500\Software\Microsoft\Internet Explorer\Main#Start Page [ http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 ]

Unclassified.Unknown Origin
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad#zip [ {8e30d5f5-fde6-4af4-b82d-6f4e8011b495} ]

Trojan.Net-MSV/VPS
HKCR\MSVPS.MSVPSApp
HKCR\MSVPS.MSVPSApp\CLSID
HKCR\MSVPS.MSVPSApp\CurVer

Desktop Hijacker.AboutYourPrivacy
C:\Dokumente und Einstellungen\Administrator\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Spyware&Malware Protection.url

Trojan.Unknown Origin
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMP\COMSVR32.EXE.BAK

Trojan.VXGame-Variant/D
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\HANDY\HANDY SUPER PAKET\PROGS\UNLOCK IMEI NOKIA & SIEMENS\DCT4.CALC,..LIBERAR.NOKIA.GRATIS.POR.IMEI.BY.JODATE\LIBERAR\NOKIA- LIBERAR NOKIA POR IMEI\NOKIA.EXE



------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:58:42, on 29.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
E:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [Beziehungscounter] "E:\Neuer Ordner\Beziehungscounter\Beziehungscounter.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Logitech SetPoint.lnk = E:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LVSrvLauncher - Logitech, Inc. - (no file)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 3349 bytes

Sunny 29.03.2008 16:27
[CENTER][b]
Hallo monte23


Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:




CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.
  • Gehe auf den Button links oben "Cleaner"
  • Setze Häkchen unter Reiter "Windows"
(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").
  • Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".
  • Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".



ComboFix
  • Lade dir das Tool hier herunter -> KLICK
  • Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

undoreal 29.03.2008 16:30
Hallöle...

brauchst mir übrigens keine PN schicken... ich gucke auch so nach.. ;)


Die SASW Quarantäne kannst du löschen. (siehe Anleitung)

Fixe mit HJT folgenden Eintrag:

Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UltimateCleaner 2007
Danach lasse smitfraudfix laufen und poste anschließend das log.

PS: Huhu Sunny... :party:

monte23 29.03.2008 16:41
Soll ich zuerst das machen was GC SUNNY gepostet hat, oder lieber erst mal dein Post abarbeiten???

Sunny 29.03.2008 16:46
Zitat:
Zitat von monte23 (Beitrag 331477)
Soll ich zuerst das machen was GC SUNNY gepostet hat, oder lieber erst mal dein Post abarbeiten???
Ohne undoreal unterdrücken zu wollen :party:, arbeite zuerst meinen Beitrag ab und dann seinen.
Desweiteren übergebe ich dann auch wieder an undoreal... :daumenhoc

monte23 29.03.2008 16:50
Zitat:
Zitat von [GC]Sunny (Beitrag 331480)
Ohne undoreal unterdrücken zu wollen :party:, arbeite zuerst meinen Beitrag ab und dann seinen.
Desweiteren übergebe ich dann auch wieder an undoreal... :daumenhoc
Sorry ich wollt nicht das sich jemand übergangen fühlt hab nur bei der HJT FAQ seite das hier :Anschliessend müssen auch die Malware Dateien entfernt werden, denn sonst hat die ganze Prozedur keinen Sinn.
gelesen wollt also erst fixen und mich dann um die Maleware
kümmern oder versteh ich das falsch???

monte23 29.03.2008 16:59
SmitFraudFix v2.309

Scan done at 17:00:17,01, 29.03.2008
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
E:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\AntiSpy.exe FOUND !
C:\WINDOWS\system32\systems.txt FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller - Paketplaner-Miniport
DNS Server Search Order: 82.144.41.8
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{60526191-60D9-4815-8E64-62AFAE01EBBB}: DhcpNameServer=82.144.41.8 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{60526191-60D9-4815-8E64-62AFAE01EBBB}: DhcpNameServer=82.144.41.8 192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{60526191-60D9-4815-8E64-62AFAE01EBBB}: DhcpNameServer=82.144.41.8 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{60526191-60D9-4815-8E64-62AFAE01EBBB}: DhcpNameServer=82.144.41.8 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=82.144.41.8 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=82.144.41.8 192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=82.144.41.8 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=82.144.41.8 192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Sunny 29.03.2008 17:04
Zu dem Thema HijackThis und dem fixen/entfernen kommen wir noch, starte nun das SmitfraudFix nochmals, diesesmal aber mit Option2!


Desweiteren das hier abarbeiten -> Post Nr.4

monte23 29.03.2008 18:07
So alles gemacht!

SmitfraudFix nochmals, diesesmal aber mit Option2!
und POST4...
jetzt zum HJT???

Sunny 29.03.2008 18:45
Alles gemacht?

Bitte das hier durchlesen und abarbeiten -> http://www.trojaner-board.de/331469-post4.html

monte23 29.03.2008 19:12
Ja das hab ich auch schon gemacht. Alle 3.. oder macht das was das ich den SmitfraudFix vor dem
Malwarebytes' Anti-Malware laufen lassen hab???

Sunny 29.03.2008 19:59
Zitat:
Zitat von monte23 (Beitrag 331534)
Ja das hab ich auch schon gemacht. Alle 3.. oder macht das was das ich den SmitfraudFix vor dem
Malwarebytes' Anti-Malware laufen lassen hab???
Nein das macht nichts, aber die fehlende Auswertung der Programme macht was. ;) Ohne diese können wir nicht weiterarbeiten...

monte23 29.03.2008 20:40
ach so ja...
noch andere ausser die?

Malwarebytes' Anti-Malware 1.09
Datenbank Version: 564

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|K:\|)
Objekte gescannt: 94874
Scan Dauer: 12 minute(s), 9 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{d1fcf9f3-4cf9-420c-8718-937352d780a7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\qvdntlmw.bsvk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\qvdntlmw.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{73ee9610-ad41-4f65-8a9a-c283f6a652f3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{13c5e854-911c-4d90-9fe3-8be6d093ca7f} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{99553917-bf6b-4cdc-8edf-3cd5aa1fdfb8} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d9be845e-e284-4f5f-8673-2165762e4f24} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\qvdntlmw.bsvk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\qvdntlmw.ToolBar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin (Trojan.Fakealert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rs.txt (Malware.Trace) -> Quarantined and deleted successfully.

---------------------


ComboFix 08-03-27.5 - Administrator 2008-03-29 17:55:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1626 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_npf


((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-29 ))))))))))))))))))))))))))))))
.

2008-03-29 17:44 . 2008-03-29 17:44 <DIR> d-------- C:\Programme\CCleaner
2008-03-29 17:04 . 2008-03-29 17:04 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-29 17:04 . 2008-03-29 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-29 17:04 . 2008-03-29 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-03-29 17:00 . 2008-03-29 17:23 1,340 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-29 16:59 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-29 16:59 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-29 16:59 . 2008-03-28 23:19 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-29 16:59 . 2008-03-26 08:50 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-29 16:59 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-29 16:59 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-29 16:59 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-29 14:34 . 2008-03-29 14:34 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2008-03-29 11:10 . 2008-03-29 11:10 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-03-29 11:10 . 2008-03-29 11:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-29 11:10 . 2008-03-29 11:10 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-29 07:09 . 2008-03-29 07:09 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-29 07:09 . 2008-03-29 07:09 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-29 07:09 . 2008-03-29 07:09 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-29 07:09 . 2008-03-29 07:09 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-29 07:09 . 2008-03-29 07:09 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-29 07:09 . 2008-03-29 07:09 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-29 07:04 . 2008-03-29 07:04 <DIR> d-------- C:\escan
2008-03-29 07:02 . 2008-03-29 15:20 50 --a------ C:\WINDOWS\Lic.xxx
2008-03-29 06:42 . 2008-03-29 06:42 <DIR> d-------- C:\Programme\Trend Micro
2008-03-25 00:32 . 2008-03-25 00:33 <DIR> d-------- C:\Programme\Microsoft ActiveSync
2008-03-25 00:32 . 2008-03-25 00:32 <DIR> d-------- C:\Programme\Common Files
2008-03-25 00:32 . 2008-03-25 00:32 <DIR> d-------- C:\Programme\AvantGo Connect
2008-03-25 00:30 . 2008-03-25 00:33 2,510 --a------ C:\WINDOWS\Microsoft.MIF
2008-03-24 02:41 . 2008-03-24 02:41 5,120 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-03-24 01:00 . 2008-03-24 01:00 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-03-24 01:00 . 2008-03-24 01:00 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-03-24 00:59 . 2008-03-24 00:59 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-03-24 00:59 . 2008-03-29 18:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-03-24 00:58 . 2008-03-24 00:58 <DIR> d-------- C:\kav
2008-03-24 00:57 . 2008-03-29 15:08 16,896 --ahs---- C:\WINDOWS\Thumbs.db
2008-03-23 21:29 . 2008-03-23 21:29 <DIR> d-------- C:\WINDOWS\system32\FLCSS.EXE
2008-03-23 21:29 . 2008-03-23 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Vorlagen
2008-03-23 21:29 . 2008-03-23 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Startmen
2008-03-23 21:29 . 2008-03-23 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Favoriten
2008-03-23 21:29 . 2008-03-23 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Dokumente
2008-03-23 21:29 . 2008-03-23 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Anwendungsdaten
2008-03-23 21:29 . 2008-03-23 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Vorlagen
2008-03-23 21:29 . 2008-03-23 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen
2008-03-23 21:29 . 2008-03-23 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Dokumente
2008-03-23 21:25 . 2008-03-23 20:32 203 --a------ C:\bootini.uns
2008-03-23 19:56 . 2008-03-29 10:23 0 --a------ C:\23990098.$$$
2008-03-23 19:43 . 2008-03-23 19:43 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-03-16 11:37 . 2008-03-29 18:02 4,935,200 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-16 11:37 . 2008-03-29 18:02 73,388 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-16 11:37 . 2008-03-29 18:04 66,080 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-03-16 11:37 . 2008-03-29 18:02 11,420 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-29 04:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-03-23 18:43 9,106 ----a-w C:\WINDOWS\winsbak.reg
2008-03-23 18:43 70,020 ----a-w C:\WINDOWS\winsbak2.reg
2008-03-18 18:56 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2008-03-16 10:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-02-13 03:00 306,432 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2008-02-13 02:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-08 17:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
2008-02-08 17:35 23,604 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2008-01-21 18:04 413,696 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-01-21 18:04 110,592 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-01-19 00:24 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 16:40 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-01-04 16:05 632,320 ----a-w C:\WINDOWS\fpuninst.exe
2008-01-03 17:08 22,328 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2007-12-30 16:34 368,640 ----a-w C:\WINDOWS\system32\ReWire.dll
2007-12-30 16:34 233,472 ----a-w C:\WINDOWS\system32\REX Shared Library.dll
2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Beziehungscounter"="E:\Neuer Ordner\Beziehungscounter\Beziehungscounter.exe" [2006-07-27 00:35 694784]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 18:36 227856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVP"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
"AdobeUpdater"=C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
"SpybotSD TeaTimer"=E:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HydraVisionDesktopManager"=C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
"LVCOMSX"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
"Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE
"BrMfcWnd"=C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
"ControlCenter3"=C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
"SetDefPrt"=C:\Programme\Brother\Brmfl06a\BrStDvPt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\S.T.A.L.K.E.R\\bin\\XR_3DA.exe"=
"E:\\Programme\\S.T.A.L.K.E.R\\bin\\dedicated\\XR_3DA.exe"=
"E:\\Programme\\eMule\\emule.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"E:\\Programme\\cod4\\iw3mp.exe"=

R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-09-16 13:02]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 13:00]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 07:12]
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 11:50]
R3 BrSerIf;Brother MFC Serial Port Interface WDM Driver;C:\WINDOWS\system32\Drivers\BrSerIf.sys [2006-01-18 21:44]
R3 BrUsbSer;Brother MFC USB Serial WDM Driver;C:\WINDOWS\system32\Drivers\BrUsbSer.sys [2006-01-19 02:17]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys [2006-11-10 17:23]
S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys [2006-11-10 17:23]
S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys [2006-11-10 17:23]
S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE2Eobex.sys [2006-11-10 17:23]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-13 04:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ce5c85d2-f783-11dc-940d-001bfcce73b0}]
\Shell\AutoRun\command - I:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d167a72d-83a6-11dc-9d82-001bfcce73b0}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - I:\Recycled\ctfmon.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-29 18:04:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\wdfmgr.exe
E:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-29 18:05:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-29 17:05:02
11 Verzeichnis(se), 3,692,965,888 Bytes frei
13 Verzeichnis(se), 3,601,416,192 Bytes frei

monte23 30.03.2008 14:08
Muss ich jetzt noch was beachten?


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131