|
Hi, na immerhin wissen wir jetzt schonmal wie dein Problem auf den Rechner gekommen sein dürfte: Zitat:
lg myrtille |
der gmer ist gerade fertig, aber wo ist die Zwischenablage??Also wo finde ich das Logfile? |
Setz den Cursor in deine Antwort und drücke strg und v gleichzeitig. Oder über Rechtsklick und dann auf Einfügen. lg myrtille |
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-21 18:14:38 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 |
GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-09-21 18:36:48 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT F8B6E8C4 ZwCreateThread SSDT F8B6E8B0 ZwOpenProcess SSDT F8B6E8B5 ZwOpenThread SSDT F8B6E8BF ZwTerminateProcess SSDT F8B6E8BA ZwWriteVirtualMemory ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) ---- EOF - GMER 1.0.14 ---- |
Den anderen Test mache ich morgen, da ich jetzt ein Meeting habe :) Schönen tag noch! |
hab es doch noch geschafft hier ist das Ergebnis des RootkitRevealer: Code: HKLM\SECURITY\Policy\Secrets\SAC* 11.02.2007 21:02 0 bytes Key name contains embedded nulls (*) |
Es fällt schwer zu glauben, dass an diesem Rechner nichts manipuliert/bereinigt/verändert wurde. Insbesondere nach deinem ursprünglichen Auftreten hier. Vor allem da ich sozusagen den Beweis hab, dass das System bereits woanders bereinigt werden sollten (und verändert wurde): Link Ohne das du da etwas zu gesagt hast. Wer sagt mir dass du nicht vorher schon woanders warst und uns jetzt zum Narren hältst? Ich bleib bei meiner Aussage: Das ist vermutlich ein RBot. SDFix sollte in der Lage sein ihn zu entfernen. Aber da du so ein großer Fan vom Neuaufsetzen bist und die ganze Vorgeschichte mehr als undurchsichtig ist, würde ich DIR das empfehlen. lg myrtille |
Hallo ich habe bei diesem Link, aber nichts verändert bereingt ich habe nur versucht die datei zu finden? Aber im Forum Chip wurde mir nurformatieren empfolen und das ahbe ich vor paar Monaten, deswegen habe ich mir an das trojaner-board gewendet. Eine Einleitung zu SDFix fände ich nett. Gruß |
Hi, dann versuch mal SDFix:
lg myrtille |
Der Report: SDFix: Version 1.228 Run by Mouloud on 24.09.2008 at 12:37 Microsoft Windows XP [Version 5.1.2600] Running From: D:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP2.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP3.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP5.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP6.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP1E.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP2.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP24.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP3.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP34.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP35.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP49.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4A.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4B.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4C.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4F.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP5.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP52.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP6.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMPC7.tmp - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2008-09-24 12:45:49 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "D:\\Programme\\Messenger\\msmsgs.exe"="D:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "D:\\Programme\\ICQLite\\ICQLite.exe"="D:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "D:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="D:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger" "D:\\Programme\\ICQ6\\ICQ.exe"="D:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "D:\\Programme\\Windows Live\\Messenger\\livecall.exe"="D:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "D:\\Programme\\FlashGet\\flashget.exe"="D:\\Programme\\FlashGet\\flashget.exe:*:Enabled:Flashget" "D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client" "D:\\Programme\\VideoLAN\\VLC\\vlc.exe"="D:\\Programme\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player" "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer" "D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="D:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server" "D:\\Programme\\Zattoo\\zattood.exe"="D:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood" "D:\\Programme\\Zattoo\\Zattoo1.exe"="D:\\Programme\\Zattoo\\Zattoo1.exe:*:Enabled: " "D:\\Programme\\Skype\\Phone\\Skype.exe"="D:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "D:\\Programme\\Windows Live\\Messenger\\livecall.exe"="D:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "D:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe"="D:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe:*:Enabled:onlineTV" Remaining Files : File Backups: - D:\SDFix\backups\backups.zip Files with Hidden Attributes : Fri 11 May 2007 4,348 A.SH. --- "D:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Sun 3 Feb 2008 124,928 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Desktop\~WRL0638.tmp" Mon 19 Mar 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0005.tmp" Fri 23 Nov 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0006.tmp" Sat 16 Jun 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0107.tmp" Sat 16 Jun 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0126.tmp" Mon 19 Mar 2007 24,576 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0140.tmp" Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0194.tmp" Sat 16 Jun 2007 26,112 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0277.tmp" Sun 10 Jun 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0491.tmp" Sat 16 Jun 2007 25,600 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0518.tmp" Mon 19 Mar 2007 24,576 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0719.tmp" Mon 19 Mar 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1339.tmp" Sat 16 Jun 2007 25,600 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1440.tmp" Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1737.tmp" Mon 19 Mar 2007 22,016 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1954.tmp" Mon 19 Mar 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2159.tmp" Mon 19 Mar 2007 24,576 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2172.tmp" Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2474.tmp" Sat 16 Jun 2007 26,112 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2570.tmp" Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2616.tmp" Mon 19 Mar 2007 23,552 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2804.tmp" Mon 19 Mar 2007 20,992 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2962.tmp" Mon 19 Mar 2007 23,040 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL3059.tmp" Sat 16 Jun 2007 27,136 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL3682.tmp" Mon 19 Mar 2007 23,552 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL4003.tmp" Mon 19 Mar 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL4039.tmp" Sat 20 Sep 2008 228 A..H. --- "D:\Program Files\InterActual\InterActual Player\iti1.tmp" Fri 23 Nov 2007 0 A.SH. --- "D:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Tue 1 May 2007 44,032 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Sidi\~WRL0618.tmp" Sun 15 Apr 2007 41,984 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Sidi\~WRL2581.tmp" Tue 1 May 2007 45,056 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Sidi\~WRL2653.tmp" Fri 19 Sep 2008 84 A..H. --- "D:\Programme\Common Files\X10\Common\x10prod.sys" Tue 19 Jun 2007 32,256 A..H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Word-Dokumente\Paris\~WRL0014.tmp" Finished! |
Und hier mein neues Hijackthis-Logfile : Logfile of Trend Micro Hijac*This v2.0.2 Scan saved at 13:13:47, on 24.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\WINDOWS\Explorer.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\RunDll32.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\WINDOWS\System32\LVCOMSX.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\phonostar\ps_timer.exe D:\WINDOWS\system32\winlogon.exe D:\Programme\Mozilla Firefox\firefox.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1007\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Alex') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - h*tp://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - ht*p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1 O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - ht*p://chat.yahoo.com/cab/yuplapp.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hxxp://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1 O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hxxp://www.adobe.com/products/acrobat/nos/gp.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6494 bytes Gruß Computergeni(e) |
Hi, die Logs sind jetzt sauber. Hattest du die Einträge gefixt? Folgende Einträge kannst du auch noch fixen: Zitat:
|
Zitat:
Zitat:
Noch eine Frage: Wenn ich zum Systemkonfigurationsprogramm gehe und dort zum reiter ''Systemstart'' wechsele steht dort immer noch kfozgbi.exe [den Hacken davon habe ich vor kurzem schon im abgesicherten Modus weggemacht) und davor natürlich die Systemwiederherstellung auf allen laufwerken deaktiviert)] Wie soll ich vorgehen? Gruß |
Zitat:
Setz den Haken bei msconfig wieder rein, ruf Hijackthis auf und fixe die beiden Einträge. (kannst du alles im abgesicherten modus machen) Ansonsten kannst du auch regedit aufrufen (start->ausführen->regedit eingeben) und die Einträge manuell löschen. Ich würd dir aber empfehlen, das mit Hijackthis zu tun. lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board