|
Expertentipp bitte Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:10:40, on 13.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\RunDll32.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\WINDOWS\System32\LVCOMSX.EXE D:\Programme\Logitech\Video\LogiTray.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINDOWS\system32\qttask.exe D:\Programme\Logitech\Video\FxSvr2.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\phonostar\ps_timer.exe D:\Programme\Windows Media Player\WMPNSCFG.exe D:\Programme\Windows Live\Messenger\msnmsgr.exe D:\Programme\Windows Live\Messenger\usnsvc.exe D:\Programme\Yahoo!\Messenger\YahooMessenger.exe D:\WINDOWS\explorer.exe D:\Programme\Athan\Athan.exe D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\WINDOWS\system32\winlogon.exe D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe D:\Programme\ICQ6\ICQ.exe D:\Programme\Skype\Phone\Skype.exe D:\Programme\Skype\Plugin Manager\SkypePM.exe D:\Programme\Mozilla Firefox\firefox.exe D:\WINDOWS\system32\wuauclt.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - D:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - D:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - D:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "D:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Msn Messenger] kfozgbi.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [MsgCenterExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] D:\WINDOWS\system32\qttask.exe O4 - HKLM\..\RunServices: [Msn Messenger] kfozgbi.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [WMPNSCFG] D:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1007\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Alex') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 8875 bytes Kann sich vielleicht einer der Genies hier das Logfile angucken und mir sagen was zu machen ist, das Forum CHIP sagt dazu formatieren. |
Das Chip Forum sagt zu so ziemlich allem Formatieren. :Boogie: Ich würd sagen Auswertung der Datei kfozgbi.exe auf Virustotal und anschließend entweder mit Malwarebytes oder ein anderes geeignetes Tool anwenden. Das Chip Forum ist sowieso etwas extravagant in Sachen Bereinigung... Da müsste eigendlich nur eine Anleitung zum neu aufsetzen sein :rolleyes: Desweiteren kann dieses Thema eher ins Diskussionsforum. |
@Computergeni Editiere Dein Logfile Keine aktiven Links bitte Problembeschreibung fehlt auch |
Die Datei kfozgbi.exe lässt sích nicht finden selbst wenn ich Unterordner, versteckte Ordner und Sytemsordner per Windowssuche durchsuche und wenn ich die Ordneroptionen davor geändert habe. Also wenn ich bei ''Geschütze Systemdateien ausblenden(empfohlen)'' den Hacken weg mache, bei ''Alle Dateien und Ordner anzeigen'' einen Hacken mache, bei ''Inhalte von Systemordnern anzeigen'' einen Hacken mache und bei ''Erweiterungen bei bekannten Dateitypen ausblenden'' den Hacken wegmache. Und auch wenn ich bei www.virustotal.com eingebe C:\WINDOWS\system32\kfozgbi.exe oder D:\WINDOWS\system32\kfozgbi.exe kommt nichts! Zitat:
Gruß |
|
info: info.txt logfile of random's system information tool 1.02 2008-09-21 14:23:48 ======Uninstall list====== -->D:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 D:\WINDOWS\INF\PCHealth.inf Adobe Flash Player ActiveX-->D:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001} Adobe Shockwave Player-->D:\WINDOWS\system32\Macromed\SHOCKW~2\UNWISE.EXE D:\WINDOWS\system32\Macromed\SHOCKW~2\Install.log Apple Mobile Device Support-->MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543} ArcSoft PhotoImpression 4-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{68D5CEF9-0DA8-47FE-B0EB-4CBFB5AAF662}\setup.exe" -l0x7 Athan Basic 3.3-->D:\WINDOWS\iun6002.exe "D:\Programme\Athan\irunin.ini" Avira AntiVir Personal - Free Antivirus-->D:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE CCleaner (remove only)-->"D:\Programme\CCleaner\uninst.exe" CIB pdf brewer 2.2.4-->D:\Programme\InstallShield Installation Information\{F0312AC6-988B-11DA-9C49-000476F770CC}\setup.exe -runfromtemp -l0x0007 anything -removeonly C-Media WDM Audio Driver-->D:\WINDOWS\system32\cmirmdrv.exe DivX Codec-->D:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Player-->D:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Web Player-->D:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN EPSON Attach To Email-->D:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{20C45B32-5AB6-46A4-94EF-58950CAF05E5} /l1033 ADDREMOVEDLG EPSON Copy Utility 3-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{67EDD823-135A-4D59-87BD-950616D6E857}\SETUP.EXE" -l0x7 -UnInstall EPSON Easy Photo Print-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{5DA7BC15-18D3-41A0-9F59-838DA3EAEF17}\SETUP.EXE" -l0x7 UNINST EPSON File Manager-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{E86BC406-944E-41F6-ADE6-2C136734C96B}\Setup.exe" -l0x7 UNINST EPSON Image Clip Palette-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{314F6D08-A8B7-11D8-8446-0050BA1D384D}\Setup.exe" -l0x7 -u EPSON Scan Assistant-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}\Setup.exe" -l0x7 -u EPSON Scan-->D:\Programme\epson\escndv\setup\setup.exe /r EPSON Web-To-Page-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x7 -anything EPSON-Drucker-Software-->D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R ESDX4800_4200 Benutzerhandbuch-->D:\Programme\EPSON\TPMANUAL\ESDX4800_4200\USE_G\DOCUNINS.EXE Free Video to Mp3 Converter version 3.1-->"D:\Programme\DVDVideoSoft\Free Video to Mp3 Converter\unins000.exe" getPlus(R)_ocx-->rundll32.exe advpack.dll,LaunchINFSection D:\WINDOWS\inf\GETPLUSo.INF, DefaultUninstall HijackThis 2.0.2-->"D:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Windows Media Format 11 SDK (KB929399)-->"D:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Hotfix für Windows Internet Explorer 7 (KB947864)-->"D:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe" Hotfix für Windows Media Player 11 (KB939683)-->"D:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Hotfix für Windows XP (KB952287)-->"D:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" ICQ6-->"D:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly Image Transfer-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{564A8DD3-70BC-4018-A5C3-7CEB10BBB6E9}\Setup.exe" UNINSTALL ImageMixer for Sony-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{1B4AA674-F5CA-4BB5-831A-CD37B4021959}\setup.exe" InterActual Player-->D:\Program Files\InterActual\InterActual Player\inuninst.exe J2SE Runtime Environment 5.0 Update 11-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110} Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020} Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010} Kaspersky Online Scanner-->D:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe Labtec WebCam-Software-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{BF45F502-D3F2-4E7C-91D8-9AA5A8141D08}\setup.exe" -l0x7 Labtec® Camera-Treiber-->"D:\Programme\Gemeinsame Dateien\Logitech\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT MediaCoder 0.5.1-->D:\Programme\MediaCoder\uninst.exe Microsoft Compression Client Pack 1.0 for Windows XP-->"D:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Internationalized Domain Names Mitigation APIs-->"D:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"D:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00} Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"D:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Word 2002-->MsiExec.exe /I{911B0407-6000-11D3-8CFE-0050048383C9} Microsoft Works 2002-Setup-Start-->D:\Programme\Microsoft Works Suite 2002\Setup\Launcher.exe E:\ Microsoft Works Suite-Add-Ins für Microsoft Word-->MsiExec.exe /I{4EAD2E21-1D4A-4E2B-A082-8D08961539C9} MicroStaff WINASPI-->D:\MWASPI\uninst.exe Mozilla Firefox (3.0.1)-->D:\Programme\Mozilla Firefox\uninstall\helper.exe MP3Player-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{3EEB637C-BCA7-403F-AA09-BD2EBA62B0CE}\Setup.exe" MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} Nero OEM-->D:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL phonostar-Player Version 2.01.0-->"D:\Programme\phonostar\unins000.exe" PIF DESIGNER-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{B90450DF-E781-46FD-B1F1-0C86DA40E443}\SETUP.EXE" -l0x7 anything PowerCinema 2.5-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{2637C347-9DAD-11D6-9EA2-00055D0CA761}\setup.exe" -uninstall PowerDVD-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall PowerProducer-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\setup.exe" -uninstall QuickTime-->D:\WINDOWS\unvise32qt.exe D:\WINDOWS\system32\QuickTime\Uninstall.log RealPlayer-->D:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A} Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A} Setup-Start von Microsoft Works 2004-->D:\Programme\Microsoft Works Suite 2004\Setup\Launcher.exe /ARP K:\ Shockwave-->D:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE D:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)-->"D:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"D:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"D:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"D:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"D:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"D:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"D:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 8 (KB917734)-->"D:\WINDOWS\$NtUninstallKB917734_WMP8$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"D:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"D:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"D:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"D:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"D:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"D:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"D:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"D:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"D:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"D:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"D:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"D:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" SigmaTel MSCN Audio Player-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{C9B59DAD-86AC-456C-80A7-B665E77AA325}\Setup.exe" -l0x9 Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82} Sony USB Driver-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{5C29CB8B-AC1E-4114-8D68-9CD080140D4A}\Setup.exe" UNINSTALL Telekom TK-Soft-->D:\Programme\Telekom\TkSoft\vaporize.exe -u Uninstall 1.0.0.1-->"D:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe" Update für Windows XP (KB951072-v2)-->"D:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" VeohTV BETA-->D:\Programme\InstallShield Installation Information\{0405E51E-9582-4207-8F38-AC44201D3808}\setup.exe -runfromtemp -l0x0409 Viewpoint Media Player (Remove Only)-->D:\Programme\Viewpoint\Viewpoint Media Player\mtsAxInstaller.exe /u VLC media player 0.9.2-->D:\Programme\VideoLAN\VLC\uninstall.exe Windows Imaging Component-->"D:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe" Windows Live Anmelde-Assistent-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986} Windows Live Fotogalerie-->MsiExec.exe /X{A1D08B90-AE1A-4885-AC29-731496FD397E} Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6} Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220} Windows Media Format 11 runtime-->"D:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"D:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"D:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"D:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows XP Service Pack 3-->"D:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" X10 Hardware(TM)-->D:\WINDOWS\UNWISE.EXE D:\PROGRA~1\X10HAR~1\Install.log Yahoo! Messenger-->D:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U D:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG Zattoo 3.2.4 Beta-->D:\Programme\Zattoo\uninst.exe ======Security center information====== AV: Avira AntiVir PersonalEdition ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;D:\Programme\CIB software GmbH\CIB pdf brewer;D:\Programme\ImageConverter Plus "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel "PROCESSOR_REVISION"=0209 "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO -----------------EOF----------------- |
Hi, eine Dateien wird im Vordergrund maximiert, die andere erscheint minimiert in deiner Taskleiste. Teile entweder die Dateien und poste sie in Häppchen hier. Oder lade die Datein bei file-upload hoch und poste die LInks hier. lg myrtille |
[edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
Rest von log.txt 2008-09-03 13:13:52 ----D---- D:\Programme\Trend Micro 2008-09-03 11:52:49 ----DC---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe 2008-09-03 11:31:53 ----HDC---- D:\WINDOWS\$NtUninstallKB951748_0$ 2008-09-02 23:31:01 ----HDC---- D:\WINDOWS\$NtUninstallKB951376-v2_0$ 2008-09-02 23:30:54 ----HDC---- D:\WINDOWS\$NtUninstallKB952954_0$ 2008-09-02 23:30:47 ----HDC---- D:\WINDOWS\$NtUninstallKB946648_0$ 2008-09-02 23:30:20 ----HDC---- D:\WINDOWS\$NtUninstallKB953839$ 2008-09-02 23:30:01 ----HDC---- D:\WINDOWS\$NtUninstallKB950974_0$ 2008-09-02 23:29:54 ----HDC---- D:\WINDOWS\$NtUninstallKB951698_0$ 2008-09-02 23:29:48 ----HDC---- D:\WINDOWS\$NtUninstallKB950762_0$ 2008-09-02 23:29:41 ----HDC---- D:\WINDOWS\$NtUninstallKB951072-v2$ 2008-09-02 23:29:32 ----HDC---- D:\WINDOWS\$NtUninstallKB952287_0$ 2008-09-02 23:29:11 ----HDC---- D:\WINDOWS\$NtUninstallKB951066_0$ 2008-09-02 23:28:56 ----HDC---- D:\WINDOWS\$NtUninstallKB950749$ 2008-09-02 14:44:50 ----HDC---- D:\WINDOWS\ie8 2008-09-02 14:28:28 ----HDC---- D:\WINDOWS\$NtUninstallKB932823-v3$ 2008-09-02 14:13:01 ----A---- D:\WINDOWS\system32\javaws.exe 2008-09-02 14:13:01 ----A---- D:\WINDOWS\system32\javaw.exe 2008-09-02 14:13:01 ----A---- D:\WINDOWS\system32\java.exe 2008-09-02 14:01:06 ----DC---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-09-02 14:01:06 ----D---- D:\Programme\Avira 2008-08-22 03:05:00 ----N---- D:\WINDOWS\system32\PrivacIE.dll ======List of files/folders modified in the last 1 months====== 2008-09-21 12:05:26 ----D---- D:\WINDOWS\system32 2008-09-21 12:05:26 ----A---- D:\WINDOWS\system32\PerfStringBackup.INI 2008-09-21 12:04:37 ----D---- D:\WINDOWS\Temp 2008-09-21 12:03:37 ----D---- D:\Programme\Mozilla Firefox 2008-09-21 12:02:28 ----AC---- D:\WINDOWS\OEWABLog.txt 2008-09-21 12:01:39 ----D---- D:\WINDOWS\system32\CatRoot2 2008-09-21 12:01:31 ----AC---- D:\WINDOWS\setuplog.txt 2008-09-21 12:01:29 ----D---- D:\WINDOWS 2008-09-21 12:00:42 ----D---- D:\WINDOWS\system32\Setup 2008-09-21 12:00:42 ----D---- D:\WINDOWS\AppPatch 2008-09-21 12:00:42 ----D---- D:\Programme\Messenger 2008-09-21 12:00:41 ----D---- D:\WINDOWS\system32\wbem 2008-09-21 12:00:40 ----RSD---- D:\WINDOWS\Fonts 2008-09-21 12:00:33 ----D---- D:\WINDOWS\system32\drivers 2008-09-21 11:59:12 ----D---- D:\WINDOWS\security 2008-09-21 11:59:03 ----A---- D:\WINDOWS\SchedLgU.Txt 2008-09-21 11:57:02 ----HD---- D:\WINDOWS\inf 2008-09-21 11:56:46 ----D---- D:\WINDOWS\system32\CatRoot 2008-09-21 11:56:45 ----RSHDC---- D:\WINDOWS\system32\dllcache 2008-09-21 11:41:42 ----D---- D:\WINDOWS\WinSxS 2008-09-21 11:41:35 ----D---- D:\WINDOWS\ServicePackFiles 2008-09-21 11:41:33 ----D---- D:\WINDOWS\network diagnostic 2008-09-21 11:41:33 ----D---- D:\WINDOWS\ime 2008-09-21 11:41:32 ----D---- D:\WINDOWS\Help 2008-09-21 11:41:16 ----D---- D:\WINDOWS\system32\usmt 2008-09-21 11:41:16 ----D---- D:\WINDOWS\system32\de-de 2008-09-21 11:41:13 ----SHD---- D:\WINDOWS\Installer 2008-09-21 11:41:12 ----D---- D:\WINDOWS\system32\bits 2008-09-21 11:41:12 ----D---- D:\WINDOWS\peernet 2008-09-21 11:41:12 ----D---- D:\Programme\Movie Maker 2008-09-21 11:37:14 ----D---- D:\WINDOWS\system32\Restore 2008-09-21 11:37:14 ----D---- D:\WINDOWS\system32\npp 2008-09-21 11:37:12 ----D---- D:\WINDOWS\msagent 2008-09-21 11:37:11 ----D---- D:\WINDOWS\srchasst 2008-09-21 11:37:10 ----D---- D:\Programme\NetMeeting 2008-09-21 11:37:07 ----D---- D:\WINDOWS\system32\Com 2008-09-21 11:37:05 ----D---- D:\Programme\Windows Media Player 2008-09-21 11:37:04 ----D---- D:\Programme\Windows NT 2008-09-21 11:37:04 ----D---- D:\Programme\Outlook Express 2008-09-21 11:37:01 ----D---- D:\Programme\Gemeinsame Dateien\System 2008-09-21 11:36:37 ----D---- D:\WINDOWS\system32\oobe 2008-09-21 11:36:34 ----D---- D:\WINDOWS\system 2008-09-21 11:32:16 ----D---- D:\WINDOWS\system32\ReinstallBackups 2008-09-21 11:31:44 ----HDC---- D:\WINDOWS\$NtServicePackUninstall$ 2008-09-21 11:26:36 ----D---- D:\WINDOWS\EHome 2008-09-20 22:43:22 ----D---- D:\Programme 2008-09-20 20:29:36 ----DC---- D:\Dokumente und Einstellungen\Mouloud\Anwendungsdaten\Skype 2008-09-20 16:07:43 ----DC---- D:\Dokumente und Einstellungen\Mouloud\Anwendungsdaten\skypePM 2008-09-20 08:56:19 ----RD---- D:\Programme\LimeWire 2008-09-19 20:07:39 ----DC---- D:\Dokumente und Einstellungen\Mouloud\Anwendungsdaten\phonostar-Player 2008-09-19 20:07:39 ----D---- D:\Programme\phonostar 2008-09-19 15:20:03 ----SHD---- D:\System Volume Information 2008-09-19 07:45:57 ----A---- D:\WINDOWS\win.ini 2008-09-19 07:45:57 ----A---- D:\WINDOWS\system.ini 2008-09-19 07:45:56 ----D---- D:\WINDOWS\pss 2008-09-19 07:44:23 ----AC---- D:\WINDOWS\ntbtlog.txt 2008-09-18 16:41:12 ----SDC---- D:\Dokumente und Einstellungen\Mouloud\Anwendungsdaten\Microsoft 2008-09-17 09:52:51 ----A---- D:\WINDOWS\NeroDigital.ini 2008-09-16 16:53:48 ----D---- D:\WINDOWS\SoftwareDistribution 2008-09-14 20:11:47 ----DC---- D:\Dokumente und Einstellungen\Mouloud\Anwendungsdaten\ICQ 2008-09-14 13:58:46 ----SD---- D:\WINDOWS\Downloaded Program Files 2008-09-12 13:10:04 ----D---- D:\Programme\Yahoo! 2008-09-11 16:45:52 ----AC---- D:\WINDOWS\cdplayer.ini 2008-09-10 22:10:27 ----D---- D:\Programme\Athan 2008-09-10 17:13:02 ----HD---- D:\WINDOWS\$hf_mig$ 2008-09-05 16:17:04 ----SHD---- D:\RECYCLER 2008-09-05 16:08:46 ----DC---- D:\Dokumente und Einstellungen 2008-09-04 19:56:43 ----DC---- D:\Dokumente und Einstellungen\Mouloud\Anwendungsdaten\DivX 2008-09-03 17:06:15 ----D---- D:\Programme\Gemeinsame Dateien\DVDVideoSoft 2008-09-03 17:06:09 ----D---- D:\Programme\DVDVideoSoft 2008-09-03 16:31:49 ----D---- D:\Programme\eChanblard 2008-09-03 16:22:52 ----D---- D:\Programme\Microsoft Encarta 2008-09-03 15:49:55 ----DC---- D:\Dokumente und Einstellungen\Mouloud\Anwendungsdaten\Adobe 2008-09-03 14:20:57 ----D---- D:\Programme\Gemeinsame Dateien 2008-09-03 14:20:50 ----D---- D:\Programme\Gemeinsame Dateien\Real 2008-09-03 14:20:45 ----A---- D:\WINDOWS\system32\rmoc3260.dll 2008-09-03 14:20:29 ----A---- D:\WINDOWS\system32\pndx5032.dll 2008-09-03 14:20:29 ----A---- D:\WINDOWS\system32\pndx5016.dll 2008-09-03 14:20:24 ----A---- D:\WINDOWS\system32\pncrt.dll 2008-09-03 11:53:16 ----D---- D:\Programme\Gemeinsame Dateien\Adobe 2008-09-03 11:51:34 ----D---- D:\Programme\Adobe 2008-09-03 11:45:33 ----HD---- D:\Programme\InstallShield Installation Information 2008-09-03 11:08:45 ----D---- D:\Programme\Home Cinema 2008-09-03 10:54:27 ----A---- D:\WINDOWS\marscam.ini 2008-09-03 08:44:13 ----D---- D:\WINDOWS\Internet Logs 2008-09-03 08:44:13 ----D---- D:\Programme\WinRAR 2008-09-02 20:09:02 ----D---- D:\Programme\ICQ6 2008-09-02 14:55:37 ----RHDC---- D:\Dokumente und Einstellungen\Mouloud\Anwendungsdaten\yahoo! 2008-09-02 14:50:41 ----D---- D:\WINDOWS\Media 2008-09-02 14:50:41 ----D---- D:\Programme\Internet Explorer 2008-09-02 14:44:00 ----D---- D:\WINDOWS\Debug 2008-09-02 14:17:30 ----DC---- D:\Dokumente und Einstellungen\Mouloud\Anwendungsdaten\Mozilla 2008-09-02 14:13:00 ----D---- D:\Programme\Java 2008-09-02 14:10:22 ----D---- D:\WINDOWS\Downloaded Installations 2008-09-02 13:56:37 ----D---- D:\Programme\Google 2008-09-02 13:35:16 ----DC---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google 2008-09-02 13:19:48 ----D---- D:\Programme\PeterZahlt Toolbar 2008-09-02 13:16:58 ----D---- D:\Programme\Gemeinsame Dateien\Symantec Shared 2008-09-02 13:16:36 ----SD---- D:\WINDOWS\Tasks 2008-09-02 12:01:14 ----D---- D:\WINDOWS\system32\config 2008-09-02 12:00:57 ----D---- D:\WINDOWS\Registration 2008-09-02 09:37:48 ----DC---- D:\Dokumente und Einstellungen\Mouloud\Anwendungsdaten\Real 2008-08-26 22:28:12 ----A---- D:\WINDOWS\system32\MRT.exe 2008-08-22 14:20:20 ----A---- D:\WINDOWS\system32\ieframe.dll.mui 2008-08-22 14:18:50 ----A---- D:\WINDOWS\system32\advpack.dll.mui 2008-08-22 03:10:34 ----A---- D:\WINDOWS\system32\ieframe.dll 2008-08-22 03:09:32 ----A---- D:\WINDOWS\system32\mshtml.dll 2008-08-22 03:08:22 ----A---- D:\WINDOWS\system32\WinFXDocObj.exe 2008-08-22 03:08:22 ----A---- D:\WINDOWS\system32\urlmon.dll 2008-08-22 03:08:08 ----A---- D:\WINDOWS\system32\webcheck.dll 2008-08-22 03:08:06 ----A---- D:\WINDOWS\system32\wininet.dll 2008-08-22 03:08:00 ----A---- D:\WINDOWS\system32\licmgr10.dll 2008-08-22 03:07:58 ----A---- D:\WINDOWS\system32\url.dll 2008-08-22 03:07:50 ----A---- D:\WINDOWS\system32\occache.dll 2008-08-22 03:07:50 ----A---- D:\WINDOWS\system32\msrating.dll 2008-08-22 03:06:58 ----A---- D:\WINDOWS\system32\jsproxy.dll 2008-08-22 03:06:44 ----A---- D:\WINDOWS\system32\iedkcs32.dll 2008-08-22 03:06:40 ----A---- D:\WINDOWS\system32\ieaksie.dll 2008-08-22 03:06:36 ----A---- D:\WINDOWS\system32\vbscript.dll 2008-08-22 03:06:36 ----A---- D:\WINDOWS\system32\ieakeng.dll 2008-08-22 03:06:30 ----A---- D:\WINDOWS\system32\jscript.dll 2008-08-22 03:06:30 ----A---- D:\WINDOWS\system32\admparse.dll 2008-08-22 03:06:24 ----A---- D:\WINDOWS\system32\ieudinit.exe 2008-08-22 03:06:24 ----A---- D:\WINDOWS\system32\iesetup.dll 2008-08-22 03:06:24 ----A---- D:\WINDOWS\system32\ieakui.dll 2008-08-22 03:06:24 ----A---- D:\WINDOWS\system32\ie4uinit.exe 2008-08-22 03:06:20 ----A---- D:\WINDOWS\system32\iernonce.dll 2008-08-22 03:06:16 ----A---- D:\WINDOWS\system32\inseng.dll 2008-08-22 03:06:16 ----A---- D:\WINDOWS\system32\advpack.dll 2008-08-22 03:06:02 ----A---- D:\WINDOWS\system32\iertutil.dll 2008-08-22 03:05:48 ----A---- D:\WINDOWS\system32\msfeeds.dll 2008-08-22 03:05:34 ----A---- D:\WINDOWS\system32\mstime.dll 2008-08-22 03:05:24 ----A---- D:\WINDOWS\system32\iepeers.dll 2008-08-22 03:05:22 ----A---- D:\WINDOWS\system32\msfeedssync.exe 2008-08-22 03:05:22 ----A---- D:\WINDOWS\system32\msfeedsbs.dll 2008-08-22 03:05:20 ----A---- D:\WINDOWS\system32\icardie.dll 2008-08-22 03:05:16 ----A---- D:\WINDOWS\system32\dxtmsft.dll 2008-08-22 03:05:14 ----A---- D:\WINDOWS\system32\pngfilt.dll 2008-08-22 03:05:14 ----A---- D:\WINDOWS\system32\imgutil.dll 2008-08-22 03:05:10 ----A---- D:\WINDOWS\system32\dxtrans.dll 2008-08-22 03:05:08 ----A---- D:\WINDOWS\system32\mshtmled.dll 2008-08-22 03:05:00 ----A---- D:\WINDOWS\system32\mshtmler.dll 2008-08-22 03:04:54 ----A---- D:\WINDOWS\system32\mshta.exe 2008-08-22 02:58:12 ----A---- D:\WINDOWS\system32\ieui.dll 2008-08-22 02:57:56 ----A---- D:\WINDOWS\system32\msls31.dll 2008-08-22 02:42:22 ----A---- D:\WINDOWS\system32\ieapfltr.dll ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\D:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; D:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-06-27 75072] R1 intelppm;Intel-Prozessortreiber; D:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 kbdhid;Tastatur-HID-Treiber; D:\WINDOWS\System32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 SSHDRV62;SSHDRV62; \??\D:\WINDOWS\system32\drivers\SSHDRV62.sys [] R1 ssmdrv;ssmdrv; D:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248] R2 Aspi32;Aspi32; D:\WINDOWS\system32\drivers\Aspi32.sys [1999-09-10 25244] R2 MASPINT;MASPINT; D:\WINDOWS\system32\drivers\MASPINT.sys [2000-03-29 8096] R3 Arp1394;1394-ARP-Clientprotokoll; D:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800] R3 avgntflt;avgntflt; \??\D:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [] R3 Cap7134;MEDION (7134) WDM Video Capture; D:\WINDOWS\System32\DRIVERS\Cap7134.sys [2003-06-05 350752] R3 cmuda;C-Media WDM Audio Interface; D:\WINDOWS\system32\drivers\cmuda.sys [2006-06-09 1373120] R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; D:\WINDOWS\System32\DRIVERS\fetnd5b.sys [2002-10-29 40960] R3 hidusb;Microsoft HID Class-Treiber; D:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-14 10368] R3 LVUSBSta;Logitech USB Monitor Filter; D:\WINDOWS\system32\drivers\lvusbsta.sys [2005-04-01 22016] R3 mouhid;Maus-HID-Treiber; D:\WINDOWS\System32\DRIVERS\mouhid.sys [2003-04-02 12288] R3 NIC1394;1394-Netzwerktreiber; D:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824] R3 nv;nv; D:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-04 1897408] R3 PDDSLADP;ProDyne DSL Adapter; D:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-06-23 15571] R3 pepifilter;Volume Adapter; D:\WINDOWS\System32\DRIVERS\lv302af.sys [2005-04-01 7072] R3 pfc;Padus ASPI Shell; D:\WINDOWS\system32\drivers\pfc.sys [2003-12-05 10368] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3; D:\WINDOWS\System32\DRIVERS\PhTVTune.sys [2003-06-12 24704] R3 PID_08A0;Labtec WebCam(PID_08A0); D:\WINDOWS\System32\DRIVERS\LV302AV.SYS [2005-04-01 913280] R3 PRISM_A00;PRISM 802.11g Driver; D:\WINDOWS\System32\DRIVERS\PRISMA00.sys [2004-01-16 380736] R3 usbaudio;USB-Audiotreiber (WDM); D:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; D:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-14 32128] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; D:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;USB2-aktivierter Hub; D:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbstor;USB-Massenspeichertreiber; D:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; D:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608] R3 XUIF;X10 USB Wireless Transceiver; D:\WINDOWS\System32\Drivers\x10ufx2.sys [2004-01-16 17408] S1 eeCtrl;Symantec Eraser Control driver; \??\D:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys [] S3 ati2mtag;ati2mtag; D:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2004-08-04 701952] S3 CCDECODE;Untertiteldecoder; D:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-14 17024] S3 MR97310_USB_DUAL_CAMERA;MR97310 CIF Dual Mode Camera; D:\WINDOWS\System32\DRIVERS\mr97310c.sys [] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; D:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; D:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2008-04-14 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; D:\WINDOWS\System32\DRIVERS\NdisIP.sys [2008-04-14 10880] S3 SLIP;BDA Slip De-Framer; D:\WINDOWS\System32\DRIVERS\SLIP.sys [2008-04-14 11136] S3 streamip;BDA-IPSink; D:\WINDOWS\System32\DRIVERS\StreamIP.sys [2008-04-14 15232] S3 usbprint;Microsoft USB-Druckerklasse; D:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-14 25856] S3 usbscan;USB-Scannertreiber; D:\WINDOWS\System32\DRIVERS\usbscan.sys [2008-04-14 15104] S3 WpdUsb;WpdUsb; D:\WINDOWS\System32\Drivers\wpdusb.sys [2006-10-18 38528] S3 WSTCODEC;World Standard Teletext-Codec; D:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; D:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; D:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; D:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-06-12 68865] R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-09-02 149761] R2 Apple Mobile Device;Apple Mobile Device; D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-02-18 110592] R2 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; D:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; D:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328] S3 WLSetupSvc;Windows Live Setup Service; D:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; D:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S3 x10nets;X10 Device Network Service; D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480] -----------------EOF----------------- Zitat:
Gruß |
Was hast du heute morgenum 20 vor 12 gemacht? :confused: Hast du nen Image eingespielt? Dein Log weißt einige Unregelmäßigkeiten auf. Hast du selber schon Sachen gelöscht? Bereinigt? lg myrtille |
Ähm ich weis es nicht. Ich habe auf jeden Fall nichts versucht zu bereinigen. Ich weis nur dass ich heute SP3 installiert habe so um 20 vor 12...Kann das sein mit dem SP3? Gruß danke |
Ja das kann hinkommen. :schmoll: Aber dann versuchen wirs anders: (und nein es sind keine 4 Virenscanner, es ist ein Virenscanner und 3 rootkitscanner :p ) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
lg myrtille |
Wenn ich den Kaspersky Scanner starten will kommt zuerst ein Text mit Akzeptieren und Ablehnen dort drücke ich dann auf Akzeptieren, aber es passiert nichts? Edit: Es lag daran dass ich nicht den IE benutzt hatte. Zitat:
Soll ich dann vor dem Scan vom Kaspersky Scanner und drei anderen Scans den Stecker vom Router ziehen? PS: Die Intialisierung des Scans ist zurzeit bei 85% Gruß |
Hi, das gilt nur für die Rootkitscanner. lg ymrtille |
http://www.file-upload.net/download-1127043/kaspersky.txt.html |
Hi, na immerhin wissen wir jetzt schonmal wie dein Problem auf den Rechner gekommen sein dürfte: Zitat:
lg myrtille |
der gmer ist gerade fertig, aber wo ist die Zwischenablage??Also wo finde ich das Logfile? |
Setz den Cursor in deine Antwort und drücke strg und v gleichzeitig. Oder über Rechtsklick und dann auf Einfügen. lg myrtille |
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-21 18:14:38 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 |
GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-09-21 18:36:48 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT F8B6E8C4 ZwCreateThread SSDT F8B6E8B0 ZwOpenProcess SSDT F8B6E8B5 ZwOpenThread SSDT F8B6E8BF ZwTerminateProcess SSDT F8B6E8BA ZwWriteVirtualMemory ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) ---- EOF - GMER 1.0.14 ---- |
Den anderen Test mache ich morgen, da ich jetzt ein Meeting habe :) Schönen tag noch! |
hab es doch noch geschafft hier ist das Ergebnis des RootkitRevealer: Code: HKLM\SECURITY\Policy\Secrets\SAC* 11.02.2007 21:02 0 bytes Key name contains embedded nulls (*) |
Es fällt schwer zu glauben, dass an diesem Rechner nichts manipuliert/bereinigt/verändert wurde. Insbesondere nach deinem ursprünglichen Auftreten hier. Vor allem da ich sozusagen den Beweis hab, dass das System bereits woanders bereinigt werden sollten (und verändert wurde): Link Ohne das du da etwas zu gesagt hast. Wer sagt mir dass du nicht vorher schon woanders warst und uns jetzt zum Narren hältst? Ich bleib bei meiner Aussage: Das ist vermutlich ein RBot. SDFix sollte in der Lage sein ihn zu entfernen. Aber da du so ein großer Fan vom Neuaufsetzen bist und die ganze Vorgeschichte mehr als undurchsichtig ist, würde ich DIR das empfehlen. lg myrtille |
Hallo ich habe bei diesem Link, aber nichts verändert bereingt ich habe nur versucht die datei zu finden? Aber im Forum Chip wurde mir nurformatieren empfolen und das ahbe ich vor paar Monaten, deswegen habe ich mir an das trojaner-board gewendet. Eine Einleitung zu SDFix fände ich nett. Gruß |
Hi, dann versuch mal SDFix:
lg myrtille |
Der Report: SDFix: Version 1.228 Run by Mouloud on 24.09.2008 at 12:37 Microsoft Windows XP [Version 5.1.2600] Running From: D:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP2.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP3.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP5.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP6.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP1E.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP2.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP24.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP3.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP34.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP35.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP49.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4A.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4B.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4C.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4F.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP5.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP52.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP6.tmp - Deleted D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMPC7.tmp - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2008-09-24 12:45:49 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "D:\\Programme\\Messenger\\msmsgs.exe"="D:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "D:\\Programme\\ICQLite\\ICQLite.exe"="D:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "D:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="D:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger" "D:\\Programme\\ICQ6\\ICQ.exe"="D:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "D:\\Programme\\Windows Live\\Messenger\\livecall.exe"="D:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "D:\\Programme\\FlashGet\\flashget.exe"="D:\\Programme\\FlashGet\\flashget.exe:*:Enabled:Flashget" "D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client" "D:\\Programme\\VideoLAN\\VLC\\vlc.exe"="D:\\Programme\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player" "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer" "D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="D:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server" "D:\\Programme\\Zattoo\\zattood.exe"="D:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood" "D:\\Programme\\Zattoo\\Zattoo1.exe"="D:\\Programme\\Zattoo\\Zattoo1.exe:*:Enabled: " "D:\\Programme\\Skype\\Phone\\Skype.exe"="D:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "D:\\Programme\\Windows Live\\Messenger\\livecall.exe"="D:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "D:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe"="D:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe:*:Enabled:onlineTV" Remaining Files : File Backups: - D:\SDFix\backups\backups.zip Files with Hidden Attributes : Fri 11 May 2007 4,348 A.SH. --- "D:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Sun 3 Feb 2008 124,928 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Desktop\~WRL0638.tmp" Mon 19 Mar 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0005.tmp" Fri 23 Nov 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0006.tmp" Sat 16 Jun 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0107.tmp" Sat 16 Jun 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0126.tmp" Mon 19 Mar 2007 24,576 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0140.tmp" Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0194.tmp" Sat 16 Jun 2007 26,112 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0277.tmp" Sun 10 Jun 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0491.tmp" Sat 16 Jun 2007 25,600 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0518.tmp" Mon 19 Mar 2007 24,576 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0719.tmp" Mon 19 Mar 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1339.tmp" Sat 16 Jun 2007 25,600 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1440.tmp" Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1737.tmp" Mon 19 Mar 2007 22,016 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1954.tmp" Mon 19 Mar 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2159.tmp" Mon 19 Mar 2007 24,576 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2172.tmp" Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2474.tmp" Sat 16 Jun 2007 26,112 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2570.tmp" Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2616.tmp" Mon 19 Mar 2007 23,552 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2804.tmp" Mon 19 Mar 2007 20,992 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2962.tmp" Mon 19 Mar 2007 23,040 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL3059.tmp" Sat 16 Jun 2007 27,136 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL3682.tmp" Mon 19 Mar 2007 23,552 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL4003.tmp" Mon 19 Mar 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL4039.tmp" Sat 20 Sep 2008 228 A..H. --- "D:\Program Files\InterActual\InterActual Player\iti1.tmp" Fri 23 Nov 2007 0 A.SH. --- "D:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Tue 1 May 2007 44,032 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Sidi\~WRL0618.tmp" Sun 15 Apr 2007 41,984 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Sidi\~WRL2581.tmp" Tue 1 May 2007 45,056 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Sidi\~WRL2653.tmp" Fri 19 Sep 2008 84 A..H. --- "D:\Programme\Common Files\X10\Common\x10prod.sys" Tue 19 Jun 2007 32,256 A..H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Word-Dokumente\Paris\~WRL0014.tmp" Finished! |
Und hier mein neues Hijackthis-Logfile : Logfile of Trend Micro Hijac*This v2.0.2 Scan saved at 13:13:47, on 24.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\WINDOWS\Explorer.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\RunDll32.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\WINDOWS\System32\LVCOMSX.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\phonostar\ps_timer.exe D:\WINDOWS\system32\winlogon.exe D:\Programme\Mozilla Firefox\firefox.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1007\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Alex') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - h*tp://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - ht*p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1 O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - ht*p://chat.yahoo.com/cab/yuplapp.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hxxp://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1 O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hxxp://www.adobe.com/products/acrobat/nos/gp.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6494 bytes Gruß Computergeni(e) |
Hi, die Logs sind jetzt sauber. Hattest du die Einträge gefixt? Folgende Einträge kannst du auch noch fixen: Zitat:
|
Zitat:
Zitat:
Noch eine Frage: Wenn ich zum Systemkonfigurationsprogramm gehe und dort zum reiter ''Systemstart'' wechsele steht dort immer noch kfozgbi.exe [den Hacken davon habe ich vor kurzem schon im abgesicherten Modus weggemacht) und davor natürlich die Systemwiederherstellung auf allen laufwerken deaktiviert)] Wie soll ich vorgehen? Gruß |
Zitat:
Setz den Haken bei msconfig wieder rein, ruf Hijackthis auf und fixe die beiden Einträge. (kannst du alles im abgesicherten modus machen) Ansonsten kannst du auch regedit aufrufen (start->ausführen->regedit eingeben) und die Einträge manuell löschen. Ich würd dir aber empfehlen, das mit Hijackthis zu tun. lg myrtille |
Zitat:
Zitat:
Gruß |
Es ist auch noch eine svchost.exe im Systemstart. Die Datei ist unter D:\WINDOWS\drivers\svchost gespeichert. Habe die Datei daraufhin bei virustotal hochgeladen und das Ergebnis ist 14/36%. Hier der Report: Datei svchost.exe empfangen 2008.09.27 13:42:51 (CET) AntivirusVersionletzte aktualisierungErgebnisAhnLab-V32008.9.25.02008.09.26-AntiVir7.8.1.342008.09.26-Authentium5.1.0.42008.09.27-Avast4.8.1195.02008.09.26-AVG8.0.0.1612008.09.26SHeur.CKPGBitDefender7.22008.09.27-CAT-QuickHeal9.502008.09.27TrojanDownloader.Agent.ahkmClamAV0.93.12008.09.27-DrWeb4.44.0.091702008.09.27-eSafe7.0.17.02008.09.25Win32.Agent.ahkmeTrust-Vet31.6.61112008.09.27-Ewido4.02008.09.27-F-Prot4.4.4.562008.09.27-F-Secure8.0.14332.02008.09.27Trojan-Downloader.Win32.Agent.ahkmFortinet3.113.0.02008.09.27PossibleThreatGData192008.09.27-IkarusT3.1.1.34.02008.09.27Trojan-Downloader.Win32.Agent.ahkmK7AntiVirus7.10.4752008.09.26-Kaspersky7.0.0.1252008.09.27Trojan-Downloader.Win32.Agent.ahkmMcAfee53932008.09.27Generic Downloader.xMicrosoft1.39032008.09.27TrojanDownloader:Win32/Small.IQNOD3234752008.09.26-Norman5.80.022008.09.26-Panda9.0.0.42008.09.27-PCTools4.4.2.02008.09.26-Prevx1V22008.09.27Cloaked MalwareRising20.63.52.002008.09.27-SecureWeb-Gateway6.7.62008.09.26-Sophos4.34.02008.09.27Mal/Generic-ASunbelt3.1.1675.12008.09.27Trojan-Downloader.Win32.Agent.ahkmSymantec102008.09.27DownloaderTheHacker6.3.0.9.0942008.09.25-TrendMicro8.700.0.10042008.09.26-VBA323.12.8.62008.09.27-ViRobot2008.9.26.13942008.09.26Trojan.Win32.Downloader.30208.AFVirusBuster4.5.11.02008.09.26-weitere InformationenFile size: 30208 bytesMD5...: 0c688f2abd34a127ce1a21632fedadacSHA1..: bc37dda5574e42cd3421168f5e435045c371f698SHA256: 5ab774c9c111a3d875b68f47f9569633e32ab42023a63bc04975e59691c95282SHA512: 27e23f4dca12821accfc74f817c42bf65751ea843c43d5b520b27a9e39828944<br>8baa306678b443a57121ff7c4dda87829ac0fda01fed9d03476f1d99a627ae43PEiD..: -TrID..: File type identification<br>Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>VXD Driver (0.1%)PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4010d3<br>timedatestamp.....: 0x484cfe4f (Mon Jun 09 09:56:31 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xafd 0xc00 3.53 4994df03dd451c2aedb4c6006b51e23f<br>.rdata 0x2000 0xb6f 0xc00 5.17 28d1952e9d83b47734e1d7498f11967a<br>.data 0x3000 0x1cee7 0x5a00 7.16 8ae6e41f2770547a53024900b2ba798f<br><br>( 5 imports ) <br>> kernel32.dll: GetCurrentProcess, GetStringTypeW, MultiByteToWideChar, GetOEMCP, GetStdHandle, SetFilePointer, GetFileType, GetCommandLineA, WriteFile, CreateFileA, GetACP, GetCPInfo, GetVersion, lstrcpynW, GetModuleFileNameA, GetStringTypeA, LCMapStringW, lstrcpynA, TerminateProcess, LCMapStringA, GetStartupInfoA, lstrcpyA, lstrcatA<br>> comctl32.dll: ImageList_Add, ImageList_LoadImageW, CreateStatusWindow, DllGetVersion, ImageList_Copy, ImageList_GetIcon, CreateMappedBitmap, ImageList_EndDrag, DrawStatusText, ImageList_LoadImageA, ImageList_AddIcon, ImageList_DragEnter, ImageList_DrawEx, InitCommonControls, ImageList_GetIconSize, CreateUpDownControl, ImageList_Draw, CreateToolbarEx, MenuHelp, CreateToolbar<br>> gdi32.dll: CreateHalftonePalette, CreateDIBitmap, ExcludeClipRect, CreatePenIndirect, GetDCOrgEx, GetClipBox, DeleteObject, CreatePalette, CreateCompatibleDC, CreateDIBSection, CreateSolidBrush, GetBrushOrgEx, DeleteDC, SetTextColor, GetCurrentPositionEx, GetBitmapBits, CreateFontIndirectA, GetPixel, RestoreDC, CreateCompatibleBitmap, GetPixel<br>> advapi32.dll: RegCreateKeyExA, RegEnumKeyA, RegSetValueA, RegQueryValueW, RegQueryValueA, RegDeleteValueA, RegDeleteKeyA, RegDeleteValueW, RegCreateKeyW, RegEnumKeyExA, RegOpenKeyA, RegOpenKeyExA, RegEnumValueW, RegCreateKeyExW, RegDeleteKeyW, RegQueryValueExW, RegCreateKeyA, RegSetValueW, RegEnumKeyExW, RegEnumValueA, RegOpenKeyExW, RegOpenKeyW<br>> user32.dll: CopyIcon, CreateIcon, GetFocus, CloseWindow, InsertMenuA, DialogBoxParamA, CopyImage, DrawIconEx, CopyRect, LoadCursorA, IsWindow, GetCursor, GetDlgItem, DrawIcon, DialogBoxParamW, GetWindowTextLengthA, DrawTextA, IsMenu, GetWindowTextA, LoadMenuA, GetDC, GetMenu<br><br>( 0 exports ) <br>Prevx info: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.25.0 2008.09.26 - AntiVir 7.8.1.34 2008.09.26 - Authentium 5.1.0.4 2008.09.27 - Avast 4.8.1195.0 2008.09.26 - AVG 8.0.0.161 2008.09.26 SHeur.CKPG BitDefender 7.2 2008.09.27 - CAT-QuickHeal 9.50 2008.09.27 TrojanDownloader.Agent.ahkm ClamAV 0.93.1 2008.09.27 - DrWeb 4.44.0.09170 2008.09.27 - eSafe 7.0.17.0 2008.09.25 Win32.Agent.ahkm eTrust-Vet 31.6.6111 2008.09.27 - Ewido 4.0 2008.09.27 - F-Prot 4.4.4.56 2008.09.27 - F-Secure 8.0.14332.0 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm Fortinet 3.113.0.0 2008.09.27 PossibleThreat GData 19 2008.09.27 - Ikarus T3.1.1.34.0 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm K7AntiVirus 7.10.475 2008.09.26 - Kaspersky 7.0.0.125 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm McAfee 5393 2008.09.27 Generic Downloader.x Microsoft 1.3903 2008.09.27 TrojanDownloader:Win32/Small.IQ NOD32 3475 2008.09.26 - Norman 5.80.02 2008.09.26 - Panda 9.0.0.4 2008.09.27 - PCTools 4.4.2.0 2008.09.26 - Prevx1 V2 2008.09.27 Cloaked Malware Rising 20.63.52.00 2008.09.27 - SecureWeb-Gateway 6.7.6 2008.09.26 - Sophos 4.34.0 2008.09.27 Mal/Generic-A Sunbelt 3.1.1675.1 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm Symantec 10 2008.09.27 Downloader TheHacker 6.3.0.9.094 2008.09.25 - TrendMicro 8.700.0.1004 2008.09.26 - VBA32 3.12.8.6 2008.09.27 - ViRobot 2008.9.26.1394 2008.09.26 Trojan.Win32.Downloader.30208.AF VirusBuster 4.5.11.0 2008.09.26 - weitere Informationen File size: 30208 bytes MD5...: 0c688f2abd34a127ce1a21632fedadac SHA1..: bc37dda5574e42cd3421168f5e435045c371f698 SHA256: 5ab774c9c111a3d875b68f47f9569633e32ab42023a63bc04975e59691c95282 SHA512: 27e23f4dca12821accfc74f817c42bf65751ea843c43d5b520b27a9e39828944<br>8baa306678b443a57121ff7c4dda87829ac0fda01fed9d03476f1d99a627ae43 PEiD..: - TrID..: File type identification<br>Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>VXD Driver (0.1%) PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4010d3<br>timedatestamp.....: 0x484cfe4f (Mon Jun 09 09:56:31 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xafd 0xc00 3.53 4994df03dd451c2aedb4c6006b51e23f<br>.rdata 0x2000 0xb6f 0xc00 5.17 28d1952e9d83b47734e1d7498f11967a<br>.data 0x3000 0x1cee7 0x5a00 7.16 8ae6e41f2770547a53024900b2ba798f<br><br>( 5 imports ) <br>> kernel32.dll: GetCurrentProcess, GetStringTypeW, MultiByteToWideChar, GetOEMCP, GetStdHandle, SetFilePointer, GetFileType, GetCommandLineA, WriteFile, CreateFileA, GetACP, GetCPInfo, GetVersion, lstrcpynW, GetModuleFileNameA, GetStringTypeA, LCMapStringW, lstrcpynA, TerminateProcess, LCMapStringA, GetStartupInfoA, lstrcpyA, lstrcatA<br>> comctl32.dll: ImageList_Add, ImageList_LoadImageW, CreateStatusWindow, DllGetVersion, ImageList_Copy, ImageList_GetIcon, CreateMappedBitmap, ImageList_EndDrag, DrawStatusText, ImageList_LoadImageA, ImageList_AddIcon, ImageList_DragEnter, ImageList_DrawEx, InitCommonControls, ImageList_GetIconSize, CreateUpDownControl, ImageList_Draw, CreateToolbarEx, MenuHelp, CreateToolbar<br>> gdi32.dll: CreateHalftonePalette, CreateDIBitmap, ExcludeClipRect, CreatePenIndirect, GetDCOrgEx, GetClipBox, DeleteObject, CreatePalette, CreateCompatibleDC, CreateDIBSection, CreateSolidBrush, GetBrushOrgEx, DeleteDC, SetTextColor, GetCurrentPositionEx, GetBitmapBits, CreateFontIndirectA, GetPixel, RestoreDC, CreateCompatibleBitmap, GetPixel<br>> advapi32.dll: RegCreateKeyExA, RegEnumKeyA, RegSetValueA, RegQueryValueW, RegQueryValueA, RegDeleteValueA, RegDeleteKeyA, RegDeleteValueW, RegCreateKeyW, RegEnumKeyExA, RegOpenKeyA, RegOpenKeyExA, RegEnumValueW, RegCreateKeyExW, RegDeleteKeyW, RegQueryValueExW, RegCreateKeyA, RegSetValueW, RegEnumKeyExW, RegEnumValueA, RegOpenKeyExW, RegOpenKeyW<br>> user32.dll: CopyIcon, CreateIcon, GetFocus, CloseWindow, InsertMenuA, DialogBoxParamA, CopyImage, DrawIconEx, CopyRect, LoadCursorA, IsWindow, GetCursor, GetDlgItem, DrawIcon, DialogBoxParamW, GetWindowTextLengthA, DrawTextA, IsMenu, GetWindowTextA, LoadMenuA, GetDC, GetMenu<br><br>( 0 exports ) <br> Wenn ich google und dann auf einen Link gehe werde ich zu einer komplett anderen Seite verlinkt? Was soll ich tun? Hier noch mein Hiajckthislogfile: Logfile of Trend Micro H*jackThis v2.0.2 Scan saved at 14:10:05, on 27.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\RunDll32.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\WINDOWS\System32\LVCOMSX.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\phonostar\ps_timer.exe D:\Programme\Windows Live\Messenger\msnmsgr.exe D:\Programme\Windows Live\Messenger\usnsvc.exe D:\Programme\Skype\Phone\Skype.exe D:\Programme\Skype\Plugin Manager\SkypePM.exe D:\Programme\Yahoo!\Messenger\YahooMessenger.exe D:\WINDOWS\system32\winlogon.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [SVCHOST.EXE] D:\WINDOWS\system32\drivers\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1007\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Alex') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6110 bytes Gruß |
Zitat:
Aktualisiere Malwarebytes, lasse es scannen, alle Funde entfernen und poste danach das Log hier. lg myrtille |
Hier das Log von mbam: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1215 Windows 5.1.2600 Service Pack 3 27.09.2008 20:04:08 mbam-log-2008-09-27 (20-04-08).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 29509 Laufzeit: 32 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.SoftMate) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\Typelib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.SoftMate) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Delete on reboot. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: D:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot. |
Starte den Rechner neu und erstell ein neues Hijackthislog poste es dann hier. lg myrtille |
EDIT: @Pfuscher Wenn es etwas zu diskutieren gibt, dann bitte so wie ich es dir hier beschrieben habe -> http://www.trojaner-board.de/60312-a...troffener.html |
Zitat:
Bei Systemdateien war kein hacken ich mache jetzt noch einen Scan mit Systemdateien und dieser dauert nun auch nicht nur 30 Sekunden. Ich poste dann wieder das Logfile davon dann start ich neu und poste das neue Hijackthislogfile. @Pfuscher: Zu viele Köche verderben den brei ich bleibe bei dem was myrtille sagt. Gruß |
Neues mbamlogfile: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1215 Windows 5.1.2600 Service Pack 3 27.09.2008 20:37:47 mbam-log-2008-09-27 (20-37-47).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 121989 Laufzeit: 24 minute(s), 47 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.SoftMate) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\Typelib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.SoftMate) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Delete on reboot. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: D:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. D:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot. So hier das neue Hijackthislogfile: Logfile of Trend Micro H*jackThis v2.0.2 Scan saved at 20:40:45, on 27.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\RunDll32.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\WINDOWS\System32\LVCOMSX.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\phonostar\ps_timer.exe D:\WINDOWS\system32\drivers\svchost.exe D:\WINDOWS\system32\wuauclt.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [SVCHOST.EXE] D:\WINDOWS\system32\drivers\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1008\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Elias') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 5955 bytes Noch was: Irgendeine Malware schaltet immer die Windows-Firewall aus ich aktiviere sie dann wieder aber nach einiger Zeit zeigt mir die Taskleiste wieder an dass sie deaktiviert ist? Und ich denke das nicht alle Dateien von mbam gelöscht worden konnten. Denn wenn ich auf Quarantäne von mbam wechsele stehen dort 10 objekte unter anderem svchost.exe. Und wenn ich den Scan neu mache werden mir wieder 16 infizierte Objekte angezeigt?? Gruß |
EDIT: @Pfuscher Wenn es etwas zu diskutieren gibt, dann bitte so wie ich es dir hier beschrieben habe -> http://www.trojaner-board.de/60312-a...troffener.html |
Ich kenn den Fehler jetzt: Ich habe mbam mit einem eingeschränkten Benutzer scannen lassen. Habe es gerade eben mit einem Administrator laufen lassen und dann alle Einträge erfolgreich gelöscht. Wenn ich jetzt einen neuen Scan mache werden mir keine infizierten Objekte angezeigt. Und wenn ich im Systemkonfigurationsprogramm unter dem ''Reiter'' Systemstart gucke steht dort nicht mehr svchost.exe und die Firewall schaltet sich auch nicht mehr von allein aus. Erste mbamergebnisse mit Administrator: Code: Malwarebytes' Anti-Malware 1.28Zweite mbamtest-Ergebisse nach dem Ersten als Administrator: Code: Malwarebytes' Anti-Malware 1.28Logfile of Trend Micro Hi*ckThis v2.0.2 Scan saved at 23:28:09, on 27.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\RunDll32.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\WINDOWS\System32\LVCOMSX.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\phonostar\ps_timer.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Windows Live\Messenger\msnmsgr.exe D:\Programme\Windows Live\Messenger\usnsvc.exe D:\Programme\Skype\Phone\Skype.exe D:\Programme\Skype\Plugin Manager\SkypePM.exe D:\Programme\Yahoo!\Messenger\YahooMessenger.exe D:\Programme\Internet Explorer\IEXPLORE.EXE D:\Programme\Internet Explorer\IEXPLORE.EXE D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe D:\Programme\Athan\Athan.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6081 bytes Gruß und Danke an myrtille |
Poste bitte noch ein neues Hijackthislog und denk eventuell darüber nach auf einen alternativen Browser wie Firefox oder Opera umzusteigen. Internet Explorer 8 ist eine Betasoftware, das heißt sie enthält wahrscheinlich noch zahlreiche Fehler und Lücken und sollte daher nur genutzt werden, wenn man mit entsprechenden Problemen umgehen kann. lg myrtille |
Das Hijackthislogfile: Code: Logfile of Trend Micro HijackThis v2.0.2Zitat:
Gruß |
Hi, ok, ich war nur irritiert weil in deinem vorletzten Log der internet explorer lief. lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board