|
InternetGameBox Trojaner?! Hallo Forum! Ich habe ein Problem. Hab mir vor einigen Tagen "InternetGameBox" geladen und hab mir nix dabei gedacht. Später hab ich bei google recherchiert und heraus gefunden das es ein böswilliges Programm ist. (es öffnet ständig PopUps, wenn man surft.) Mein System hat sich wahrscheinlich infiziert.. ich hab schon AntiVir und SpyBot Search & Destroy durchlaufen lassen und hab die Funde gelöscht. Jetzt möcht´ich wissen ob mein System wieder "clean" ist und ich unbesorgt weiter Surfen kann. Deshalb poste ich hier mal mein HijackThis.log: C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\DT\Sinus 154 stick\Wifiusb.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5252 bytes Danke im vorraus! LG BamBoocha |
Hallo BamBoocha und :hallo: 1.) Poste bitte das ganze HijackThis Log, du hast den Kopf weggelassen. 2.) Versteckte Dateien anzeigen lassen (Arbeitsplatz -> Extras -> Ordneroptionen -> Ansicht -> Alle Dateien und Ordner anzeigen -> Hacken setzen) 3.) Download von Malwarebytes' Antimalware. Danach installieren und die aktuellen Updates herunterladen. Vollständiger Systemscan auswählen und starten. Sobald der Scan beendet ist, klickst du auf "Ausgewähltes entfernen" und postest das Ergebnis dann hier! LG Crusader |
Hi Crusader! Wenn ich HijackThis durchlaufen lasse dann kommt nur das, was ich vorhin gepostet hab. Hab´nun Anit-Malware durchlaufen lassen, hier ist der Report: Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1567 Windows 5.1.2600 Service Pack 2 29.12.2008 19:17:16 mbam-log-2008-12-29 (19-17-16).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 149601 Laufzeit: 1 hour(s), 59 minute(s), 39 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ..wurd also nichts gefunden. (wenn ich das so sagen darf ;)) Danke für deine schnelle Antwort und für den herzlichen Empfang :D LG BamBooocha |
Hallo BamBoocha, Der Kopf muss aber dabei sein, er sollte z.b. so aussehen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:29:56, on 29.12.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Also bitte nochmal machen, und dieses mal darauf achten, dass er dabei ist! LG Crusader |
Okay.. habs gefunden :P Hier der log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:46:51, on 29.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\DT\Sinus 154 stick\Wifiusb.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5067 bytes |
Hallo BamBoocha, 1.) Folgende Einträge mit HijackThis fixen: Zitat:
3.) Platform: Windows XP SP2 (WinNT 5.01.2600)............ es ist bereits ein neueres Service Pack verfügbar, das bitte downloaden (siehe meine Signatur)! 4.) Ansonsten dürfte alles sauber sein! LG Crusader |
Vielen Dank, Crusader! Habe nur noch eine Frage, bezüglich des "fixens": Was passiert mit einer Datei die gefixt wird? (Ich habe gelesen das diese nicht gelöscht wird, sondern dass man dies manuell machen muss.) Muss ich also die Dateien, die ich gefixt habe, auch noch löschen? LG BamBoocha |
Hallo BamBoocha, Nein, fixen heißt, die Datei wird gelöscht, da brauchst du dir keine Sorgen mehr machen! Bitte noch ein aktuelles HijackThis Log posten, damit ich sehe ob alles aktuell ist! LG Crusader |
Halli hallo ihr zwei. Zitat:
Die Datei wird soweit möglich entfernt. Das funktioniert aber nur bei einigen Einträgen! 09ner Einträge werden NICHT gelöscht. Also die Dateien bitte noch löschen!!! Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: Folders to delete:
PS: Allerdings kann es in diesem Fall sein, dass die Datei schon vor dem HJT-Fix nicht mehr vorhanden war... Zitat:
|
Hallo, ............Ok, wieder etwas neues gelernt, aber werden durch das fixen die Dateien "unschädlich" gemacht? Oder habe ich das falsch verstanden? :kloppen: LG Crusader |
Zitat:
Zitat:
Der Autostart der Datei wird deaktiviert; der Schlüssel bleibt aber vorhanden. Oftmals ist es sogar so, dass der Schlüssel bei jedem Neustart repariert wird. D.h. muss in diesem Fall Fixen und Löschen der Datei in einer Sitzung geschehen.. |
Hallo BamBoocha, Mach bitte das mit Avenger, was dir Undoreal auf der vorherigen Seite gesagt hat und dann bitte hier fortfahren: 1.) Bitte noch ein aktuelles HijackThis Log posten, damit ich sehe ob alles aktuell ist! PS: Zitat:
LG Crusader |
Hi Leute ! Hab nun das gemacht, was undoreal gesagt hat. Hier is der log (falls es einer is :P) Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: folder "C:\Programme\Messenger" not found! Deletion of folder "C:\Programme\Messenger" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Sieht so aus als wenn etwas nicht richtig funktioniert hat! Und zu Crusader: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:55:27, on 30.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\DT\Sinus 154 stick\Wifiusb.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 4903 bytes Ich habe alles akutaliesiert außer das ServicePack, da mir mal gesagt wurde das SP3 schlechter sei als SP2, daher wollte ich mich nochmal über dieses Thema erkundigen! LG BamBoocha |
Achja hab noch was vergessen: Die nervigen PopUps kommen immer noch :( LG BamBoocha |
Hallo BamBoocha, 1.) Bitte das aktuelle Service Pack noch installieren und noch mal ein HijackThis Log posten. 2.) Lade F-Secure Blacklight in einen eigenen Ordner herunter, z.B. C:\Programme\Blacklight. Starte in diesem Ordner blbeta.exe und schließe alle anderen Programme. Klick "I accept the agreement", "next", "Scan". Wenn der Scan fertig ist beende Blacklight mit "Close". Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. 3.) Lade dir SUPERAntiSpyware herunter und installiere es. Folge den Anweisungen und poste das entstandene Logfile! 4.) Downloade dir CCleaner, installiere ihn und navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern.... Das Ergebnis hier posten! Anschließend noch alles bereinigen, wie in der Anleitung beschrieben! LG Crusader |
Hallo Crusader! Könnte(s)t (du) ihr mir vorher noch mal sagen, ob bei dem Windows SP3 Schwierigkeiten auftreten? Habe nämlich gelesen, dass bei manchen Benutzern häufig Fehler Meldungen auftreten. Zu dem "Blacklight" (2. Schritt): Der Link funktioniert bei mir nicht! Ich komme zu keiner Internetseite, da kommt nur eine Fehlermeldung. Nun noch zu dem "CCleaner": Ich versteh nicht so ganz wie du das meinst mit "navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern...." Trozdem Danke für (eure)deine schnelle Hilfe! LG BamBoocha |
Hallo BamBoocha, Nein es sollten keine Schwierigkeiten auftreten, im Gegenteil, das Service Pck sollte die Systemleistung und Sicherheit verbessern! Sorry, hier der aktuelle Link: Blacklight Also CCleaner installieren, und dann siehst du ja, wenn du ihn öffnest, auf der linken Seite: Cleaner Registry Extras Einstellungen Du wählst Extras, dann bei dem Register "Programme deinstallieren" auf "Als Textdatei speichern......" Das Ergebnis hier posten! LG Crusader |
Ach ja hab noch ´ne Frage: Wie kann man zitieren? :P |
Es gibt hier sowas wie 'ne Hilfe Funktion.. :rolleyes: http://www.trojaner-board.de/faq.php...b3_board_usage |
Ah.. ok danke ;) Habe SP3 nun installiert hier is der log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:49:32, on 31.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\DT\Sinus 154 stick\Wifiusb.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5187 bytes Die anderen Schritte verfolge ich nächstes Jahr :D Guten Rutsch euch Beiden LG BamBoocha |
Hallo BamBoocha, Wie läuft es mit deinem PC?? Bitte mach noch das mit CCleaner! LG Crusader |
Hi Crusader! Sorry das es solang gedauert hat, hab aber noch ordentlich gefeiert ;) Also.. Hier ist das Blacklight log: 01/02/09 14:07:15 [Info]: BlackLight Engine 2.2.1092 initialized 01/02/09 14:07:15 [Info]: OS: 5.1 build 2600 (Service Pack 3) 01/02/09 14:07:15 [Note]: 7019 4 01/02/09 14:07:15 [Note]: 7005 0 01/02/09 14:07:21 [Note]: 7006 0 01/02/09 14:07:21 [Note]: 7011 340 01/02/09 14:07:22 [Note]: 7035 0 01/02/09 14:07:22 [Note]: 7026 0 01/02/09 14:07:22 [Note]: 7026 0 01/02/09 14:07:22 [Note]: 7024 3 01/02/09 14:07:22 [Info]: Hidden process: C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuv 01/02/09 14:07:23 [Note]: FSRAW library version 1.7.1024 01/02/09 14:07:24 [Info]: Hidden file: c:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce. 01/02/09 14:07:24 [Note]: 10002 1 01/02/09 14:07:25 [Info]: Hidden file: C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce. 01/02/09 14:07:25 [Note]: 10002 1 01/02/09 14:07:25 [Info]: Hidden file: c:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_ 01/02/09 14:07:25 [Note]: 10002 1 01/02/09 14:07:25 [Info]: Hidden file: c:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_ 01/02/09 14:07:25 [Note]: 10002 1 01/02/09 14:11:40 [Note]: 2000 1012 01/02/09 14:14:25 [Note]: 7007 0 Zum AntiSpyware: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 01/02/2009 at 03:54 PM Application Version : 4.24.1004 Core Rules Database Version : 3693 Trace Rules Database Version: 1669 Scan type : Complete Scan Total Scan Time : 01:32:29 Memory items scanned : 409 Memory threats detected : 0 Registry items scanned : 4097 Registry threats detected : 0 File items scanned : 116107 File threats detected : 57 Adware.Tracking Cookie C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@sevenoneintermedia.112.2o7[1].txt C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@ad.71i[1].txt C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@statse.webtrendslive[2].txt C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@delivery.ads.coupling-media[1].txt C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@atwola[1].txt C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@zanox[1].txt C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@adserver.71i[1].txt C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@indextools[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@2o7[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ad.71i[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ad.yieldmanager[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ad.zanox[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adopt.euroclick[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ads.habbogroup[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ads.planetactive[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adserver.71i[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adserver.myvideo[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adtech[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@advertising[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@atdmt[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@atwola[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@bs.serving-sys[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@casalemedia[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@doubleclick[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@eas.apm.emediate[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@fastclick[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@flixbanner.bearshare[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@hotbar[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@k2network.112.2o7[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@komtrack[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@media.licenseacquisition[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@mediaplex[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@mywebsearch[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@pacificpoker[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@partygaming.122.2o7[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@pro-market[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@richmedia.yahoo[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@serving-sys[2].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@sevenoneintermedia.112.2o7[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@tradedoubler[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@www.etracker[1].txt C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@zbox.zanox[2].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@2o7[1].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@ad.yieldmanager[1].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@ads.beamfile[2].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@adultfriendfinder[2].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@as1.falkag[1].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@atwola[1].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@doubleclick[1].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@fastclick[1].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@flixbanner.bearshare[2].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@media.fastclick[2].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@mywebsearch[2].txt C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@www.zanox-affiliate[1].txt Trojan.Downloader-KRDPDRE C:\DOKUMENTE UND EINSTELLUNGEN\MEYER\LOKALE EINSTELLUNGEN\TEMP\KRDPDRE.SYS Adware.webHancer C:\DOKUMENTE UND EINSTELLUNGEN\MEYER\LOKALE EINSTELLUNGEN\TEMP\WH_CC.EXE Und zu guter Letzt das CCleaner log. Adobe Flash Player 10 Plugin Adobe Flash Player 9 ActiveX Adobe Reader 9 - Deutsch Avira AntiVir Personal - Free Antivirus CCleaner (remove only) Dofus 1.25.0 HijackThis 2.0.2 HT Fireman CD/DVD Burner ICQ Toolbar ICQ6 Java(TM) 6 Update 10 Logitech Desktop Messenger Logitech SetPoint LucasArts' Monkey4 Malwarebytes' Anti-Malware Microsoft Office XP Professional Microsoft Visual C++ 2005 Redistributable Mozilla Firefox (3.0.5) MSXML 4.0 SP2 (KB954430) Opera 9.63 PowerQuest PartitionMagic 8.0 Demo Revo Uninstaller 1.75 Sinus 154 stick Spybot - Search & Destroy SUPERAntiSpyware Professional Windows Internet Explorer 7 Windows XP Service Pack 3 XP-Clean LG BamBoocha |
Hallo BamBoocha, 1.) Noch ein frisches HijackThis Log posten! 2.) Mach bitte einen ESET Online Scan. Hierzu setzt du den Hacken bei "YES, I accept the Terms of Use" und klickst dann auf "Start"! Ergebnis hier posten! 3.) Mach bitte einen Panda ActiveScan. Hierzu klickst du auf "Jetzt Scannen". Du lädst dir das Plug-In herunter und installierst es, danch den Scan starten und Ergebnis hier posten! |
Hier ist schon mal das HijackThis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:19:00, on 02.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe D:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\DT\Sinus 154 stick\Wifiusb.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5905 bytes Die anderen kommen gleich/später LG BamBoocha |
... Soll ich eigentlich alle Funde, die infiziert sind, löschen? (Ich weiß dumme Frage :P) |
Huhu. Kurzer Einschub: GMER - Rootkit Detection
Wenn da nichts Auffälliges drin ist kann Crusader gerne weitermachen.. ;) |
Hi undoreal! Hab bin deinen Anweisungen gefolgt: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-01-06 15:43:08 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT B06B11E4 ZwCreateThread SSDT B06B11D0 ZwOpenProcess SSDT B06B11D5 ZwOpenThread SSDT \??\D:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB0684F20] SSDT B06B11DA ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- .text ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B ---- User code sections - GMER 1.0.14 ---- .text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 00FE200E .text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 00FE1DAF .text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 00FE1CF2 .text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 00FE191B .text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 05E8200E .text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 05E81DAF .text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 05E81CF2 .text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 05E8191B .text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0139200E .text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01391DAF .text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01391CF2 .text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0139191B .text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0128200E .text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01281DAF .text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01281CF2 .text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0128191B .text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0260200E .text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 02601DAF .text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 02601CF2 .text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0260191B .text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B .text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0100200E .text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01001DAF .text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01001CF2 .text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0100191B .text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 01F6200E .text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01F61DAF .text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01F61CF2 .text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 01F6191B .text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01F63642 .text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!send 71A14C27 5 Bytes JMP 01F63161 .text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01F63352 .text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E .text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF .text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2 .text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B ---- Processes - GMER 1.0.14 ---- ok.. da der Report zu lang war kommt gleich der zweite Teil |
So nun der 2. Teil: Process C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe (*** hidden *** ) 328 Library C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe (*** hidden *** ) @ C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe [328] 0x00400000 ---- Registry - GMER 1.0.14 ---- Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce@SlowInfoCache 0x28 0x02 0x00 0x00 ... Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce@Changed 0 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@DisplayName Favorit Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@UninstallString "c:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" -uninstall Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoRemove 0 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoModify 1 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoRepair 1 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@nnuvce "c:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" nnuvce ---- Files - GMER 1.0.14 ---- File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce.dat 3604 bytes File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce.exe 233472 bytes executable File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_nav.dat 253052 bytes File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_navps.dat 1173 bytes File C:\WINDOWS\Prefetch\NNUVCE.EXE-0CE9C8A4.pf 33952 bytes ---- EOF - GMER 1.0.14 ---- Wurd was gefunden! Hoffentlich ncihts Schlimmes?! LG BamBoocha |
Also zu Crusader: Hab ESET Online Scan durchlaufen lassen.. Da stand hat keine "Threats" gefunden, habe aber leider keine Button gefunden der zum Report führt. (Habe diesen Scan vor ein paar Tagen abbrechen müssen [knapp vor der hälfte] und bei dem Scan hatte er einen "Threat" gefunden. Konnte diesen ja nicht löschen .. wurde aber trozdem beim 2. Scan nicht mehr gefunden ??!!) Nun zum Panda ActiveScan .. Hier ist der log. : ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-01-02 20:14:11 PROTECTIONS: 1 MALWARE: 7 SUSPECTS: 1 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00114578 Joke/Schock Jokes No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Eigene Dateien\ICQ Lite\209402368\KaKa 04_420239414\ich.exe 00123075 Adware/WebHancer Adware No 0 No No C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe[C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe][whAgent.inf] 00124483 Adware/STIEBar Adware No 0 No No C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\0catyellowpages.exe[STIEbar.dll] 00145758 Cookie/Mysearch TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@mysearch[1].txt 00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adverserve[1].txt 00208815 Adware/WebHancer Adware No 0 No No C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe[C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe][whieshm.dll] 00497354 Application/MyWebSearch HackTools No 0 Yes No C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL ;===================================================================================================================================================== ============================== SUSPECTS Sent Location vU ;===================================================================================================================================================== ============================== No C:\Programme\AWS\WxBugSetup60b6.04.0.9m.EXE vU ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description vU ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== LG BamBoocha |
Volltreffer. Sag mal, hast du Blacklight die Funde nicht beheben lassen? Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: Files to delete:
Arbeiten mit regedit. Starte den Rechner im abgesicherten Modus Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken. Datei->exportieren->speichern an einem Platz wo du sie wiederfindest.. ;) Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen. Dann navigierst du links zu den folgenden Schlüsseln und löscht sie: Zitat:
Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 ! Dann startest du den Rechner im normalen Modus neu. |
Hi.. ne hab ich glaube ich nicht.. (hab nur die Anleitung befolgt und nach dem Scan auf "Close" geklickt. So wie es mir gesagt wurde!) Hier is der log. von Avenger Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" deleted successfully. File "C:\Programme\ICQ6Toolbar\ICQ Service.exe" deleted successfully. Folder "C:\Programme\ICQ6Toolbar" deleted successfully. Folder "C:\Programme\AskSBar" deleted successfully. Completed script processing. ******************* Finished! Terminate." deleted successfully. File "C:\Programme\ICQ6Toolbar\ICQ Service.exe" deleted successfully. Folder "C:\Programme\ICQ6Toolbar" deleted successfully. Folder "C:\Programme\AskSBar" deleted successfully. Completed script processing. ******************* Finished! Terminate. Achja! Ich habe bemerkt das diese nnuvce.exe automatisch startet (Revo Uninstaller -> Tools-> Autorun Manager) Soll ich diese deaktivieren? PS: Das andere mach ich später LG BamBoocha |
Panda AntiRootkit
Blacklight Scanne den Rechner danach zusätzlich mit Blacklight und poste das log! (C:\fsbl.log) Evtl. Funde lasse bitte ebenfalls beheben/umbennen. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
Bei dem regedit finde ich die Datei nicht.. Es gibt alles mögliche aber nichts mit HKLM am Anfang!! |
HKLM bedeutet: HKEY_Local_Mashine. ;) |
Ok.. Hab nun alles gemacht so wie du es gesagt hast! Bei Panda AntiRootkit wurd nichts gefunden, dementsprechend kein Log. Bei Blacklight genau das selbe wie bei Panda AntiRootkit. Nun zu ComboFix.. hier der Log: ComboFix 09-01-06.02 - marcolino0 2009-01-07 15:53:09.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1279.943 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\marcolino0\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce.dat c:\dokumente und einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_nav.dat c:\dokumente und einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_navps.dat E:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-12-07 bis 2009-01-07 )))))))))))))))))))))))))))))) . 2009-01-06 15:26 . 2009-01-06 15:26 250 --a------ c:\windows\gmer.ini 2009-01-02 20:19 . 2009-01-06 15:53 <DIR> d-------- c:\programme\EsetOnlineScanner 2009-01-02 18:27 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys 2009-01-02 18:26 . 2009-01-02 18:26 <DIR> d-------- c:\programme\Panda Security 2009-01-02 14:14 . 2009-01-02 14:14 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-01-02 14:01 . 2009-01-02 14:15 <DIR> d-------- c:\dokumente und einstellungen\marcolino0\Anwendungsdaten\SUPERAntiSpyware.com 2009-01-02 14:01 . 2009-01-02 14:01 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\SUPERAntiSpyware.com 2008-12-31 14:01 . 2008-12-31 14:01 <DIR> d-------- c:\dokumente und einstellungen\marcolino0\Anwendungsdaten\Logitech 2008-12-31 14:01 . 2008-12-31 14:01 127,034 -r------- c:\windows\bwUnin-8.1.1.50-8876480SL.exe 2008-12-31 14:00 . 2008-12-31 14:00 <DIR> d-------- c:\programme\Gemeinsame Dateien\Logitech 2008-12-31 14:00 . 2008-12-31 14:00 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Logitech 2008-12-31 14:00 . 2007-01-30 01:46 163,840 --a------ c:\windows\system32\kemutb.dll 2008-12-31 14:00 . 2007-01-30 01:46 135,168 --a------ c:\windows\system32\KemUtil.dll 2008-12-31 14:00 . 2007-01-30 01:46 110,592 --a------ c:\windows\system32\KemWnd.dll 2008-12-31 14:00 . 2007-01-23 15:44 101,136 --a------ c:\windows\KHALMNPR.Exe 2008-12-31 14:00 . 2007-01-23 15:45 78,864 --a------ c:\windows\system32\drivers\LMouKE.Sys 2008-12-31 14:00 . 2007-01-30 01:46 69,632 --a------ c:\windows\system32\KemXML.dll 2008-12-31 14:00 . 2007-01-23 15:44 62,992 --a------ c:\windows\system32\drivers\L8042mou.Sys 2008-12-31 14:00 . 2007-01-23 15:44 20,496 --a------ c:\windows\system32\drivers\L8042Kbd.sys 2008-12-31 12:54 . 2008-04-14 07:26 2,973,696 -----c--- c:\windows\system32\dllcache\wmploc.dll 2008-12-31 12:53 . 2008-04-14 07:52 809,984 -----c--- c:\windows\system32\dllcache\wmvdmod.dll 2008-12-31 12:53 . 2008-04-14 07:53 258,048 -----c--- c:\windows\system32\dllcache\wmvds32.ax 2008-12-31 12:51 . 2008-04-13 22:06 144,384 --------- c:\windows\system32\drivers\hdaudbus.sys 2008-12-31 12:51 . 2008-04-14 00:10 10,240 --------- c:\windows\system32\drivers\sffp_mmc.sys 2008-12-31 12:50 . 2006-12-29 00:31 19,569 --a------ c:\windows\005067_.tmp 2008-12-29 14:31 . 2008-12-29 14:31 <DIR> d-------- c:\dokumente und einstellungen\marcolino0\Anwendungsdaten\Malwarebytes 2008-12-29 14:31 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-29 14:30 . 2008-12-29 14:30 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2008-12-29 14:30 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-28 18:36 . 2008-12-31 11:58 <DIR> d-------- c:\programme\Opera 2008-12-27 18:07 . 2008-12-31 14:01 <DIR> d--h----- c:\programme\InstallShield Installation Information 2008-12-26 18:11 . 2008-11-11 14:40 <DIR> d--h-c--- c:\dokumente und einstellungen\Administrator.MARCO\Vorlagen 2008-12-26 18:11 . 2008-11-11 13:31 <DIR> dr---c--- c:\dokumente und einstellungen\Administrator.MARCO\Startmenü 2008-12-26 18:11 . 2008-11-11 13:31 <DIR> d--h-c--- c:\dokumente und einstellungen\Administrator.MARCO\Netzwerkumgebung 2008-12-26 18:11 . 2009-01-07 15:53 <DIR> d--h-c--- c:\dokumente und einstellungen\Administrator.MARCO\Lokale Einstellungen 2008-12-26 18:11 . 2008-11-11 13:31 <DIR> d----c--- c:\dokumente und einstellungen\Administrator.MARCO\Favoriten 2008-12-26 18:11 . 2008-11-11 13:31 <DIR> d--h-c--- c:\dokumente und einstellungen\Administrator.MARCO\Druckumgebung 2008-12-26 18:11 . 2008-11-11 13:31 <DIR> dr-h-c--- c:\dokumente und einstellungen\Administrator.MARCO\Anwendungsdaten 2008-12-26 18:11 . 2008-12-29 14:02 <DIR> d----c--- c:\dokumente und einstellungen\Administrator.MARCO 2008-12-25 22:55 . 2008-12-25 22:55 799 --a------ c:\windows\wininit.ini 2008-12-25 22:19 . 2009-01-02 16:06 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy 2008-12-16 16:26 . 2008-12-16 16:26 <DIR> d-------- c:\dokumente und einstellungen\marcolino0\WINDOWS 2008-12-16 16:26 . 1996-11-06 12:05 302,592 --a------ c:\windows\unin0407.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-06 08:14 --------- d-----w c:\programme\Java 2008-12-30 11:04 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2008-12-29 13:01 --------- d-----w c:\programme\Windows Media Connect 2 2008-12-26 11:40 --------- d-----w c:\programme\XPcleanv5 2008-12-05 11:57 --------- d-----w c:\programme\HT Fireman CDDVD Burner 1.4 2008-11-12 13:01 --------- d-----w c:\dokumente und einstellungen\marcolino0\Anwendungsdaten\ICQ 2008-11-12 06:19 --------- d-----w c:\dokumente und einstellungen\marcolino0\Anwendungsdaten\vlc 2008-11-12 06:13 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\ICQ 2008-11-11 16:34 17,801 ----a-w c:\windows\system32\drivers\AegisP.sys 2008-11-11 16:32 --------- d-----w c:\dokumente und einstellungen\marcolino0\Anwendungsdaten\AdobeUM 2008-11-11 15:58 --------- d-----w c:\programme\Avira 2008-11-11 15:58 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira 2008-11-10 04:43 410,984 ----a-w c:\windows\system32\deploytk.dll 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2003-02-28 11:32 11,776 ----a-w c:\windows\inf\dt154stickoem_wxp.exe 2002-11-14 21:32 55,808 ----a-w c:\windows\inf\devcon154stick.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 c:\windows\KHALMNPR.Exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\ Logitech Desktop Messenger.lnk - d:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-12-31 67128] Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2008-12-31 688128] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] Sinus 154 stick WLAN Manager.lnk - c:\programme\DT\Sinus 154 stick\Wifiusb.exe [2005-10-24 1024000] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 11:05 356352 d:\programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Programme\\ICQ6\\ICQ.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Opera\\opera.exe"= "d:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"= "d:\\Programme\\gamigo\\levelr\\LevelR\\LevelR.bin"= R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-01-02 28544] R1 SASDIFSV;SASDIFSV;d:\programme\SUPERAntiSpyware\sasdifsv.sys [2008-12-22 8944] R1 SASKUTIL;SASKUTIL;d:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2008-12-22 55024] S3 SASENUM;SASENUM;d:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-12-22 7408] S4 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe --> c:\programme\ICQ6Toolbar\ICQ Service.exe [?] --- Other Services/Drivers In Memory --- *NewlyCreated* - GWNHJEJUVDTV *NewlyCreated* - PHOOKS *NewlyCreated* - SDTHOOK *Deregistered* - gwnhjejuvdtv *Deregistered* - SDTHOOK [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c6840540-aff3-11dd-bc42-806d6172696f}] \Shell\AutoRun\command - E:\setupSNK.exe . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - d:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O16 -: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} FF - ProfilePath - c:\dokumente und einstellungen\marcolino0\Anwendungsdaten\Mozilla\Firefox\Profiles\xsplshrm.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: d:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll FF - plugin: d:\programme\Opera\program\plugins\npdsplay.dll FF - plugin: d:\programme\Opera\program\plugins\npwmsdrm.dll ATTENTION: FIREFOX POLICIES ARE IN FORCE FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-07 15:54:03 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(656) d:\programme\SUPERAntiSpyware\SASWINLO.dll . Zeit der Fertigstellung: 2009-01-07 15:55:08 ComboFix-quarantined-files.txt 2009-01-07 14:55:02 Vor Suchlauf: 7.091.675.136 Bytes frei Nach Suchlauf: 7,096,381,440 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn 172 --- E O F --- 2009-01-01 18:43:33 LG BamBoocha |
Poste bitte alle logs! Auch wenn nichts gefunden wird. Systemanalyse
|
Bei RootKit find ich keinen Log?! Hier zu Blacklight: 01/07/09 15:38:46 [Info]: BlackLight Engine 2.2.1092 initialized 01/07/09 15:38:46 [Info]: OS: 5.1 build 2600 (Service Pack 3) 01/07/09 15:38:46 [Note]: 7019 4 01/07/09 15:38:46 [Note]: 7005 0 01/07/09 15:38:50 [Note]: 7006 0 01/07/09 15:38:50 [Note]: 7011 1288 01/07/09 15:38:50 [Note]: 7035 0 01/07/09 15:38:50 [Note]: 7026 0 01/07/09 15:38:50 [Note]: 7026 0 01/07/09 15:38:51 [Note]: FSRAW library version 1.7.1024 01/07/09 15:43:55 [Note]: 7007 0 LG BamBoocha |
.. PS: Ich kann mein Avira AntiVir nicht komplett beenden. Ich kann diesen nur "deaktivieren"! Reicht das nicht? |
Jo, das reicht auch. |
Ok habe alles gemacht was du gesagt hast! Hier der Download-Link: http://rapidshare.com/files/181042145/avz_sysinfo.zip.html |
Führe folgendes Skript mit AVZ aus. File -> Custom Skript Zitat:
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. |
Ok habe den log: Search Navipromo version 3.7.1 began on 08.01.2009 at 16:42:54,53 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Updated on 02.01.2009 at 19h00 by IL-MAFIOSO Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2600+ ) BIOS : Version 1.00 USER : marcolino0 ( Administrator ) BOOT : Normal boot Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:29 Go (Free:9 Go) D:\ (Local Disk) - NTFS - Total:17 Go (Free:11 Go) E:\ (Local Disk) - NTFS - Total:27 Go (Free:8 Go) F:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go) Search done in normal mode *** Searching for installed Software *** *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\marcolino0\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1.MAR\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\marcolino0\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1.MAR\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\marcolino0\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1.MAR\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\marcolino0\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\ADMINI~1.MAR\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** !! Following keys are not certainly all infected !! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\marcolino0\lokale~1\anwend~1" : * In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : * In "C:\DOKUME~1\ADMINI~1.MAR\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! Montorgueil certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search others known folders and files : *** Search completed on 08.01.2009 at 16:51:25,15 *** LG BamBoocha |
Sehr gut, das sieht alles sauber aus. Gibt's noch Probleme? |
Nein sonst gibt´s keine Probleme mehr! :dankeschoen: VIELEN DANK, Crusader und undoreal!! Ihr habt mir wirklich sehr geholfen .. *endlich keine PopUps mehr* ;) LG BamBoocha |
[edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
hi, leider hab ich auch das gleiche problem und weiss nicht genau was ich nun machen soll. Habe hijack drüber laufen lassen und kann mit dem Ergebniss nicht viel anfangen |
Hallo t0m_6, Eröffne bitte, so wie jeder andere einen eigenen Thread, danke! |
hi, leider hab ich auch das gleiche problem und weiss nicht genau was ich nun machen soll. Habe hijack drüber laufen lassen und kann mit dem Ergebniss nicht viel anfangen Hier der auszug aus dem editor: Logfile of Trend Micro HiJackThis v2.0.2 Scan saved at 14:52:38, on 16.01.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe C:\Acer\Empowering Technology\eAudio\eAudio.exe C:\Windows\system32\taskeng.exe C:\Users\Tina\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\Launch Manager\LManager.exe C:\Program Files\Acer Arcade Deluxe\SportsCap\Kernel\MagicSports\MSPMirage.exe C:\Program Files\Acer Arcade Deluxe\TV Joy\TVEService.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Windows\System32\rundll32.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Users\Tina\AppData\Local\gmgeycq.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE C:\Program Files\Windows Sidebar\sidebar.exe C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EX E C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\A1\A1 Dashboard\Dashboard.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.at/spbasic.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://at.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: GamesBar - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - C:\Program Files\GamesBar\oberontb.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\sw g.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll O3 - Toolbar: GamesBar - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - C:\Program Files\GamesBar\oberontb.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe" O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [MSPService] C:\Program Files\Acer Arcade Deluxe\SportsCap\Kernel\MagicSports\MSPMirage.exe O4 - HKLM\..\Run: [TVEService] "C:\Program Files\Acer Arcade Deluxe\TV Joy\TVEService.exe" O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [gmgeycq] "c:\users\tina\appdata\local\gmgeycq.exe" gmgeycq O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra button: (no name) - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\Program Files\GamesBar\oberontb.dll O9 - Extra 'Tools' menuitem: GamesBar - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\Program Files\GamesBar\oberontb.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{89E2B1AF-0BF3-4E88-B224-AAAF2DC937B8}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B5C5FA-423D-4266-AEE3-02B5DBDCAE3B}: NameServer = 194.48.139.254 194.48.124.202 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Program Files\Acer Arcade Deluxe\TV Joy\Kernel\TV\TVECapSvc.exe O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Program Files\Acer Arcade Deluxe\TV Joy\Kernel\TV\TVESched.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 12359 bytes |
Hallo t0m_6, Ich meinte einen neuen Thread, nicht einen Post. Gehe so vor: Gehe auf die Trojaner Board Startseite, wähl dann den Unterpunkt "Hijacker / HiJackThis Logs posten" und dort klickst du unten dann auf Neues Thema und beschreibst dort dann dein Problem genau! Danke! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board