|
Falsche Weiterleitung bei Google Hallo ihr, ich hoffe ihr könnt mir helfen. Wenn ich auf Google was suche zb zum Thema Fußball zeigt er mir zwar die dementsprechenden Seiten an aber wenn ich dann auf den Link gehe komme ich auf ganz komische Seiten! Hier die Auswertung meines LOg-Files vielleicht könnt ihr ja damit was anfangen also ich leider net! Bin für jede Hilfe dankbar. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:16:32, on 10.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\StkASv2K.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe C:\Programme\Java\jre6\bin\jusched.exe C:\windows\pp2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\ARCORO~1\AOButler.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Baby\Desktop\mbam-setup.exe C:\DOKUME~1\Baby\LOKALE~1\Temp\is-JB1H5.tmp\mbam-setup.tmp C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file) O2 - BHO: Google plugin - {684EE1DB-CD52-4ca9-9CCF-93D5F6B419BA} - kmsvc32.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [sysldtray] C:\windows\ld02.exe O4 - HKLM\..\Run: [pp] C:\windows\pp2.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [spyprodetector] C:\Programme\Spyware Process Detector\spydetector.exe TRAY O4 - HKCU\..\Run: [Arcor Online] C:\PROGRA~1\ARCORO~1\Arcor.exe /inst_typ:2 /kunden_typ:bestand O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Macromedia\Common\50a5000a1.dll"" O4 - HKCU\..\Run: [dll] rundll32 dll32,sm O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\50a5000a1.dll"" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Wireless Connection Manager.lnk = C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192541609453 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D8798259-7077-4592-B58E-3456BC2BF75E}: NameServer = 195.50.140.252 195.50.140.114 O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Syntek STK1160 Service (StkASSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkASv2K.exe -- End of file - 8644 bytes Lg Glen |
Hallo ich noch mal, Hier noch der Log File von Malwarebytes Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1831 Windows 5.1.2600 Service Pack 3 10.03.2009 18:58:40 mbam-log-2009-03-10 (18-58-36).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 126287 Laufzeit: 32 minute(s), 44 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 5 Infizierte Dateiobjekte der Registrierung: 10 Infizierte Verzeichnisse: 1 Infizierte Dateien: 10 Infizierte Speicherprozesse: C:\WINDOWS\pp2.exe (Backdoor.Bot) -> No action taken. Infizierte Speichermodule: C:\WINDOWS\system32\dll32.dll (Backdoor.Bot) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0ea88f0f-b698-4ab1-8dbc-ebe2cd00927f} (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\NetProject (Trojan.Zlob) -> No action taken. HKEY_CLASSES_ROOT\videoPl.chl (Trojan.Zlob) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{684ee1db-cd52-4ca9-9ccf-93d5f6b419ba} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{684ee1db-cd52-4ca9-9ccf-93d5f6b419ba} (Trojan.BHO) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pp (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dll (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Hijack.Sound) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Hijack.Sound) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Baby\ANWEND~1\MACROM~1\Common\50a5000a1.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Baby\ANWEND~1\MACROM~1\Common\50a5000a1.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Baby\ANWEND~1\MACROM~1\Common\50a5000a1.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Baby\ANWEND~1\MACROM~1\Common\50a5000a1.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Baby\ANWEND~1\MACROM~1\Common\50a5000a1.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Baby\ANWEND~1\MACROM~1\Common\50a5000a1.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Baby\ANWEND~1\MACROM~1\Common\50a5000a1.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Baby\ANWEND~1\MACROM~1\Common\50a5000a1.dll) Good: (wdmaud.drv) -> No action taken. Infizierte Verzeichnisse: C:\Programme\NetProject (Trojan.Zlob) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\dll32.dll (Backdoor.Bot) -> No action taken. C:\WINDOWS\ld02.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\pp2.exe (Backdoor.Bot) -> No action taken. C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Macromedia\Common\50a5000a1.dll (Hijack.Sound) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\50a5000a1.dll (Hijack.Sound) -> No action taken. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\50a5000a1.dll (Hijack.Sound) -> No action taken. C:\WINDOWS\system32\bb1.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\ps1.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\rc.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken. Lg |
Hallo gleni25, tut mir leid, aber bei einem System mit Backdoors macht es keinen Sinn reparieren zu wollen. Bei einem Backdoor können andere unbeschränkt auf Dein System zugreifen. Es ist zu gut wie unmöglich, alle Einstellungen/Dateien zu überprüfen, die hätten verändert werden können. Sorry, aber hier ist einen Neuinstallation angesagt. Grüße a5cl3p1o5 |
Du liebe Zeit...nette Sammliung die du da hast. Du solltest dir ernsthaft Gedanken über ein Neuaufsetzen deines Systems machen. Dein PC ist total verseucht. Dein Datenverkehr wird umgeleitet, man hat dir u.U. noch eine Fernsteuerung eingebaut. Du bist offen wie ein Buch.Mit Backdoor Bots ist nicht zu spaßen. Sämtliche Passwörter sind einsehbar, man überwacht dich sozusagen. Bring den Rechner schnellstens vom Netz. Wenn du Onlinebanking machst oder Ebay: Melde deiner Bank die Probleme, halte dein Konto im Auge. Deaktiviere deinen Ebay account, den kannste später neu aufsetzen.Ändere alle Passwörter von einem sicheren Rechner aus. Das hat keinen Zweck mehr. Eine Bereinigung wäre Zeitverschwendung. Selbst wenn es möglich ist, kannst du nie sicher sein, dass nicht was nachkommt.... Tut mir leid, wenn du dein System neu aufgesetzt hast solltest du dein Surfverhalten überdenken..... |
Zitat Redwulf: Zitat:
|
Also nützt es nix diese infizierten Dateien zu entfernen??? wie ich es bei Malwarebytes getan habe. Mit was für einem Programm kann ich mich in zukunft am besten schützen??? Lg |
was ist Trojan.Zlob???? |
Zitat:
Kurz gesagt: man fängt ihn sich normalerweise nicht ein, wenn man legale Software/Filme etc nutzt/anschaut. Grüße a5cl3p1o5 |
mmmhhh...asooo! Noch mal was anderes! Also nützt es nix diese infizierten Dateien zu entfernen??? wie ich es bei MalwareBytes getan habe. und dann meine gesamten PW´s zu ändern??? Mit was für einem Programm kann ich mich in zukunft am besten schützen??? Lg |
Zitat:
Zitat:
|
Zitat:
Um es einfach auszudrücken. Man schaut dir sozusagen,auf die Finger was du so machst. Insbesondere wenn du Onlinebanking betreibst oder bei Ebay was verkaufen willst. Es ist zudem ein Backdoor Trojaner, man weiss nie ob da noch was nachkommt, selbst wenn man augenscheinlich alles erwischt hat. |
danke für die ganzen Antworten! Gibt es wirklich keine Alternative als ihn neu zu Formatieren???Oh man ich habe so viele bilder von meinen Kindern auf dem rechner un net mal ne externe festplatte!*heul* Auch wenn es nur ne kleine Möglichkeit gibt bitte ich bin für alles offen!!! LG |
hi, versuch macht klug :)
und setze die logs bitte in code-tags. |
@schrauber: lass den Mist! @gleni25: Zitat:
Dann musst Du CDs/DVDs nehmen oder die unsichere Variante, dass, wenn Du eine schnelle Internetverbindung hast, die Bilder packst (z.B. mit 7-zip), versiehst das ganze mit einem Passwort und lädst alles z.B. bei Files-Upload hoch und, wenn der Computer wieder heile ist, wieder runter. Ein "Päckchen" Bilder darf aber nicht größer als 100MB sein. Achte darauf, dass Du keine ausführbaren Dateien mitnimmst (nur Bilder, Filme, Dokumente). Grüße a5cl3p1o5 |
Teil1 Log.txt Logfile of random's system information tool 1.05 (written by random/random) Run by Baby at 2009-03-10 19:58:51 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 5 GB (28%) free of 19 GB Total RAM: 1023 MB (52% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:58:55, on 10.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe C:\PROGRA~1\ARCORO~1\AOButler.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\StkASv2K.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Baby\Desktop\RSIT.exe C:\Programme\Trend Micro\HijackThis\Baby.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [spyprodetector] C:\Programme\Spyware Process Detector\spydetector.exe TRAY O4 - HKCU\..\Run: [Arcor Online] C:\PROGRA~1\ARCORO~1\Arcor.exe /inst_typ:2 /kunden_typ:bestand O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\50a5000a1.dll"" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Wireless Connection Manager.lnk = C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192541609453 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D8798259-7077-4592-B58E-3456BC2BF75E}: NameServer = 195.50.140.252 195.50.140.114 O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Syntek STK1160 Service (StkASSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkASv2K.exe -- End of file - 7911 bytes |
Log.txt Teil2 ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{140BD8E3-C167-11D4-B4A3-080000180323}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - C:\Programme\Java\jre6\bin\ssv.dll [2009-01-03 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}] PDFCreator Toolbar Helper - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll [2008-01-25 806912] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-01-03 34816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-03 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - PDFCreator Toolbar - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll [2008-01-25 806912] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"=C:\WINDOWS\System32\igfxtray.exe [2004-02-10 155648] "HotKeysCmds"=C:\WINDOWS\System32\hkcmd.exe [2004-02-10 118784] "PRONoMgr.exe"=c:\Programme\Intel\NCS\PROSet\PRONoMgr.exe [2002-10-23 86016] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792] "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2007-03-09 153136] "KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k [] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-01-03 136600] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "MsnMsgr"=C:\Programme\MSN Messenger\MsnMsgr.Exe [2007-01-19 5674352] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [2007-03-12 153136] "spyprodetector"=C:\Programme\Spyware Process Detector\spydetector.exe TRAY [] "Arcor Online"=C:\PROGRA~1\ARCORO~1\Arcor.exe [2007-04-12 535544] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitComet] C:\Programme\BitComet\BitComet.exe /tray [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\daemon.exe [2008-04-01 486856] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] C:\Programme\ICQ6\ICQ.exe silent [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\qttask.exe [2008-02-15 98304] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] C:\Programme\Steam\Steam.exe -silent [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe [2009-01-03 136600] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE -quiet [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Baby^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk] C:\PROGRA~1\OPENOF~1.3\program\QUICKS~1.EXE [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "de_serv"=3 "Boonty Games"=3 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE Wireless Connection Manager.lnk - C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2007-09-29 122880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] C:\WINDOWS\system32\igfxsrvc.dll [2004-02-10 339968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=91000000 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger" "C:\Programme\Yahoo!\Messenger\YServer.exe"="C:\Programme\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server" "E:\fsetup.exe"="E:\fsetup.exe:*:Enabled:AVM FSetup Application" "C:\Programme\uTorrent\utorrent.exe"="C:\Programme\uTorrent\utorrent.exe:*:Enabled:µTorrent" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0750ae4a-7c16-11dc-a30a-000bcdc1bc0a}] shell\AutoRun\command - F:\pushinst.exe ======List of files/folders created in the last 1 months====== 2009-03-10 19:58:51 ----D---- C:\rsit 2009-03-10 18:16:21 ----D---- C:\Programme\Trend Micro 2009-03-10 18:06:30 ----D---- C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Malwarebytes 2009-03-10 18:06:22 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-03-10 18:06:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-10 10:46:28 ----A---- C:\WINDOWS\system32\kmsvc32.dll 2009-02-25 10:53:47 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$ 2009-02-19 17:20:58 ----D---- C:\WINDOWS\SxsCaPendDel 2009-02-19 15:23:44 ----D---- C:\Programme\Paint.NET 2009-02-19 15:22:34 ----N---- C:\WINDOWS\system32\spmsg2.dll 2009-02-19 15:22:26 ----HDC---- C:\WINDOWS\$NtUninstallXPSEPSCLP$ 2009-02-19 15:15:30 ----N---- C:\WINDOWS\system32\xpssvcs.dll 2009-02-19 15:15:30 ----N---- C:\WINDOWS\system32\xpsshhdr.dll 2009-02-19 15:15:30 ----N---- C:\WINDOWS\system32\prntvpt.dll 2009-02-19 15:14:00 ----RSD---- C:\WINDOWS\assembly 2009-02-19 15:12:36 ----D---- C:\WINDOWS\Microsoft.NET 2009-02-19 14:01:59 ----A---- C:\WINDOWS\system32\ESFinish.exe 2009-02-19 13:49:15 ----D---- C:\Programme\MeeSoft 2009-02-16 15:34:50 ----A---- C:\WINDOWS\system32\pywintypes25.dll 2009-02-16 15:34:50 ----A---- C:\WINDOWS\system32\pythoncom25.dll 2009-02-16 15:34:50 ----A---- C:\WINDOWS\system32\python25.dll 2009-02-14 09:00:49 ----HDC---- C:\WINDOWS\$NtUninstallKB960715$ ======List of files/folders modified in the last 1 months====== 2009-03-10 19:21:59 ----D---- C:\Programme\Mozilla Firefox 2009-03-10 19:21:11 ----D---- C:\WINDOWS\Temp 2009-03-10 19:19:15 ----D---- C:\WINDOWS\system32\drivers 2009-03-10 19:19:15 ----D---- C:\WINDOWS\system32 2009-03-10 19:19:15 ----D---- C:\WINDOWS 2009-03-10 19:18:36 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-03-10 19:18:10 ----D---- C:\WINDOWS\Prefetch 2009-03-10 19:17:45 ----RD---- C:\Programme 2009-03-10 19:14:50 ----A---- C:\WINDOWS\NeroDigital.ini 2009-03-10 15:45:00 ----HD---- C:\Programme\InstallShield Installation Information 2009-03-10 15:43:48 ----A---- C:\WINDOWS\win.ini 2009-03-10 12:54:01 ----D---- C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Azureus 2009-03-09 18:22:39 ----HD---- C:\WINDOWS\inf 2009-03-09 18:22:39 ----D---- C:\Programme\Windows Live Safety Center 2009-03-09 17:01:42 ----D---- C:\WINDOWS\system32\CatRoot2 2009-03-05 14:11:18 ----D---- C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Macromedia 2009-03-03 18:21:59 ----SHD---- C:\WINDOWS\Installer 2009-03-03 18:17:43 ----D---- C:\WINDOWS\system32\DirectX 2009-02-25 10:53:50 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-02-25 10:51:27 ----HD---- C:\WINDOWS\$hf_mig$ 2009-02-20 21:06:04 ----D---- C:\WINDOWS\network diagnostic 2009-02-19 17:20:08 ----D---- C:\WINDOWS\system32\mui 2009-02-19 17:19:47 ----D---- C:\WINDOWS\WinSxS 2009-02-19 16:24:14 ----A---- C:\WINDOWS\imsins.BAK 2009-02-19 16:23:27 ----RSD---- C:\WINDOWS\Fonts 2009-02-19 16:22:14 ----D---- C:\WINDOWS\system32\de-de 2009-02-19 15:19:04 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-02-19 15:16:28 ----D---- C:\WINDOWS\system32\spool 2009-02-19 14:01:58 ----D---- C:\Program Files 2009-02-16 19:22:59 ----D---- C:\Programme\MSN Messenger 2009-02-16 15:34:50 ----A---- C:\WINDOWS\system32\msvcr71.dll 2009-02-15 17:45:44 ----D---- C:\Programme\a-squared Anti-Malware 2009-02-14 09:00:35 ----D---- C:\WINDOWS\system32\CatRoot 2009-02-14 09:00:02 ----D---- C:\Programme\Internet Explorer 2009-02-12 05:56:17 ----A---- C:\WINDOWS\system32\MRT.exe ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2007-03-22 43584] R1 hwinterface;hwinterface; C:\WINDOWS\System32\Drivers\hwinterface.sys [2008-03-06 3026] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 mchInjDrv;madCodeHook DLL injection driver; \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys [] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-03-05 28352] R2 acedrv10;acedrv10; \??\C:\WINDOWS\system32\drivers\acedrv10.sys [] R2 acedrv11;acedrv11; \??\C:\WINDOWS\system32\drivers\acedrv11.sys [] R2 acehlp10;acehlp10; \??\C:\WINDOWS\system32\drivers\acehlp10.sys [] R3 ac97intc;Intel(r) 82801 Audiotreiber-Installationsdienst (WDM); C:\WINDOWS\system32\drivers\ac97intc.sys [2001-08-17 96256] R3 Afc;PPdus ASPI Shell; C:\WINDOWS\system32\drivers\Afc.sys [2006-11-10 18688] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-09-29 2456064] R3 E100B;Intel(R) PRO Adapter Driver; C:\WINDOWS\System32\DRIVERS\e100b325.sys [2002-09-25 140800] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB Root Hub (usbport); C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-13 20608] R3 WSIMD;wsimd Service; C:\WINDOWS\system32\DRIVERS\wsimd.sys [2006-07-20 54432] S2 spydetector;spydetector; \??\C:\Programme\Spyware Process Detector\spydetector.sys [] S3 AR5416;D-Link RangeBooster N Service; C:\WINDOWS\system32\DRIVERS\ar5416.sys [2006-09-25 1037088] S3 avmeject;AVM Eject; C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 4352] S3 azb1pmk8;azb1pmk8; C:\WINDOWS\system32\drivers\azb1pmk8.sys [] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 265088] S3 ialm;ialm; C:\WINDOWS\System32\DRIVERS\ialmnt5.sys [2004-02-10 681469] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 N100;Compaq Ethernet oder Fast Ethernet-NIC-Treiber; C:\WINDOWS\System32\DRIVERS\n100325.sys [2001-08-18 130048] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NAL;Nal Service ; \??\C:\WINDOWS\System32\Drivers\iqvw32.sys [] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 NetWlan5;Symbol-basierter 802.11b drahtloser LAN-Kartentreiber; C:\WINDOWS\System32\DRIVERS\NetWlan5.sys [2004-08-03 132695] S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408] S3 PAC207;SoC PC-Camera; C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-04-08 162176] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552] S3 StkAMini;Syntek STK1160; C:\WINDOWS\System32\Drivers\StkAMini.sys [2006-11-15 242139] S3 StkScan;Syntek STK1160 Still Image; C:\WINDOWS\System32\Drivers\StkScan.sys [2006-06-27 4772] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 ACS;Atheros Configuration Service; C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe [2006-08-25 360532] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-09-29 483328] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-01-03 152984] R2 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2003-02-25 303104] R2 StkASSrv;Syntek STK1160 Service; C:\WINDOWS\System32\StkASv2K.exe [2006-05-24 24576] R3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-03-12 271920] S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2007-09-28 593920] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [] S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-03-14 779824] S3 NetSvc;Intel NCS NetService; c:\Programme\Intel\NCS\Sync\NetSvc.exe [2002-09-27 139264] S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S4 Boonty Games;Boonty Games; C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe [2008-04-23 69120] S4 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [] -----------------EOF----------------- |
info.txt info.txt logfile of random's system information tool 1.05 2009-03-10 19:59:00 ======Uninstall list====== -->C:\Programme\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL -->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL -->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL -->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL -->C:\WINDOWS\UNNeroVision.exe /UNINSTALL -->C:\WINDOWS\UNRecode.exe /UNINSTALL -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7} Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} ANSTOSS 2-->C:\WINDOWS\unin0407.exe -fd:\Anstoss\DeIsL1.isu -cd:\Anstoss\_ISREG32.DLL ArtMoney SE v7.27-->"C:\Programme\ArtMoney\Uninstall\unins000.exe" ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0 ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean Avira RootKit Detection-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1FD25FCD-6F39-4686-AFBB-7056EBAE5E68}\setup.exe" -l0x9 Azureus-->C:\Programme\Azureus\Uninstall.exe Compaq Monitor Driver (INF) Software 3.00-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6F3B007A-2393-11D5-8F18-00D0B740B228}\Setup.exe" -l0x9 Deinstallation der Arcor Online Software-->"C:\Programme\ArcorOnline\unins000.exe" D-Link RangeBooster N 650 DWA-547-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6F6F39E3-D24D-4EEE-9AEA-DEDAF991385D}\setup.exe" -l0x7 -removeonly Emu64 3.40-->"C:\Programme\Emu64\unins000.exe" Euro Truck Simulator 1.00-->D:\Euro Truck Simulator\uninst.exe EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe" Handball Manager 2008 1.1 -->C:\WINDOWS\uninstall\Handball Manager 2008\setup.exe HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall HotelmanagerV20-->C:\WINDOWS\ST5UNST.EXE -n "C:\Programme\HotelmanagerV20\ST5UNST.LOG" Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe" Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" ImgBurn-->"C:\Programme\ImgBurn\uninstall.exe" Intel(R) Extreme Graphics Driver-->RUNDLL32.EXE C:\WINDOWS\System32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_2562 Intel(R) PRO Network Adapters and Drivers-->Prounstl.exe Intel(R) PROSet-->MsiExec.exe /I{EF4EF65F-4D62-44D7-82C9-1AECCBA74C50} Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} Lexmark Z600 Series-->C:\WINDOWS\system32\spool\drivers\w32x86\3\LXBCUN5C.EXE -dLexmark Z600 Series LiveReg (Symantec Corporation)-->C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\VcSetup.exe /REMOVE Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Mozilla Firefox (3.0.7)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} Nero 7 Ultra Edition-->MsiExec.exe /I{43FFE159-3199-4188-A1CD-629166AD1031} neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B} Norton AntiSpam-->MsiExec.exe /I{3B29A786-5803-4e9e-9B58-3014A5B4E519} Norton AntiSpam-->MsiExec.exe /I{5677563D-0CB1-485f-9E18-C5025306BB3F} Norton Internet Security-->MsiExec.exe /I{449F3A9E-9903-4a0d-A209-08030D45A935} Norton Internet Security-->MsiExec.exe /I{A93C9E60-29B6-49da-BA21-F70AC6AADE20} PC Camera E-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{5ACAFB32-6336-4304-9766-B233ACEC0A8F} PDC World Championship Darts 2008-->MsiExec.exe /X{5116EA76-6BBC-4450-B810-AFA8C7982003} PDFCreator Toolbar-->"C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_4500.exe" _?=C:\Programme\PDFCreator Toolbar PDFCreator-->C:\Programme\PDFCreator\unins000.exe ProtectDisc Driver, Version 11-->C:\Programme\ProtectDisc Driver Installer\uninstall_v11.exe ProtectDisc Helper Driver 10-->C:\Programme\ProtectDisc Driver Installer\uninstall_v10.exe QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Encoder (KB954156)-->"C:\WINDOWS\$NtUninstallKB954156_WM9L$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" SmartSound Quicktracks Plugin-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E} Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027} VideoLAN VLC media player 0.8.6c-->C:\Programme\VideoLAN\VLC\uninstall.exe Windows Live Messenger-->MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C} Windows Live OneCare safety scanner-->RunDll32.exe "C:\Programme\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT Windows Media Encoder 9-Reihe-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E} Windows Media Encoder 9-Reihe-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E} Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR-->C:\Programme\WinRAR\uninstall.exe XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe" ======Hosts File====== 127.0.0.1 localhost System event log Computer Name: DIANA Event Code: 7023 Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: Das angegebene Modul wurde nicht gefunden. Record Number: 38808 Source Name: Service Control Manager Time Written: 20090219162222.000000+060 Event Type: Fehler User: Computer Name: DIANA Event Code: 7036 Message: Dienst "Anwendungsverwaltung" befindet sich jetzt im Status "Beendet". Record Number: 38807 Source Name: Service Control Manager Time Written: 20090219162222.000000+060 Event Type: Informationen User: Computer Name: DIANA Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Anwendungsverwaltung" gesendet. Record Number: 38806 Source Name: Service Control Manager Time Written: 20090219162222.000000+060 Event Type: Informationen User: DIANA\Baby Computer Name: DIANA Event Code: 7023 Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: Das angegebene Modul wurde nicht gefunden. Record Number: 38805 Source Name: Service Control Manager Time Written: 20090219162222.000000+060 Event Type: Fehler User: Computer Name: DIANA Event Code: 7036 Message: Dienst "Anwendungsverwaltung" befindet sich jetzt im Status "Beendet". Record Number: 38804 Source Name: Service Control Manager Time Written: 20090219162222.000000+060 Event Type: Informationen User: Application event log Computer Name: DIANA Event Code: 100 Message: MsnMsgr (1268) Das Datenbankmodul 5.01.2600.5512 ist gestartet. Record Number: 11859 Source Name: ESENT Time Written: 20090116170611.000000+060 Event Type: Informationen User: Computer Name: DIANA Event Code: 101 Message: MsnMsgr (1268) Das Datenbankmodul wurde beendet. Record Number: 11858 Source Name: ESENT Time Written: 20090116170555.000000+060 Event Type: Informationen User: Computer Name: DIANA Event Code: 103 Message: MsnMsgr (1268) \\.\C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\kleene.blume@hotmail.de\SharingMetadata\Working\database_C4_FFA4_C4FF_99DC\dfsr.db: Das Datenbankmodul hat die Instanz (0) beendet. Record Number: 11857 Source Name: ESENT Time Written: 20090116170555.000000+060 Event Type: Informationen User: Computer Name: DIANA Event Code: 102 Message: MsnMsgr (1268) \\.\C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\kleene.blume@hotmail.de\SharingMetadata\Working\database_C4_FFA4_C4FF_99DC\dfsr.db: Das Datenbankmodul hat eine neue Instanz gestartet (0). Record Number: 11856 Source Name: ESENT Time Written: 20090116142335.000000+060 Event Type: Informationen User: Computer Name: DIANA Event Code: 100 Message: MsnMsgr (1268) Das Datenbankmodul 5.01.2600.5512 ist gestartet. Record Number: 11855 Source Name: ESENT Time Written: 20090116142335.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel "PROCESSOR_REVISION"=0207 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO -----------------EOF----------------- |
Zitat:
ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) |
Nur mal so ein Vorgeschmack, was überprüft werden müsste: z.B wo können Programme automatisch geladen werden?
Oder wurde eine Datei, welche sonst ausgeführt wird, manipuliert ... Wie soll das je sicher werden? |
ComboFix 09-03-06.02 - Baby 2009-03-10 20:22:21.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.602 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Baby\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_BOONTY_GAMES -------\Service_Boonty Games ((((((((((((((((((((((( Dateien erstellt von 2009-02-10 bis 2009-03-10 )))))))))))))))))))))))))))))) . 2009-03-10 20:15 . 2009-03-10 20:15 <DIR> d-------- c:\programme\CCleaner 2009-03-10 19:58 . 2009-03-10 19:59 <DIR> d-------- C:\rsit 2009-03-10 18:16 . 2009-03-10 18:16 <DIR> d-------- c:\programme\Trend Micro 2009-03-10 18:06 . 2009-03-10 18:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\Baby\Anwendungsdaten\Malwarebytes 2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-10 18:06 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-10 18:06 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-10 17:54 . 2009-03-10 17:54 153,104 --a------ c:\windows\system32\drivers\tmcomm.sys 2009-03-10 15:03 . 2009-03-10 15:03 0 --a------ c:\windows\system32\nfr.gpref 2009-03-10 15:02 . 2009-03-10 15:02 0 --a------ c:\windows\system32\nfr.assembly 2009-03-10 12:51 . 2009-03-10 12:51 1 ---h----- c:\windows\t55ft3518f44.dat 2009-03-10 12:51 . 2009-03-10 12:51 1 --a------ c:\windows\9gdfgjf23 2009-03-10 10:46 . 2009-03-10 10:46 44,032 --a------ c:\windows\system32\inform.dat 2009-03-10 10:46 . 2009-03-10 10:46 33,280 --a------ c:\windows\system32\kmsvc32.dll 2009-03-10 10:46 . 2009-03-10 10:46 102 --a------ c:\windows\system32\wh 2009-03-10 10:44 . 2009-03-10 10:44 54,156 --ah----- c:\windows\QTFont.qfn 2009-03-10 10:44 . 2009-03-10 10:44 1,409 --a------ c:\windows\QTFont.for 2009-02-19 17:20 . 2009-02-19 18:51 <DIR> d-------- c:\windows\SxsCaPendDel 2009-02-19 15:23 . 2009-02-19 16:13 <DIR> d-------- c:\programme\Paint.NET 2009-02-19 15:22 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll 2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll 2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll 2009-02-19 15:15 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-02-19 15:15 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll 2009-02-19 15:15 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll 2009-02-19 15:15 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll 2009-02-19 15:15 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-02-19 14:01 . 2000-11-13 11:55 109,056 --a------ c:\windows\system32\ESFinish.exe 2009-02-19 13:49 . 2009-02-19 16:12 <DIR> d-------- c:\programme\MeeSoft 2009-02-16 15:36 . 2009-02-16 15:36 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\agi 2009-02-16 15:34 . 2009-02-16 15:34 2,117,632 --a------ c:\windows\system32\python25.dll 2009-02-16 15:34 . 2008-09-16 17:26 1,332,197 --a------ c:\windows\system32\pythondll.zip 2009-02-16 15:34 . 2009-02-16 15:34 339,968 --a------ c:\windows\system32\pythoncom25.dll 2009-02-16 15:34 . 2009-02-16 15:34 114,688 --a------ c:\windows\system32\pywintypes25.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-10 14:45 --------- d--h--w c:\programme\InstallShield Installation Information 2009-03-10 11:54 --------- d-----w c:\dokumente und einstellungen\Baby\Anwendungsdaten\Azureus 2009-03-09 17:22 --------- d-----w c:\programme\Windows Live Safety Center 2009-02-16 18:22 --------- d-----w c:\programme\MSN Messenger 2009-02-15 16:45 --------- d-----w c:\programme\a-squared Anti-Malware 2009-02-15 06:30 2,560 ----a-w c:\windows\system32\drivers\mchInjDrv.sys 2009-02-04 21:02 --------- d-----w c:\programme\ArcorOnline 2009-01-20 13:27 --------- d-----w c:\programme\ArtMoney 2008-12-25 16:48 35,056 ----a-w c:\dokumente und einstellungen\Baby\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-01-25 12:36 14,852 ----a-w c:\programme\settings.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136] "Arcor Online"="c:\progra~1\ARCORO~1\Arcor.exe" [2007-04-12 535544] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-02-10 155648] "HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-02-10 118784] "PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2002-10-23 86016] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-03 136600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] Wireless Connection Manager.lnk - c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe [2008-09-19 12693504] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Baby^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk] path=c:\dokumente und einstellungen\Baby\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] --a------ 2008-04-01 10:39 486856 c:\programme\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-02-15 12:45 98304 c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] --a------ 2006-11-10 12:35 90112 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2009-01-03 14:25 136600 c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "de_serv"=3 (0x3) "Boonty Games"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "13197:TCP"= 13197:TCP:BitComet 13197 TCP "13197:UDP"= 13197:UDP:BitComet 13197 UDP "80:TCP"= 80:TCP:dll32 "7171:TCP"= 7171:TCP:dll32 R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [2008-03-06 3026] R1 mchInjDrv;madCodeHook DLL injection driver;c:\windows\system32\drivers\mchInjDrv.sys [2008-08-30 2560] R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144] R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [2008-01-23 501560] R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680] R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-09-19 54432] S2 spydetector;spydetector;\??\c:\programme\Spyware Process Detector\spydetector.sys --> c:\programme\Spyware Process Detector\spydetector.sys [?] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-10-16 4352] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-10-16 265088] S3 N100;Compaq Ethernet oder Fast Ethernet-NIC-Treiber;c:\windows\system32\drivers\n100325.sys [2007-10-16 130048] S3 NetWlan5;Symbol-basierter 802.11b drahtloser LAN-Kartentreiber;c:\windows\system32\drivers\netwlan5.sys [2007-10-16 132695] S3 PAC207;SoC PC-Camera;c:\windows\system32\drivers\pfc027.sys [2005-04-08 162176] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0750ae4a-7c16-11dc-a30a-000bcdc1bc0a}] \Shell\AutoRun\command - F:\pushinst.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{140BD8E3-C167-11D4-B4A3-080000180323} - (no file) MSConfigStartUp-BitComet - c:\programme\BitComet\BitComet.exe MSConfigStartUp-ICQ - c:\programme\ICQ6\ICQ.exe MSConfigStartUp-NBKeyScan - c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe MSConfigStartUp-Steam - c:\programme\Steam\Steam.exe MSConfigStartUp-URLLSTCK - c:\programme\Norton Internet Security\UrlLstCk.exe MSConfigStartUp-Yahoo! Pager - c:\progra~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.arcor.de mStart Page = hxxp://www.arcor.de mWindow Title = Arcor AG & Co. KG IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab FF - ProfilePath - c:\dokumente und einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\ FF - prefs.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q= FF - prefs.js: network.proxy.type - 1 ---- FIREFOX Richtlinien ---- FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: browser.history_expire_days - 5 FF - user.js: browser.history_expire_days_min - 5 FF - user.js: browser.history_expire_sites - 40000 FF - user.js: dom.storage.enabled - true FF - user.js: privacy.sanitize.sanitizeOnShutdown - false FF - user.js: privacy.sanitize.promptOnSanitize - false FF - user.js: privacy.item.offlineApps - true FF - user.js: browser.safebrowsing.malware.enabled - true FF - user.js: nglayout.initialpaint.delay - 50 FF - user.js: network.http.pipelining - true FF - user.js: network.prefetch-next - true FF - user.js: config.trim_on_minimize - false FF - user.js: browser.sessionhistory.max_total_viewers - -1 FF - user.js: browser.cache.memory.capacity - 18432 FF - user.js: browser.cache.disk.capacity - 10000 FF - user.js: browser.cache.offline.capacity - 25000 FF - user.js: browser.sessionstore.interval - 10000000 FF - user.js: browser.sessionstore.max_tabs_undo - 10 FF - user.js: browser.urlbar.maxRichResults - 12 FF - user.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q= FF - user.js: keyword.enabled - true FF - user.js: browser.fixup.alternate.suffix - .de FF - user.js: browser.urlbar.doubleClickSelectsAll - true FF - user.js: browser.urlbar.clickSelectsAll - false FF - user.js: browser.zoom.siteSpecific - true FF - user.js: browser.search.openintab - false FF - user.js: browser.tabs.loadDivertedInBackground - false FF - user.js: browser.tabs.closeButtons - 1 FF - user.js: browser.download.manager.useWindow - true FF - user.js: browser.download.manager.retention - 1 FF - user.js: browser.download.manager.closeWhenDone - true FF - user.js: extensions.checkCompatibility - true FF - user.js: extensions.hideInstallButton - false . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-10 20:27:39 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1123561945-854245398-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1CEE8B00-99C8-5C9A-41D5-15011CC18B77}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(448) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\windows\system32\LEXBCES.EXE c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe c:\windows\system32\LEXPPS.EXE c:\progra~1\ARCORO~1\AOButler.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\StkASv2K.exe c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-03-10 20:30:49 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-03-10 19:30:43 Vor Suchlauf: 5.550.862.336 Bytes frei Nach Suchlauf: 9,224,093,696 Bytes frei 226 --- E O F --- 2009-02-25 09:53:54 |
Code: 2009-03-10 20:15 . 2009-03-10 20:15 <DIR> d-------- c:\programme\CCleaner |
Scripten mit Combofix
Zitat:
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann ====== malwarebytes nochmal laufen lassen, komplettscan, log posten. |
Was ist mit dem Virus, welcher diese Dateien erstellt? Code: c:\windows\system32\wh |
ComboFix 09-03-06.02 - Baby 2009-03-10 20:48:19.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.661 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Baby\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Baby\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! FILE :: c:\windows\9gdfgjf23 c:\windows\system32\drivers\mchInjDrv.sys c:\windows\system32\nfr.assembly c:\windows\system32\nfr.gpref c:\windows\t55ft3518f44.dat . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\9gdfgjf23 c:\windows\system32\drivers\mchInjDrv.sys c:\windows\system32\nfr.assembly c:\windows\system32\nfr.gpref c:\windows\t55ft3518f44.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MCHINJDRV -------\Service_mchInjDrv ((((((((((((((((((((((( Dateien erstellt von 2009-02-10 bis 2009-03-10 )))))))))))))))))))))))))))))) . 2009-03-10 20:15 . 2009-03-10 20:15 <DIR> d-------- c:\programme\CCleaner 2009-03-10 19:58 . 2009-03-10 19:59 <DIR> d-------- C:\rsit 2009-03-10 18:16 . 2009-03-10 18:16 <DIR> d-------- c:\programme\Trend Micro 2009-03-10 18:06 . 2009-03-10 18:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\Baby\Anwendungsdaten\Malwarebytes 2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-10 18:06 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-10 18:06 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-10 17:54 . 2009-03-10 17:54 153,104 --a------ c:\windows\system32\drivers\tmcomm.sys 2009-03-10 10:46 . 2009-03-10 10:46 44,032 --a------ c:\windows\system32\inform.dat 2009-03-10 10:46 . 2009-03-10 10:46 33,280 --a------ c:\windows\system32\kmsvc32.dll 2009-03-10 10:46 . 2009-03-10 10:46 102 --a------ c:\windows\system32\wh 2009-03-10 10:44 . 2009-03-10 10:44 54,156 --ah----- c:\windows\QTFont.qfn 2009-03-10 10:44 . 2009-03-10 10:44 1,409 --a------ c:\windows\QTFont.for 2009-02-19 17:20 . 2009-02-19 18:51 <DIR> d-------- c:\windows\SxsCaPendDel 2009-02-19 15:23 . 2009-02-19 16:13 <DIR> d-------- c:\programme\Paint.NET 2009-02-19 15:22 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll 2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll 2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll 2009-02-19 15:15 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-02-19 15:15 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll 2009-02-19 15:15 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll 2009-02-19 15:15 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll 2009-02-19 15:15 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-02-19 14:01 . 2000-11-13 11:55 109,056 --a------ c:\windows\system32\ESFinish.exe 2009-02-19 13:49 . 2009-02-19 16:12 <DIR> d-------- c:\programme\MeeSoft 2009-02-16 15:36 . 2009-02-16 15:36 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\agi 2009-02-16 15:34 . 2009-02-16 15:34 2,117,632 --a------ c:\windows\system32\python25.dll 2009-02-16 15:34 . 2008-09-16 17:26 1,332,197 --a------ c:\windows\system32\pythondll.zip 2009-02-16 15:34 . 2009-02-16 15:34 339,968 --a------ c:\windows\system32\pythoncom25.dll 2009-02-16 15:34 . 2009-02-16 15:34 114,688 --a------ c:\windows\system32\pywintypes25.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-10 14:45 --------- d--h--w c:\programme\InstallShield Installation Information 2009-03-10 11:54 --------- d-----w c:\dokumente und einstellungen\Baby\Anwendungsdaten\Azureus 2009-03-09 17:22 --------- d-----w c:\programme\Windows Live Safety Center 2009-02-16 18:22 --------- d-----w c:\programme\MSN Messenger 2009-02-15 16:45 --------- d-----w c:\programme\a-squared Anti-Malware 2009-02-04 21:02 --------- d-----w c:\programme\ArcorOnline 2009-01-20 13:27 --------- d-----w c:\programme\ArtMoney 2008-12-25 16:48 35,056 ----a-w c:\dokumente und einstellungen\Baby\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-01-25 12:36 14,852 ----a-w c:\programme\settings.dat . ((((((((((((((((((((((((((((( SnapShot@2009-03-10_20.29.28.60 ))))))))))))))))))))))))))))))))))))))))) . + 2009-03-10 19:52:18 16,384 ----atw c:\windows\temp\Perflib_Perfdata_74c.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136] "Arcor Online"="c:\progra~1\ARCORO~1\Arcor.exe" [2007-04-12 535544] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-02-10 155648] "HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-02-10 118784] "PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2002-10-23 86016] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-03 136600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] Wireless Connection Manager.lnk - c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe [2008-09-19 12693504] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Baby^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk] path=c:\dokumente und einstellungen\Baby\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] --a------ 2008-04-01 10:39 486856 c:\programme\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-02-15 12:45 98304 c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] --a------ 2006-11-10 12:35 90112 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2009-01-03 14:25 136600 c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "de_serv"=3 (0x3) "Boonty Games"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "13197:TCP"= 13197:TCP:BitComet 13197 TCP "13197:UDP"= 13197:UDP:BitComet 13197 UDP "80:TCP"= 80:TCP:dll32 "7171:TCP"= 7171:TCP:dll32 R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [2008-03-06 3026] R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144] R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [2008-01-23 501560] R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680] R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-09-19 54432] S2 spydetector;spydetector;\??\c:\programme\Spyware Process Detector\spydetector.sys --> c:\programme\Spyware Process Detector\spydetector.sys [?] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-10-16 4352] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-10-16 265088] S3 N100;Compaq Ethernet oder Fast Ethernet-NIC-Treiber;c:\windows\system32\drivers\n100325.sys [2007-10-16 130048] S3 NetWlan5;Symbol-basierter 802.11b drahtloser LAN-Kartentreiber;c:\windows\system32\drivers\netwlan5.sys [2007-10-16 132695] S3 PAC207;SoC PC-Camera;c:\windows\system32\drivers\pfc027.sys [2005-04-08 162176] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0750ae4a-7c16-11dc-a30a-000bcdc1bc0a}] \Shell\AutoRun\command - F:\pushinst.exe . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.arcor.de mStart Page = hxxp://www.arcor.de mWindow Title = Arcor AG & Co. KG IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab FF - ProfilePath - c:\dokumente und einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\ FF - prefs.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q= FF - prefs.js: network.proxy.type - 1 ---- FIREFOX Richtlinien ---- FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: browser.history_expire_days - 5 FF - user.js: browser.history_expire_days_min - 5 FF - user.js: browser.history_expire_sites - 40000 FF - user.js: dom.storage.enabled - true FF - user.js: privacy.sanitize.sanitizeOnShutdown - false FF - user.js: privacy.sanitize.promptOnSanitize - false FF - user.js: privacy.item.offlineApps - true FF - user.js: browser.safebrowsing.malware.enabled - true FF - user.js: nglayout.initialpaint.delay - 50 FF - user.js: network.http.pipelining - true FF - user.js: network.prefetch-next - true FF - user.js: config.trim_on_minimize - false FF - user.js: browser.sessionhistory.max_total_viewers - -1 FF - user.js: browser.cache.memory.capacity - 18432 FF - user.js: browser.cache.disk.capacity - 10000 FF - user.js: browser.cache.offline.capacity - 25000 FF - user.js: browser.sessionstore.interval - 10000000 FF - user.js: browser.sessionstore.max_tabs_undo - 10 FF - user.js: browser.urlbar.maxRichResults - 12 FF - user.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q= FF - user.js: keyword.enabled - true FF - user.js: browser.fixup.alternate.suffix - .de FF - user.js: browser.urlbar.doubleClickSelectsAll - true FF - user.js: browser.urlbar.clickSelectsAll - false FF - user.js: browser.zoom.siteSpecific - true FF - user.js: browser.search.openintab - false FF - user.js: browser.tabs.loadDivertedInBackground - false FF - user.js: browser.tabs.closeButtons - 1 FF - user.js: browser.download.manager.useWindow - true FF - user.js: browser.download.manager.retention - 1 FF - user.js: browser.download.manager.closeWhenDone - true FF - user.js: extensions.checkCompatibility - true FF - user.js: extensions.hideInstallButton - false . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-10 20:52:32 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1123561945-854245398-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1CEE8B00-99C8-5C9A-41D5-15011CC18B77}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(708) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\windows\system32\LEXBCES.EXE c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe c:\windows\system32\LEXPPS.EXE c:\progra~1\ARCORO~1\AOButler.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\StkASv2K.exe c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\Mozilla Firefox\firefox.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-03-10 20:55:51 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-03-10 19:55:34 ComboFix2.txt 2009-03-10 19:30:51 Vor Suchlauf: 9.196.396.544 Bytes frei Nach Suchlauf: 9,185,079,296 Bytes frei 229 --- E O F --- 2009-02-25 09:53:54 |
Die sollte auch noch weg Code: c:\windows\system32\inform.dat |
ich weiß :). die könnten sich auch mal abgewöhnen alles zur selben uhrzeit zu erstellen, das fällt auf ;) |
Danke für deine supi hilfe was muß ich jetzt noch tun???? Lg |
hatte doch noch was dabeigeschrieben, aber wenn das noch nicht läuft dann mach das zuerst: Scripten mit Combofix
Zitat:
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann ============== Malwarebytes updaten, komplettscan machen, log posten ============== Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen |
noch eine Unterstützung Zitat:
|
bis jetzt bin ich mit neuaufsetzen mit dir einer meinung, ich erwarte alllerdings nen ganz anderen fund, will nur was kontrollieren :) |
Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1831 Windows 5.1.2600 Service Pack 3 10.03.2009 21:32:25 mbam-log-2009-03-10 (21-32-25).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 67315 Laufzeit: 4 minute(s), 34 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
ComboFix 09-03-06.02 - Baby 2009-03-10 21:23:28.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.656 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Baby\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Baby\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! FILE :: c:\windows\system32\inform.dat c:\windows\system32\kmsvc32.dll c:\windows\system32\wh . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\inform.dat c:\windows\system32\kmsvc32.dll c:\windows\system32\wh . ((((((((((((((((((((((( Dateien erstellt von 2009-02-10 bis 2009-03-10 )))))))))))))))))))))))))))))) . 2009-03-10 20:15 . 2009-03-10 20:15 <DIR> d-------- c:\programme\CCleaner 2009-03-10 19:58 . 2009-03-10 19:59 <DIR> d-------- C:\rsit 2009-03-10 18:16 . 2009-03-10 18:16 <DIR> d-------- c:\programme\Trend Micro 2009-03-10 18:06 . 2009-03-10 18:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\Baby\Anwendungsdaten\Malwarebytes 2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-10 18:06 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-10 18:06 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-10 17:54 . 2009-03-10 17:54 153,104 --a------ c:\windows\system32\drivers\tmcomm.sys 2009-03-10 10:44 . 2009-03-10 10:44 54,156 --ah----- c:\windows\QTFont.qfn 2009-03-10 10:44 . 2009-03-10 10:44 1,409 --a------ c:\windows\QTFont.for 2009-02-19 17:20 . 2009-02-19 18:51 <DIR> d-------- c:\windows\SxsCaPendDel 2009-02-19 15:23 . 2009-02-19 16:13 <DIR> d-------- c:\programme\Paint.NET 2009-02-19 15:22 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll 2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll 2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll 2009-02-19 15:15 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-02-19 15:15 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll 2009-02-19 15:15 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll 2009-02-19 15:15 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll 2009-02-19 15:15 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-02-19 14:01 . 2000-11-13 11:55 109,056 --a------ c:\windows\system32\ESFinish.exe 2009-02-19 13:49 . 2009-02-19 16:12 <DIR> d-------- c:\programme\MeeSoft 2009-02-16 15:36 . 2009-02-16 15:36 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\agi 2009-02-16 15:34 . 2009-02-16 15:34 2,117,632 --a------ c:\windows\system32\python25.dll 2009-02-16 15:34 . 2008-09-16 17:26 1,332,197 --a------ c:\windows\system32\pythondll.zip 2009-02-16 15:34 . 2009-02-16 15:34 339,968 --a------ c:\windows\system32\pythoncom25.dll 2009-02-16 15:34 . 2009-02-16 15:34 114,688 --a------ c:\windows\system32\pywintypes25.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-10 14:45 --------- d--h--w c:\programme\InstallShield Installation Information 2009-03-10 11:54 --------- d-----w c:\dokumente und einstellungen\Baby\Anwendungsdaten\Azureus 2009-03-09 17:22 --------- d-----w c:\programme\Windows Live Safety Center 2009-02-16 18:22 --------- d-----w c:\programme\MSN Messenger 2009-02-16 14:34 348,160 ----a-w c:\windows\system32\msvcr71.dll 2009-02-15 16:45 --------- d-----w c:\programme\a-squared Anti-Malware 2009-02-04 21:02 --------- d-----w c:\programme\ArcorOnline 2009-01-20 13:27 --------- d-----w c:\programme\ArtMoney 2009-01-03 13:25 410,984 ----a-w c:\windows\system32\deploytk.dll 2008-12-25 16:48 35,056 ----a-w c:\dokumente und einstellungen\Baby\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll 2008-01-25 12:36 14,852 ----a-w c:\programme\settings.dat . ((((((((((((((((((((((((((((( SnapShot@2009-03-10_20.29.28.60 ))))))))))))))))))))))))))))))))))))))))) . + 2009-03-10 19:52:18 16,384 ----atw c:\windows\temp\Perflib_Perfdata_74c.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136] "Arcor Online"="c:\progra~1\ARCORO~1\Arcor.exe" [2007-04-12 535544] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-02-10 155648] "HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-02-10 118784] "PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2002-10-23 86016] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-03 136600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] Wireless Connection Manager.lnk - c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe [2008-09-19 12693504] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Baby^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk] path=c:\dokumente und einstellungen\Baby\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] --a------ 2008-04-01 10:39 486856 c:\programme\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-02-15 12:45 98304 c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] --a------ 2006-11-10 12:35 90112 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2009-01-03 14:25 136600 c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "de_serv"=3 (0x3) "Boonty Games"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "13197:TCP"= 13197:TCP:BitComet 13197 TCP "13197:UDP"= 13197:UDP:BitComet 13197 UDP "80:TCP"= 80:TCP:dll32 "7171:TCP"= 7171:TCP:dll32 R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [2008-03-06 3026] R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144] R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [2008-01-23 501560] R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680] R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-09-19 54432] S2 spydetector;spydetector;\??\c:\programme\Spyware Process Detector\spydetector.sys --> c:\programme\Spyware Process Detector\spydetector.sys [?] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-10-16 4352] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-10-16 265088] S3 N100;Compaq Ethernet oder Fast Ethernet-NIC-Treiber;c:\windows\system32\drivers\n100325.sys [2007-10-16 130048] S3 NetWlan5;Symbol-basierter 802.11b drahtloser LAN-Kartentreiber;c:\windows\system32\drivers\netwlan5.sys [2007-10-16 132695] S3 PAC207;SoC PC-Camera;c:\windows\system32\drivers\pfc027.sys [2005-04-08 162176] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0750ae4a-7c16-11dc-a30a-000bcdc1bc0a}] \Shell\AutoRun\command - F:\pushinst.exe . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.arcor.de mStart Page = hxxp://www.arcor.de mWindow Title = Arcor AG & Co. KG IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 TCP: {D8798259-7077-4592-B58E-3456BC2BF75E} = 195.50.140.252 195.50.140.114 DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab FF - ProfilePath - c:\dokumente und einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\ FF - prefs.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q= ---- FIREFOX Richtlinien ---- FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: browser.history_expire_days - 5 FF - user.js: browser.history_expire_days_min - 5 FF - user.js: browser.history_expire_sites - 40000 FF - user.js: dom.storage.enabled - true FF - user.js: privacy.sanitize.sanitizeOnShutdown - false FF - user.js: privacy.sanitize.promptOnSanitize - false FF - user.js: privacy.item.offlineApps - true FF - user.js: browser.safebrowsing.malware.enabled - true FF - user.js: nglayout.initialpaint.delay - 50 FF - user.js: network.http.pipelining - true FF - user.js: network.prefetch-next - true FF - user.js: config.trim_on_minimize - false FF - user.js: browser.sessionhistory.max_total_viewers - -1 FF - user.js: browser.cache.memory.capacity - 18432 FF - user.js: browser.cache.disk.capacity - 10000 FF - user.js: browser.cache.offline.capacity - 25000 FF - user.js: browser.sessionstore.interval - 10000000 FF - user.js: browser.sessionstore.max_tabs_undo - 10 FF - user.js: browser.urlbar.maxRichResults - 12 FF - user.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q= FF - user.js: keyword.enabled - true FF - user.js: browser.fixup.alternate.suffix - .de FF - user.js: browser.urlbar.doubleClickSelectsAll - true FF - user.js: browser.urlbar.clickSelectsAll - false FF - user.js: browser.zoom.siteSpecific - true FF - user.js: browser.search.openintab - false FF - user.js: browser.tabs.loadDivertedInBackground - false FF - user.js: browser.tabs.closeButtons - 1 FF - user.js: browser.download.manager.useWindow - true FF - user.js: browser.download.manager.retention - 1 FF - user.js: browser.download.manager.closeWhenDone - true FF - user.js: extensions.checkCompatibility - true FF - user.js: extensions.hideInstallButton - false . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-10 21:25:15 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1123561945-854245398-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1CEE8B00-99C8-5C9A-41D5-15011CC18B77}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(708) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-03-10 21:27:06 ComboFix-quarantined-files.txt 2009-03-10 20:26:56 ComboFix2.txt 2009-03-10 19:55:53 ComboFix3.txt 2009-03-10 19:30:51 Vor Suchlauf: 9.163.546.624 Bytes frei Nach Suchlauf: 9,151,209,472 Bytes frei 205 --- E O F --- 2009-02-25 09:53:54 |
Das Log von kaspersky kommt gleich |
kurze frage sieht es jetzt wieder gut aus??? Wiel kaspersky kann sich nur noch um stunden handeln! |
joah, der kann schon dauern ;) wie es aussieht kann ich dir sagen wenn ich den onlinescan sehe. |
jo oki! Ich poste es so bald es fertig is kann dir aber net sagen wie lang es noch dauert! Weiß ja net wie lang du noch so online bist ansonsten poste ich es dir un du schaust morgen drüber wenn du bock hast! Lg |
------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Dienstag, 10. März 2009 23:00:57 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 10/03/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 1703800 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Ordner: C:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 39928 Viren gefunden: 1 Infizierte Objekte gefunden: 58 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 00:57:33 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\cert8.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\cookies.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\downloads.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\key3.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\parent.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\permissions.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\places.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\search.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Identities\{CEFA51C7-326E-451A-A64D-819FC0DC7497}\Microsoft\Outlook Express\Folders.dbx Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Identities\{CEFA51C7-326E-451A-A64D-819FC0DC7497}\Microsoft\Outlook Express\Offline.dbx Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\temp\etilqs_fI9yhFBCvDrb5YNz2CdX Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\temp\~DF7F52.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\ntuser.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Baby\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP444\A0163503.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP444\A0163506.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163555.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163557.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163559.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163561.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163564.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163565.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163588.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163590.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163593.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163595.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163602.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163604.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163607.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163608.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163617.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163619.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163620.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163622.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163629.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163631.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163634.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163636.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163640.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163642.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163645.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163646.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163658.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163660.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163663.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163664.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163673.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163675.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163678.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163679.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163711.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163713.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163716.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163717.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163743.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163749.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163750.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163752.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163755.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163756.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163774.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163775.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163778.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163779.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163781.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163784.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163785.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163810.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163812.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163815.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163816.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP451\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\50a5000a1.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\temp\Perflib_Perfdata_74c.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
Scripten mit Combofix
Zitat:
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann |
ComboFix 09-03-10.01 - Baby 2009-03-11 10:38:49.6 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.644 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Baby\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-02-11 bis 2009-03-11 )))))))))))))))))))))))))))))) . 2009-03-11 10:15 . 2009-03-11 10:15 <DIR> d-------- c:\windows\LastGood 2009-03-10 23:11 . 2009-03-10 23:11 <DIR> d-------- c:\programme\Avira 2009-03-10 23:11 . 2009-03-10 23:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-03-10 18:16 . 2009-03-10 18:16 <DIR> d-------- c:\programme\Trend Micro 2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\Baby\Anwendungsdaten\Malwarebytes 2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-10 17:54 . 2009-03-10 17:54 153,104 --a------ c:\windows\system32\drivers\tmcomm.sys 2009-03-10 10:44 . 2009-03-10 10:44 54,156 --ah----- c:\windows\QTFont.qfn 2009-03-10 10:44 . 2009-03-10 10:44 1,409 --a------ c:\windows\QTFont.for 2009-02-19 17:20 . 2009-02-19 18:51 <DIR> d-------- c:\windows\SxsCaPendDel 2009-02-19 15:23 . 2009-02-19 16:13 <DIR> d-------- c:\programme\Paint.NET 2009-02-19 15:22 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll 2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll 2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll 2009-02-19 15:15 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-02-19 15:15 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll 2009-02-19 15:15 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll 2009-02-19 15:15 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll 2009-02-19 15:15 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-02-19 14:01 . 2000-11-13 11:55 109,056 --a------ c:\windows\system32\ESFinish.exe 2009-02-19 13:49 . 2009-02-19 16:12 <DIR> d-------- c:\programme\MeeSoft 2009-02-16 15:36 . 2009-02-16 15:36 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\agi 2009-02-16 15:34 . 2009-02-16 15:34 2,117,632 --a------ c:\windows\system32\python25.dll 2009-02-16 15:34 . 2008-09-16 17:26 1,332,197 --a------ c:\windows\system32\pythondll.zip 2009-02-16 15:34 . 2009-02-16 15:34 339,968 --a------ c:\windows\system32\pythoncom25.dll 2009-02-16 15:34 . 2009-02-16 15:34 114,688 --a------ c:\windows\system32\pywintypes25.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-10 22:08 --------- d--h--w c:\programme\InstallShield Installation Information 2009-03-10 11:54 --------- d-----w c:\dokumente und einstellungen\Baby\Anwendungsdaten\Azureus 2009-03-09 17:22 --------- d-----w c:\programme\Windows Live Safety Center 2009-02-16 18:22 --------- d-----w c:\programme\MSN Messenger 2009-02-16 14:34 348,160 ----a-w c:\windows\system32\msvcr71.dll 2009-02-15 16:45 --------- d-----w c:\programme\a-squared Anti-Malware 2009-02-04 21:02 --------- d-----w c:\programme\ArcorOnline 2009-01-20 13:27 --------- d-----w c:\programme\ArtMoney 2009-01-03 13:25 410,984 ----a-w c:\windows\system32\deploytk.dll 2008-12-25 16:48 35,056 ----a-w c:\dokumente und einstellungen\Baby\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll 2008-01-25 12:36 14,852 ----a-w c:\programme\settings.dat . ((((((((((((((((((((((((((((( SnapShot@2009-03-10_20.29.28.60 ))))))))))))))))))))))))))))))))))))))))) . + 2008-05-09 11:15:47 45,376 ----a-w c:\windows\system32\drivers\avgntdd.sys + 2008-01-21 16:11:28 22,336 ----a-w c:\windows\system32\drivers\avgntmgr.sys - 2007-03-22 08:36:24 43,584 ------w c:\windows\system32\drivers\avipbb.sys + 2008-10-30 09:21:03 75,072 ----a-w c:\windows\system32\drivers\avipbb.sys - 2007-03-05 09:20:02 28,352 ------w c:\windows\system32\drivers\ssmdrv.sys + 2007-11-08 17:03:26 21,248 ----a-w c:\windows\system32\drivers\ssmdrv.sys + 2009-03-11 08:14:20 16,384 ----atw c:\windows\temp\Perflib_Perfdata_3b8.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136] "Arcor Online"="c:\progra~1\ARCORO~1\Arcor.exe" [2007-04-12 535544] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-02-10 155648] "HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-02-10 118784] "PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2002-10-23 86016] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-03 136600] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] Wireless Connection Manager.lnk - c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe [2008-09-19 12693504] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Baby^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk] path=c:\dokumente und einstellungen\Baby\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] --a------ 2008-04-01 10:39 486856 c:\programme\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-02-15 12:45 98304 c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] --a------ 2006-11-10 12:35 90112 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2009-01-03 14:25 136600 c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "de_serv"=3 (0x3) "Boonty Games"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "13197:TCP"= 13197:TCP:BitComet 13197 TCP "13197:UDP"= 13197:UDP:BitComet 13197 UDP "80:TCP"= 80:TCP:dll32 "7171:TCP"= 7171:TCP:dll32 R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [2008-03-06 3026] R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144] R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [2008-01-23 501560] R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680] R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-09-19 54432] S2 spydetector;spydetector;\??\c:\programme\Spyware Process Detector\spydetector.sys --> c:\programme\Spyware Process Detector\spydetector.sys [?] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-10-16 4352] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-10-16 265088] S3 N100;Compaq Ethernet oder Fast Ethernet-NIC-Treiber;c:\windows\system32\drivers\n100325.sys [2007-10-16 130048] S3 NetWlan5;Symbol-basierter 802.11b drahtloser LAN-Kartentreiber;c:\windows\system32\drivers\netwlan5.sys [2007-10-16 132695] S3 PAC207;SoC PC-Camera;c:\windows\system32\drivers\pfc027.sys [2005-04-08 162176] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - AVIPBB *NewlyCreated* - SSMDRV [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0750ae4a-7c16-11dc-a30a-000bcdc1bc0a}] \Shell\AutoRun\command - F:\pushinst.exe . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.arcor.de mStart Page = hxxp://www.arcor.de mWindow Title = Arcor AG & Co. KG IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 TCP: {D8798259-7077-4592-B58E-3456BC2BF75E} = 195.50.140.252 195.50.140.114 DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab FF - ProfilePath - c:\dokumente und einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\ FF - prefs.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q= ---- FIREFOX Richtlinien ---- FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: browser.history_expire_days - 5 FF - user.js: browser.history_expire_days_min - 5 FF - user.js: browser.history_expire_sites - 40000 FF - user.js: dom.storage.enabled - true FF - user.js: privacy.sanitize.sanitizeOnShutdown - false FF - user.js: privacy.sanitize.promptOnSanitize - false FF - user.js: privacy.item.offlineApps - true FF - user.js: browser.safebrowsing.malware.enabled - true FF - user.js: nglayout.initialpaint.delay - 50 FF - user.js: network.http.pipelining - true FF - user.js: network.prefetch-next - true FF - user.js: config.trim_on_minimize - false FF - user.js: browser.sessionhistory.max_total_viewers - -1 FF - user.js: browser.cache.memory.capacity - 18432 FF - user.js: browser.cache.disk.capacity - 10000 FF - user.js: browser.cache.offline.capacity - 25000 FF - user.js: browser.sessionstore.interval - 10000000 FF - user.js: browser.sessionstore.max_tabs_undo - 10 FF - user.js: browser.urlbar.maxRichResults - 12 FF - user.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q= FF - user.js: keyword.enabled - true FF - user.js: browser.fixup.alternate.suffix - .de FF - user.js: browser.urlbar.doubleClickSelectsAll - true FF - user.js: browser.urlbar.clickSelectsAll - false FF - user.js: browser.zoom.siteSpecific - true FF - user.js: browser.search.openintab - false FF - user.js: browser.tabs.loadDivertedInBackground - false FF - user.js: browser.tabs.closeButtons - 1 FF - user.js: browser.download.manager.useWindow - true FF - user.js: browser.download.manager.retention - 1 FF - user.js: browser.download.manager.closeWhenDone - true FF - user.js: extensions.checkCompatibility - true FF - user.js: extensions.hideInstallButton - false . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-11 10:40:37 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1123561945-854245398-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1CEE8B00-99C8-5C9A-41D5-15011CC18B77}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(708) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-03-11 10:42:47 ComboFix-quarantined-files.txt 2009-03-11 09:42:34 ComboFix2.txt 2009-03-11 09:37:36 ComboFix3.txt 2009-03-10 20:27:09 ComboFix4.txt 2009-03-10 19:55:53 ComboFix5.txt 2009-03-11 09:38:25 Vor Suchlauf: 9.185.710.080 Bytes frei Nach Suchlauf: 9,172,828,160 Bytes frei 204 --- E O F --- 2009-02-25 09:53:54 |
Hab es so gemacht wie du geschrieben hast! Sieht es jetzt wieder gut aus??? Lg |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board