Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Falsche Googlelinks / services.exe schleudert eMail / AntiVir + HJT startet nicht (https://www.trojaner-board.de/74483-falsche-googlelinks-services-exe-schleudert-email-antivir-hjt-startet.html)

PeeeWeee 24.06.2009 18:26
Falsche Googlelinks / services.exe schleudert eMail / AntiVir + HJT startet nicht
 
Hi Leute,

nun hats mich wohl auch erwischt, und ich dachte immer, so etwas passiert mir nicht :rolleyes:

Also: AntiVir und Hijackthis startet nicht, Google Links führen teilweise sonstwo hin, Zone Alarm meldet von der services.exe ein reges Emailversende-Bedürfnis. Der HomeCall Scan von Trend Micro wird wahrscheinlich auch blockiert, ebenso wahrscheinlich das XP Autoupdate.

Ich habe dann mal alles mögliche andere laufen lassen, das ich so gefunden habe: Spywaredoctor, den Zone Alarm Virenscan, manuell das MS Tool zum entfernen bösartiger Software, usw., alle haben etwas gefunden und entfernt.

Verschwunden sind nun lediglich solche komischen Viruswarn-Fakes mit aufgesetzter Microsoft Mütze, übrig geblieben ist aber alles oben genannte.

Okay, Hijackthis umbenannt und ausgeführt ergab nun folgendes Log. Vielleicht erblickt ja noch jemand etwas oder hat einen Rat, was zu tun ist ...

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:19, on 24.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
F:\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe
F:\WIDCOMM\Bluetooth Software\BTTray.exe
F:\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe
F:\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
F:\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
F:\Trend Micro\HijackThis\peeweethus.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - F:\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - F:\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Bietfuchs Toolbar - {C281AB23-16F3-413A-BEE6-AB9B75A20A99} - f:\Bietfuchs Toolbar IE\BietfuchsExplorerBar.dll
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [mRouterConfig] "C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe"
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = F:\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Bietfuchs - {C281AB23-16F3-413A-BEE6-AB9B75A20A99} - f:\Bietfuchs Toolbar IE\BietfuchsExplorerBar.dll
O9 - Extra 'Tools' menuitem: Bietfuchs - {C281AB23-16F3-413A-BEE6-AB9B75A20A99} - f:\Bietfuchs Toolbar IE\BietfuchsExplorerBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O15 - Trusted Zone: http://www.box-pirates.net
O15 - Trusted Zone: http://*.shoutcast.com
O15 - Trusted Zone: http://*.winamp.com
O16 - DPF: {215b8138-a3cf-44c5-803f-8226143cfc0a} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://80.237.209.20/objects/NpFv41629.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCD2689E-956F-4B2C-85A1-114D5135CCF5}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - F:\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - f:\SiSoftware\SiSoftware Sandra Professional Business XI.SP3\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - f:\SiSoftware\SiSoftware Sandra Professional Business XI.SP3\RpcSandraSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Windows-Bilderfassung (WIA) stisvcSwPrv (stisvcSwPrv) - Unknown owner - C:\WINDOWS\system32\admparsed.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 10267 bytes


Gruzz, Peter

*Krawall$chachtel* 24.06.2009 18:33
für anleitungen zum entfernen bitte auf die anderen warten, an deinem log sind mir diese zeilen aufgefallen, mal sheen, was die sachverständigen sagen ;)

Code:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;
R3 - URLSearchHook: (no name) - - (no file)
ich habe in einem anderem forum gelesen, dass dies ein evtl. rootkit ist, evtl. combofix verwenden, aber auch eine neuinstallation wäre in betracht zu ziehen :(
hier der link zu diesem forum!

klick mich

PeeeWeee 24.06.2009 18:55
Format c:\ wäre echt übel, ich habe mich schon versucht, mit dem Gedanken anzufreunden. Seidem hört mein Unterbewusstsein gar nicht mehr auf zu kotzen ... mal guggen, was die Sachverständigen sagen :(

PeeeWeee 24.06.2009 22:12
Okay, es scheint keinem etwas einzufallen ... Soll ich einfach mal combofix durchlaufen lassen? Die warnen aber ja auf der Website davor, es ohne fachkundige Anleitung zu tun ...

Ich habe der services.exe erstmal eine Firewall Blockade verpasst. Sie darf im Moment also weder auf die "Internetzone", noch auf die "Sichere Zone" zugreifen. Windows Fehlermeldungen gab es deswegen noch nicht. Aber ein Dauerzustand kann das natürlich nicht sein.

Gruzz, Peter

*Krawall$chachtel* 24.06.2009 23:25
wenn das im forum beschriebene problem vorhanden ist, könnte man mal combo drüberlaufen lassen, der typ in diesem forum hat es auch gemacht ....

diese anleitung wurde in dem forum zur bekämpfung gegeben:

Code:
1.
Folgen den Anweisungen unter
Cleanup
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

2.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
Combofix

3.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: Datfindbat
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)

und hier die anleitung für combofix:

Code:
2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
•        Lade dir das Tool hier herunter auf den Desktop
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
•        Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
•        Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung-> CCleaner Systembereinigung
•        Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen. Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.
•        Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

PeeeWeee 25.06.2009 12:37
Aha! :taenzer: Wie empfohlen habe ich das cleanup Tool und ComboFix benutzt. Auf den ersten Blick scheint der eMail Spuk vorbei zu sein. Auch wird die Ausführung div. Programme nicht mehr blockiert.

Hier ist mal ein neues Hijackthis Log und das Log das ComboFix ausgespuckt hat, kann mal bitte bitte jemand nachschauen, ob noch etwas verdächtiges drinsteht?

Hijackthis:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:25:48, on 25.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
F:\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe
C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe
F:\WIDCOMM\Bluetooth Software\BTTray.exe
F:\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
F:\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
F:\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\internet explorer\iexplore.exe
F:\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - F:\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - F:\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Bietfuchs Toolbar - {C281AB23-16F3-413A-BEE6-AB9B75A20A99} - f:\Bietfuchs Toolbar IE\BietfuchsExplorerBar.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [mRouterConfig] "C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = F:\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Bietfuchs - {C281AB23-16F3-413A-BEE6-AB9B75A20A99} - f:\Bietfuchs Toolbar IE\BietfuchsExplorerBar.dll
O9 - Extra 'Tools' menuitem: Bietfuchs - {C281AB23-16F3-413A-BEE6-AB9B75A20A99} - f:\Bietfuchs Toolbar IE\BietfuchsExplorerBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O15 - Trusted Zone: http://www.box-pirates.net
O15 - Trusted Zone: http://*.shoutcast.com
O15 - Trusted Zone: http://*.winamp.com
O16 - DPF: {215b8138-a3cf-44c5-803f-8226143cfc0a} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://80.237.209.20/objects/NpFv41629.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCD2689E-956F-4B2C-85A1-114D5135CCF5}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - F:\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - f:\SiSoftware\SiSoftware Sandra Professional Business XI.SP3\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - f:\SiSoftware\SiSoftware Sandra Professional Business XI.SP3\RpcSandraSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 9609 bytes

ComboFix:


Code:
ComboFix 09-06-24.05 - Büro 25.06.2009 12:22.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1604 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Büro\Desktop\ComboFix.exe
AV: ZoneAlarm Security Suite Antivirus *On-access scanning disabled* (Updated) {5D467B10-818C-4CAB-9FF7-6893B5B8F3CF}
FW: ZoneAlarm Security Suite Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\driver
c:\windows\system32\drivers\5f8b8270.sys
c:\windows\system32\sysloc
c:\windows\9g2234wesdf3dfgjf23
c:\windows\sonce122730.dat
c:\windows\zaponce52612.dat
c:\windows\zaponce52689.dat

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_driverdrv
-------\Legacy_stisvcswprv
-------\Service_5f8b8270
-------\Service_driverdrv
-------\Service_stisvcSwPrv


(((((((((((((((((((((((  Dateien erstellt von 2009-05-25 bis 2009-06-25  ))))))))))))))))))))))))))))))
.

2009-06-24 18:20 . 2009-06-24 18:20        --------        d--h--w-        c:\windows\PIF
2009-06-23 18:22 . 2009-06-25 09:28        --------        d-----w-        c:\windows\system32\anti_spyware
2009-06-23 11:50 . 2009-06-23 11:50        --------        d-----w-        C:\Program Files
2009-06-23 09:30 . 2009-03-31 17:20        69000        ----a-w-        c:\windows\system32\zlcomm.dll
2009-06-23 09:30 . 2009-03-31 17:20        103816        ----a-w-        c:\windows\system32\zlcommdb.dll
2009-06-23 09:30 . 2009-03-31 17:20        1221512        ----a-w-        c:\windows\system32\zpeng25.dll
2009-06-23 08:15 . 2009-06-25 10:32        70228512        --sha-w-        c:\windows\system32\drivers\fidbox.dat
2009-06-23 08:05 . 2009-06-23 09:19        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-06-23 08:04 . 2009-03-31 17:21        33160        ----a-w-        c:\windows\zllsputility_loc0407.dll
2009-06-23 08:04 . 2009-03-31 17:21        7048        ----a-w-        c:\windows\system32\imslsp_install_loc0407.dll
2009-06-23 08:04 . 2009-03-31 17:21        11144        ----a-w-        c:\windows\system32\imsinstall_loc0407.dll
2009-06-23 08:04 . 2009-03-31 17:21        46472        ----a-w-        c:\windows\system32\vsutil_loc0407.dll
2009-06-23 08:04 . 2009-03-31 17:20        72584        ----a-w-        c:\windows\zllsputility.exe
2009-06-23 08:04 . 2004-04-27 02:40        11264        ----a-w-        c:\windows\system32\SpOrder.dll
2009-06-23 08:03 . 2009-06-25 10:28        --------        d-----w-        c:\windows\system32\ZoneLabs
2009-06-22 10:08 . 2006-10-02 14:24        24072        ----a-w-        c:\windows\system32\uxtuneup.dll
2009-06-22 10:07 . 2009-06-22 10:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-06-21 11:47 . 2009-06-21 11:47        --------        d-----w-        c:\windows\Sun
2009-06-21 11:43 . 2009-06-21 11:42        410984        ----a-w-        c:\windows\system32\deploytk.dll
2009-06-18 10:10 . 2009-06-18 10:13        --------        dc-h--w-        c:\windows\ie8
2009-06-18 10:03 . 2009-03-24 14:08        55640        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2009-05-30 08:16 . 2009-06-10 09:32        88        --s-a-w-        c:\windows\system32\2955974509.dat

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-25 10:27 . 2009-06-23 08:15        944960        --sha-w-        c:\windows\system32\drivers\fidbox.idx
2009-06-24 21:36 . 2009-06-24 21:36        183696        ----a-w-        c:\windows\Internet Logs\vsmon_2nd_2009_06_24_23_31_34_small.dmp.zip
2009-06-24 02:43 . 2009-06-24 02:45        1516032        ----a-w-        c:\windows\Internet Logs\xDB2.tmp
2009-06-24 02:43 . 2009-06-24 02:45        1317376        ----a-w-        c:\windows\Internet Logs\xDB1.tmp
2009-06-23 09:55 . 2003-04-02 12:00        111104        ----a-w-        c:\windows\system32\services.exe
2009-06-23 09:37 . 2007-06-15 12:00        4212        ---ha-w-        c:\windows\system32\zllictbl.dat
2009-06-22 13:17 . 2008-09-16 16:44        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-06-22 10:07 . 2007-07-06 13:37        --------        d-----w-        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-15 12:31 . 2007-06-16 02:06        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-05-12 15:52 . 2007-06-16 08:36        2272        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-05-12 15:49 . 2003-04-02 12:00        81554        ----a-w-        c:\windows\system32\perfc007.dat
2009-05-12 15:49 . 2003-04-02 12:00        452746        ----a-w-        c:\windows\system32\perfh007.dat
2007-07-30 10:23 . 2007-07-30 10:23        1218        ----a-w-        c:\programme\uninstal.log
2006-05-03 10:06 . 2008-04-08 14:41        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-04-08 14:41        31232        --sh--r-        c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-04-08 14:41        27648        --sh--w-        c:\windows\system32\Smab0.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"mRouterConfig"="c:\programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe" [2006-03-02 290816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="f:\zone labs\ZoneAlarm\zlclient.exe" [2009-03-31 982408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - f:\widcomm\Bluetooth Software\BTTray.exe [2002-10-25 360509]
hpoddt01.exe.lnk - f:\hewlett-packard\Digital Imaging\bin\hpotdd01.exe [2002-12-30 28672]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"f:\\SiSoftware\\SiSoftware Sandra Professional Business XI.SP3\\Win32\\RpcDataSrv.exe"=
"f:\\SiSoftware\\SiSoftware Sandra Professional Business XI.SP3\\RpcSandraSrv.exe"=
"f:\\VideoLAN\\VLC\\vlc.exe"=
"f:\\ICQ6\\ICQ.exe"=
"f:\\Miranda IM\\miranda32.exe"=
"f:\\Trillian\\trillian.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"f:\\Anno 1701\\Anno1701.exe"=
"c:\\Programme\\Intuwave\\Shared\\mRouterRuntime\\mRouterRuntime.exe"=
"f:\\MyPhoneExplorer\\MyPhoneExplorer.exe"=
"f:\\Sony Ericsson\\Update Service\\Update Service.exe"=
"f:\\REAPER\\reamote.exe"=

R0 ElbyVCD;ElbyVCD;c:\windows\system32\drivers\ElbyVCD.sys [28.11.2002 12:43 22016]
R0 sensorsview;sensorsview;c:\windows\system32\drivers\sensorsview.sys [14.06.2007 11:19 4224]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [14.09.2007 16:31 11264]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [10.08.2008 04:23 222456]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [08.01.2008 16:34 6016]
S3 egmxm;ELSA GLADIAC MX driver;c:\windows\system32\drivers\egmxm.sys [16.06.2007 11:00 459422]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;f:\magix\Common\Database\bin\fbserver.exe [22.06.2007 13:39 1527900]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [20.02.2008 20:40 13352]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\svcntaux.exe [26.07.2007 13:10 729416]
S4 VLC media player;VLC media player;f:\videolan\VLC\vlc.exe [04.01.2007 14:01 93184]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2009-06-22 c:\windows\Tasks\1-Klick-Wartung.job
- f:\tuneup utilities 2006\SystemOptimizer.exe [2006-10-02 14:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = http=localhost:7171
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - f:\adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - f:\adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - f:\adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - f:\adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - f:\adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - f:\adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - f:\adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - f:\adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
Trusted Zone: box-pirates.net\www
Trusted Zone: shoutcast.com
Trusted Zone: telekom.de\kundencenter
Trusted Zone: winamp.com
TCP: {BCD2689E-956F-4B2C-85A1-114D5135CCF5} = 192.168.2.1
DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} - hxxp://80.237.209.20/objects/NpFv41629.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-25 12:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-725345543-1965331169-2147133589-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{53FDDCB1-5721-2F46-E2CC-69B5F4253F39}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"lapenfehioloecmhfngplhfl"=hex:6b,61,63,6a,62,6a,61,64,6f,6e,6c,61,6e,6d,64,63,
  64,69,6c,6c,6d,69,00,00

[HKEY_USERS\S-1-5-21-725345543-1965331169-2147133589-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{5812D55E-891A-1139-5A18-C45B58184133}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"nappogkdheepfldlfhddnmblkfhb"=hex:6b,61,63,65,63,6b,61,61,70,67,6d,66,64,6c,
  61,6d,66,69,6a,6a,67,67,00,00
"mappogkdheepdofignephplfen"=hex:6b,61,63,65,63,6b,61,61,70,67,6d,66,64,6c,61,
  6d,66,69,6a,6a,67,67,00,00
"pappogkdheepclionecaeahjhifoidep"=hex:68,62,6b,70,63,66,70,63,66,68,67,6b,6b,
  6a,6b,6c,69,6a,65,70,69,62,6b,6b,69,6e,62,6a,62,6c,68,65,63,6f,65,6c,6d,68,\
"cbppogkdheepemnfblnnglfjemlhglafpahblh"=hex:66,61,63,6f,62,6e,6d,6e,67,6b,6d,
  6a,00,f9
"bbppogkdheepemnfblnnmkhcdfhhidagkemb"=hex:6b,61,6e,70,70,70,6e,68,68,64,70,6e,
  63,6f,70,6f,61,6c,66,68,6a,6e,00,7c

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{104979A3-FB2E-05E9-49FD-42E231CEAB1C}\InProcServer32*]
"oajahbgmpmpgkidmcocaoicgfgcooh"=hex:6a,61,6b,68,68,6e,70,61,66,6b,66,64,6e,67,
  6e,70,6d,6c,6f,6c,00,f9
"najafcmnbapdddakjegipblmmdka"=hex:6a,61,6b,68,69,6e,61,62,62,64,66,62,6d,6e,
  68,6e,6c,6b,69,67,00,64
"fajapbgphkal"=hex:61,62,6a,62,69,6d,65,6d,66,64,70,63,6d,69,64,66,61,61,6d,65,
  61,70,65,66,64,70,68,6b,62,69,68,6e,6e,70,00,00
"eajakbfncf"=hex:64,62,6b,61,63,63,69,6f,6c,64,62,61,6b,6f,66,63,64,6f,63,6b,
  66,6b,6b,6c,67,68,6d,6e,61,61,69,68,6c,65,68,6b,64,68,6a,6a,00,3d

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(652)
c:\windows\system32\ieframe.dll
c:\windows\system32\msi.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
c:\windows\system32\wmvcore.dll
c:\windows\system32\WMASF.DLL
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe
c:\programme\Executive Software\DiskeeperWorkstation\DKService.exe
f:\java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-25 12:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-06-25 10:38

Vor Suchlauf: 7.271.927.808 Bytes frei
Nach Suchlauf: 7.174.660.096 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer

233        --- E O F ---        2009-05-15 12:32

Vielen Dank im Voraus für eine hoffentlich abschließende Antwort von Euch :knuddel:

Gruzz, Peter

Mr.Icetea 25.06.2009 22:32
Hi peewee,

hab oder hatte auch das problem dass die google links ständig umgeleitet wurden. Hat sich herausgestellt dass alles was ich gemacht habe in die ukraine umgeleitet wurde. habe also kontos sperren lassen etc.
bei mir läuft antivir professional und das hats nicht erkannt...

http://www.trojaner-board.de/74413-h...t-starten.html

Ich kann dir nicht helfen, nur einen rat geben:
1: die meisten proggis wie zonealarm etc werden dir nicht wirklich weiterhelfen, das ganze muss gezielter angegangen werden. für jedes problem gibt es evt eine andere lösung oder ein anderes tool. daher solltest du dir dein hjt file von einem spezialisten anschauen und auswerten lassen; nichts gegen krawallschachtel :party:
2. tools wie combofix werden häufig auf den user zugeschnitten, deswegen steht da nicht ohne grund dass man es nur unter aufsicht benutzen soll....
3. gebe den helfern etwas zeit und beachte die Foren- bzw Postingregeln dann wird dir auch geholfen.

http://www.trojaner-board.de/69887-f...en-web-pc.html

4. dein hjt log sieht schon ziemlich voll aus, da steckt vllt mehr hinter als dir deine proggis weismachen wollen..

wünsch dir auf jeden fall viel erfolg bei der fehlerbehebung!

vg

*Krawall$chachtel* 25.06.2009 23:35
jo, nochmal warten, aber eines kann ich dir zu 100% sagen, dein internetverkehr wird nicht umgeleitet!
das geht einwandfrei aus dem hjt log hervor!
aber voll ist dieses log,

nur so am rande:
. du hast zonearlarm drauf, das programm wird hier net so gern gesehen.
.diese seite ist mir unbekannt: w*w.box-pirates.net, sieht irgendwie seltsam aus.

also, in deinem log finde ich jetzt nichts auffälliges.

das andere log von combofix müssen sich mal andere ansehen, auch hier kann ich ncihts auffälliges finden, aber mal noch auf nen profi warten!

aber freut mcih, dass jetzt keine mails mehr zu hauf verschickt werden xD

PeeeWeee 26.06.2009 14:31
Hello Mr.Icetea,

Deinen Beitrag hatte ich bei der Suche schon gefunden und zur Kenntnis genommen, danke dafür.
Die Boardregeln ebenfalls, bis auf eines, das ich vergessen habe:

Die msinfo32

Code:
Betriebssystemname        Microsoft Windows XP Professional
Version        5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller        Microsoft Corporation
Systemname        ***
Systemhersteller        To Be Filled By O.E.M.
Systemmodell        To Be Filled By O.E.M.
Systemtyp        X86-basierter PC
Prozessor        x86 Family 15 Model 67 Stepping 2 AuthenticAMD ~2009 Mhz
BIOS-Version/-Datum        American Megatrends Inc. P1.90, 04.05.2007
SMBIOS-Version        2.4
Windows-Verzeichnis        C:\WINDOWS
Systemverzeichnis        C:\WINDOWS\system32
Startgerät        \Device\HarddiskVolume1
Gebietsschema        Deutschland
Hardwareabstraktionsebene        Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername        ***\***
Zeitzone        Westeuropäische Normalzeit
Gesamter realer Speicher        2.048,00 MB
Verfügbarer realer Speicher        1,35 GB
Gesamter virtueller Speicher        2,00 GB
Verfügbarer virtueller Speicher        1,96 GB
Größe der Auslagerungsdatei        5,85 GB
Auslagerungsdatei        C:\pagefile.sys
ComboFix - Klar, deswegen hatte ich mir auch Gedanken gemacht, ob ich es überhaupt eigenmächtig starten sollte. Es scheint aber mindestens einen Teilerfolg erzielt zu haben. Vielen Dank für Deine Gedanken dazu!

Hi *Krawall$chachtel*,

die ZoneAlarm habe ich installiert um mich dem Problem überhaupt irgendwie ansatzweise zu nähern. Immerhin habe damit herausgefunden, was den grundlosen Netzverkehr verursacht und dass es sich um emails an wer-weiß-wasfür Adressen handelt.

Die Box-Pirates ist ein Forum, dass um die Umprogrammierung von Sat Recievern auf Linux Basis geht. Der Titel klingt in diesem Virus/Trojaner Kontext natürlich erstmal erschreckend, klar :)

Auch Dir vielen Dank für Deine Hilfe, hat mich ja auch weitergebracht. Mal sehen, was das Expertenurteil erbringt.

Viele Grüße von der Elbe, Peter


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27