|
unerwünschte Weiterleitung bei Google Hallo liebe Kammerjäger, ich habe folgendes Problem: bei goole werde ich manchmal auf unerwünschte Seiten weitergeleitet. Habe hier im Forum und bei google geschaut, aber da ich wenig Ahnung von Computern habe, scheint es mir, als ob dieses Problem individuell gelöst werden muss?!?! Habe jetzt gesehen, dass man ein Hijack This Log-File einstellen soll, damit einem geholfen werden kann. beim öffnen von Hijack this ist es zunächst erst zu Problemen gekommen (startete nicht) wobei ich dann hier in der Hilfe gelesen hab i solls in test.com umbenennen. Siehe da es hat funktioniert. AVG Anti Virus und ad-aware lieferten beide keine ergebnisse also hier mein Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:49:40, on 12.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\RTHDCPL.EXE C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\FirefoxPreloader\FirefoxPreloader.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-GUI\XPrint-Client-GUI.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\DOKUME~1\DANIMO~1\LOKALE~1\Temp\RtkBtMnt.exe C:\WINDOWS\system32\agrsmsvc.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-Service\XPrint-Client-Service.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\Programme\AVG\AVG8\avgui.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVG\AVG8\avgscanx.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinAce\WinAce.exe C:\Dokumente und Einstellungen\DaniMoritz\Desktop\test\test.com.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - *{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Firefox Preloader.lnk = C:\Programme\FirefoxPreloader\FirefoxPreloader.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: xprint-client.lnk = C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-GUI\XPrint-Client-GUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{14BE9634-EDD6-4192-A870-370E39D6A619}: NameServer = 85.255.112.66,85.255.112.131 O17 - HKLM\System\CCS\Services\Tcpip\..\{C2DFEA2B-3AFB-437F-9458-5B2E08E787EF}: NameServer = 85.255.112.66,85.255.112.131 O17 - HKLM\System\CCS\Services\Tcpip\..\{FB4B77D2-B368-483E-A07E-D19EF66D0E47}: NameServer = 85.255.112.66,85.255.112.131 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.66,85.255.112.131 O17 - HKLM\System\CS1\Services\Tcpip\..\{14BE9634-EDD6-4192-A870-370E39D6A619}: NameServer = 85.255.112.66,85.255.112.131 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.66,85.255.112.131 O17 - HKLM\System\CS3\Services\Tcpip\..\{14BE9634-EDD6-4192-A870-370E39D6A619}: NameServer = 85.255.112.66,85.255.112.131 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.66,85.255.112.131 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: XPrint-Client-Service - Schomäcker GmbH - C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-Service\XPrint-Client-Service.exe Vielen herzlichen Dank im Vorraus für eure Hilfe |
Hallo ! Hast du das Problem schon gelöst ? Wenn nicht, verwende das Tool MaylwarebytesAntimalware und bereinige damit das System. Tipp: Sollte das Tool nicht installiert werden können, die Installationsdatei umbenennen z.b. von mbam.exe auf mogri.exe p.s. das Sicherste wäre aber die Platte zu formatieren ! |
Hallo Stoppp, also habe das Tool malwarebytes installiert. Das funktionierte einwandfrei, jedoch kann ich das Programm nicht starten. Auch wenn i es umbenenne nicht. Was kann ich noch tun? Bin schon total verzweifelt, da ich eigentlich vor paar Wochen erst formatiert habe. Lg Mogri |
Hi, -kurz reinspring- Deine komplette Internetverbindung wird über die Ukraine geroutet, daher nichts mehr mit Passwörtern (eBanking, email, eBay etc.), ggf. sperren lassen. Diese Einträge mit HJ fixen: Fixen HJ: Hijackthis, fixen: Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!) Code: O17 - HKLM\System\CCS\Services\Tcpip\..\{14BE9634-EDD6-4192-A870-370E39D6A619}: NameServer = 85.255.112.66,85.255.112.131Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) Denke da ist ein Rootkit am Werk, daher GMER: Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris & rausspring |
Hi zusammen, especially chris4you (natürlich bin ich über Hilfen von allen anderen auch dankbar, aber der hat hald als letzter geantwortet :-) hier mein bericht von gmer. GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-07-13 17:46:49 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT spya.sys ZwEnumerateKey [0xF742FCA4] SSDT spya.sys ZwEnumerateValueKey [0xF7430032] Code 85E46A78 ZwFlushInstructionCache Code 863B31AE IofCallDriver Code 8639B7BE IofCompleteRequest ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 867D71F8 AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Udp Lbd.sys (Boot Driver/Lavasoft AB) AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\RawIp Lbd.sys (Boot Driver/Lavasoft AB) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\MSIVXhopxudoymejxvalksrrwxwxomqfydkmq.sys (*** hidden *** ) [SYSTEM] MSIVXserv.sys <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- soweit hat alles funktioniert. Habe auch e-banking sperren lassen. Der Typ in der Bank EDV Zentrale hat gesagt es könnte sein dass irgendwie sich der Schädling via rooter verbreitet und somit der PC von meiner Freundin auch befallen ist, der übers gleiche Netz ins Internet geht. Was meint ihr dazu??? vielen Dank für eure Bemuhungen, seit echt ne große hilfe |
Hi ich bins nochmal, bin noch auf dem Stand des letzten Posts. Wollte jetzt fragen ob ich jetzt wieder clean bin, oder ob ich laut des untenstehenden gmer Reports noch was machen muss?:confused: Wünsch euch was nettes, lg mogri |
Hi, wenn Du das Rootkit nicht mit Gmer entfernt hast, läuft es noch, daher: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Danach bitte MAM: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Poste alle Logs und ein neues HJ-Log... chris |
Hallo. Muss leider combofix report auf 2 posts aufteilen, weil zu lange: hier also der 2. Teil: (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}] 2009-06-25 13:06 688640 ----a-w- c:\programme\pdfforge Toolbar\pdfforgeToolbarIE.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\pdfforgeToolbarIE.dll" [2009-06-25 688640] [HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-06-02 24264488] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2006-06-23 225280] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-01-08 102491] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-01-08 692315] "SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2009-06-12 998400] "MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-12-18 76304] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2009-05-21 17881600] "Tweak UI 1.33 deutsch"="TWEAKUI.CPL" - c:\windows\system32\TWEAKUI.CPL [2000-10-06 106544] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Firefox Preloader.lnk - c:\programme\FirefoxPreloader\FirefoxPreloader.exe [2009-7-6 98304] Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-6-27 809488] xprint-client.lnk - c:\programme\Schomaecker\XPrint-Client\XPrint-Client-GUI\XPrint-Client-GUI.exe [2009-7-6 1139712] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2009-02-18 22:30 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "XPrint-Client-Service"=2 (0x2) "TuneUp.ProgramStatisticsSvc"=2 (0x2) "TuneUp.Defrag"=3 (0x3) "OpenVPNService"=3 (0x3) "NMSAccessU"=2 (0x2) "MDM"=2 (0x2) "LVPrcSrv"=2 (0x2) "LBTServ"=3 (0x3) "Lavasoft Ad-Aware Service"=2 (0x2) "JavaQuickStarterService"=2 (0x2) "idsvc"=3 (0x3) "avg8wd"=2 (0x2) "ATI Smart"=2 (0x2) "Ati HotKey Poller"=2 (0x2) "AgereModemAudio"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" -autorun "Firefox"=c:\programme\Mozilla Firefox\firefox.exe "Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon "ctfmon.exe"=c:\windows\system32\ctfmon.exe "uTorrent"="c:\programme\uTorrent\uTorrent.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "AVG8_TRAY"=c:\progra~1\AVG\AVG8\avgtray.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [12.07.2009 18:08 64160] R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [22.06.2009 19:56 10384] R3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\drivers\lv321av.sys [20.06.2009 15:26 1097728] R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [19.11.2008 20:22 25216] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [27.06.2009 19:43 1684736] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [24.06.2009 21:16 13224] S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [24.06.2009 17:36 86824] S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [24.06.2009 17:36 15016] S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [24.06.2009 17:36 114600] S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [24.06.2009 17:36 108328] S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [24.06.2009 17:36 26024] S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [24.06.2009 17:36 104616] S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [24.06.2009 17:36 109736] S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1029456] S4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [12.07.2009 11:23 604416] S4 XPrint-Client-Service;XPrint-Client-Service;c:\programme\Schomaecker\XPrint-Client\XPrint-Client-Service\XPrint-Client-Service.exe [06.07.2009 19:52 1144320] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . Inhalt des "geplante Tasks" Ordners 2009-07-14 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 12:39] 2009-07-13 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49] . - - - - Entfernte verwaiste Registrierungseinträge - - - - Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) . ------- Zusätzlicher Suchlauf ------- . IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Mozilla\Firefox\Profiles\41t01d1a.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - component: c:\programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll FF - component: c:\programme\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll ---- FIREFOX Richtlinien ---- FF - user.js: nglayout.initialpaint.delay - 10 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 FF - user.js: browser.xul.error_pages.enabled - true FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: browser.blink_allowed - true FF - user.js: network.prefetch-next - true FF - user.js: layout.spellcheckDefault - 1 FF - user.js: browser.search.openintab - false FF - user.js: browser.tabs.closeButtons - 1 FF - user.js: browser.tabs.opentabfor.middleclick - true FF - user.js: browser.tabs.tabMinWidth - 80 FF - user.js: network.http.max-connections-per-server - 8 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-14 11:07 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1796) c:\windows\system32\Ati2evxx.dll c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll - - - - - - - > 'explorer.exe'(3852) c:\programme\Logitech\SetPoint\lgscroll.dll c:\windows\system32\webcheck.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe c:\windows\system32\wscntfy.exe c:\programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-07-14 11:10 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-07-14 09:10 Vor Suchlauf: 9 Verzeichnis(se), 65.827.323.904 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 66.532.216.832 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect/noguiboot/usepmtimer 377 --- E O F --- 2009-06-25 18:20 |
Hallo muss leider den combofix report aufteilen wiel zu lange: Hier also der 1.TEIL: ComboFix 09-07-13.01 - DaniMoritz 14.07.2009 11:02.1.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.649 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\DaniMoritz\Desktop\mogri.com.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\pdfforge Toolbar\SearchSettings.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Service_NPF ((((((((((((((((((((((( Dateien erstellt von 2009-06-14 bis 2009-07-14 )))))))))))))))))))))))))))))) . 2009-07-14 08:15 . 2009-07-14 08:21 -------- d-----w- c:\programme\RegCleaner 2009-07-14 07:19 . 2009-07-14 07:19 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Malwarebytes 2009-07-14 07:18 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-07-14 07:18 . 2009-07-14 07:18 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-07-14 07:18 . 2009-07-14 07:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-14 07:18 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-07-12 21:53 . 2009-07-12 21:54 -------- d--h--w- C:\$AVG8.VAULT$ 2009-07-12 21:36 . 2009-07-12 21:36 -------- d-----w- c:\programme\Trend Micro 2009-07-12 21:01 . 2009-07-14 08:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8 2009-07-12 21:01 . 2009-07-12 21:01 -------- d-----w- c:\programme\AVG 2009-07-12 16:19 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe 2009-07-12 16:08 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys 2009-07-12 16:07 . 2009-07-12 16:07 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864} 2009-07-12 16:07 . 2009-07-08 17:28 2920112 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe 2009-07-12 16:07 . 2009-07-12 16:07 -------- d-----w- c:\programme\Lavasoft 2009-07-12 16:07 . 2009-07-12 16:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-07-12 09:23 . 2009-07-12 09:23 604416 ----a-w- c:\windows\system32\TUProgSt.exe 2009-07-12 09:23 . 2009-04-27 12:21 28928 ----a-w- c:\windows\system32\uxtuneup.dll 2009-07-12 09:23 . 2009-07-12 09:23 361216 ----a-w- c:\windows\system32\TuneUpDefragService.exe 2009-07-12 09:23 . 2009-07-12 09:23 -------- d-----w- c:\programme\TuneUp Utilities 2009 2009-07-12 09:14 . 2009-07-12 09:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-07-10 14:38 . 2009-07-10 14:52 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\eMule 2009-07-07 20:09 . 2009-07-07 20:09 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\gtk-2.0 2009-07-07 19:56 . 2009-07-07 19:56 -------- d-----w- c:\programme\OrgPlus 8 Setup Files 2009-07-06 18:07 . 2009-07-06 18:07 -------- d-----w- c:\programme\FirefoxPreloader 2009-07-06 17:52 . 2009-07-06 17:52 -------- d-----w- c:\programme\Schomaecker 2009-07-05 18:52 . 1999-03-23 07:12 304128 ----a-w- c:\windows\unin0407.exe 2009-07-05 18:12 . 2009-07-05 18:17 -------- d-----w- c:\programme\Free PDF to Word Doc Converter 2009-07-05 17:59 . 2009-07-05 17:59 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Search Settings 2009-07-05 17:57 . 2009-07-05 17:57 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\pdfforge 2009-07-05 17:48 . 2009-07-14 09:05 -------- d-----w- c:\programme\pdfforge Toolbar 2009-07-05 17:48 . 2009-07-05 17:48 -------- d-----w- C:\Program Files 2009-07-05 17:47 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll 2009-07-05 17:47 . 1998-07-06 16:56 125712 ----a-w- c:\windows\system32\VB6DE.DLL 2009-07-05 17:47 . 1998-07-06 16:55 158208 ----a-w- c:\windows\system32\MSCMCDE.DLL 2009-07-05 17:47 . 1998-07-06 16:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL 2009-07-05 17:47 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL 2009-07-05 17:47 . 2009-07-05 17:48 -------- d-----w- c:\programme\PDFCreator 2009-07-05 17:39 . 2009-07-05 17:53 -------- d-----w- c:\programme\Foxit Software 2009-07-05 17:39 . 2009-07-05 17:39 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Foxit 2009-07-05 13:10 . 2009-07-05 13:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet 2009-07-05 10:00 . 2009-07-05 10:00 -------- d-----w- c:\programme\uTorrent 2009-07-04 14:51 . 2009-07-04 14:51 -------- d-----w- c:\windows\Sun 2009-07-04 14:50 . 2009-07-04 14:50 410984 ----a-w- c:\windows\system32\deploytk.dll 2009-07-04 14:50 . 2009-07-04 14:50 -------- d-----w- c:\programme\Java 2009-07-04 14:50 . 2009-07-04 14:50 152576 ----a-w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll 2009-07-04 12:25 . 2009-07-04 12:25 3262 ----a-r- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\controlPanelIcon.exe 2009-07-04 12:25 . 2009-07-04 12:25 10134 ----a-r- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\SystemFolder_msiexec.exe 2009-07-04 12:25 . 2009-07-04 12:25 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Lokale Einstellungen\Anwendungsdaten\No23 Recorder 2009-07-04 11:30 . 2002-01-05 13:37 344064 ----a-w- c:\windows\system32\msvcr70.dll 2009-07-04 11:30 . 2009-07-05 09:42 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-07-04 11:30 . 2009-07-04 11:30 -------- d-----w- c:\programme\DVDVideoSoft 2009-07-04 10:39 . 2009-07-04 10:54 -------- d-----w- c:\windows\system32\Adobe 2009-07-04 10:24 . 2009-07-04 10:30 -------- d-----w- C:\CLIC 2009-07-04 10:24 . 1995-11-24 22:00 398416 ----a-w- c:\windows\system\VBRUN300.DLL 2009-07-04 10:24 . 1993-05-19 22:00 710752 ----a-w- c:\windows\system\MSAJT110.DLL 2009-07-04 10:24 . 1993-04-27 22:00 95200 ----a-w- c:\windows\system\vbdb300.dll 2009-07-04 10:24 . 1993-04-27 22:00 72192 ----a-w- c:\windows\system\GSWDLL.DLL 2009-07-04 10:24 . 1993-04-27 22:00 33280 ----a-w- c:\windows\system\MSAES110.DLL 2009-07-04 10:24 . 1993-04-27 22:00 286720 ----a-w- c:\windows\system\GSW.EXE 2009-07-04 09:56 . 2009-07-04 10:02 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Arbeitsblatt Profi 2009-07-04 09:39 . 2009-07-04 09:39 -------- d-----w- c:\programme\Firebird 2009-07-04 09:38 . 2009-07-04 09:44 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Arbeitsblatt-Manager 2009-07-02 18:59 . 2009-07-12 15:52 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\uTorrent 2009-07-02 17:49 . 2009-07-02 17:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\page 2009-07-02 17:36 . 2009-07-02 17:36 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\.freeciv 2009-07-02 17:36 . 2009-07-02 17:38 -------- d-----w- c:\programme\Freeciv-2.1.9-gtk2 2009-07-02 15:57 . 2009-07-12 15:53 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-07-02 15:57 . 2009-07-12 15:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-02 15:29 . 2009-07-02 15:29 -------- d-----w- c:\windows\system32\wbem\Repository 2009-07-02 15:03 . 2009-07-02 15:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo 2009-07-02 15:03 . 2009-07-02 15:03 82080 ----a-w- c:\windows\system32\drivers\inspect.sys 2009-07-02 15:03 . 2009-07-02 15:03 24096 ----a-w- c:\windows\system32\drivers\cmdhlp.sys 2009-07-02 15:03 . 2009-07-02 15:03 168208 ----a-w- c:\windows\system32\guard32.dll 2009-07-02 15:03 . 2009-07-02 15:03 132640 ----a-w- c:\windows\system32\drivers\cmdguard.sys 2009-07-02 15:03 . 2009-07-02 15:03 -------- d-----w- c:\programme\COMODO 2009-07-01 18:04 . 2009-07-01 18:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools 2009-07-01 17:51 . 2009-07-01 17:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier 2009-07-01 17:51 . 2009-07-01 17:59 4212 ---h--w- c:\windows\system32\zllictbl.dat 2009-07-01 17:51 . 2004-04-27 02:40 11264 ----a-w- c:\windows\system32\SpOrder.dll 2009-07-01 17:49 . 2009-07-01 18:14 -------- d-----w- c:\windows\Internet Logs 2009-07-01 17:14 . 2009-07-01 18:14 -------- d-----w- c:\programme\Spyware Doctor 2009-07-01 17:08 . 2009-07-01 17:08 -------- d-----w- c:\programme\iXi Tools 2009-06-28 10:57 . 2009-06-28 11:03 -------- d-----w- c:\programme\OpenVPN 2009-06-28 09:53 . 2008-03-13 01:25 2530176 ----a-w- c:\windows\system32\drivers\NETw4x32.sys 2009-06-28 09:53 . 2007-08-08 13:29 2772992 ----a-w- c:\windows\system32\NETw4r32.dll 2009-06-28 09:53 . 2007-08-08 13:28 684032 ----a-w- c:\windows\system32\NETw4c32.dll 2009-06-27 18:57 . 2009-06-27 18:57 -------- d-----w- c:\windows\tiinst 2009-06-27 18:55 . 2009-06-27 18:55 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Intel 2009-06-27 18:55 . 2009-06-27 18:55 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Intel 2009-06-27 18:55 . 2009-06-27 18:55 -------- d-----w- c:\dokumente und einstellungen\Default User\Anwendungsdaten\Intel 2009-06-27 18:31 . 2009-06-27 18:31 0 ----a-w- c:\windows\ativpsrm.bin 2009-06-27 17:59 . 2009-02-25 13:15 593920 ------w- c:\windows\system32\ati2sgag.exe 2009-06-27 17:54 . 2009-06-16 10:05 53248 ----a-w- c:\windows\system32\CSVer.dll 2009-06-27 17:54 . 2009-06-27 17:54 -------- d-----w- C:\Intel 2009-06-27 17:43 . 2008-10-23 15:42 290816 ----a-w- c:\windows\vncutil.exe 2009-06-27 17:43 . 2007-11-20 16:15 1826816 ----a-w- c:\windows\SkyTel.exe 2009-06-27 17:43 . 2009-05-14 13:21 36864 ----a-w- c:\windows\system32\RtkCoInstXP.dll 2009-06-27 17:43 . 2009-03-17 12:07 122880 ----a-w- c:\windows\RtkAudioService.exe 2009-06-27 17:43 . 2008-08-05 18:10 1684736 ----a-w- c:\windows\system32\drivers\Ambfilt.sys 2009-06-27 17:43 . 2006-01-04 13:41 1389056 ----a-w- c:\windows\system32\drivers\Monfilt.sys 2009-06-27 17:35 . 2009-03-25 12:29 130432 ----a-w- c:\windows\system32\drivers\Rtnicxp.sys 2009-06-27 17:35 . 2009-03-03 18:18 73728 ----a-w- c:\windows\system32\RtNicProp32.dll 2009-06-27 17:34 . 2006-10-05 10:10 9216 ----a-w- c:\windows\system32\agrsmsvc.exe 2009-06-27 17:34 . 2006-09-11 12:34 13312 ----a-w- c:\windows\system32\agrscoin.dll 2009-06-27 17:20 . 2004-06-14 12:56 427864 ----a-w- c:\windows\system32\XceedZip.dll 2009-06-27 16:42 . 2009-06-27 16:42 -------- d-----w- c:\programme\SomePDF 2009-06-26 16:25 . 2009-06-26 16:25 -------- d--h--w- c:\windows\PIF 2009-06-26 16:24 . 2009-06-26 16:24 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\WINDOWS 2009-06-26 12:33 . 2009-06-26 12:33 -------- d-----w- c:\programme\RegCompact.NET 2009-06-25 17:54 . 2009-06-25 17:54 737280 ----a-w- c:\windows\iun6002.exe 2009-06-25 17:54 . 2009-06-25 17:57 -------- d-----w- c:\programme\Tweak-XP Pro 4 2009-06-25 16:03 . 2009-06-25 16:03 -------- d-----w- c:\programme\Paint.NET 2009-06-25 16:03 . 2009-07-07 19:07 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Lokale Einstellungen\Anwendungsdaten\Paint.NET 2009-06-25 15:27 . 2009-06-25 15:27 -------- d-sh--w- c:\dokumente und einstellungen\DaniMoritz\IECompatCache 2009-06-25 15:13 . 2009-06-25 15:13 -------- d-sh--w- c:\dokumente und einstellungen\DaniMoritz\PrivacIE 2009-06-24 19:21 . 2008-03-21 11:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll 2009-06-24 19:16 . 2009-06-24 19:16 25512 ----a-w- c:\windows\system32\drivers\ggsemc.sys 2009-06-24 19:16 . 2009-06-24 19:16 13224 ----a-w- c:\windows\system32\drivers\ggflt.sys 2009-06-24 19:16 . 2009-06-24 19:16 1112288 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll 2009-06-24 15:37 . 2009-06-24 15:37 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Lokale Einstellungen\Anwendungsdaten\Sony Ericsson 2009-06-24 15:35 . 2009-06-24 19:07 -------- d-----w- c:\programme\Sony Ericsson 2009-06-24 15:35 . 2009-06-24 15:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson 2009-06-24 15:35 . 2009-06-24 15:35 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\InstallShield 2009-06-24 10:23 . 2009-06-24 10:23 1078 ----a-r- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_4ae13d6c.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-14 09:08 . 2009-06-20 14:21 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Skype 2009-07-14 06:27 . 2009-06-20 14:22 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\skypePM 2009-07-07 19:49 . 2009-06-20 13:59 1 ----a-w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-07-05 18:51 . 2009-06-20 13:30 29264 ----a-w- c:\dokumente und einstellungen\DaniMoritz\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-07-01 17:29 . 2006-06-01 19:06 85082 ----a-w- c:\windows\system32\perfc007.dat 2009-07-01 17:29 . 2006-06-01 19:06 459844 ----a-w- c:\windows\system32\perfh007.dat 2009-07-01 17:00 . 2009-07-01 16:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan 2009-06-29 17:41 . 2009-06-20 13:07 -------- d-----w- c:\programme\Intel 2009-06-27 18:57 . 2009-06-20 13:09 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-06-27 18:01 . 2009-06-20 13:19 -------- d-----w- c:\programme\ATI Technologies 2009-06-27 17:43 . 2009-06-20 13:11 -------- d-----w- c:\programme\Realtek 2009-06-24 19:21 . 2009-06-24 19:21 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf 2009-06-24 19:21 . 2009-06-24 19:21 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf 2009-06-24 15:36 . 2009-06-24 15:36 -------- d-----w- c:\programme\Avanquest update 2009-06-24 15:36 . 2009-06-24 15:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software 2009-06-22 19:01 . 2006-06-23 08:39 505128 ----a-w- c:\windows\system32\msvcp71.dll 2009-06-22 19:01 . 2006-06-23 08:39 353576 ----a-w- c:\windows\system32\msvcr71.dll 2009-06-22 17:56 . 2009-06-22 17:56 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf 2009-06-22 17:56 . 2009-06-22 17:56 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf 2009-06-22 17:45 . 2009-06-22 17:45 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf 2009-06-22 17:45 . 2009-06-22 17:45 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2009-06-20 19:17 . 2009-06-20 19:17 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Winamp 2009-06-20 19:17 . 2009-06-20 19:17 -------- d-----w- c:\programme\Winamp 2009-06-20 17:52 . 2009-06-20 14:38 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\DAEMON Tools Lite 2009-06-20 14:38 . 2009-06-20 14:38 721904 ----a-w- c:\windows\system32\drivers\sptd.sys 2009-06-20 14:22 . 2009-06-20 14:22 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2009-06-20 14:20 . 2009-06-20 14:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2009-06-20 14:20 . 2009-06-20 14:20 -------- d-----r- c:\programme\Skype 2009-06-20 14:20 . 2009-06-20 14:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-06-20 14:02 . 2009-06-20 14:02 -------- d-----w- c:\programme\xp-AntiSpy 2009-06-20 13:59 . 2009-06-20 13:59 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\OpenOffice.org 2009-06-20 13:55 . 2009-06-20 13:55 -------- d-----w- c:\programme\OpenOffice.org 3 2009-06-20 13:41 . 2009-06-20 13:41 0 ----a-w- c:\windows\nsreg.dat 2009-06-20 13:29 . 2009-06-20 13:29 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\ATI 2009-06-20 13:29 . 2009-06-20 13:29 143 ----a-w- c:\dokumente und einstellungen\DaniMoritz\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat 2009-06-20 13:27 . 2009-06-20 13:27 -------- d-----w- c:\programme\Synaptics 2009-06-20 13:26 . 2009-06-20 13:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Logitech 2009-06-20 13:26 . 2009-06-20 13:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Acer 2009-06-20 13:23 . 2009-06-20 13:23 -------- d-----w- c:\programme\Acer Inc 2009-06-20 13:21 . 2009-06-20 13:09 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-06-20 13:09 . 2009-06-20 13:09 -------- d-----w- c:\programme\Atheros 2009-06-20 13:07 . 2009-06-20 13:07 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Intel 2009-06-20 13:07 . 2009-06-20 13:07 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Intel 2009-06-20 13:07 . 2009-06-20 13:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel 2009-06-20 13:02 . 2009-06-20 13:02 -------- d-----w- c:\programme\HighMAT CD Writing Wizard 2009-06-20 12:55 . 2009-06-20 12:55 -------- d-----w- c:\programme\microsoft frontpage 2009-06-20 12:49 . 2009-06-20 12:48 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2009-06-20 12:48 . 2009-06-20 12:48 -------- d-----w- c:\programme\Online-Dienste 2009-06-20 12:47 . 2009-06-20 12:47 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste 2009-06-20 12:46 . 2009-06-20 12:46 21740 ----a-w- c:\windows\system32\emptyregdb.dat 2009-06-02 16:02 . 2009-06-20 13:11 5085184 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys 2009-05-21 12:01 . 2009-06-20 13:11 17881600 ----a-w- c:\windows\RTHDCPL.EXE 2009-05-13 05:02 . 2006-06-01 19:06 915456 ----a-w- c:\windows\system32\wininet.dll 2009-05-07 15:32 . 2006-06-01 19:06 348160 ----a-w- c:\windows\system32\localspl.dll 2009-05-01 21:02 . 2009-05-01 21:02 90112 ----a-w- c:\windows\system32\dpl100.dll 2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx0c.dll 2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx07.dll 2009-05-01 21:02 . 2009-05-01 21:02 815104 ----a-w- c:\windows\system32\divx_xx0a.dll 2009-05-01 21:02 . 2009-05-01 21:02 811008 ----a-w- c:\windows\system32\divx_xx16.dll 2009-05-01 21:02 . 2009-05-01 21:02 802816 ----a-w- c:\windows\system32\divx_xx11.dll 2009-05-01 21:02 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\DivX.dll 2009-04-29 04:33 . 2009-04-29 04:33 81920 ------w- c:\windows\system32\ieencode.dll 2009-04-23 09:45 . 2009-06-24 11:11 43772 ----a-w- c:\windows\Fonts\Brigitte.ttf 2009-04-19 19:46 . 2006-06-01 19:06 1847296 ----a-w- c:\windows\system32\win32k.sys 2009-04-16 15:23 . 2009-06-20 13:11 540672 ----a-w- c:\windows\RtlExUpd.dll 2009-04-15 14:51 . 2006-06-01 19:06 585216 ----a-w- c:\windows\system32\rpcrt4.dll 2009-06-03 04:10 . 2009-06-20 13:40 134648 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll |
so nun hier der Report von malwarebyts: Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2424 Windows 5.1.2600 Service Pack 3 14.07.2009 11:49:33 mbam-log-2009-07-14 (11-49-33).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 128076 Laufzeit: 20 minute(s), 29 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\danimoritz\Desktop\test\avenger.exe (Trojan.Agent) -> Quarantined and deleted successfully. |
und hier das aktuelle logfile von Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:55:51, on 14.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\FirefoxPreloader\FirefoxPreloader.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-GUI\XPrint-Client-GUI.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\DOKUME~1\DANIMO~1\LOKALE~1\Temp\RtkBtMnt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\DaniMoritz\Desktop\test\test.com.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Firefox Preloader.lnk = C:\Programme\FirefoxPreloader\FirefoxPreloader.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: xprint-client.lnk = C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-GUI\XPrint-Client-GUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL -- End of file - 4532 bytes |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exehttp://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... Alle Logs und ein neues HJ-Log posten... chris |
so, hallo. virustotalcheck hat folgendes ergeben Datei lzma.dll empfangen 2009.07.14 14:11:33 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/40 (0%) Code: File size: 152576 bytes |
Hi, das ist gut, weil ein Wurm unter dem gleichen Namen firmiert... chris |
so und hier das ergebnis der 2. Dateiüberprüfung Datei _4ae13d6c.exe empfangen 2009.07.14 14:33:47 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Code: File size: 1078 bytes |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board