Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile .... Monitor.win32.ardamax.o (https://www.trojaner-board.de/77221-logfile-monitor-win32-ardamax-o.html)

Panchame 08.09.2009 09:57
Logfile .... Monitor.win32.ardamax.o
 
Auf meinem Laptop ist ein monitor.win32.ardamax.o Keylogger.
Leider bin ich auf google auf keine Lösung gestoßen und auch die programme CCCleaner, Super Anti Spyware, SmitfraudFix und EsetSmart konnten mir nicht helfen.

Vielleicht kann jemand das File das ich löschen muss im folgenden Log aufspüren.

Vielen dank schonmal im Vorraus



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:34:19, on 08.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\WLTRYSVC.EXE
D:\WINDOWS\System32\bcmwltry.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\LENOVO\HOTKEY\FNF5SVC.exe
D:\WINDOWS\system32\svchost.exe
D:\PROGRA~1\aon\aonFlex\Guard.exe
D:\WINDOWS\system32\WLTRAY.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\Programme\Lenovo\HOTKEY\TpWAudAp.exe
D:\WINDOWS\system32\igfxtray.exe
D:\WINDOWS\system32\hkcmd.exe
D:\WINDOWS\system32\igfxpers.exe
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\AGRSMMSG.exe
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\igfxsrvc.exe
D:\PROGRA~1\aon\aonFlex\Connectionmanager.exe
D:\WINDOWS\system32\wbem\unsecapp.exe
D:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
D:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
D:\Dokumente und Einstellungen\xxx\Desktop\antitools\This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria TA AG
R3 - URLSearchHook: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - D:\Programme\Eazel-DE\tbEaz1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - D:\Programme\Eazel-DE\tbEaz1.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - D:\Programme\Eazel-DE\tbEaz1.dll
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] D:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPWAUDAP] D:\Programme\Lenovo\HOTKEY\TpWAudAp.exe
O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] D:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "D:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [WKSV Agent] D:\WINDOWS\system32\28463\WKSV.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = D:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://D:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227891390671
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4B4C87E-DA4C-4F6F-A946-2F0F4092966A}: NameServer = 195.3.96.67 213.33.98.136
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Fn+F5 Service (FNF5SVC) - Lenovo. - D:\Programme\LENOVO\HOTKEY\FNF5SVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - D:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - D:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - D:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: TAGuard - Unknown owner - D:\PROGRA~1\aon\aonFlex\Guard.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 7862 bytes

kira 08.09.2009 10:52
Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Das Programm HijackThis bitte unter Programme in einem eigenen Ordner installieren! Desktop nicht ein sicherer Platz für...wegen ev. Desktop-Bereinigung
nach installation so soll aussehen: C:\Programme\Trend Micro\HijackThis\HijackThis.exe

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
gruß
Coverflow

Panchame 08.09.2009 17:50
Okey also hier mal meine Programme:

Code:
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9 - Deutsch
Agere Systems HDA Modem
Anzeige am Bildschirm
aon Online Festplatte (entfernen)
aonFlex
aonFTP
aonUpdate
Broadcom 802.11 Network Adapter
CCleaner (remove only)
Controller
Counter-Strike 1.6
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Eazel-DE Toolbar
ESET Online Scanner v3
G DATA Logox 4 Speechengine
Google Chrome
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
ICQ6.5
Intel(R) Graphics Media Accelerator Driver
Labtec WebCam
Labtec® Camera-Treiber
Lexmark Drucker-Software deinstallieren
LimeWire 4.18.8
Logitech Desktop Messenger
Logitech SetPoint
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Office Enterprise 2007
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Move Networks Media Player for Internet Explorer
MSXML 4.0 SP2 (KB954430)
Paint.NET v3.36
Picasa 3
Realtek High Definition Audio Driver
Skype™ 3.8
SUPERAntiSpyware Free Edition
Synaptics Pointing Device Driver
TeamSpeak 2 RC2
Warcraft III: All Products
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Live Anmelde-Assistent
Windows Live Essentials
Windows Live-Uploadtool
Windows XP Service Pack 3
Und hier die filelist TXT Datei:

Code:
----- Root -----------------------------
 Datentr„ger in Laufwerk D: ist Festplatte
 Volumeseriennummer: 3C55-66A2

 Verzeichnis von D:\

08.09.2009  18:44                43 filelist.txt
08.09.2009  18:32    2.145.386.496 pagefile.sys
08.09.2009  08:13            2.093 rapport.txt
04.09.2009  20:13            8.012 rs-peg.clt
07.07.2009  10:26              122 LgxUser.dic
              5 Datei(en)  2.145.396.766 Bytes
              0 Verzeichnis(se), 16.790.077.440 Bytes frei
 
----- Windows --------------------------
 Datentr„ger in Laufwerk D: ist Festplatte
 Volumeseriennummer: 3C55-66A2

 Verzeichnis von D:\WINDOWS

08.09.2009  18:42            7.604 ModemLog_HUAWEI Mobile Connect - 3G Modem #3.txt
08.09.2009  18:34        2.004.144 WindowsUpdate.log
08.09.2009  18:32                0 0.log
08.09.2009  18:32              159 wiadebug.log
08.09.2009  18:32                50 wiaservc.log
08.09.2009  18:32            2.048 bootstat.dat
08.09.2009  16:26            32.540 SchedLgU.Txt
07.09.2009  08:31            65.536 IFinst27.exe
28.08.2009  13:34          100.990 War3Unin.dat
23.08.2009  13:06              227 system.ini
23.08.2009  13:06              552 win.ini
23.08.2009  12:48            3.866 ModemLog_Agere Systems HDA Modem.txt
07.07.2009  10:26          163.840 LgxSetup.exe
06.07.2009  20:57            14.484 ModemLog_HUAWEI Mobile Connect - 3G Modem.txt
27.04.2009  19:23          316.640 WMSysPr9.prx
17.04.2009  10:20            12.982 ModemLog_HUAWEI Mobile Connect - 3G Modem #4.txt
15.04.2009  18:45            2.829 War3Unin.pif
15.04.2009  18:45          139.264 War3Unin.exe
19.03.2009  18:53          127.034 bwUnin-8.1.1.50-8876480SL.exe
12.03.2009  23:37              870 LMAAA2DD.ini

              66 Datei(en)    42.764.715 Bytes
              0 Verzeichnis(se), 16.790.073.344 Bytes frei
 
----- System  ---
 Datentr„ger in Laufwerk D: ist Festplatte
 Volumeseriennummer: 3C55-66A2

 Verzeichnis von D:\WINDOWS\system

**** waren alle zu alt xD ***
              26 Datei(en)      1.277.947 Bytes
              0 Verzeichnis(se), 16.790.069.248 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) ---
 Datentr„ger in Laufwerk D: ist Festplatte
 Volumeseriennummer: 3C55-66A2

 Verzeichnis von D:\WINDOWS\system32

08.09.2009  18:32            13.686 wpa.dbl
08.09.2009  08:11            2.938 tmp.reg
08.09.2009  08:11                0 tmp.txt
31.08.2009  09:35          400.662 perfh009.dat
31.08.2009  09:35            73.698 perfc007.dat
31.08.2009  09:35            60.822 perfc009.dat
31.08.2009  09:35          415.020 perfh007.dat
31.08.2009  09:35          961.538 PerfStringBackup.INI
30.08.2009  21:17        3.407.412 GameMon.des
06.08.2009  14:28            4.479 jupdate-1.6.0_15-b03.log
25.07.2009  05:23          411.368 deploytk.dll
01.06.2009  18:51        23.635.392 MRT.exe
01.05.2009  20:30        3.366.912 GPhotos.scr
17.04.2009  13:04            3.774 jupdate-1.6.0_13-b03.log
15.04.2009  22:25          129.784 pxafs.dll
15.04.2009  22:25            66.296 pxcpya64.exe
15.04.2009  22:25          120.056 pxcpyi64.exe
15.04.2009  22:25            64.760 pxinsa64.exe
15.04.2009  22:25          118.520 pxinsi64.exe
15.04.2009  22:25        1.628.920 pxsfs.dll
15.04.2009  22:24            90.112 dpl100.dll
15.04.2009  22:24          823.296 divx_xx0c.dll
15.04.2009  22:24          802.816 divx_xx11.dll
15.04.2009  22:24          823.296 divx_xx07.dll
15.04.2009  22:24          815.104 divx_xx0a.dll
15.04.2009  22:24          684.032 DivX.dll
02.04.2009  17:32            3.687 lvcoinst.log
21.03.2009  16:06        1.063.424 kernel32.dll
16.03.2009  14:18            69.448 XAPOFX1_3.dll
16.03.2009  14:18            22.360 X3DAudio1_6.dll
16.03.2009  14:18          517.448 XAudio2_4.dll
16.03.2009  14:18          235.352 xactengine3_4.dll
12.03.2009  23:37            1.342 LexFiles.log
12.03.2009  23:37                67 Monitor.inf
12.03.2009  08:02          264.616 FNTCACHE.DAT
10.03.2009  22:18          970.632 WgaTray.exe
10.03.2009  22:18        1.482.112 LegitCheckControl.dll
10.03.2009  22:18          265.096 WgaLogon.dll
09.03.2009  15:27        4.178.264 D3DX9_41.dll
09.03.2009  15:27        1.846.632 D3DCompiler_41.dll
09.03.2009  15:27          453.456 d3dx10_41.dll
06.03.2009  16:19          286.720 pdh.dll
03.03.2009  02:03          826.368 wininet.dll

            2152 Datei(en)    499.740.887 Bytes
              0 Verzeichnis(se), 16.789.880.832 Bytes frei
 
----- Prefetch -------------------------
 Datentr„ger in Laufwerk D: ist Festplatte
 Volumeseriennummer: 3C55-66A2

 Verzeichnis von D:\WINDOWS\Prefetch

08.09.2009  18:44            12.030 FIND.EXE-0EEAD1A7.pf
08.09.2009  18:44            26.934 CMD.EXE-034B0549.pf
08.09.2009  18:43            20.594 NOTEPAD.EXE-2F2D61E1.pf
08.09.2009  18:42            33.068 GOOGLEUPDATE.EXE-040DFD5A.pf
08.09.2009  18:39          179.590 WINRAR.EXE-1A0EFB18.pf
08.09.2009  18:38            20.046 VERCLSID.EXE-28F52AD2.pf
08.09.2009  18:35            79.826 CHROME.EXE-051E96DA.pf
08.09.2009  18:34            21.588 UNSECAPP.EXE-16EB9856.pf
08.09.2009  18:34            62.336 CONNECTIONMANAGER.EXE-0BB4EEC5.pf
08.09.2009  18:34          861.034 NTOSBOOT-B00DFAAD.pf
08.09.2009  18:34            21.356 WUAUCLT.EXE-1360D60A.pf
08.09.2009  15:20            45.470 TPVOLCTRLAUT.EXE-3B0726B0.pf
08.09.2009  14:23            60.204 WOW.EXE-0851E7A1.pf
08.09.2009  11:33          100.078 OUTLOOK.EXE-20486E55.pf
08.09.2009  10:31            83.736 WMIPRVSE.EXE-0D449B4F.pf
08.09.2009  10:31            31.926 IGFXSRVC.EXE-1D88F978.pf
08.09.2009  10:30            16.754 RUNDLL32.EXE-4FF9832D.pf
08.09.2009  10:29          107.612 HELPSVC.EXE-1C192440.pf
08.09.2009  10:29            12.784 LOGITECHUPDATE.EXE-1BCAAA93.pf
08.09.2009  10:29            49.546 HELPCTR.EXE-0BD5B31B.pf
08.09.2009  10:26            29.838 LOGONUI.EXE-312BE1BF.pf
08.09.2009  09:42            16.178 GOOGLECRASHHANDLER.EXE-2C1E10EA.pf
08.09.2009  09:41          387.646 Layout.ini
08.09.2009  09:07            53.434 DWWIN.EXE-2C373FB7.pf
08.09.2009  09:06          223.820 DUMPREP.EXE-0AF2BF67.pf
08.09.2009  08:36            18.584 IMAPI.EXE-201490BB.pf
08.09.2009  08:36            92.738 EXPLORER.EXE-02121B1A.pf
08.09.2009  08:36            62.154 MSIEXEC.EXE-330626DC.pf
08.09.2009  08:25            63.242 REGSVR32.EXE-396DEA2C.pf
08.09.2009  08:13            14.002 FINDSTR.EXE-1A4FC238.pf
08.09.2009  08:11            90.022 CLEANMGR.EXE-31B430FE.pf
08.09.2009  08:11            33.814 CSCRIPT.EXE-0A13A05C.pf
08.09.2009  08:11            47.368 404FIX.EXE-123640B0.pf
08.09.2009  08:11            8.996 AGENT.OMZ.FIX.EXE-3233DAF3.pf
08.09.2009  08:11            47.296 IEDFIX.C.EXE-0F8C3ECC.pf
08.09.2009  08:11            65.652 IEDFIX.EXE-16AFE615.pf
08.09.2009  08:11            7.342 SWREG.EXE-26F9D764.pf
08.09.2009  08:11            13.168 REGEDIT.EXE-2AE3423E.pf
08.09.2009  08:11            48.654 VACFIX.EXE-18143736.pf
08.09.2009  08:11            31.536 POLICIES.EXE-0D79EC47.pf
08.09.2009  08:11            23.064 CHKNTFS.EXE-30FE9626.pf
08.09.2009  08:11            59.972 SMITFRAUDFIX.EXE-1F51DC1E.pf
08.09.2009  08:09            16.958 O4PATCH.EXE-0619272E.pf
08.09.2009  08:01            15.598 JQS.EXE-3596F276.pf
08.09.2009  08:01            6.898 MSI1D.TMP-09E05C1B.pf
08.09.2009  08:01            67.358 RUNDLL32.EXE-53C900AC.pf
08.09.2009  08:01          102.078 JAVAW.EXE-2682DC34.pf
08.09.2009  08:01            7.154 JAVACPL.EXE-2C833183.pf
08.09.2009  08:01            18.164 RUNDLL32.EXE-4F70230A.pf
08.09.2009  07:56            28.454 RUNDLL32.EXE-4C85B420.pf
08.09.2009  07:56            55.556 HELPHOST.EXE-30599D66.pf
08.09.2009  07:55            50.168 RUNDLL32.EXE-679B7A0E.pf
08.09.2009  07:52            24.688 THIS.EXE-2D1E8C05.pf
08.09.2009  07:50            24.720 HIJACKTHIS.EXE-1D180703.pf
08.09.2009  07:47            8.218 JAVA.EXE-09AD08D6.pf
08.09.2009  07:47            32.070 RUNDLL32.EXE-478DD1BB.pf
08.09.2009  07:43            41.748 CONNECTIONMANAGER.EXE-0E53DAC4.pf
08.09.2009  07:43            28.478 LULNCHR.EXE-18858454.pf
08.09.2009  07:01            74.250 LAUNCHER.EXE-36B26F1C.pf
07.09.2009  19:46            61.670 WAR3.EXE-093443FC.pf
07.09.2009  19:46            13.306 FROZEN THRONE.EXE-056E7004.pf
07.09.2009  19:05            23.658 RUNDLL32.EXE-74E35E56.pf
07.09.2009  16:06            22.912 _IU14D2N.TMP-39012424.pf
07.09.2009  16:06            21.116 UNINS000.EXE-065380FE.pf
07.09.2009  16:06            31.930 RUNDLL32.EXE-4960E6AC.pf
07.09.2009  15:57            37.226 TASKMGR.EXE-06144C13.pf
07.09.2009  15:29            64.252 TCLIENT.EXE-1FE24776.pf
07.09.2009  15:29            75.554 4STORY.EXE-13EEDB65.pf
07.09.2009  14:59            32.414 RUNDLL32.EXE-60D1B6C2.pf
07.09.2009  14:59          109.230 IEXPLORE.EXE-360BBB5C.pf
07.09.2009  14:45            58.236 WMPLAYER.EXE-017735B1.pf
07.09.2009  14:27            22.662 4STORY_DE_1.6.57.TMP-067B8798.pf
07.09.2009  14:27            19.118 4STORY_DE_1.6.57.EXE-185AF592.pf
07.09.2009  09:37            40.740 DOWNLOADER_4STORY_DE1.6.TMP-2157535D.pf
07.09.2009  09:37            18.690 DOWNLOADER_4STORY_DE1.6.EXE-14E8CD9C.pf
07.09.2009  08:32            40.388 RUNDLL32.EXE-42147746.pf
07.09.2009  08:32            21.506 IFINST27.EXE-21C438B5.pf
07.09.2009  08:31            10.392 ASDASTORYSETUP_090708_EN.EXE-1B37F278.pf
07.09.2009  08:18            32.062 RUNDLL32.EXE-58B3DC9A.pf
07.09.2009  00:36            57.484 DFRGNTFS.EXE-38C3807C.pf
07.09.2009  00:36            15.646 DEFRAG.EXE-2858C7E2.pf
06.09.2009  19:35            74.354 DIVX PLAYER.EXE-1CD94557.pf
06.09.2009  19:34            31.712 RUNDLL32.EXE-45ED1675.pf
06.09.2009  18:20            6.926 WTSISCTD.EXE-067E4B10.pf
06.09.2009  14:23            21.688 WAR3_INSTALL.EXE-0DBDE8FA.pf
06.09.2009  14:23            6.990 AUTOPLAY.EXE-328AAB68.pf
06.09.2009  14:23            16.578 RUNDLL32.EXE-6E8D4657.pf
06.09.2009  10:36            80.404 WINWORD.EXE-2811918F.pf
06.09.2009  09:16            17.448 W3HPH.EXE-0FCDF54A.pf
06.09.2009  09:11          112.160 NCLAUNCHER.EXE-26820D49.pf
06.09.2009  09:11            40.802 _IS1A8.EXE-2F88016D.pf
06.09.2009  09:10            26.638 SETUP.EXE-02DF2BF0.pf
06.09.2009  09:10            27.878 UNINSTALL.EXE-0BB21F4B.pf
06.09.2009  09:10            12.464 NTVDM.EXE-0A81AB7B.pf
06.09.2009  09:10            14.838 UNINSTAL.EXE-2DAB648D.pf
06.09.2009  09:09            13.266 GLB194.TMP-1099A9A9.pf
06.09.2009  09:09            44.660 TSMSIHLP.EXE-07E8639D.pf
06.09.2009  09:09            18.646 GLB190.TMP-19CCF53B.pf
06.09.2009  09:09            18.496 WISECUSTOMCALLA3.EXE-12B4084D.pf
06.09.2009  08:15            27.314 AION.BIN-114442D3.pf
06.09.2009  08:15          140.982 GAMEMON.DES-20144125.pf
06.09.2009  08:15          146.900 GAMEGUARD.DES-12DC02ED.pf
05.09.2009  18:23            62.006 RUNDLL32.EXE-4D5B2202.pf
05.09.2009  18:23            64.482 RUNDLL32.EXE-4667E400.pf
05.09.2009  18:21            58.186 RUNDLL32.EXE-40A18D9E.pf
05.09.2009  18:06            22.114 RUNDLL32.EXE-41F81301.pf
05.09.2009  18:06            22.944 RUNDLL32.EXE-665356A4.pf
05.09.2009  18:00            9.720 DXDLLREG.EXE-38065F86.pf
05.09.2009  17:58            55.286 DXSETUP.EXE-31B77EA9.pf
05.09.2009  17:52            75.362 PICASAPHOTOVIEWER.EXE-26062FED.pf
05.09.2009  17:45          178.142 XDELTA.EXE-01C90729.pf
05.09.2009  17:44            31.372 RUNDLL32.EXE-4EA18079.pf
05.09.2009  17:44            31.572 RUNDLL32.EXE-5C67DED9.pf
05.09.2009  17:43            81.518 INFINITEAION.EXE-26C06B20.pf
05.09.2009  16:43            63.886 PICASAUPDATER.EXE-3B7D7F34.pf
05.09.2009  14:41            56.966 WORLDEDIT.EXE-3B626B06.pf
05.09.2009  14:41            5.118 WORLD EDITOR.EXE-07042C6C.pf
05.09.2009  12:10            71.326 VISUALBOYADVANCE.EXE-1C2CAD84.pf
04.09.2009  16:13            65.758 NO$GBA.EXE-2D881F5D.pf
04.09.2009  16:13            63.038 VISUALBOYADVANCE.EXE-2AC19E41.pf
04.09.2009  15:49            84.118 NCLAUNCHER.COPY.EXE-0D9E3D12.pf
04.09.2009  15:48            36.970 AION LAUNCHER.EXE-29434354.pf
04.09.2009  15:46            57.788 AION.EXE-04259560.pf
04.09.2009  13:31            40.722 RUNDLL32.EXE-54AD7A42.pf
03.09.2009  17:56            20.292 PRIVATE_SERVER_AUTOPOT.EXE-04273478.pf
03.09.2009  16:59            55.164 SRO_CLIENT.EXE-2C9592C0.pf
30.08.2009  23:06            16.210 WMIADAP.EXE-32F99497.pf
27.08.2009  16:46            32.576 SILKROAD.EXE-38205D0A.pf
26.08.2009  10:20            11.760 LOGON.SCR-24ADF392.pf

            130 Datei(en)      7.004.868 Bytes
              0 Verzeichnis(se), 16.789.946.368 Bytes frei
 
----- Tasks ----------------------------
 Datentr„ger in Laufwerk D: ist Festplatte
 Volumeseriennummer: 3C55-66A2

 Verzeichnis von D:\WINDOWS\tasks

08.09.2009  18:42            1.220 GoogleUpdateTaskUserS-1-5-21-343818398-1078145449-839522115-1003UA.job
08.09.2009  18:32                6 SA.DAT
08.09.2009  09:42            1.168 GoogleUpdateTaskUserS-1-5-21-343818398-1078145449-839522115-1003Core.job

              4 Datei(en)          2.459 Bytes
              0 Verzeichnis(se), 16.789.954.560 Bytes frei
 
----- Windows/Temp -----------------------
 Datentr„ger in Laufwerk D: ist Festplatte
 Volumeseriennummer: 3C55-66A2

 Verzeichnis von D:\WINDOWS\Temp

08.09.2009  18:34            32.768 ~DF736A.tmp
08.09.2009  18:32              483 WGAErrLog.txt
31.08.2009  22:57            16.384 Perflib_Perfdata_7a0.dat
31.08.2009  14:30            32.768 ~DF5C15.tmp
31.08.2009  14:26            16.384 Perflib_Perfdata_79c.dat
31.08.2009  09:56            32.768 ~DF5C19.tmp
31.08.2009  09:35            16.384 Perflib_Perfdata_794.dat
01.08.2009  14:26            16.384 Perflib_Perfdata_6ec.dat
28.07.2009  08:17            32.768 ~DF83FB.tmp
27.07.2009  13:47            32.768 ~DF44EC.tmp
26.07.2009  17:01            32.768 ~DF191B.tmp
26.07.2009  09:23            32.768 ~DFED37.tmp
25.07.2009  11:05            32.768 ~DFB8D2.tmp
10.07.2009  21:28            32.768 ~DFCAE3.tmp
28.06.2009  22:16            32.768 ~DF9DDF.tmp
28.06.2009  17:28            32.768 ~DF531A.tmp
23.06.2009  00:24            32.768 ~DFBD58.tmp
23.06.2009  00:24            16.384 Perflib_Perfdata_7b8.dat
21.06.2009  19:40            16.384 Perflib_Perfdata_774.dat
21.06.2009  13:21          131.072 ~DF7A39.tmp
17.06.2009  08:52            32.768 ~DF9E33.tmp
15.06.2009  10:08            32.768 ~DF1F72.tmp
15.06.2009  10:07            16.384 Perflib_Perfdata_7cc.dat
15.06.2009  08:16            16.384 Perflib_Perfdata_7a8.dat
09.06.2009  07:18            32.768 ~DF206D.tmp
04.06.2009  12:28            32.768 ~DFC8A.tmp
04.06.2009  07:47            32.768 ~DF5690.tmp
02.06.2009  18:31            32.768 ~DF4A53.tmp
18.05.2009  20:46            32.768 ~DF793B.tmp
18.05.2009  20:46            16.384 Perflib_Perfdata_7bc.dat
18.05.2009  14:45            16.384 ~DF2E20.tmp
18.05.2009  08:56            16.384 Perflib_Perfdata_7dc.dat
14.05.2009  19:37            16.384 Perflib_Perfdata_7e0.dat
13.05.2009  08:42            32.768 ~DF5459.tmp
12.05.2009  08:42            32.768 ~DF152F.tmp
12.05.2009  08:42            16.384 Perflib_Perfdata_7ac.dat
09.05.2009  07:14            32.768 ~DF51DC.tmp
07.05.2009  07:13            32.768 ~DFDF0A.tmp
02.05.2009  15:03            16.384 Perflib_Perfdata_cbc.dat
02.05.2009  14:52          131.072 ~DF3DC2.tmp
23.04.2009  07:55            32.768 ~DFBD34.tmp
19.04.2009  20:49            32.768 ~DFE30F.tmp
17.04.2009  09:09            32.768 ~DF2C02.tmp
02.04.2009  07:44            32.768 ~DFFC81.tmp
01.04.2009  13:42            32.768 ~DF8625.tmp
01.04.2009  12:34            16.384 Perflib_Perfdata_78c.dat
31.03.2009  22:22            32.768 ~DF75E.tmp
25.03.2009  14:10            32.768 ~DFB440.tmp
24.03.2009  21:11            32.768 ~DF6C30.tmp
23.03.2009  23:56          131.072 ~DFEA7C.tmp
21.03.2009  16:25            10.469 LgDSetup.txt
21.03.2009  16:25          162.536 InstAEC.log
21.03.2009  16:25          149.372 InstMV.log
21.03.2009  16:25          205.288 LVEnum.log
21.03.2009  16:24                86 qcdrvsetup.log
17.03.2009  08:36            32.768 ~DFA7E9.tmp
15.03.2009  22:36            32.768 ~DFB6EC.tmp
12.03.2009  12:38          131.072 ~DFB18D.tmp
12.03.2009  08:43            32.768 ~DFC52A.tmp
12.03.2009  08:02            16.384 Perflib_Perfdata_6d0.dat
09.03.2009  15:43            32.768 ~DFACF4.tmp
09.03.2009  08:43            32.768 ~DF7510.tmp
07.03.2009  11:09            16.384 Perflib_Perfdata_e2c.dat
07.03.2009  10:56          530.458 inifiles.dat
07.03.2009  10:56          648.656 ipworks6.dll
07.03.2009  10:56        1.773.568 GDIPLUS.DLL
07.03.2009  10:56          157.178 aonFlex.chm
07.03.2009  10:56        5.724.520 aonFlex.exe
07.03.2009  10:56        1.560.618 Installer.chm
07.03.2009  10:56        9.740.184 Installer.exe
07.03.2009  10:19          131.072 ~DF9F74.tmp
07.03.2009  10:10          131.072 ~DFBEAF.tmp
07.03.2009  10:01            16.384 Perflib_Perfdata_5ec.dat

              77 Datei(en)    22.990.155 Bytes
              0 Verzeichnis(se), 16.789.950.464 Bytes frei
 
----- Temp -----------------------------
 Datentr„ger in Laufwerk D: ist Festplatte
 Volumeseriennummer: 3C55-66A2

 Verzeichnis von D:\DOKUME~1\Bernhard\LOKALE~1\Temp

08.09.2009  18:35                0 etilqs_oTmfvq2QKnTHcDxF6TU7
08.09.2009  10:28          798.234 IMTA.xml
08.09.2009  10:28          798.234 IMTB.xml
08.09.2009  10:28              426 IMT8.xml
08.09.2009  10:28              426 IMT9.xml
08.09.2009  10:28            2.036 IMT7.xml
08.09.2009  10:28            2.036 IMT6.xml
08.09.2009  10:27            22.253 Turkish.bin
08.09.2009  10:27            21.964 Norwegian.bin
08.09.2009  10:27            26.080 Hungarian.bin
08.09.2009  10:27            19.553 Hebrew.bin
08.09.2009  10:27            22.857 Finnish.bin
08.09.2009  10:27            24.312 Czech.bin
08.09.2009  10:27            25.071 Portuguese(Brazil).bin
08.09.2009  10:27            24.221 Polish.bin
08.09.2009  10:27            25.082 Greek.bin
08.09.2009  10:27            20.972 Arabic.bin
08.09.2009  10:27            26.260 Portuguese.bin
08.09.2009  10:27            24.082 SWEDISH.bin
08.09.2009  10:27            16.408 SimChin.bin
08.09.2009  10:27            21.976 Thai.bin
08.09.2009  10:27            21.933 English.bin
08.09.2009  10:27            27.753 Spanish.bin
08.09.2009  10:27            26.126 Russian.bin
08.09.2009  10:27            27.410 Italian.bin
08.09.2009  10:27            25.753 German.bin
08.09.2009  10:27            27.235 French.bin
08.09.2009  10:27            16.949 TradChin.bin
08.09.2009  10:27            25.747 Dutch.bin
08.09.2009  10:27            22.783 Danish.bin
08.09.2009  10:27            20.135 Korean.bin
08.09.2009  10:27            24.297 Japanese.bin
08.09.2009  07:43            32.768 ~DF7756.tmp
04.09.2009  14:49          158.960 SSUPDATE.EXE
              34 Datei(en)      2.380.332 Bytes
              0 Verzeichnis(se), 16.789.950.464 Bytes frei
MFG Panchame

kira 08.09.2009 19:44
hi

1.
Code:
LimeWire 4.18.8
Zitat:
Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!
Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...;)

2.
Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`
Code:
Eazel-DE Toolbar
3.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
Code:
O2 - BHO: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - D:\Programme\Eazel-DE\tbEaz1.dll
O3 - Toolbar: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - D:\Programme\Eazel-DE\tbEaz1.dll
4.
poste erneut:
Trend Micro HijackThis-Logfile

Panchame 08.09.2009 23:23
Habe Limewire und dieses Toolbar Addware entfernt aber Monitor.win32.ardamax.o keylogger ist immer noch auf meinem Computer vorhanden. (Wird zumindest vom WOW-Clienten angezeigt)

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:18:42, on 09.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\WLTRYSVC.EXE
D:\WINDOWS\System32\bcmwltry.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\LENOVO\HOTKEY\FNF5SVC.exe
D:\WINDOWS\system32\svchost.exe
D:\PROGRA~1\aon\aonFlex\Guard.exe
D:\WINDOWS\system32\WLTRAY.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\Programme\Lenovo\HOTKEY\TpWAudAp.exe
D:\WINDOWS\system32\igfxtray.exe
D:\WINDOWS\system32\hkcmd.exe
D:\WINDOWS\system32\igfxpers.exe
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\AGRSMMSG.exe
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
D:\PROGRA~1\aon\aonFlex\Connectionmanager.exe
D:\WINDOWS\system32\wbem\unsecapp.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Dokumente und Einstellungen\Bernhard\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
D:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
D:\Programme\Trend Micro\HijackThis\This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria TA AG
R3 - URLSearchHook: (no name) - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] D:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPWAUDAP] D:\Programme\Lenovo\HOTKEY\TpWAudAp.exe
O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] D:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "D:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [WKSV Agent] D:\WINDOWS\system32\28463\WKSV.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = D:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://D:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227891390671
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4B4C87E-DA4C-4F6F-A946-2F0F4092966A}: NameServer = 195.3.96.67 213.33.98.136
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Fn+F5 Service (FNF5SVC) - Lenovo. - D:\Programme\LENOVO\HOTKEY\FNF5SVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - D:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - D:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - D:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: TAGuard - Unknown owner - D:\PROGRA~1\aon\aonFlex\Guard.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 7564 bytes

Acid303 09.09.2009 03:06
Zitat:
Habe Limewire und dieses Toolbar Addware entfernt aber Monitor.win32.ardamax.o keylogger ist immer noch auf meinem Computer vorhanden. (Wird zumindest vom WOW-Clienten angezeigt)
Da gabs auch mal was im offiziellen Blizzard Forum zu ich glaube da wurde dann von einem Konflikt von Warden und verschiedenen Virenscannern ausgegangen. Kann das aber jetzt nicht bestätigen. Auf jeden Fall solltest du weiterhin davon ausgehen das dein system infiziert wurde.

Gruß

Acid

Edith:

Hab mir gerade mal dein Log angesehen:

Code:
        Sie benutzen anscheinend keinen Antivirenscanner oder ihr Scanner ist nicht aktiv.
Hast du zwischenzeitlich deinen Virenscanner deinstalliert?


Code:
R3 - URLSearchHook: (no name) - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - (no file)
Solltest du fixen wenn das kein bekanntes Programm ist.

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4B4C87E-DA4C-4F6F-A946-2F0F4092966A}: NameServer = 195.3.96.67 213.33.98.136
Kennst du die Domäne oder die IP? Falls nicht, fixen.

Panchame 09.09.2009 06:51
R3 und O17 hab ich erfolgreich gefixt.

Und ich habe derzeit keinen Antivir aktiv.

kira 10.09.2009 10:59
Zitat:
Zitat von Panchame (Beitrag 464003)
O17 hab ich erfolgreich gefixt.
warum denn? ist Dir nicht bekannt?:

Code:
inetnum:      195.3.86.72 - 195.3.97.255
netname:      TA-HIGHWAY
descr:        Telekom Austria Aktiengesellschaft
country:      AT
admin-c:      HMH25-RIPE
tech-c:      AAH12-RIPE
tech-c:      DAH12-RIPE
tech-c:      HMH25-RIPE
status:      ASSIGNED PA
mnt-by:      AS8447-MNT
mnt-lower:    AS8447-MNT
source:      RIPE
Zitat:
Zitat von Panchame (Beitrag 464003)
Und ich habe derzeit keinen Antivir aktiv.
wieso denn ? Heut zu Tage ich finds ja schon leichtsinnig ...

Heike 10.09.2009 11:47
@Coverflow,
ich habe auch kein AV installiert, und das seit einigen Jahren, lies mal hier, wir wären auch nicht so große Ausnahmen. ;)
Natürlich ist "kein AV" nicht für jeden empfehlemswert, aber bei entsprechendem Wissen aus meiner Sicht keinesfalls ein unkalkulierbares Risiko. :)

back to Topic:
ich hatte mir den Ardamax Keylogger vor einiger Zeit mal angesehen, soweit ich mich erinnere sollte der Starteintrag im HJT-Log zu erkennen sein. Vielleicht hat Coverflow Recht und es ist ein Fehlalarm von WOW, suche mal dort im Forum nach entsprechenden Topics.

kira 10.09.2009 17:28
hi

→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Code:
D:\WINDOWS\system32\28463\WKSV.exe
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131