|
Mehrere Trojaner (tr/drop.Rkit.ey) in Tempordner oder (tr/tool.injector.605242) Also, wie die Überschrift schon sagt, hab ich mehrere Probleme gleichzeitig. Ist das eine Problem gelöst gewesen, tauchte das nächste auf oder wieder Beides. Ich hab für jedes einzelne Gegoogelt und mehrere Dinge ausprobiert. Aber ohne Erfolg. Bei der tronjaner tr/drop.Rkit.ey hat er sich in den Temp ordner geschlichen und die datei bn7d8.tmp erstellt. Erst stellte ich diesen in Quarantäne und später löschte ich ihn daraufhin. Für den Moment passte alles, doch sobald ich meinen Pc neu startete, war diese Datei wieder da. Auch probierte ich das Programm CCleander, wo man meinte..der würde das problem vernichten können. Aber auch fehlanzeige,derzeit steckt die datei wieder in quarantäne, weil sie erneut auftauchte Ansich ist mein Virenprogramm Avira Antivira personal-edition. Des weiteren ist mir heut nochwas zugstoßen. Als mich jemand von den Messanger MSN anschrieb, brachte mir auf einmal Avira die Meldung das der Trojaner -> tr/tool.injector.605242 in der datei photo_it.exegefunden wurde(Diese ist im sytem32/) Ich habe nicht oft den Taksmanager aufgerufen, aber diese datei fiel mir sofort ins auge (also der laufende prozess). Und das, bevor die Virenmeldung auftrat. Auch diese Datei wollte ich zumind. mit Avira Antivira in Quarantäne stellen, was aber gar nicht ging. Das Virenprogrogramm verschob die datei zwar in Quarantäne, aber erneut brachte mir das Programm die Virenmeldung. Ich hätte x-mal diese Datei verschieben können oder löschen, doch nichts half. Erst als ich auf "datei umbennenen" drückte, war mit der Meldung ruh. Was aber nicht heißt, er ist verschwunden..denk ich. Ansich habe ich auch schon im Abgesicherten Modus das virenprogramm laufen lassen. Was aber auch kein gezieltes ergebnis gebracht hat. Es hätte sein können, das ein Virus versteckt ist und immer erneut die Anderen Virendatei beim löschen erneut erstellt. Was vielleicht noch wichtig ist, gestern oder vorgestern brachte mir OBENDREIN mir Avira antivira noch diese meldung tr crypt.zpack.gen..dich ich weiß leider nicht mehr, in welcher datei diese steckte. ABer grob kann ich mich daran erinner, das das auch im Temp-Ordner versteckt war. Vielleicht hängen diese ganzen Viren miteinander zusammen Vielleicht kann man mir weiterhelfen und ich hoff, das ich meine Angaben so gut wie möglich gemacht habe. Ich bin nicht sonderlich gut in sowas und Hasse einfach die Viren...es sind zwar "nur trojaner" und nichts, was den Pc schrotten könnte, aber es muss ja nicht sein ;_; Hier noch die benötigten angaben: PS: Noch hinzufügen möchte ich, das ich ein Northen Viren programm auf dem Pc oben habe (das war standard bei dem laptop) dies aber sich nicht deinstallieren lässt und das shcon seit langem + kann nicht mal mit dem Programm CCleaner deinstalliert werden. Die deinstallation bleibt "laut fehler bei Northen" hängen. Ob der nicht vllt blockt oder gar die Viren anzieht?! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:12:19, on 01.12.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe C:\WINDOWS\system32\lxdicoms.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\HP\QuickPlay\QPService.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe C:\WINDOWS\V0230Mon.exe C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\System32\svchost.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Windows Live\Contacts\wlcomm.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2096149 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll R3 - URLSearchHook: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\YTSingleInstance.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll O3 - Toolbar: StumbleUpon Toolbar - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C:\Programme\StumbleUpon\StumbleUponIEBar.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [lxdimon.exe] "C:\Programme\Lexmark 3500-4500 Series\lxdimon.exe" O4 - HKLM\..\Run: [lxdiamon] "C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe" O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [V0230Mon.exe] C:\WINDOWS\V0230Mon.exe O4 - HKLM\..\Run: [AVFX Engine] C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe" /tray O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [Antivirus] C:\Programme\Antivirus2008\Antvrs.exe O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [photo_id] C:\Dokumente und Einstellungen\***\photo_id.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: algqeh32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203634056703 O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programme\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Norton Internet Security\comHost.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe O23 - Service: Norton Protection Center-Dienst (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe -- End of file - 13375 bytes PS: Noch hinzufügen möchte ich, das ich ein Northen Viren programm auf dem Pc oben habe (das war standard bei dem laptop) diese sich aber nicht deinstallieren lässt und das schon seit langem . Kann nicht mal mit dem Programm CCleaner deinstalliert werden. Die deinstallation bleibt einfach hängen, weil laut Norten Security ein "schwerwiegender fehler behoben werden muss" . Ob das Programm nicht mein Avira Antivira blockt oder gar die Viren anzieht >_< Es tut mir echt leid, wenn ich euch damit belästige und ihr daruch Kopfschmerzen bekommt, aber ihr seit da meine letzte Hilfe. Ich komm einfach nicht weiter T_T Arbeite mit Grafiken und erstelle diese auch selber. Deshalb ist mir der Laptop wichtig, obendrein habe ich einfach angst, mit einem USB-Stick meinen anderen Rechner zu verseuchen. Wäre das gut möglich, das nur mit bloßem anstecken zu erzeugen? Ich weiß ja nicht, inwieweit diese Trojaner angriffslustig sind ^^; |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\regedit.exe
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Registry values to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exeMalwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Chris |
Info: Habe ansich photo_id.EXE nicht gefunden, nur photo_id.VIR (vllt hat mein virenprogramm es umbenannt..ka) MD5: 66419f6c26b8f8157c4ddef64dcdf165 First received: 2009.11.26 05:47:39 UTC Datum 2009.12.01 16:27:03 UTC [+1D] Ergebnisse 14/40 Permalink: analisis/e510780c5f12b5ce6929586e61a4acf31c74d8f8d2e98ca161bb2a0026b6c329-1259684823 größe 59,1 kb C:windows/system32/ --- Regedit.exe war nicht im sytem 32 ordner sondern nur in windows (ka ob das wichtig ist oder nicht..post es einfach mal rein) MD5: 8193ce5fb09e83f2699fd65bbcbe2fd2 First received: 2007.06.16 14:28:36 UTC Datum 2009.10.12 10:50:26 UTC [>51D] Ergebnisse 0/41 Permalink: analisis/a309a13fd936ab600c895d4b5f677fd66c60f8b7c74eea7653df6ba36c45434b-1255344626 größe 150 kb ---- die datei algqeh.exe wurde nicht im ordner windows oder system 32 gefunden, sondern in dem folgenden ordner : dokumente und einstellungen/***/startmenü/programme/autostart/algqhe.exe ich muss hinzufügen, das mir heute beim hochladen des pc´s Antivira diese Meldung brachte (juhu...noch ein neuer Trojaner sch****) -TR/Drop.HDrop.S hab das dennoch mal gescannt MD5: 53756f722cde4c00211b698f01bb8625 First received: 2009.11.28 01:25:24 UTC Datum 2009.11.30 07:28:30 UTC [>2D] Ergebnisse 7/41 Permalink: analisis/0cf5bec26618e147cecc970661935a353461eb52fb09f2840f646b901d2796c8-1259566110 größe 16,5 ---- Zur info, bei allen 3 dateien ist sofort Avira angesprungen (als ich mit dem Cursor darüberging) und wollte den "zugriff" verweigern Und zu der datei Antivirus 2008, bitte schaut euch mein Erstellte übersicht an, ich habe die Datei nicht gefunden. Doch damit ihr einen überblick habt und es vllt leichter für euch ist, hab ich das extra zusammengestellt ^^ http://img403.imageshack.us/img403/4854/infofrhelfer.jpg (hab es wohl zu gut mit der größe gemeind *hust) Soll ich das gleich mit Avenger durchführen oder erst auf eure Analyse abwarten. Leider wusst ich nicht, was man mit HASH meint. Bitte gebt mir da becheid, was die abkürzung bedeutet und ich werde geschwind das nachtragen. Und falls ihr einen Systemscan braucht, sagt bescheid. Da ja komischerweise manch dateien nicht auffindbar waren oder gar in ganz anderen ordner, als wie mir ist noch gerade was aufgefallen, bei der Dateisuche nach photo_id.EXE (die ja nicht mehr existiert) Und zwar im folgenden Ornder: C:Windows/prefetch/ sind folgende dateien noch mit drin, die mir verdächtig vorkommen: ~TM7DC.TMP-3010B2A4.pf ~TM7DB.TMP-09BADB9C.pf ~TM7DB.TMP-09BADB9C.pf ~TM7DC.TMP-3010B2A4.pf die hören sich so an,wie die zwei Temp-dateien, die derzeit in quarantäne stecken: Dokumente und Einstellungen/***/lokale einstellungen/temp/BN7D8.tmp Dokumente und Einstellungen/***/lokale einstellungen/temp/BN7DB.tmp Und noch die zwei hier: ALGQEH32.EXE-19EFA8D3.pf REGEDIT.EXE-1B606482.pf jedoch wurde keine Photo_id. exe oder Photo_id.vir in dem ordner aufgelistet !!! sorry, wenn ich soviel poste. Doch ich denk, umso mehr ihr wisst, umso leichter könnt ihr es bearbeiten und ich möcht euch auf jedenfall nicht auf die palme bringen ;_; Ihr seit ja meine letzte hoffnung *verbeug |
Hi, bitte das Avenger script abfackeln (keinesfalls die Pfade für regedit ändern, der richtige liegt im windows-verzeichnis, der falsche im windows\system32-Verzeichnis. Passe vorher den Pfad noch für die Datei "algqhe.exe" richtig an: C:/dokumente und einstellungen/***/startmenü/programme/autostart/algqhe.exe (sternchen raus und gegen user ersetzten). Das ist der Dropper, der nach dem löschen die Trojaner wieder neu runterlädt... Das Avengerscript sollte dann so aussehen (Sternchen gegen User ersetzen, nicht vergessen!): Code: Registry values to delete:Dann weiter wie beschrieben.... chris Ps.: Keine Angst wenn Avenger was nicht findet, passiert auch nichts (ausser das er das meldet :o)... |
Zitat:
Du meinst (ich darf doch dutzen?) mit anpassen, den Pfad im Avanger richtig einfügen..also das hier Files to delete: C:\WINDOWS\system32\regedit.exe C:\WINDOWS\system32\photo_id.exe C:\dokumente und einstellungen\***\startmenü\programme\autostart\algqhe.exe oder meint man damit was anderes. Tut mir leid, wenn ich bei so etwas "einfachen" dumm nachfrag,möcht aber nix falsch machen, sodas die bemühung dann von dir/ihnen umsonst war ^^ |
Hi, ja, Du musst die Sternchen ("*") im Script gegen den tatsächlichen Pfad (User-Name) ersetzten, damit Avenger den korrekten Pfad hat und die Datei finden und löschen kann... z. B. C:\dokumente und einstellungen\***\startmenü\programme\autostart\algqhe.exe korrigieren in C:\dokumente und einstellungen\MeinUserName\startmenü\programme\autostart\algqhe.exe Das trifft auch für den Eintrag C:\Dokumente und Einstellungen\***\lokale einstellungen\temp zu. Dann Avenger starten (wie beschrieben) und weiter alles abarbeiten, Logs posten... chris |
Avenger script Hat wohl weniger geklappt, so wie die Ergebnismeldung das sagt. ---- Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\regedit.exe" not found! Deletion of file "C:\WINDOWS\system32\regedit.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\photo_id.exe" not found! Deletion of file "C:\WINDOWS\system32\photo_id.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\dokumente und einstellungen\***\startmenü\programme\autostart\algqhe.exe" not found! Deletion of file "C:\dokumente und einstellungen\***\startmenü\programme\autostart\algqhe.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open folder "C:\Programme\Antivirus2008\Antvrs.exe" Deletion of folder "C:\Programme\Antivirus2008\Antvrs.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Folder "C:\Dokumente und Einstellungen\***\lokale einstellungen\temp" deleted successfully. Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|photo_id" deleted successfully. Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Regedit32" deleted successfully. Completed script processing. Finished! Terminate. ---- Ist die datei Regedit32 denn eine wichtige Datei für meinen PC ? Wenn nicht, könnt ich die nicht mit CCleaner probieren zu löschen. Ich hab ja nur die Temp dateien gelöscht, wusste aber nicht, das die datei Regedit32 die Trojaner immer erneut auf meinen PC schmeisst. Sonst würd ich das machen und einfach mit dem Punkt "MAM durchlaufen lassen" einfach dort weitermachen :) PS: Dieser "unsername" ist bei mir mein pseudokünstlername. Also nicht mein echter, kann ich beim nächsten mal einfach komplett ohne *** den Locfile etc. posten ^^? Und hier nochmal ein neues Logfile, falls sich irgendwie was verschoben oder verändert hätte, wieso das mit dem Avenger nicht ging (das Logfile ist nach dem Durchlaufen und Neustarten des Anvengers durchgeführt worden): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:47:37, on 04.12.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe C:\WINDOWS\system32\lxdicoms.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\HP\QuickPlay\QPService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe C:\WINDOWS\V0230Mon.exe C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HiJackThis(2).exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2096149 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll R3 - URLSearchHook: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\YTSingleInstance.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll O3 - Toolbar: StumbleUpon Toolbar - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C:\Programme\StumbleUpon\StumbleUponIEBar.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [lxdimon.exe] "C:\Programme\Lexmark 3500-4500 Series\lxdimon.exe" O4 - HKLM\..\Run: [lxdiamon] "C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe" O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [V0230Mon.exe] C:\WINDOWS\V0230Mon.exe O4 - HKLM\..\Run: [AVFX Engine] C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe" /tray O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [Antivirus] C:\Programme\Antivirus2008\Antvrs.exe O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [photo_id] C:\Dokumente und Einstellungen\***\photo_id.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: algqeh32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203634056703 O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programme\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Norton Internet Security\comHost.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe O23 - Service: Norton Protection Center-Dienst (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe -- End of file - 12844 bytes ******************* |
Hi, zumindest die Run-Keys wurden entfernt... Fixe die angegebenen Einträge mit HJ (siehe vorangegangenes Posting), MAM, RSIT und Gmer durchführen! Du hast inzwischen neben Avira, Symantec noch AVG laufen, die stören sich gegenseitig, behalte nur einen, den Rest deinstallieren. Du hättest auch in diesem Pfad die Sternchen gegen den <usernamen> ersetzen müssen: C:\Dokumente und Einstellungen\***\lokale einstellungen\temp Prüfe umgehend nach, was noch unter C:\Dokumente und Einstellungen existiert... chris |
Zitat:
keine sorge, die *** hhab ich schon ersetzt, doch es hieß ja immer..das mein beim posting auch den namen ersetzten sollte, also hab ich einfach den künstlernamen bei dem ergebnis auch überschrieben ^^ Also, daran lag es nicht :3 Aber ich werd jetzt einfach die folgenden postings ohne sternchen mehr machen, dann kommt keiner durcheinander und mein realname ist das ja auch nicht ^_~ AVG kann ich gerne deinstallieren, doch bei synmatic, das gehört ja zu dem Sch**** norton, was ich nicht deinstallieren kann, das es sich aufhängt. kann es aber gerne heute nochmals probieren x~X (nur verlangte er damals die orginal-CD zur deinstallation, was ich nicht habe...da der laptop ohne diese kam ^^;) doch ich werd gleich die folgenden dinge durchführen :3 |
Hi, gut, wenn Avenger die Sternchen als Wildcard nutzt, dann wären nämlich alle eigenen Daten weg gewesen... Muss mir wohl was anderes überlegen, keine "*" mehr in Scripte, zu gefährlich. chris Ps.: Bin jetzt auf dem Weg nachhause... |
Zitat:
--- Vielleicht wär es besser, wenn die Leute statt *** einfach wirklich MUSTERMANN eingeben, dann kann ansich nix schief laufen und ihr merkt gleich, das er es richtig gemacht hat. Und falls jemand wirklich Mustermann mal heißen sollte, merkt das äh keiner :) Ich lass gerade Maleware durchlaufen und muss hinzufügen, das ich in dem ordner ...Autostart/Programme/... nicht mehr die datei algqhe.exe gefunden würde :) HOff, das MAM auch postitiven bericht erstattet :D Also, ich wünsche dir einen schönen Feierabend *verbeug |
Hi, MAM hat heute seine Engine upgedatet, ev. noch mal ein update machen... Poste auf jeden Fall das Log... chris |
MAM - Logfile Malwarebytes' Anti-Malware 1.42 Datenbank Version: 3292 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.13 04.12.2009 20:25:13 mbam-log-2009-12-04 (20-25-13).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 282596 Laufzeit: 2 hour(s), 49 minute(s), 3 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\yaichi_san\Desktop\desktop alles\hc.exe (Rogue.Installer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP478\A0055176.exe (Trojan.Banker) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\yaichi_san\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully. ---- Ich füge hinzu, das ich mich gleich erschiesse......nein quatsch. Also, während des Suchlaufes von MAM hat mein Avira wieder folgende Meldungen gebracht!!! http://img6.imageshack.us/img6/8486/...lfer2kopie.jpg Kann man alle restore datein löschen, die man findet oder zählen die zum wichtigen Teil des betriebssystems? Hab auch versucht, den ordner zu finden..aber der existiert wohl so offiziel für den zugriff wohl nicht ^^? Hoff jetzt nur nicht, das ich schön langsam zu den akten "ungelöst" fallen werde :( |
Hi, nein, soweit sind wir noch nicht... Lass bitte unbedingt noch GMER laufen und poste das Log; Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Danach Avira updaten, wie folgt einstellen und Fullscan: http://www.trojaner-board.de/54192-a...tellungen.html Poste die Funde! Die Datei algqhe.exe taucht in einem Backup auf, kannst Du den komplette Pfad posten... chris |
Zitat:
Hier der ganze pfad..rest werd ich morgen oder heut abend gleich durchführen http://img197.imageshack.us/img197/6650/pfad.jpg |
Logfiles von RSIT (1) RSIT Logfile 1: Logfile of random's system information tool 1.06 (written by random/random) Run by yaichi_san at 2009-12-06 00:10:36 Microsoft Windows XP Home Edition Service Pack 2 System drive C: has 13 GB (15%) free of 89 GB Total RAM: 1014 MB (26% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:10:52, on 06.12.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe C:\WINDOWS\system32\lxdicoms.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\HP\QuickPlay\QPService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe C:\WINDOWS\V0230Mon.exe C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Adobe\Photoshop 7.0\Photoshop.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Dokumente und Einstellungen\yaichi_san\Eigene Dateien\Downloads\RSIT.exe C:\Dokumente und Einstellungen\yaichi_san\Eigene Dateien\Downloads\yaichi_san.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2096149 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll R3 - URLSearchHook: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\YTSingleInstance.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll O3 - Toolbar: StumbleUpon Toolbar - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C:\Programme\StumbleUpon\StumbleUponIEBar.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [lxdimon.exe] "C:\Programme\Lexmark 3500-4500 Series\lxdimon.exe" O4 - HKLM\..\Run: [lxdiamon] "C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe" O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [V0230Mon.exe] C:\WINDOWS\V0230Mon.exe O4 - HKLM\..\Run: [AVFX Engine] C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe" /tray O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203634056703 O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programme\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Norton Internet Security\comHost.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe O23 - Service: Norton Protection Center-Dienst (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe -- End of file - 12783 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Google Software Updater.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}] &Yahoo! Toolbar Helper - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll [2008-07-28 882416] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1017A80C-6F09-4548-A84D-EDD6AC9525F0}] Lexmark Symbolleiste - C:\Programme\Lexmark Toolbar\toolband.dll [2007-01-26 262144] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}] BitComet Helper - C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll [2008-01-25 496952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}] Eazel-DE Toolbar - C:\Programme\Eazel-DE\tbEaze.dll [2009-07-02 2215960] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}] Search Helper - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll [2009-05-19 137600] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] Google Toolbar Helper - c:\programme\google\googletoolbar2.dll [2007-01-19 2427968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll [2009-11-02 764912] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}] Windows Live Toolbar Helper - C:\Programme\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}] SingleInstance Class - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\YTSingleInstance.dll [2008-07-28 160496] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll [2008-07-28 882416] {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - StumbleUpon Toolbar - C:\Programme\StumbleUpon\StumbleUponIEBar.dll [] {2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar2.dll [2007-01-19 2427968] {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - Lexmark Symbolleiste - C:\Programme\Lexmark Toolbar\toolband.dll [2007-01-26 262144] {D0943516-5076-4020-A3B5-AEFAF26AB263} - Veoh Browser Plug-in - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll [2008-06-19 352256] {21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Programme\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904] {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - Eazel-DE Toolbar - C:\Programme\Eazel-DE\tbEaze.dll [2009-07-02 2215960] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "igfxtray"=C:\WINDOWS\system32\igfxtray.exe [2005-11-03 98304] "igfxhkcmd"=C:\WINDOWS\system32\hkcmd.exe [2005-11-03 77824] "igfxpers"=C:\WINDOWS\system32\igfxpers.exe [2005-11-03 118784] "High Definition Audio Property Page Shortcut"=C:\WINDOWS\system32\CHDAudPropShortcut.exe [2005-11-08 61952] "HP Software Update"=C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2006-02-19 49152] "SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2005-11-11 761945] "hpWirelessAssistant"=C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe [2005-12-13 507904] "ccApp"=c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe [2007-02-22 52840] "QPService"=C:\Programme\HP\QuickPlay\QPService.exe [2005-12-12 94208] "eabconfg.cpl"=C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start [] "Cpqset"=C:\Programme\HPQ\Default Settings\cpqset.exe [] "RecGuard"=C:\Windows\SMINST\RecGuard.exe [2005-10-11 1187840] "Lexmark X6100 Series"=C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe [2003-09-23 57344] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2007-12-31 185896] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-01-18 98304] "!AVG Anti-Spyware"=C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe [2007-06-11 6731312] "lxdimon.exe"=C:\Programme\Lexmark 3500-4500 Series\lxdimon.exe [2007-05-07 435120] "lxdiamon"=C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe [2007-03-05 20480] "FaxCenterServer"=C:\Programme\\Lexmark Fax Solutions\fm3032.exe [2007-05-07 312240] "V0230Mon.exe"=C:\WINDOWS\V0230Mon.exe [2006-09-07 32768] "AVFX Engine"=C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe [2006-06-09 24576] "CTRegRun"=C:\WINDOWS\CTRegRun.EXE [1999-10-10 41984] "SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360] "MsnMsgr"=C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [2009-07-26 3883840] "BitComet"=C:\Programme\BitComet\BitComet.exe [2008-02-01 2194744] "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-06-14 68856] "ClipIncSrvTray"=C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe [2009-03-16 668424] "Veoh"=C:\Programme\Veoh Networks\Veoh\VeohClient.exe [2008-06-19 3664944] ""= [] "Creative Live! Cam Manager"=C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe [2006-05-31 143360] "Messenger (Yahoo!)"=C:\Programme\Yahoo!\Messenger\YahooMessenger.exe [2009-03-18 4363504] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe AOL 9.0 Tray-Symbol.lnk - C:\Programme\AOL 9.0a\aoltray.exe HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] C:\WINDOWS\system32\igfxdev.dll [2005-11-03 135168] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"=C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll [2007-05-30 79408] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Driver] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Guard] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\AOL 9.0\waol.exe"="C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL Germany" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger" "C:\Programme\Yahoo!\Messenger\YServer.exe"="C:\Programme\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL" "C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL" "C:\Programme\AOL 9.0a\waol.exe"="C:\Programme\AOL 9.0a\waol.exe:*:Enabled:AOL 9.0a" "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe" "C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe" "C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe" "C:\Programme\HP\Digital Imaging\bin\hposfx08.exe"="C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe" "C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe" "C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe" "C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe" "C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe" "C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe" "C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe" "C:\Programme\HP\Digital Imaging\Unload\HpqDIA.exe"="C:\Programme\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe" "C:\Programme\HP\Digital Imaging\bin\hpoews01.exe"="C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe" "C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe" "C:\WINDOWS\system32\lxdicoms.exe"="C:\WINDOWS\system32\lxdicoms.exe:*:Enabled:Lexmark Communications System" "C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe"="C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe:*:Enabled:Lexmark Device Monitor" "C:\Programme\Lexmark 3500-4500 Series\App4R.exe"="C:\Programme\Lexmark 3500-4500 Series\App4R.exe:*:Enabled:Lexmark Imaging Studio" "C:\Programme\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe"="C:\Programme\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe:*:Enabled:ABBYY FineReader" "C:\Programme\Lexmark Fax Solutions\FaxCtr.exe"="C:\Programme\Lexmark Fax Solutions\FaxCtr.exe:*:Enabled:Fax software" "C:\Programme\Lexmark 3500-4500 Series\lxdimon.exe"="C:\Programme\Lexmark 3500-4500 Series\lxdimon.exe:*:Enabled:Device Monitor" "C:\Dokumente und Einstellungen\yaichi_san\Lokale Einstellungen\Temp\lxdi\wireless\GERMAN\lxdiwpss.exe"="C:\Dokumente und Einstellungen\yaichi_san\Lokale Einstellungen\Temp\lxdi\wireless\GERMAN\lxdiwpss.exe:*:Enabled: " "C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdipswx.exe"="C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdipswx.exe:*:Enabled:Printer Status Window Interface" "C:\WINDOWS\system32\spool\drivers\w32x86\3\lxditime.exe"="C:\WINDOWS\system32\spool\drivers\w32x86\3\lxditime.exe:*:Enabled:Lexmark Connect Time Executable" "C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdijswx.exe"="C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdijswx.exe:*:Enabled:Job Status Window Interface" "C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdiwbgw.exe"="C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdiwbgw.exe:*:Enabled:Lexmark Web Gateway" "C:\Programme\Veoh Networks\Veoh\VeohClient.exe"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client" "C:\Program Files\WS_FTP Pro\ftp95pro.exe"="C:\Program Files\WS_FTP Pro\ftp95pro.exe:*:Enabled:WS_FTP 95" "C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen" "C:\Programme\SightSpeed\SightSpeed.exe"="C:\Programme\SightSpeed\SightSpeed.exe:*:Enabled:SightSpeed" "C:\WINDOWS\system32\LEXPPS.EXE"="C:\WINDOWS\system32\LEXPPS.EXE:*:Enabled:LEXPPS.EXE" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Messenger" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL" "C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL" "C:\Programme\AOL 9.0a\waol.exe"="C:\Programme\AOL 9.0a\waol.exe:*:Enabled:AOL 9.0a" "C:\Programme\Lexmark 3500-4500 Series\app4r.exe"="C:\Programme\Lexmark 3500-4500 Series\App4R.exe:*:Enabled:Lexmark Imaging Studio" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eea174a6-df1e-11dc-9b30-00130229bd6c}] shell\AutoRun\command - G:\Autorun.exe /run shell\Shell00\command - G:\Autorun.exe /run shell\Shell01\command - G:\Autorun.exe /action shell\Shell02\command - G:\Autorun.exe /uninstall ======List of files/folders created in the last 3 months====== 2009-12-06 00:10:36 ----D---- C:\rsit 2009-12-04 17:12:10 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-11-30 23:26:05 ----A---- C:\WINDOWS\ntbtlog.txt 2009-11-30 19:43:48 ----D---- C:\Programme\CCleaner 2009-11-25 20:02:08 ----HDC---- C:\WINDOWS\$NtUninstallKB976098-v2$ 2009-11-25 20:01:51 ----HDC---- C:\WINDOWS\$NtUninstallKB973687$ 2009-11-24 13:35:13 ----D---- C:\Programme\Conduit 2009-11-24 13:35:06 ----D---- C:\Programme\Eazel-DE 2009-11-24 13:34:07 ----D---- C:\Programme\AC3D 6.4.30 2009-11-13 18:24:27 ----D---- C:\Programme\Avira 2009-11-13 18:24:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2009-11-12 06:52:51 ----HDC---- C:\WINDOWS\$NtUninstallKB969947$ 2009-10-26 22:31:12 ----HDC---- C:\WINDOWS\$NtUninstallKB961503$ 2009-10-25 20:00:51 ----D---- C:\Programme\Microsoft Sync Framework 2009-10-25 19:59:12 ----D---- C:\Programme\Windows Live SkyDrive 2009-10-25 19:41:00 ----A---- C:\WINDOWS\system32\d3dx9_32.dll 2009-10-25 19:40:12 ----HDC---- C:\WINDOWS\$NtUninstallWIC$ 2009-10-25 19:38:31 ----D---- C:\Programme\Microsoft 2009-10-25 19:22:39 ----D---- C:\Programme\Gemeinsame Dateien\Windows Live 2009-10-15 19:08:14 ----HDC---- C:\WINDOWS\$NtUninstallKB958869$ 2009-10-15 19:08:05 ----HDC---- C:\WINDOWS\$NtUninstallKB954155_WM9$ 2009-10-15 19:04:27 ----HDC---- C:\WINDOWS\$NtUninstallKB969059$ 2009-10-15 19:04:14 ----HDC---- C:\WINDOWS\$NtUninstallKB974112$ 2009-10-15 19:04:02 ----HDC---- C:\WINDOWS\$NtUninstallKB975025$ 2009-10-15 19:02:54 ----HDC---- C:\WINDOWS\$NtUninstallKB974571$ 2009-10-15 19:01:48 ----HDC---- C:\WINDOWS\$NtUninstallKB971486$ 2009-10-15 19:01:30 ----HDC---- C:\WINDOWS\$NtUninstallKB973525$ 2009-10-15 19:01:13 ----HDC---- C:\WINDOWS\$NtUninstallKB975467$ 2009-09-13 17:57:14 ----D---- C:\Programme\VOCALOID 2009-09-09 20:51:10 ----D---- C:\Dokumente und Einstellungen\yaichi_san\Anwendungsdaten\Malwarebytes 2009-09-09 20:50:35 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-09-09 19:01:43 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$ 2009-09-09 19:01:25 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$ 2009-09-09 19:01:09 ----HDC---- C:\WINDOWS\$NtUninstallKB971961$ ======List of files/folders modified in the last 3 months====== 2009-12-06 00:09:10 ----D---- C:\WINDOWS\Prefetch 2009-12-05 23:38:57 ----D---- C:\WINDOWS\Tasks 2009-12-05 19:25:08 ----D---- C:\WINDOWS\Temp 2009-12-05 11:53:24 ----D---- C:\Programme\Mozilla Firefox 2009-12-05 11:06:45 ----ASH---- C:\hpqp.ini 2009-12-05 11:06:33 ----A---- C:\XP_TV.ini 2009-12-05 11:06:29 ----D---- C:\WINDOWS\system32\CatRoot2 2009-12-05 11:06:21 ----D---- C:\Dokumente und Einstellungen\yaichi_san\Anwendungsdaten\WTablet 2009-12-05 11:06:04 ----D---- C:\Programme\Gemeinsame Dateien\Symantec Shared 2009-12-04 23:43:24 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-12-04 23:27:13 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2009-12-04 21:47:02 ----D---- C:\WINDOWS\system32\drivers 2009-12-04 21:47:02 ----D---- C:\WINDOWS\SoftwareDistribution 2009-12-04 19:52:50 ----D---- C:\WINDOWS\system32 2009-12-04 19:19:09 ----D---- C:\No23Recorder 2009-12-04 17:12:10 ----D---- C:\Programme 2009-12-02 19:40:31 ----SD---- C:\Dokumente und Einstellungen\yaichi_san\Anwendungsdaten\Microsoft 2009-12-02 18:29:41 ----A---- C:\WINDOWS\lexstat.ini 2009-12-01 23:30:03 ----D---- C:\WINDOWS 2009-12-01 20:06:00 ----D---- C:\Downloads 2009-11-30 20:07:57 ----D---- C:\WINDOWS\Debug 2009-11-30 20:07:52 ----D---- C:\WINDOWS\Minidump 2009-11-30 19:24:04 ----HD---- C:\WINDOWS\inf 2009-11-28 10:20:29 ----D---- C:\WINDOWS\system32\CatRoot 2009-11-27 13:39:28 ----RSHD---- C:\WINDOWS\system32\dllcache 2009-11-25 20:01:07 ----HD---- C:\WINDOWS\$hf_mig$ 2009-11-25 20:00:45 ----SHD---- C:\WINDOWS\Installer 2009-11-25 20:00:45 ----D---- C:\Config.Msi 2009-11-25 20:00:43 ----D---- C:\WINDOWS\WinSxS 2009-11-25 11:33:22 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2009-11-05 18:36:21 ----A---- C:\WINDOWS\system32\MRT.exe 2009-11-04 20:01:19 ----D---- C:\WINDOWS\ie7updates 2009-10-28 16:07:15 ----N---- C:\WINDOWS\system32\tzchange.exe 2009-10-26 06:59:58 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-10-25 20:01:07 ----D---- C:\Programme\Windows Live 2009-10-25 20:01:04 ----D---- C:\Programme\Windows Live Toolbar 2009-10-25 19:41:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft 2009-10-25 19:41:01 ----D---- C:\WINDOWS\system32\DirectX 2009-10-25 19:37:40 ----RSD---- C:\WINDOWS\Fonts 2009-10-25 19:22:39 ----D---- C:\Programme\Gemeinsame Dateien 2009-10-21 05:06:57 ----A---- C:\WINDOWS\system32\mshtml.dll 2009-10-15 19:03:45 ----D---- C:\WINDOWS\system32\de-de 2009-10-15 19:03:45 ----D---- C:\Programme\Internet Explorer 2009-10-11 09:27:46 ----HD---- C:\Programme\InstallShield Installation Information 2009-10-11 09:26:40 ----D---- C:\Program Files 2009-10-05 19:34:25 ----D---- C:\GTK 2009-10-05 19:31:25 ----D---- C:\Programme\CursorXP 2009-10-02 05:46:03 ----D---- C:\WINDOWS\Help 2009-09-14 17:59:45 ----D---- C:\Dokumente und Einstellungen\yaichi_san\Anwendungsdaten\Real 2009-09-11 15:06:50 ----A---- C:\WINDOWS\system32\msv1_0.dll 2009-09-09 20:22:36 ----D---- C:\Dokumente und Einstellungen\yaichi_san\Anwendungsdaten\Adobe ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AVG Anti-Spyware Driver;AVG Anti-Spyware Driver; \??\C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.sys [] R1 AvgAsCln;AVG Anti-Spyware Clean Driver; C:\WINDOWS\System32\DRIVERS\AvgAsCln.sys [2007-05-30 10872] R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 eabfiltr;EABFiltr; \??\C:\WINDOWS\system32\drivers\EABFiltr.sys [] R1 eeCtrl;Symantec Eraser Control driver; \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys [] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-27 40192] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 SYMTDI;SYMTDI; C:\WINDOWS\System32\Drivers\SYMTDI.SYS [2007-10-01 189320] R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2004-08-03 8832] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656] R2 symlcbrd;symlcbrd; \??\C:\WINDOWS\system32\drivers\symlcbrd.sys [] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800] R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-03 14080] R3 E100B;Intel(R) PRO Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2005-11-03 157696] R3 EraserUtilRebootDrv;EraserUtilRebootDrv; \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [] R3 HdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\CHDAud.sys [2005-11-08 533504] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752] R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-11-03 1353820] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824] R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2004-08-04 67584] R3 SymEvent;SymEvent; \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS [] R3 SYMREDRV;SYMREDRV; C:\WINDOWS\System32\Drivers\SYMREDRV.SYS [2007-10-01 23944] R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2005-11-11 191936] R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2005-09-20 162432] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480] R3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver; C:\WINDOWS\system32\DRIVERS\w39n51.sys [2006-01-31 1428096] R3 wacommousefilter;Wacom Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2007-02-16 11312] R3 wacomvhid;Wacom Virtual Hid Driver; C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2007-02-16 12848] R3 WacomVKHid;Virtual Keyboard Driver; C:\WINDOWS\system32\DRIVERS\WacomVKHid.sys [2007-02-16 11440] S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2005-08-18 56648] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024] S3 eabusb;eabusb; \??\C:\WINDOWS\system32\drivers\eabusb.sys [] S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2006-04-13 49664] S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2006-04-13 16496] S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2006-04-13 21568] S3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [] S3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys [] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880] S3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136] S3 SMCIRDA;SMC IrCC-Miniportgerätetreiber; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2001-08-18 35913] S3 SPBBCDrv;SPBBCDrv; \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys [] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360] S3 SYMDNS;SYMDNS; C:\WINDOWS\System32\Drivers\SYMDNS.SYS [2007-10-01 12680] S3 SYMFW;SYMFW; C:\WINDOWS\System32\Drivers\SYMFW.SYS [2007-10-01 98184] S3 SYMIDS;SYMIDS; C:\WINDOWS\System32\Drivers\SYMIDS.SYS [2007-10-01 31624] S3 SYMIDSCO;SYMIDSCO; \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\idsdefs\20080415.002\symidsco.sys [] S3 SYMNDIS;SYMNDIS; C:\WINDOWS\System32\Drivers\SYMNDIS.SYS [2007-10-01 28040] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] S3 V0230Vfx;V0230Vfx; C:\WINDOWS\system32\DRIVERS\V0230Vfx.sys [2006-03-24 6272] S3 V0230VID;Live! Cam Video IM Pro; C:\WINDOWS\system32\DRIVERS\V0230VID.sys [2006-09-29 500480] S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys [] S3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [] S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 AVG Anti-Spyware Guard;AVG Anti-Spyware Guard; C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe [2007-05-30 312880] R2 ccEvtMgr;Symantec Event Manager; c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe [2007-02-22 192104] R2 ccProxy;Symantec Network Proxy; c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe [2007-09-13 202088] R2 ccSetMgr;Symantec Settings Manager; c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe [2007-02-22 169576] R2 ClipInc001;ClipInc 001; C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe [2009-05-27 2230024] R2 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2003-09-23 303104] R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2005-11-15 73728] R2 lxdi_device;lxdi_device; C:\WINDOWS\system32\lxdicoms.exe [2007-04-26 517040] R2 lxdiCATSCustConnectService;lxdiCATSCustConnectService; C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe [2007-04-26 99248] R2 NSCService;Norton Protection Center-Dienst; C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE [2006-12-15 750720] R2 SeaPort;SeaPort; C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-05-19 240512] R2 Symantec Core LC;Symantec Core LC; C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe [2008-02-04 1251720] R2 TabletServicePen;TabletServicePen; C:\WINDOWS\system32\Pen_Tablet.exe [2007-09-07 1373480] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336] R3 SNDSrvc;Symantec Network Drivers Service; c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe [2007-10-01 214408] S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-28 183280] S2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2006-03-03 69632] S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768] S3 ccISPwdSvc;Symantec Internet Security Password Validation; c:\Programme\Norton Internet Security\ccPwdSvc.exe [2007-02-20 72328] S3 comHost;COM Host; c:\Programme\Norton Internet Security\comHost.exe [2007-02-01 45696] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 SPBBCSvc;Symantec SPBBCSvc; c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe [2005-09-16 1160800] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S4 hpqwmiex;hpqwmiex; C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe [2005-11-28 98304] -----------------EOF----------------- PS: Den INFOTEXT hab ich noch nicht gepostet, weil ich nicht wusste, was mit "minimiert" gemeind war..gibt es nur einen wichtigen part davon, denn man dazu benötigt, wenn ja....welcher wer das???? |
Logfile von GMER GMER: Dateiname: ry2sbv1p Dateipfad: C:\Dokumente und Einstellungen\yaichi_san\Desktop Folgende Einstellungen bei GMER: Auf Button geklickt ->http://img36.imageshack.us/img36/3993/einstellung2.jpg Einstellugen von GMER:http://img214.imageshack.us/img214/6...nstellung1.jpg Logfile: GMER 1.0.15.15252 - http://www.gmer.net Rootkit scan 2009-12-06 03:50:39 Windows 5.1.2600 Service Pack 2 Running: ry2sbv1p.exe; Driver: C:\DOKUME~1\YAICHI~1\LOKALE~1\Temp\kfecqkog.sys ---- System - GMER 1.0.15 ---- SSDT 85A693C0 ZwConnectPort SSDT 9FF51DFE ZwCreateKey SSDT 9FF51DF4 ZwCreateThread SSDT 9FF51E03 ZwDeleteKey SSDT 9FF51E0D ZwDeleteValueKey SSDT 9FF51E12 ZwLoadKey SSDT \??\C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwOpenProcess [0x9FF4F8AC] SSDT 9FF51DE5 ZwOpenThread SSDT 9FF51E1C ZwReplaceKey SSDT 9FF51E17 ZwRestoreKey SSDT 9FF51E08 ZwSetValueKey SSDT \??\C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwTerminateProcess [0x9FF4F812] ---- Kernel code sections - GMER 1.0.15 ---- init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xB9D0AEBF] ? C:\DOKUME~1\YAICHI~1\LOKALE~1\Temp\kfecqkog.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[700] kernel32.dll!SetUnhandledExceptionFilter 7C8447ED 5 Bytes JMP 0049F8A0 C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe ---- Devices - GMER 1.0.15 ---- Device Ntfs.sys (NT File System Driver/Microsoft Corporation) Device Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.) AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation) AttachedDevice fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- WEITERE INFO: Als ich alle Wiederherstellungspunkte gelöscht habe und einen Punkt setzte, löschte ich die Systemwarnungen in der Quarantäne von Avira. Aber auch nur die Systempunkte. Ansich befinden sich diese zwei datein: photo_id.vir algqeh.exe immernoch in Quarantäne, deswegen hat Avira diese wohl auch nicht als Fund anerkannt!!!! HOffe, die Infos sind nicht unübersichtlich. Hab es so gut wie möglich gemacht T_T |
Logfile von Avira Antivirus Logfile von Avira: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 6. Dezember 2009 11:40 Es wird nach 1417608 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : YOUR-6B489C839B Versionsinformationen: BUILD.DAT : 9.0.0.415 21609 Bytes 08.11.2009 09:55:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 21.11.2009 17:10:54 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:10:53 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:10:53 VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 17:10:53 VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 17:10:54 VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 17:10:54 VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 17:10:54 VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 17:10:54 VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 17:10:54 VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 17:10:54 VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 17:10:54 VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 17:10:54 VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 17:10:54 VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 17:10:54 VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 17:18:00 VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 18:24:52 VBASE015.VDF : 7.10.1.129 2048 Bytes 30.11.2009 18:24:52 VBASE016.VDF : 7.10.1.130 2048 Bytes 30.11.2009 18:24:52 VBASE017.VDF : 7.10.1.131 2048 Bytes 30.11.2009 18:24:52 VBASE018.VDF : 7.10.1.132 2048 Bytes 30.11.2009 18:24:52 VBASE019.VDF : 7.10.1.133 2048 Bytes 30.11.2009 18:24:52 VBASE020.VDF : 7.10.1.134 2048 Bytes 30.11.2009 18:24:52 VBASE021.VDF : 7.10.1.135 2048 Bytes 30.11.2009 18:24:52 VBASE022.VDF : 7.10.1.136 2048 Bytes 30.11.2009 18:24:52 VBASE023.VDF : 7.10.1.137 2048 Bytes 30.11.2009 18:24:52 VBASE024.VDF : 7.10.1.138 2048 Bytes 30.11.2009 18:24:52 VBASE025.VDF : 7.10.1.139 2048 Bytes 30.11.2009 18:24:52 VBASE026.VDF : 7.10.1.140 2048 Bytes 30.11.2009 18:24:52 VBASE027.VDF : 7.10.1.141 2048 Bytes 30.11.2009 18:24:53 VBASE028.VDF : 7.10.1.142 2048 Bytes 30.11.2009 18:24:53 VBASE029.VDF : 7.10.1.143 2048 Bytes 30.11.2009 18:24:53 VBASE030.VDF : 7.10.1.144 2048 Bytes 30.11.2009 18:24:53 VBASE031.VDF : 7.10.1.170 150528 Bytes 05.12.2009 18:25:18 Engineversion : 8.2.1.92 AEVDF.DLL : 8.1.1.2 106867 Bytes 13.11.2009 18:13:04 AESCRIPT.DLL : 8.1.2.45 586108 Bytes 17.11.2009 21:14:55 AESCN.DLL : 8.1.2.5 127346 Bytes 13.11.2009 18:12:47 AESBX.DLL : 8.1.1.1 246132 Bytes 21.11.2009 17:10:54 AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 18:25:00 AEPACK.DLL : 8.2.0.3 422261 Bytes 13.11.2009 18:12:19 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:39 AEHEUR.DLL : 8.1.0.184 2146681 Bytes 01.12.2009 18:24:59 AEHELP.DLL : 8.1.7.5 237942 Bytes 25.11.2009 17:18:03 AEGEN.DLL : 8.1.1.78 364917 Bytes 25.11.2009 17:18:02 AEEMU.DLL : 8.1.1.0 393587 Bytes 13.11.2009 18:10:28 AECORE.DLL : 8.1.8.5 180598 Bytes 02.12.2009 18:24:58 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 13.11.2009 18:13:05 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 21.11.2009 17:10:53 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Sonntag, 6. Dezember 2009 11:40 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '83893' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SNDSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPQTOA~1.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StartFX.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'V0230Mon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxdiamon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'QPService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCAPP.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HP Wireless Assistant.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Pen_Tablet.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Pen_TabletUser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Pen_Tablet.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NSCSRVCE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxdicoms.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxdiserv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'guard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'symlcsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCPROXY.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCEVTMGR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCSETMGR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '57' Prozesse mit '57' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '67' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <HP_RECOVERY> Ende des Suchlaufs: Sonntag, 6. Dezember 2009 13:39 Benötigte Zeit: 1:58:14 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 13000 Verzeichnisse wurden überprüft 407982 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 407979 Dateien ohne Befall 8589 Archive wurden durchsucht 3 Warnungen 2 Hinweise 83893 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Wie vorher beschrieben, stecken 2 Dateien immernoch in Quarantäne + Der Suchlauf von Avira wurde nicht im Abgesicherten Modus gestartet (nicht das man davon ausgeht)!!!! |
Hi, da sind noch Reste eines Wurms: C:\hpqp.ini -> sicherlich von einem Wurm C:\XP_TV.ini -> nicht ganz klar... schaue mal was drin steht (öffnen oder bearbeiten) Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! (Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit) Code: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2096149[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{eea174a6-df1e-11dc-9b30-00130229bd6c}] shell\AutoRun\command - G:\Autorun.exe /run shell\Shell00\command - G:\Autorun.exe /run shell\Shell01\command - G:\Autorun.exe /action shell\Shell02\command - G:\Autorun.exe /uninstall Was ist das für eine Anwendung auf G: und was treibt der Rechner? Chris |
also die datei scheint ein Textdokument mit folgenden inhalt zu sein (wohl für´s fernsehgucken) [Setting] XP-Country=DEU XP-TVOut=16 --- mehr war nicht drin ^^; Und das G:/ erscheint, wenn cih meinen USB stick einstecke x~X Ich bin mir jetzt nicht ganz sicher, ob der beim Suchlauf steckte oder nicht. @Was treibt der Rechner: Ob er irgendwie macken hat, meinst du? Ich find, er verhält sich ganz normal x-X?! 1 Tag spinnte die CPU auslastung (war immer auf 100%) und es waren viele svchost.exe am Laufen, was jetzt nicht mehr der fall ist :) War aber vor den vielen Virenmeldungen in den Systempunkten .-. Und diese Dateien hier sollen sozusagen auf meinem USB-STick sein? [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{eea174a6-df1e-11dc-9b30-00130229bd6c}] shell\AutoRun\command - G:\Autorun.exe /run shell\Shell00\command - G:\Autorun.exe /run shell\Shell01\command - G:\Autorun.exe /action shell\Shell02\command - G:\Autorun.exe /uninstall |
Hi, ja das sollte auf dem Stick drauf sein und ausgeführt werden... Was macht der Rechner? Bei Gelegeneheit bitte folgende Datei noch bei virustotal.com prüfen lassen: C:\WINDOWS\system32\drivers\tifm21.sys chris |
Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\hpqp.ini" deleted successfully. Completed script processing. ******************* Finished! Terminate. Was mir noch etwas komisch vorkam ist das hier, bei MAM in der Quarantäne (die ich nun gelöscht habe) standen folgende Anwendungspfade: http://img682.imageshack.us/img682/8...spywarboot.jpg Hab aber das Spywareboot nicht gefunden unter C:\Dokumente und Einstellungen\yaichi\Anwendungsdaten Siehe hier: http://img9.imageshack.us/img9/7971/...tungordner.jpg Schreib ich deswegen dazu, weil du etwas bei hijackthis und das deaktivieren von Spyboot erwähnt hast. Hab es bei der Suchfunktion eingegeben und Laufwerk C und D mit dem Namen Spybood gesucht, aber nix kam ^^; Später entdeckte ich aber bei MAM in der Quarantäne die folgenden komischen Pfade ö_Ö Virustotal MD5: 9179e07503630d6fb2e4162ff0196191 First received: 2008.03.30 18:04:55 UTC Datum 2009.11.03 15:37:44 UTC [>35D] Ergebnisse 0/41 Permalink: analisis/3230fb959d4036780f480ad5ad480b1d8a456d52575adc29174025cc0a7e239f-1257262664 Datei größe 158 Kb Dateipfad: C:\WINDOWS\system32\drivers Bei Einstellungen -> "Version" steht folgendes (c) Copyright © 2005 Texas Instruments ------ USB Stick und Ausführung der Datei: Mh..ist das ansich der Autostart des USB-sticks?Weil ich so ansich auch nicht die Anwendung oder desgleichen darauf dinden konnte. Oder hat sich das mit dem USB stick erledigt und kann abgehackt werden? Des weiteren tut es mir leid die blöde Frage zu stellen, was du mit der Frage "was treibt der rechner" genau meinst. Zwei Viren stecken noch in Quarantäne, er läuft so wie immer. Keine erneuten Virenmeldungen bis jetzt erhalten. PS: Die 2 viren in Quaranänte (wie bei dem Posting unterhalb angegeben). sollen diese noch weiter dort verweilfen oder gelöscht werden? |
Hi, Quarantäne kann gelöscht werden. Mit "Was macht der Rechner" meinte ich, ob neue Meldungen auftauchen bezüglich Trojaner etc. oder sonst noch Auswirkungen da sind (Browserfenster die sich von selbst öffnen, Umleitungen etc.)... chris |
Zitat:
Achso...nein, bis jetzt sind keine neuen virenmeldungen gekommen, doch warten wir es ab (Bis morgen) wenn ich die Quarantäne lösche, ob nicht diese Datei algqeh.exe woanders auftaucht x~X Ich werde heute einfach zur sicherheit mal Avira Antivira + MAM im abgesicherten modus durchlaufen lassen? WÄre das ne vernünftige lösung??? (also zur sicherheit ^^) Umleitungen gibt es auch keine oder Fenster die sich öffnen (war davor schon so der fall >-<) ---- PS: Vielleicht eine Sache nur (wo ich nicht weiß, ob das was mit Viren zu tun hat). Also gelegentlich geht im Internet Browser der RECHTSKLICK nicht. Kann dann somit keine Bilder mehr abspeichern, nur über das Menü. SChließe ich alle Browser fenster und starte ich ihn komplett neu, funktioniert das alles wieder. Liegt das an einem Virus?! lg yaichino |
Hi, kannst Du gerne machen, sinnvoller Weise vorher beide updaten... chris |
Neuen Virus gefunden und vernichtet + Abgesicherter Modus So...hab beide Programme nochmals auf den neusten STand gebracht und im Abgesicherten Modus laufen lassen. Avira hat ansich nichts gefunden, jedoch MAM, was irgendwelche Schlüsselpasswörter von hijackthis sein sollte und wieder ein Trojaner beim Wiederherstellungspunkt. Hab einfach Systemwiederherstellung deaktiviert -> Neustart Systemwiederherstellung aktiviert -> Systempunkt gesetzt -> Neustart Was mich jetzt noch interessiert sind diese verdeckten Daten im folgenenden Pfad: Im lokalen Datenträger C sind folgende Dateien als "verdeckt": http://img17.imageshack.us/img17/9724/sqmdateien.jpg Was sind das für Dateien mit ***.sqm Ö.Ö; Die Älteste existiert seit dem 13.10 .-. ------ Und hier ein laufender Prozess, was hoffentlich nicht die algqeh32.exe nur anders benannt ist <_<;: http://img17.imageshack.us/img17/4930/algexe.jpg Leider konnte ich weder von Avira noch von MAM die Logfiles posten, hab sie zwar im abgesicherten Modus gespeichert, doch in normalen Modus existieren die Dateien nicht ^^; |
Zitat:
Weill ich ansich das game Operation flashpoint nicht besitze ^^ ABer ich glaub, dann hat sich alles soweit bereinigen lassen, oder soll ich zuguter letzt nocheinmal als abschluss ein logfile des hijacktihis posten :D? |
Hi, kommt bei der alg.exe (=Application Layer Gateway) darauf an, wenn sie aus dem system32-Verz. stammt, sollte sie ok sein (wenn nicht dann wahrscheinlich Virus)... Neues HJ und Prevx-Scan: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Scan und neue Virenmeldung Vorerst sorry, wenn ich jetzt länger brauche für posts..aber weihnachtsstress *seufz Ok...hier ansich der Scan von Prevx: http://img683.imageshack.us/img683/5130/prevx.jpg Hier der Fullpfad: http://img683.imageshack.us/img683/8506/pfadprevx.jpg Dateiname: http://img683.imageshack.us/img683/1390/dateiprevx.jpg Das Game hab ich schon seit langem auf dem PC oben, erkennt das Programm die Datei einfach nicht, oder hat der Virus die Datei befallen ;___; Und hier eine erneute Virenmeldung von Avira. Vor dieser Meldung war eigentlich Frieden auf dem PC. Bekommt man schnell Trojaner auf den Rechner oder war der schon oben und Avira hat ihn erst jetzt als Virus identifiziert? Bin auf keine Fremdseite sondern auf die alltäglichen Seiten gegangen und dann kam diese Meldung: http://img687.imageshack.us/img687/2...renmeldung.jpg |
Hi, die Datei "gksui16.exe" sollte Adware sein, die wuktz.exe müssen wir prüfen. Beide Dateien bei Virustotal.com prüfen lassen... chris |
leider konnt ich die dateigröße nicht erkennen, da sofort das Avira ansprang, hatte schon probleme, es mit dem programm scannen zu lassen ^^; MD5: f4de2c9f6e6b3ff2e6d2fcd77b9e41ee First received: 2009.12.10 21:43:16 UTC Datum 2009.12.21 17:00:05 UTC [>10D] Ergebnisse 28/41 Permalink: analisis/afda6aad7bb7abb44b11396a1b1aeaefd29ddd2c623135b3a49202939f01fcac-1261414805 ----- gksui16.exe datei Größe 58,0 KB MD5: 8c08ff0de2976090ed349af2fd79093c First received: 2008.03.22 03:42:35 UTC Datum 2009.08.07 07:19:26 UTC [>147D] Ergebnisse 1/41 Permalink: analisis/d735b74a77006d6b5d3dba15bb649b6f6836ba3dfd504d363efb42d1c7bf9107-1249629566 [i]Anscheinend ist die Datei unbrauchbar, weil das Setupsymbol durchgestrichen ist (mit einem roten X) Auch wenn es nicht dazu gehört, ich wünsche dir ein frohes neues Jahr ^^ |
Hi, lösche die Dateien bzw. räume die Quarantäne von Avira auf ... Was macht der Rechner, ist noch was aufgefallen? Ist ja jetzt schon wieder etwas länger her, ggf. lass noch mal Prevx laufen... chris |
hab die quarantäne aufgeräumt, würde dann einfach nochmal die systemwiederherstellung deaktivieren etc. und neuen punkt setzten .-. weil ja ansich einer sich dort festgebissen hatte prevx hat beim durchlauf nur wieder die zwei rausgeschmießen, jedoch hat heute mir ne freundin zum test dreamwaver geschickt. und nach so gut 1-2 std ist mein pc abgestürzt. hab aber auch viele taps offen gehabt x~X Kann ein Pc wegen zu höher CPU auslastung ach abstürzen?! kam halt vorher noch ne meldung mit blauen hintergrund, das das system heruntergefahren wird etc. als ich den pc abgewürgt hab, kam wieder ne blaue meldung, wo was überprüft wird, weil das ein wichtiger vorgang ist etc. das wär die fehlermeldung von microsoft: http://img340.imageshack.us/img340/8...oftmeldung.jpg und das ist ein neuer "fund(?)" von prevx http://img340.imageshack.us/img340/3886/meldung.jpg |
Hi, lass mich raten, es war keine reguläre Version von Dreamweaver sondern eine gehackte, die auch gleich ein bisschen Malware mitgebracht hat, z.B. die gefälsche svchost... Himmel werdet Ihr niemals schlau? Die Datei ist sofort zu löschen, Avira bzw. MAM auf die Reise zu schicken... chris |
mh...ich dachte, es wär ne trialversion gewesen, was sie mir schickt ^^ wie kann man sowas verhindern, gar nicht mehr von leuten annehmen oder downloaden ist ja eher dann...etwas unpraktisch ^^? avira und mum haben beim durchlaufen der datei kein virus gefunden. reicht das löschen dann allein?! MIt Avira und Mam auf die reisen schicken, ist ein neuer suchlauf gemeind, hab das zumind. so aufgefasst und werd meinen pc wieder prüfen ^^; Zusatz: mh, ne freundin meinte, das diese software eine zeitlang bei adope direkt runtergeladen werden konnte (also ist es keine gehäckte) und es funktioniert mit plugins und braucht keine installations. Liegt es vielleicht daran, das es diese Meldung bei prevx brauchte? Wie gesagt, soll laut meiner freundin vor paar jahren bei adope offiziell zum download angeboten werden x~X Enthalten solche denn auch malware <_<;? |
Hi, Nein, das ist eine mit Hilfe von VMware-Tools erstellte Version (zu erkennen an "thinstall") und die gabe es mit 100% Sicherheit nicht von Adobe... Und auch niemals mit einer eigenen svchost, die gehört zum Betriebssystem, die verseuchte zieht wahrscheinlich gerade alle möglichen Viecher auf den Rechner... Lade die angemahnte svchost.exe bei virustotal.com hoch und lass sie dort prüfen, poste das Log... S&D LOP: Lade dir Lop S&D (http://eric.71.mespages.googlepages.com/LopSD.exe) herunter. Führe Lop S&D.exe per Doppelklick aus. Bei Vista und Win7 bitte unter Admin-Rechten ausführen! Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen). chris |
virustotal.com größe 58KB MD5: ef7f84b62eca7ce8e8e532f3fb6a0093 First received: 2008.02.08 10:38:14 UTC Datum 2009.11.26 19:32:29 UTC [>41D] Ergebnisse 7/41 Permalink: analisis/7236ef2027d38ca48da22c04dfd49d955f29fd2117b6b92c4aa4430ef24b2419-1259263949 ----- lop logfile: --------------------\\ Lop S&D 4.2.5-0 XP/Vista Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2 X86-based PC ( Multiprocessor Free : Genuine Intel(R) CPU T1300 @ 1.66GHz ) BIOS : Ver 1.00PARTTBL USER : yaichi_san ( Administrator ) BOOT : Normal boot Antivirus : AntiVir Desktop 9.0.1.32 (Not Activated) Firewall : Norton Internet Security 2006 2006 (Not Activated) C:\ (Local Disk) - NTFS - Total:86 Go (Free:8 Go) D:\ (Local Disk) - FAT32 - Total:5 Go (Free:0 Go) E:\ (USB) - FAT - Total:1875 Mo (Free:1 Go) G:\ (USB) - FAT32 - Total:3816 Mo (Free:3 Go) "C:\Lop SD" ( MAJ : 19-12-2008|23:40 ) Option : [1] ( 07.01.2010|18:06 ) --------------------\\ Ordner Verzeichnis unter ANWEND~1 [19.02.2008|20:49] C:\DOKUME~1\ADMINI~1\ANWEND~1\Grisoft [01.12.2007|22:13] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities [10.09.2009|13:44] C:\DOKUME~1\ADMINI~1\ANWEND~1\Ipswitch [10.09.2009|13:45] C:\DOKUME~1\ADMINI~1\ANWEND~1\Malwarebytes [01.12.2007|22:13] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft [10.09.2009|15:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\Opera [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes [8|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei [27.02.2006|00:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe [20.04.2007|05:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic [18.01.2008|22:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AOL [13.11.2009|18:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira [04.07.2007|21:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\BVRP Software [06.05.2009|22:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Creative [27.02.2006|00:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink [05.04.2008|22:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FaxCtr [01.01.2008|15:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google [06.01.2010|23:50] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater [19.02.2008|20:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Grisoft [02.03.2008|19:54] C:\DOKUME~1\ALLUSE~1\ANWEND~1\HP [27.02.2006|00:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield [17.02.2008|21:04] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ipswitch [09.09.2009|20:50] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes [25.10.2009|19:41] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft [13.08.2007|22:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help [25.08.2006|20:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MSN6 [16.06.2007|16:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\muvee Technologies [29.12.2009|10:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PrevxCSI [04.05.2007|19:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime [27.02.2006|09:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SBSI [27.02.2006|00:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sonic [19.04.2008|10:04] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec [16.11.2008|13:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SYSTEMAX Software Development [10.08.2008|12:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TechSmith [25.11.2009|11:33] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP [25.08.2006|16:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\T-Online [25.08.2006|17:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\T-Online DSL-Manager [25.06.2006|19:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Viewpoint [07.12.2006|21:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage [25.08.2006|19:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Live Toolbar [03.12.2007|22:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller [06.05.2009|22:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! [06.05.2009|22:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes [37|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei [01.12.2007|22:13] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Identities [01.12.2007|22:13] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei [21.09.2009|08:15] C:\DOKUME~1\LOCALS~1\ANWEND~1\Adobe [09.01.2008|20:24] C:\DOKUME~1\LOCALS~1\ANWEND~1\Google [17.02.2008|17:44] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft [28.11.2009|13:21] C:\DOKUME~1\LOCALS~1\ANWEND~1\Mozilla [21.02.2009|14:10] C:\DOKUME~1\LOCALS~1\ANWEND~1\Opera [09.01.2008|20:24] C:\DOKUME~1\LOCALS~1\ANWEND~1\StumbleUpon [09.01.2008|20:24] C:\DOKUME~1\LOCALS~1\ANWEND~1\Yahoo! [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes [9|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei [17.02.2008|17:44] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft [06.12.2007|06:58] C:\DOKUME~1\NETWOR~1\ANWEND~1\Yahoo! [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei [04.08.2006|18:38] C:\DOKUME~1\yaichi\ANWEND~1\Adobe [18.11.2007|14:03] C:\DOKUME~1\yaichi\ANWEND~1\AdobeUM [19.01.2008|12:29] C:\DOKUME~1\yaichi\ANWEND~1\AOL [25.06.2006|11:04] C:\DOKUME~1\yaichi\ANWEND~1\CoreCodec [17.06.2007|09:13] C:\DOKUME~1\yaichi\ANWEND~1\Creative [30.04.2006|00:07] C:\DOKUME~1\yaichi\ANWEND~1\CyberLink [07.07.2006|17:08] C:\DOKUME~1\yaichi\ANWEND~1\e frontier [06.09.2006|19:30] C:\DOKUME~1\yaichi\ANWEND~1\Google [28.04.2006|18:55] C:\DOKUME~1\yaichi\ANWEND~1\HP [27.02.2006|09:00] C:\DOKUME~1\yaichi\ANWEND~1\Identities [28.08.2006|19:44] C:\DOKUME~1\yaichi\ANWEND~1\Leadertech [25.08.2006|16:52] C:\DOKUME~1\yaichi\ANWEND~1\Macromedia [14.08.2007|19:46] C:\DOKUME~1\yaichi\ANWEND~1\Microsoft [01.01.2007|14:00] C:\DOKUME~1\yaichi\ANWEND~1\Mozilla [25.08.2006|20:03] C:\DOKUME~1\yaichi\ANWEND~1\MSN6 [18.03.2007|10:15] C:\DOKUME~1\yaichi\ANWEND~1\MySpace [27.03.2007|05:53] C:\DOKUME~1\yaichi\ANWEND~1\Real [28.08.2006|19:44] C:\DOKUME~1\yaichi\ANWEND~1\Sonic [28.08.2006|22:55] C:\DOKUME~1\yaichi\ANWEND~1\Sun [29.04.2006|15:25] C:\DOKUME~1\yaichi\ANWEND~1\Template [25.08.2006|16:56] C:\DOKUME~1\yaichi\ANWEND~1\T-Online [29.10.2006|17:42] C:\DOKUME~1\yaichi\ANWEND~1\Yahoo! Messenger [25.06.2006|19:57] C:\DOKUME~1\yaichi\ANWEND~1\You've Got Pictures Screensaver [0|Datei(en)] C:\DOKUME~1\yaichi\ANWEND~1\Bytes [25|Verzeichnis(se),] C:\DOKUME~1\yaichi\ANWEND~1\Bytes frei [09.09.2009|20:22] C:\DOKUME~1\YAICHI~1\ANWEND~1\Adobe [26.01.2009|01:22] C:\DOKUME~1\YAICHI~1\ANWEND~1\AdobeUM [20.05.2009|23:27] C:\DOKUME~1\YAICHI~1\ANWEND~1\AniTuner [19.01.2008|12:29] C:\DOKUME~1\YAICHI~1\ANWEND~1\AOL [07.02.2008|14:41] C:\DOKUME~1\YAICHI~1\ANWEND~1\Artweaver [07.08.2008|18:02] C:\DOKUME~1\YAICHI~1\ANWEND~1\CoreCodec [06.05.2009|22:04] C:\DOKUME~1\YAICHI~1\ANWEND~1\Creative [20.07.2008|17:52] C:\DOKUME~1\YAICHI~1\ANWEND~1\CyberLink [03.12.2007|22:11] C:\DOKUME~1\YAICHI~1\ANWEND~1\e frontier [28.06.2009|12:53] C:\DOKUME~1\YAICHI~1\ANWEND~1\FaxCtr [05.02.2008|12:09] C:\DOKUME~1\YAICHI~1\ANWEND~1\Google [19.02.2008|20:16] C:\DOKUME~1\YAICHI~1\ANWEND~1\Grisoft [21.03.2008|15:54] C:\DOKUME~1\YAICHI~1\ANWEND~1\Help [02.03.2008|19:56] C:\DOKUME~1\YAICHI~1\ANWEND~1\HP [01.12.2007|22:13] C:\DOKUME~1\YAICHI~1\ANWEND~1\Identities [17.02.2008|21:03] C:\DOKUME~1\YAICHI~1\ANWEND~1\InstallShield [17.02.2008|21:05] C:\DOKUME~1\YAICHI~1\ANWEND~1\Ipswitch [01.01.2008|16:50] C:\DOKUME~1\YAICHI~1\ANWEND~1\Leadertech [05.04.2008|22:32] C:\DOKUME~1\YAICHI~1\ANWEND~1\Lexmark Productivity Studio [01.12.2007|17:26] C:\DOKUME~1\YAICHI~1\ANWEND~1\Macromedia [09.09.2009|20:51] C:\DOKUME~1\YAICHI~1\ANWEND~1\Malwarebytes [02.12.2009|19:40] C:\DOKUME~1\YAICHI~1\ANWEND~1\Microsoft [20.06.2009|17:29] C:\DOKUME~1\YAICHI~1\ANWEND~1\Move Networks [16.11.2008|13:53] C:\DOKUME~1\YAICHI~1\ANWEND~1\Mozilla [03.12.2007|07:32] C:\DOKUME~1\YAICHI~1\ANWEND~1\MSNInstaller [05.07.2008|13:15] C:\DOKUME~1\YAICHI~1\ANWEND~1\Nvu [09.02.2009|21:38] C:\DOKUME~1\YAICHI~1\ANWEND~1\Opera [14.09.2009|17:59] C:\DOKUME~1\YAICHI~1\ANWEND~1\Real [01.01.2008|16:50] C:\DOKUME~1\YAICHI~1\ANWEND~1\Sonic [04.02.2008|16:27] C:\DOKUME~1\YAICHI~1\ANWEND~1\StumbleUpon [05.02.2008|02:44] C:\DOKUME~1\YAICHI~1\ANWEND~1\Sun [16.11.2008|13:05] C:\DOKUME~1\YAICHI~1\ANWEND~1\SYSTEMAX Software Development [06.01.2008|23:36] C:\DOKUME~1\YAICHI~1\ANWEND~1\Template [06.01.2010|14:36] C:\DOKUME~1\YAICHI~1\ANWEND~1\Thinstall [03.02.2008|16:35] C:\DOKUME~1\YAICHI~1\ANWEND~1\Tobit [17.07.2008|19:58] C:\DOKUME~1\YAICHI~1\ANWEND~1\Viewpoint [04.08.2008|19:29] C:\DOKUME~1\YAICHI~1\ANWEND~1\vlc [04.02.2008|03:40] C:\DOKUME~1\YAICHI~1\ANWEND~1\WinRAR [07.01.2010|17:31] C:\DOKUME~1\YAICHI~1\ANWEND~1\WTablet [03.12.2007|22:34] C:\DOKUME~1\YAICHI~1\ANWEND~1\Yahoo! [18.01.2008|22:17] C:\DOKUME~1\YAICHI~1\ANWEND~1\You've Got Pictures Screensaver [0|Datei(en)] C:\DOKUME~1\YAICHI~1\ANWEND~1\Bytes [43|Verzeichnis(se),] C:\DOKUME~1\YAICHI~1\ANWEND~1\Bytes frei --------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks [07.01.2010 17:31][--a------] C:\WINDOWS\tasks\Google Software Updater.job [07.01.2010 17:31][--ah-----] C:\WINDOWS\tasks\SA.DAT [04.08.2004 09:00][-rah-----] C:\WINDOWS\tasks\desktop.ini --------------------\\ Ordner Verzeichnis unter C:\Programme [05.04.2008|22:03] C:\Programme\Abbyy FineReader 6.0 Sprint [24.11.2009|13:34] C:\Programme\AC3D 6.4.30 [25.06.2006|11:08] C:\Programme\AC3Filter [22.07.2006|11:21] C:\Programme\Adobe [12.09.2007|19:54] C:\Programme\Alaplaya [05.02.2008|01:29] C:\Programme\AnimeCentral [20.05.2009|23:25] C:\Programme\AniTuner [03.12.2007|20:12] C:\Programme\AntiVir PersonalEdition Classic [25.06.2006|19:57] C:\Programme\AOL 9.0 [18.01.2008|22:27] C:\Programme\AOL 9.0a [07.02.2008|14:40] C:\Programme\Artweaver 0.4 [13.11.2009|18:24] C:\Programme\Avira [13.03.2008|10:11] C:\Programme\BitComet [20.06.2009|08:52] C:\Programme\Blaze and Blade [30.11.2009|19:43] C:\Programme\CCleaner [05.02.2008|02:45] C:\Programme\Cellosoft [08.07.2008|19:33] C:\Programme\CoffeeCup Software [27.02.2006|09:00] C:\Programme\ComPlus Applications [24.11.2009|13:35] C:\Programme\Conduit [27.02.2006|00:09] C:\Programme\CONEXANT [01.12.2007|17:45] C:\Programme\Convar [25.06.2006|11:04] C:\Programme\CoreCodec [02.10.2006|19:26] C:\Programme\Corel [05.04.2009|20:09] C:\Programme\Creative [05.10.2009|19:31] C:\Programme\CursorXP [21.04.2008|20:20] C:\Programme\DAZ [18.06.2006|17:09] C:\Programme\directx [07.07.2006|16:52] C:\Programme\e frontier [03.09.2006|20:22] C:\Programme\EA GAMES [24.11.2009|13:35] C:\Programme\Eazel-DE [09.12.2007|15:32] C:\Programme\ffdshow [20.08.2006|12:30] C:\Programme\GedonSoft [25.10.2009|19:22] C:\Programme\Gemeinsame Dateien [05.02.2008|14:20] C:\Programme\Google [19.02.2008|20:15] C:\Programme\Grisoft [17.05.2008|15:42] C:\Programme\GTA2 [05.02.2008|01:31] C:\Programme\Haali [27.02.2006|00:48] C:\Programme\Hewlett-Packard [02.03.2008|19:45] C:\Programme\HP [26.11.2006|22:46] C:\Programme\HPQ [18.06.2006|17:10] C:\Programme\IMPERIUM DER AMEISEN [11.10.2009|09:27] C:\Programme\InstallShield Installation Information [27.02.2006|00:10] C:\Programme\Intel [09.12.2009|20:06] C:\Programme\Internet Explorer [17.02.2008|21:04] C:\Programme\Ipswitch [23.05.2009|22:55] C:\Programme\Java [11.05.2007|19:44] C:\Programme\Jumpstart Solutions [25.06.2006|19:57] C:\Programme\Learn2.com [05.04.2008|22:04] C:\Programme\Lexmark 3500-4500 Series [05.04.2008|22:04] C:\Programme\Lexmark Fax Solutions [05.04.2008|22:13] C:\Programme\Lexmark Toolbar [20.12.2008|12:07] C:\Programme\Lexmark X6100 Series [04.12.2009|17:12] C:\Programme\Malwarebytes' Anti-Malware [15.08.2008|19:06] C:\Programme\Messenger [25.12.2007|18:36] C:\Programme\Meteor Blade [25.10.2009|19:38] C:\Programme\Microsoft [12.05.2007|00:47] C:\Programme\Microsoft CAPICOM 2.1.0.2 [27.02.2006|09:00] C:\Programme\microsoft frontpage [13.08.2007|22:23] C:\Programme\Microsoft Office [25.10.2009|20:00] C:\Programme\Microsoft Sync Framework [13.08.2007|22:29] C:\Programme\Microsoft Visual Studio 8 [01.12.2007|22:19] C:\Programme\Microsoft Works [13.08.2007|22:23] C:\Programme\Microsoft.NET [05.09.2006|13:08] C:\Programme\ModTheSims2.com [12.04.2008|12:23] C:\Programme\Movie Maker [07.01.2010|17:52] C:\Programme\Mozilla Firefox [03.12.2007|07:31] C:\Programme\MSN [27.02.2006|09:00] C:\Programme\MSN Gaming Zone [16.04.2007|21:18] C:\Programme\MSN Messenger [31.12.2006|14:00] C:\Programme\mspass [14.11.2006|23:14] C:\Programme\MSXML 4.0 [16.06.2007|16:29] C:\Programme\muvee Technologies [01.12.2007|22:19] C:\Programme\NetMeeting [05.07.2008|13:15] C:\Programme\No23 Recorder [19.04.2008|09:59] C:\Programme\Norton Internet Security [27.02.2006|09:00] C:\Programme\Online Services [27.02.2006|00:45] C:\Programme\Online-Dienste [09.02.2009|21:38] C:\Programme\Opera [11.08.2009|19:04] C:\Programme\Outlook Express [26.06.2008|11:51] C:\Programme\phase5 [26.11.2006|13:01] C:\Programme\portalgraphics [29.12.2009|10:58] C:\Programme\Prevx [05.02.2008|01:25] C:\Programme\Project64 1.6 [18.01.2008|22:17] C:\Programme\QuickTime [25.06.2006|19:56] C:\Programme\Real [10.11.2006|09:12] C:\Programme\SE Inc [03.09.2006|10:06] C:\Programme\sicherungskopiesims2 [05.04.2009|20:10] C:\Programme\SightSpeed [17.04.2009|23:35] C:\Programme\Sims 2 deutschsprachiges spiel [27.02.2006|00:33] C:\Programme\Sonic [09.02.2008|16:27] C:\Programme\StumbleUpon [28.07.2008|17:53] C:\Programme\Sun [19.04.2008|09:59] C:\Programme\Symantec [27.02.2006|00:36] C:\Programme\Synaptics [27.12.2008|19:36] C:\Programme\Tablet [05.10.2008|09:59] C:\Programme\Tablett [10.08.2008|12:02] C:\Programme\TechSmith [06.04.2008|16:39] C:\Programme\Tobit ClipInc [26.08.2006|09:49] C:\Programme\T-Online [09.02.2008|12:49] C:\Programme\Trend Micro [31.01.2008|22:56] C:\Programme\Ubisoft [27.02.2006|09:00] C:\Programme\Uninstall Information [05.08.2007|12:28] C:\Programme\Veoh Networks [04.08.2008|19:14] C:\Programme\VideoLAN [25.06.2006|19:57] C:\Programme\Viewpoint [11.10.2009|09:27] C:\Programme\VOCALOID [21.08.2006|18:43] C:\Programme\Vogel Verlag [05.02.2008|01:28] C:\Programme\Wicked Studios [28.04.2006|18:50] C:\Programme\WIDCOMM [13.06.2007|14:40] C:\Programme\Windows Journal Viewer [25.10.2009|20:01] C:\Programme\Windows Live [03.12.2007|22:41] C:\Programme\Windows Live Favorites [25.10.2009|19:59] C:\Programme\Windows Live SkyDrive [25.10.2009|20:01] C:\Programme\Windows Live Toolbar [04.10.2007|22:59] C:\Programme\Windows Media Connect 2 [09.01.2008|14:50] C:\Programme\Windows Media Player [05.02.2008|20:00] C:\Programme\Windows Media-Komponenten [01.12.2007|22:21] C:\Programme\Windows NT [27.02.2006|09:00] C:\Programme\WindowsUpdate [04.02.2008|03:40] C:\Programme\WinRAR [27.02.2006|09:00] C:\Programme\xerox [22.08.2007|22:23] C:\Programme\Xvid [28.10.2006|12:22] C:\Programme\Yahoo! [0|Datei(en)] C:\Programme\Bytes [125|Verzeichnis(se),] C:\Programme\Bytes frei --------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien [22.07.2006|11:21] C:\Programme\Gemeinsame Dateien\Adobe [19.01.2008|12:29] C:\Programme\Gemeinsame Dateien\aol [18.01.2008|22:16] C:\Programme\Gemeinsame Dateien\aolshare [13.06.2007|00:22] C:\Programme\Gemeinsame Dateien\Application [21.04.2008|20:13] C:\Programme\Gemeinsame Dateien\DAZ [13.08.2007|22:23] C:\Programme\Gemeinsame Dateien\Designer [01.12.2007|22:16] C:\Programme\Gemeinsame Dateien\Dienste [02.03.2008|19:37] C:\Programme\Gemeinsame Dateien\Hewlett-Packard [27.02.2006|00:21] C:\Programme\Gemeinsame Dateien\HP [27.02.2006|00:35] C:\Programme\Gemeinsame Dateien\InstallShield [27.02.2006|00:13] C:\Programme\Gemeinsame Dateien\Java [01.12.2007|22:16] C:\Programme\Gemeinsame Dateien\LightScribe [25.08.2006|16:58] C:\Programme\Gemeinsame Dateien\Marmiko Shared [31.03.2008|18:20] C:\Programme\Gemeinsame Dateien\Microsoft Shared [27.02.2006|09:00] C:\Programme\Gemeinsame Dateien\MSSoap [16.06.2007|16:29] C:\Programme\Gemeinsame Dateien\muvee Technologies [25.06.2006|19:56] C:\Programme\Gemeinsame Dateien\Nullsoft [27.02.2006|09:00] C:\Programme\Gemeinsame Dateien\ODBC [01.01.2007|13:56] C:\Programme\Gemeinsame Dateien\Real [01.12.2007|22:16] C:\Programme\Gemeinsame Dateien\Sonic Shared [27.02.2006|09:00] C:\Programme\Gemeinsame Dateien\SpeechEngines [01.12.2007|22:16] C:\Programme\Gemeinsame Dateien\SureThing Shared [07.01.2010|17:31] C:\Programme\Gemeinsame Dateien\Symantec Shared [03.12.2007|03:07] C:\Programme\Gemeinsame Dateien\System [27.02.2006|00:34] C:\Programme\Gemeinsame Dateien\TiVo Shared [03.02.2008|16:35] C:\Programme\Gemeinsame Dateien\Tobit [25.10.2009|19:22] C:\Programme\Gemeinsame Dateien\Windows Live [03.12.2007|22:39] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller [01.01.2007|13:56] C:\Programme\Gemeinsame Dateien\xing shared [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes [31|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei --------------------\\ Process ( 76 Processes ) ... OK ! --------------------\\ Ueberpruefung mit S_Lop Kein Lop Ordner gefunden ! --------------------\\ Suche nach Lop Dateien - Ordnern C:\DOKUME~1\YAICHI~1\Cookies\yaichi_san@advertising[1].txt --------------------\\ Suche innerhalb der Registry ..... OK ! --------------------\\ Ueberpruefung der Hosts Datei Hosts Datei SAUBER --------------------\\ Suche nach verborgenen Dateien mit Catchme catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-07 18:08:04 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden files: 108 --------------------\\ Suche nach anderen Infektionen --------------------\\ Cracks & Keygens .. C:\DOKUME~1\YAICHI~1\Desktop\Atelier Iris Eternal Mana Original Soundtrack\203-crack-in-the-earth.mp3 C:\DOKUME~1\YAICHI~1\Desktop\Crypton.Vocaloid.Meiko.ISO.REPACK-peace-out\Yamaha.Vocaloid2.Keygen.Only-peace-out C:\DOKUME~1\YAICHI~1\Desktop\Crypton.Vocaloid.Meiko.ISO.REPACK-peace-out\Yamaha.Vocaloid2.Keygen.Only-peace-out\config.xml C:\DOKUME~1\YAICHI~1\Desktop\Crypton.Vocaloid.Meiko.ISO.REPACK-peace-out\Yamaha.Vocaloid2.Keygen.Only-peace-out\keygen.exe C:\DOKUME~1\YAICHI~1\Desktop\Crypton.Vocaloid.Meiko.ISO.REPACK-peace-out\Yamaha.Vocaloid2.Keygen.Only-peace-out\peace-out.nfo C:\DOKUME~1\YAICHI~1\Desktop\sonstiges\Crypton.Vocaloid.Meiko.ISO.REPACK-peace-out\Yamaha.Vocaloid2.Keygen.Only-peace-out C:\DOKUME~1\YAICHI~1\Desktop\sonstiges\Crypton.Vocaloid.Meiko.ISO.REPACK-peace-out\Yamaha.Vocaloid2.Keygen.Only-peace-out\config.xml C:\DOKUME~1\YAICHI~1\Desktop\sonstiges\Crypton.Vocaloid.Meiko.ISO.REPACK-peace-out\Yamaha.Vocaloid2.Keygen.Only-peace-out\keygen.exe C:\DOKUME~1\YAICHI~1\Desktop\sonstiges\Crypton.Vocaloid.Meiko.ISO.REPACK-peace-out\Yamaha.Vocaloid2.Keygen.Only-peace-out\peace-out.nfo [F:348][D:24]-> C:\DOKUME~1\YAICHI~1\LOKALE~1\Temp [F:46][D:0]-> C:\DOKUME~1\YAICHI~1\Cookies [F:4675][D:8]-> C:\DOKUME~1\YAICHI~1\LOKALE~1\TEMPOR~1\content.IE5 1 - "C:\Lop SD\LopR_1.txt" - 07.01.2010|18:11 - Option : [1] --------------------\\ Scan beendet um 18:11:49 |
Hi, die bei virustotal.com untersuchte svchost.exe ist verseucht, löschen. Dann verwendest Du des öfteren wohl Keygens, da wir uns in diesem Forum nicht strafbar machen wollen bzw. ungesetztlichen Verhalten keinen Vorschub leisten werden, gibts keine Hilfe mehr. Das Märchen von der Freundin ist zwar ganz nett, aber... chris&Out |
hä ö_Ö ich benutz eigentlich gar keine keygens ö_Ö; hab ich mal gemacht, und zwar 1 mal und dann hat ich das problem mit nem virus, seitdem meide ich das ganze ^^ doch meine freundin meinte, sie hätte dafür ne trialversion und hat es mir geschickt x~X aber dafür kann ich ja nix, das dem nicht so ist .-. also wär es jetzt nicht fair, sowas zu behaupten,das ich die öfters benutze ;_; 1 mal geb ich zu *kopfnick aber das hat mir dann gereicht x~X und die datei hab ich gestern schon gelöscht, weil es ja keine testversion war sondern ne gehackte Oh..jetzt komm ich mit mit märchen, du meinst da ist erfunden Ö_Ö Wenn´s ist, kann ich gern sie herholen, wenn man mir nicht glaubt. ich bin keine person, die lügt ^^; ABer sie hat es mir wirklcih per msn geschickt und meinte, die wär von adobe und alles. ahhhhh...jetzt seh ich wasu gemeind hast Ö_Ö Das game vocaloid *kopfnick werd ich gleich löschen, hat mir meine schwester draufgeklatscht x~X Doch die Musicdatei wurde auf einer Offiziellen Seite freigestellt, deswegen bin ich verwundert, das da keygen dabeisteht ö_Ö DAs andere lösch ich gleich, wusst nicht, das meine sis das draufgeklatscht hast, sie hat nur mal davon was erzahlt, prima Bin gespannt, was ich noch alles auf den PC oben hab, was ich nicht weiß -_-; |
Zitat:
hab das ganze komische vocaloid gelöscht, weil ch mit dem ja nix anfangen kann, hab ja nur ärger hiermit bekommen . Kann man dann den beitrag löschen ?! Damit ihr keinen ärger bekommt. Wie gesagt, wusste nicht...das sowas auf meinem PC existiert. Kann man mit einem Suchprogramm herausfinden, was alles am pc gehackt ist um diese zu bereinigen ?! Ist wichtig , da leider ich nicht die einzigste person bin, die auf den PC zugriff hat -_- |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board