|
Hab mir was eingefangen... Hallo Leute, hab mir irgendwas ziemlich ungemütliches eingefangen, doch bevor ich formatiere will ichs doch erstma anders versuchen ;) Also angefangen hat es damit das mit AntiVir diesen für Google unbekannten Trojaner angezeigt hat: TR/Dldr.Hmir.fbw Der weder zu Löschen ging noch der Zugriff verweigert werden konnte, also die Warnung kam immer wieder! Dann hab ich versucht auf meine Partition zuzugreifen um die Datei manuell zu löschen, problem dabei ist das Windows nicht weis wie es die Partition öffnen soll, also ich soll nen Programm auswählen mit der ich die Partition starten will ;) Also hab ich versucht übern Explorer die Datei zu finden und zu löschen, das ging nur leider war dort keine Datei die dort nicht hingehört. Als nächstes habe ich SpyBot + AdAware durchlaufen lassen, AntiVir gibt nun ruhe allerdings kann ich immernoch nicht auf die Festplatten zugreifen (Es geht keine außer meine Komprimierte Windowspartition. Hab danach auch nochma HiJackThis durchlaufen lassen, allerdings nichts gefunden was mich irgendwie beunruhigt, vlt. irgendwas übersehen? Naja vlt. könnt Ihr mir ja helfen, poste rein sicherheitshalbe nochma den HiJackThis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:35:12, on 15.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe E:\Programme\Bonjour\mDNSResponder.exe E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\PnkBstrA.exe E:\WINDOWS\Explorer.EXE E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe E:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe E:\WINDOWS\system32\RUNDLL32.EXE E:\Programme\Java\jre1.6.0_05\bin\jusched.exe E:\Programme\CyberLink\PowerDVD\PDVDServ.exe E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\ICQ6\ICQ.exe E:\Programme\DNA\btdna.exe E:\WINDOWS\system32\wscntfy.exe E:\Programme\Winamp\winamp.exe E:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe E:\Programme\Mozilla Firefox\firefox.exe E:\Programme\Lavasoft\Ad-Aware\aawservice.exe E:\Dokumente und Einstellungen\habi\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O1 - Hosts: 200.124.131.116 casinocontroller.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [ISUSPM Startup] E:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ISUSPM] "E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WheelMouse] E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [BitTorrent DNA] "E:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [VOIPlay] "D:\Programme\VOIPlay\voiplay.exe" O4 - HKCU\..\Run: [Octoshape Streaming Services] "E:\Programme\Octoshape Streaming Services\habi\OctoshapeClient.exe" -inv:bootrun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - E:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - E:\Casino\Europa Casino\casino.exe (file missing) O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - E:\Casino\Europa Casino\casino.exe (file missing) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - E:\Programme\UltimateBet\UltimateBet.exe (file missing) O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - E:\Programme\UltimateBet\UltimateBet.exe (file missing) O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU) O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU) O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://fortunelounge.microgaming.com/generic/FlashAX2.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114 O17 - HKLM\System\CS1\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: IviRegMgr - InterVideo - E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: Microsoft Local Alerter (mu0yoitpig) - Unknown owner - E:\WINDOWS\system32\typoocyhac.exe O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe O23 - Service: VideoAcceleratorService - Speedbit Ltd. - E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe -- End of file - 10218 bytes Lieben Dank, Martin |
Hi und :hallo: Bitte lass als erstes Malwarebytes laufe, lass alles gefundene löschen und poste das Log. Dazu bitte auch ein Log mit RunScanner erstellen und ebenfalls posten. Bitte zum Schluss dann auch noch ein frisches Hijackthis:daumenhoc |
Hier der Malwarebytes Log nachdem ich 5 Sachen löschen musste, des andere post ich irgendwann die Nacht ;) Malwarebytes' Anti-Malware 1.20 Datenbank Version: 958 Windows 5.1.2600 Service Pack 2 16:39:28 16.07.2008 mbam-log-7-16-2008 (16-39-28).txt Scan Art: Komplett Scan (C:\|D:\|F:\|G:\|) Objekte gescannt: 269340 Scan Dauer: 54 minute(s), 47 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\Downloads #1\browser.exe (Rogue.Installer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{FDE2CB48-BD27-4577-B888-CE59EAD42612}\RP159\A0010196.exe (Adware.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{FDE2CB48-BD27-4577-B888-CE59EAD42612}\RP159\A0010202.exe (Adware.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{FDE2CB48-BD27-4577-B888-CE59EAD42612}\RP159\A0010204.exe (Adware.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{FDE2CB48-BD27-4577-B888-CE59EAD42612}\RP159\A0010205.exe (Adware.Agent) -> Quarantined and deleted successfully. |
|
Runscanner logfile http://www.runscanner.net * = signed file - = file not found 000 General info ---------------- Computer name : XDDD-189EE48EDA Creation time : 16.07.2008 22:11:48 Hosts <> 127.0.0.1 : 1 Hosts file location : %SystemRoot%\System32\drivers\etc IE version : 7.0.5730.13 OS : Microsoft Windows XP OS Build : 2600 OS SP : Service Pack 2 RunScanner Version : 1.6.3.0 User Language : Deutsch (Deutschland) User rights : Administrator Windows folder : E:\WINDOWS 001 Running processes --------------------- * e:\programme\lavasoft\ad-aware\aawservice.exe (Lavasoft) e:\programme\trust\gm-4600 gamer mouse\amoumain.exe e:\programme\avira\antivir personaledition classic\avguard.exe (Avira GmbH) e:\programme\avira\antivir personaledition classic\sched.exe (Avira GmbH) * e:\windows\system32\services.exe (Microsoft Corporation) * e:\windows\system32\alg.exe (Microsoft Corporation) e:\programme\bonjour\mdnsresponder.exe (Apple Computer, Inc.) * e:\windows\system32\csrss.exe (Microsoft Corporation) * e:\windows\system32\ctfmon.exe (Microsoft Corporation) * e:\programme\dna\btdna.exe (BitTorrent, Inc.) * e:\windows\system32\rundll32.exe (Microsoft Corporation) * e:\programme\mozilla firefox\firefox.exe (Mozilla Corporation) * e:\windows\system32\svchost.exe (Microsoft Corporation) * e:\windows\system32\svchost.exe (Microsoft Corporation) * e:\windows\system32\svchost.exe (Microsoft Corporation) * e:\windows\system32\svchost.exe (Microsoft Corporation) * e:\windows\system32\svchost.exe (Microsoft Corporation) * e:\programme\icq6\icq.exe (ICQ, Inc.) * e:\programme\java\jre1.6.0_05\bin\jusched.exe (Sun Microsystems, Inc.) * e:\windows\system32\lsass.exe (Microsoft Corporation) * e:\windows\system32\nvsvc32.exe (NVIDIA Corporation) * e:\windows\system32\pnkbstra.exe * e:\programme\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.) * e:\programme\gemeinsame dateien\protexis\license service\psiservice_2.exe (Protexis Inc.) e:\programme\gemeinsame dateien\real\update_ob\realsched.exe (RealNetworks, Inc.) * e:\programme\gemeinsame dateien\intervideo\regmgr\iviregmgr.exe (InterVideo) * e:\dokume~1\habi\lokale~1\temp\rar$ex00.843\runscanner.exe (Runscanner.net) * e:\windows\system32\spoolsv.exe (Microsoft Corporation) * e:\progra~1\speedb~1\videoacceleratorengine.exe (Speedbit Ltd.) * e:\progra~1\speedb~1\videoacceleratorservice.exe (Speedbit Ltd.) * e:\windows\explorer.exe (Microsoft Corporation) * e:\windows\system32\winlogon.exe (Microsoft Corporation) * e:\windows\system32\smss.exe (Microsoft Corporation) * e:\windows\system32\wscntfy.exe (Microsoft Corporation) * e:\windows\system32\wuauclt.exe (Microsoft Corporation) 002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys) ----------------------------------------------------------------- - e:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe - e:\progra~1\gemein~1\instal~1\update~1\isuspm.exe * e:\programme\gemeinsame dateien\installshield\updateservice\issch.exe (Macrovision Corporation) E:\WINDOWS\system32\nwiz.exe e:\programme\quicktime\qttask.exe (Apple Computer, Inc.) * e:\programme\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.) e:\programme\gemeinsame dateien\real\update_ob\realsched.exe (RealNetworks, Inc.) e:\programme\trust\gm-4600 gamer mouse\amoumain.exe 003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys) ----------------------------------------------------------------- * e:\programme\dna\btdna.exe (BitTorrent, Inc.) * e:\programme\icq6\icq.exe (ICQ, Inc.) * e:\programme\octoshape streaming services\habi\octoshapeclient.exe (Octoshape ApS) d:\programme\voiplay\voiplay.exe (E-Sport Network AB) 010 HKLM\SYSTEM\CurrentControlSet\Services (Services) ----------------------------------------------------- e:\programme\bonjour\mdnsresponder.exe (##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##) e:\programme\avira\antivir personaledition classic\avguard.exe (AntiVir PersonalEdition Classic Guard) e:\programme\avira\antivir personaledition classic\sched.exe (AntiVir PersonalEdition Classic Planer) e:\programme\gemeinsame dateien\macrovision shared\flexnet publisher\fnplicensingservice.exe (FLEXnet Licensing Service) * e:\programme\gemeinsame dateien\intervideo\regmgr\iviregmgr.exe (IviRegMgr) * e:\programme\lavasoft\ad-aware\aawservice.exe (Lavasoft Ad-Aware Service) - e:\windows\system32\typoocyhac.exe (Microsoft Local Alerter) * e:\programme\gemeinsame dateien\nero\lib\nmindexingservice.exe (NMIndexingService) * e:\windows\system32\pnkbstra.exe (PnkBstrA) * e:\programme\gemeinsame dateien\protexis\license service\psiservice_2.exe (Protexis Licensing V2) * e:\progra~1\speedb~1\videoacceleratorservice.exe (VideoAcceleratorService) e:\windows\microsoft.net\framework\v3.0\windows communication foundation\infocard.exe (Windows CardSpace) 011 HKLM\SYSTEM\CurrentControlSet\Services (drivers) ---------------------------------------------------- * e:\windows\system32\drivers\acedrv10.sys (acedrv10) * e:\windows\system32\drivers\acedrv11.sys (acedrv11) * e:\windows\system32\drivers\acehlp10.sys (acehlp10) * e:\programme\avira\antivir personaledition classic\avgio.sys (avgio) * e:\programme\avira\antivir personaledition classic\avgntflt.sys (avgntflt) * E:\WINDOWS\system32\drivers\avipbb.sys (avipbb) - e:\windows\system32\drivers\changer.sys (Changer) - e:\windows\system32\drivers\i2omgmt.sys (i2omgmt) E:\WINDOWS\system32\drivers\iviaspi.sys (IVI ASPI Shell) - e:\windows\system32\drivers\lbrtfdc.sys (lbrtfdc) - e:\windows\system32\drivers\pcidump.sys (PCIDump) - e:\windows\system32\drivers\pdcomp.sys (PDCOMP) - e:\windows\system32\drivers\pdframe.sys (PDFRAME) - e:\windows\system32\drivers\pdreli.sys (PDRELI) - e:\windows\system32\drivers\pdrframe.sys (PDRFRAME) * E:\WINDOWS\system32\drivers\regi.sys (regi) e:\progra~1\speedb~1\sbbotdi.sys (sbbotdi) * E:\WINDOWS\system32\drivers\s115bus.sys (Sony Ericsson Device 115 driver (WDM)) * E:\WINDOWS\system32\drivers\s115mgmt.sys (Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM)) * E:\WINDOWS\system32\drivers\s115mdm.sys (Sony Ericsson Device 115 USB WMC Modem Driver) * E:\WINDOWS\system32\drivers\s115mdfl.sys (Sony Ericsson Device 115 USB WMC Modem Filter) * E:\WINDOWS\system32\drivers\s115obex.sys (Sony Ericsson Device 115 USB WMC OBEX Interface) E:\WINDOWS\system32\drivers\sptd.sys (sptd) e:\windows\system32\drivers\sshdrv76.sys (SSHDRV76) E:\WINDOWS\system32\drivers\ssmdrv.sys (ssmdrv) E:\WINDOWS\system32\drivers\sfdrv01.sys (StarForce Protection Environment Driver (version 1.x)) E:\WINDOWS\system32\drivers\sfhlp02.sys (StarForce Protection Helper Driver (version 2.x)) E:\WINDOWS\system32\drivers\sfvfs02.sys (StarForce Protection VFS Driver (version 2.x)) E:\WINDOWS\system32\drivers\amusbprt.sys (Trust HID-compliant Mouse Driver) E:\WINDOWS\system32\drivers\amfilter.sys (Trust Mouse Filter Driver) - e:\windows\system32\drivers\wdica.sys (WDICA) - e:\windows\system32\xdva093.sys (XDva093) 041 HKLM-HKCU\Software\Microsoft\Internet Explorer\Toolbar ---------------------------------------------------------- e:\programme\veoh networks\veoh\plugins\reg\veohtoolbar.dll (Veoh Networks Inc) {D0943516-5076-4020-A3B5-AEFAF26AB263} 042 HKLM\Software\Microsoft\Internet Explorer\Extensions -------------------------------------------------------- - e:\casino\europa casino\casino.exe {4C826F10-D34B-4ba8-B609-1FB8C6482A05} * e:\programme\icq6\icq.exe (ICQ, Inc.) {E59EB121-F339-4851-A3BA-FE49C35617C2} e:\programme\partygaming\partypoker\runapp.exe {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} * e:\programme\pokerstars\pokerstarsupdate.exe (PokerStars) {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} d:\titan poker\casino.exe {49783ED4-258D-4f9f-BE11-137C18D3E543} - e:\programme\ultimatebet\ultimatebet.exe {94148DB5-B42D-4915-95DA-2CBB4F7095BF} 043 HKCU\Software\Microsoft\Internet Explorer\Extensions -------------------------------------------------------- e:\dokumente und einstellungen\habi\startmenü\programme\absolute poker\absolute poker.lnk {13C1DBF6-7535-495c-91F6-8C13714ED485} 052 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects ---------------------------------------------------------------------------------- GUID / CLSID not found {7E853D72-626A-48EC-A868-BA8D5E23E045} 061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved --------------------------------------------------------------------------------- - deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} e:\windows\system32\nvshell.dll {1CDB2949-8F65-4355-8456-263E7C208A5D} e:\windows\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} e:\windows\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {087B3AE3-E237-4467-B8DB-5A38AB959AC9} e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {63542C48-9552-494A-84F7-73AA6A7C99C1} e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {3B092F0C-7696-40E3-A80F-68D74DA84210} e:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} e:\programme\real\realplayer\rpshell.dll (RealNetworks, Inc.) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers ------------------------------------------------------------ e:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627} e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} 063 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute --------------------------------------------------------------------- * E:\WINDOWS\system32\lsdelete.exe 067 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify --------------------------------------------------------------------- - 073 %windir%\Tasks ------------------ AppleSoftwareUpdate.job : e:\programme\apple software update\softwareupdate.exe (Apple Computer, Inc.) 100 Internet Explorer settings ------------------------------ Default_Page_URL HKLM : http://www.arcor.de Default_Search_URL HKLM : http://www.arcor.de Search Page HKCU : http://www.arcor.de Search Page HKLM : http://www.arcor.de Start Page HKCU : http://www.arcor.de Start Page HKLM : http://www.arcor.de 104 HKLM\Software\Microsoft\Code Store Database\Distribution Units ------------------------------------------------------------------ GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} * e:\windows\system32\flashax\flashax.ocx (Microgaming Systems) {D8089245-3211-40F6-819B-9E5E92CD61A2} * e:\windows\system32\flashax2\flashax2.ocx (Microgaming Systems) {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} 105 HKCU\Software\Microsoft\Internet Explorer\MenuExt ----------------------------------------------------- Nach Microsoft E&xel exportieren : res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 107 HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5 --------------------------------------------------------------------------------- e:\programme\bonjour\mdnsnsp.dll (Apple Computer, Inc.) 120 Domain/DNS hijacking ------------------------ NameServer {12ABD7D2-0A77-44E1-97B0-E821F498B2E3} : 195.50.140.252 195.50.140.114 170 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 ------------------------------------------------------------------------ {093edb2b-51c8-11dd-b678-806d6172696f} : E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bonyhyd.exe {ae7eaed2-fdca-11dc-8047-0015f2f32af8} : N:\EmDesk.exe {afe52394-fc01-11dc-9ba8-806d6172696f} : E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL kakyd.exe {afe52396-fc01-11dc-9ba8-806d6172696f} : E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL quoudytou.exe {afe52397-fc01-11dc-9ba8-806d6172696f} : E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL quoudytou.exe {afe52398-fc01-11dc-9ba8-806d6172696f} : E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL quoudytou.exe 173 HKCR\*\shellex\ContextMenuHandlers -------------------------------------- e:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers ------------------------------------------------------- e:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers -------------------------------------------------------------------------- * e:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3} 225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers ------------------------------------------------------------ * e:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3} * e:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3} e:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} e:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers --------------------------------------------------------------- e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 229 HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers -------------------------------------------------------------------------- e:\windows\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} 231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers ------------------------------------------------------- e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) OpenOffice.org Column Handler e:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info |
Und hier das frische hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:17:46, on 16.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Lavasoft\Ad-Aware\aawservice.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\RUNDLL32.EXE E:\Programme\Java\jre1.6.0_05\bin\jusched.exe E:\Programme\CyberLink\PowerDVD\PDVDServ.exe E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\ICQ6\ICQ.exe E:\Programme\DNA\btdna.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe E:\Programme\Bonjour\mDNSResponder.exe E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\PnkBstrA.exe E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe E:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe E:\WINDOWS\system32\wscntfy.exe E:\Programme\Mozilla Firefox\firefox.exe E:\Dokumente und Einstellungen\habi\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O1 - Hosts: 200.124.131.116 casinocontroller.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [ISUSScheduler] "E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WheelMouse] E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [BitTorrent DNA] "E:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [VOIPlay] "D:\Programme\VOIPlay\voiplay.exe" O4 - HKCU\..\Run: [Octoshape Streaming Services] "E:\Programme\Octoshape Streaming Services\habi\OctoshapeClient.exe" -inv:bootrun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - E:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU) O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU) O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://fortunelounge.microgaming.com/generic/FlashAX2.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114 O17 - HKLM\System\CS1\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: IviRegMgr - InterVideo - E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe O23 - Service: VideoAcceleratorService - Speedbit Ltd. - E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe -- End of file - 9112 bytes ! Problem besteht weiterehin! =) |
Zitat:
Wir analysieren erst deine Logfiles und versuchen alle Malware auf deine System zu finden:daumenhoc Dann gehts weiter mit dem löschen der ganzen Sch*****:Boogie: Bitte gib mir noch den Pfad dieses Trojaner an TR/Dldr.Hmir.fbw. Nun lade bitte folgende Dateien bei VirusTotal hoch und poste das Ergebnis:daumenhoc Zitat:
Zitat:
Versuche diese Dateien zu finden:daumenhoc Wenn du mit der Suchfunktion nix findest, versuche es mal manuel im Ordner C:\Windows und C:\Windows\System32 Zitat:
|
mach ich später und meld mich dann =) |
DNA: MD5: 05d05886cad5e1161fc80fa92f2dd01c First received: 2008.05.03 00:26:03 (CET) Datum 2008.07.19 05:02:43 (CET) [<1D] Ergebnisse 2/33 Permalink: analisis/23f07a461847c669b27ee049c5c9c312 Absolute Poker: Nichts WinRar: Nichts Einträge mit Hijackthis gefixt Die dateien konnte weder die Suchfunktion noch ich Manuell finden... |
Zitat:
Bitte poste nochmals ein neues Hijackthis:daumenhoc |
Bei dem Absolute poker dingens ist doch so ein Alltime Link bei, den müsstest einsehen können oder? Naja hier das neue hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:51:46, on 19.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Lavasoft\Ad-Aware\aawservice.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\RUNDLL32.EXE E:\Programme\Java\jre1.6.0_05\bin\jusched.exe E:\Programme\CyberLink\PowerDVD\PDVDServ.exe E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\ICQ6\ICQ.exe E:\Programme\DNA\btdna.exe E:\Programme\Octoshape Streaming Services\habi\OctoshapeClient.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe E:\Programme\Bonjour\mDNSResponder.exe E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\PnkBstrA.exe E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe E:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe E:\WINDOWS\system32\wscntfy.exe E:\Programme\Winamp\winamp.exe F:\DOWNLOADS!!!\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [ISUSScheduler] "E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WheelMouse] E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [BitTorrent DNA] "E:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [VOIPlay] "D:\Programme\VOIPlay\voiplay.exe" O4 - HKCU\..\Run: [Octoshape Streaming Services] "E:\Programme\Octoshape Streaming Services\habi\OctoshapeClient.exe" -inv:bootrun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - E:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU) O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114 O17 - HKLM\System\CS1\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: IviRegMgr - InterVideo - E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe O23 - Service: VideoAcceleratorService - Speedbit Ltd. - E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe -- End of file - 8717 bytes |
Ok Nun holst du dir The Avenger (Link ist in meiner Signatur) -Doppelklick auf The Avenger -im weissen Feld gibst du folgenden Text ein: Zitat: Zitat:
-du wirst gefragt ob du das Script ausführen möchtest--->Ja -dann fragt er blablabla "do you want to reboot now?" --->Ja -Zum Schluss postest du den Inhalt der C:\Avenger text datei Bitte mach auch noch zum Schluss nen Komplett Scan mit SuperAntiSpyware |
Hab leider das mit der Textdatei vergessen ist da irgendwas wichtiges bei? Kann mich noch dran erinnern das da stand Terminate complete :/ Scannen hab ich auch lassen + alles löschen lassen! Hab aber noch nicht gerebooted also kann noch nicht sagen obs funktioniert hat ^^ |
Also es hat sich nicht wirklich was getan?! hast du noch ne Idee oder lieber einfach formatieren?! |
Ich benötige das Avenger log oder wiederhole den Vorgang:daumenhoc Ich hab da schon noch Ideen:daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board