|
IE Hacked by (Computername) und Sicherheitsinfo geändert Hi, ich habe schon bemerkt, dass das Thema 'IE hacked by' hier des öfteren zu Problemen führte. Nun bin ich auch betroffen. Daher habe ich auch versucht die Anleitungen und die vielen Ratschläge zu befolgen, aber irgendwo kam ich dann immer nicht weiter, und war mir der Sache sehr unsicher. Daher hoffe ich, auf eure freundliche Unterstützung bauen zu können. Mein(e) Problem(e): 1. In der oberen Leiste des IE steht hinter dem Seitennamen stets 'hacked by >Computername<'. Ich habe auch ein Haufen vbs-Dateien auf meinem Rechner gefunden. Sind die pauschal schädlich oder sinnvoll??? 2. Die Darstellung meiner Symbolleisten ändert sich teilweise, auch die Schriftart etc. 3. Beim Systemstart kommt stets die Fehlermeldung: 'Die Sicherheitsinformation ist ungültig oder wurde geändert. Das Programm wird abgebrochen.' Dieses Fenster geht nur mit OK zu bestätigen. 4. Mein Norton Protection Center fand neulich mehrere VBS.Solow (Was ist das??). Die konnten entfernt werden. Allerdings fand es auch zwei IRC Trojan, mit dem Hinweis, dass hier ein Eingreifen notwendig ist. 5. Vermutlich infolge dessen kann ich keine Video-DVDs mehr mit Nero7 brennen. Bei dem Umwandeln der Filmdateien bricht er ab. Andere DVD's hab ich jetzt noch nicht probiert. Hängen diese Probleme alle zusammen? Was kann ich tun? Welche INformationen kann ich noch geben, damit mir besser geholfen werden kann?? Vielen Dank schon mal für eure Mühe und euer Verständnis!! Webster |
Hi, poste bitte ein Hijackthis Logfile und ackere Karl's Anleitung für die Entfernung des Solow Wurms ab. mfg |
Boah....das geht ja fix! Danke für die prompte Antwort! Ich habe weder eine cscript.exe als auch eine wscript.exe in meinen Prozessen gefunden. Ist das möglich? Welche vbs-Dateien muss ich löschen? Die, die Norton Protection gefunden hat? Löscht der das nicht selbst? Hier der Logfile: Logfile of Trend Micro HijackThis v2.0.2 [edit] Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 Danke. :) Sunny [/edit] |
Hi, mach bitte die Links im Logfile unkenntlich => http:.. zu hxxp:.. Welche VBScripte? Die wo auf allen Laufwerken sind, (C:\XYZ.vbs, D:\XYZ.vbs) und die COMPUTERNAME.vbs im system32-Ordner. Natürlich auch alle autorun.inf Dateien. |
Oh, sorry! Hier nochmal in überschriebener Version: Also die autorun.inf lösche ich jetzt dann alle?! Okay. Die Scripte, die ich meinte, standen in der Anleitung von KarlKarl unter Punkt 3. Aber bei mir gibt es die nicht. Eine Menge vbs-Dateien habe ich in einem Ordner wie Bsp. 'F:\System Volume Information\_restore{EE60E768-A384-4C24-B4BB-819878DB8CA4}\RP241' Die letzten drei Ziffern ändern sich immer nur, also bilden damit verschiedene Ordner. Weitere vbs-Dateien hab ich im Verzeichnis 'C:\WINDOWS\system32' und 'C:\WINDOWS\system32\dllcache'. Soll ich die auch löschen? (Sorry, falls ich dumme Fragen stelle ;-)) Danke dir! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:34:06, on 22.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe C:\Programme\SMSC\SetIcon.exe C:\Programme\Home Cinema\TV Enhance\TVEService.exe C:\Programme\Nero\Nero 7\InCD\InCD.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\wt\updater\wcmdmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe C:\Programme\RALINK\Common\RaUI.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SecurityHistory\mcui32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hXp://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hXp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hXp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hXp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hXp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by XXX O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Microsoft Outlook.lnk = ? O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - hXp://webcam.varna.bg:8080/VatDec.cab O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - hXp://www3.snapfish.de/SnapfishActivia.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hXp://static.pe.studivz.net/photouploader/ImageUploader4.cab?nocache=1203337233 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hXp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=20080125-1 O17 - HKLM\System\CCS\Services\Tcpip\..\{41D9066F-620F-401D-B83C-40ACDFD46772}: NameServer = 192.168.8.254,0.0.0.0 O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 11311 bytes |
Nein, die in dllcache sind Okay. Hast du die COMPUTERNAME.vbs noch? Wenn ja, öffne sie mit dem Editor. In den obersten Zeilen steht dann, wie der ursprüngliche Name des Scripts ist. Du kannst noch der Anleitung hier folgen: MalwareBytes Anti-Malware:
|
Eine vbs mit dem Computernamen konnte ich nicht finden. |
Seltsam, entweder hast du sie schon länger gelöscht, oder es ist sonst was passiert. Führe mbam bitte aus, wie beschrieben. |
So, hier nun das Ergebnis. "Leider" nichts gefunden. Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1077 Windows 5.1.2600 Service Pack 2 16:28:57 22.08.2008 mbam-log-08-22-2008 (16-28-57).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 151408 Laufzeit: 41 minute(s), 5 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Hallo nochmal, ich habe jetzt mal die eine Zeile R1...hacked by computername in Hijackthis gefixt. Ich hoffe, das war nicht verkehrt. Im IE steht jedenfalls nach dem Neustart nichts mehr mit 'Hacked by'. Hab ich damit die Ursache gelöst, oder nur die Folge bekämpft? Im Explorer öffnen sich auf der rechten Seite auch wieder die Ordner bei Doppelklick. Soweit so gut! Allerdings meckert der bei meinem Stick noch, das die Datei 'computername'.vbs nicht gefunden wurde. Was ist mit meinen anderen Problemen, von denen ich eingangs sprach? Mit der Sicherheitsinformation bei jedem Systemstart? Könnt ihr mir helfen? Ich danke schonmal!! |
Halli hallo Webster :hallo: Ich springe mal als Ablösung ein.. Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste dnaach bitte ein frisches HJT log. |
Hallo, ganz großen Dank für die ausführlichen Anweisungen! Habe fast alles abgearbeitet, nur das letzte mit dem Com... hab ich lieber gelassen. Mit den Ergebnissen bin ich erstmal sehr zufrieden. In der IE-Kopfzeile ist das hacked by raus, die Fehlermeldung 'Sicherheitsinformationen sind ungültig...' hab ich weg bekommen, lag an einer Test Version von Ulead VideoStudio 10, das Windows-Antlitz ist wieder wie gewohnt, also scheint alles prima zu sein. Ich hoffe, dass es auch tatsächlich alles sauber ist. Nochmal Ganz herzlichen Dank für eure Unterstützung!! Find ich echt super! Webster Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:21:16, on 23.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\SMSC\SetIcon.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Home Cinema\TV Enhance\TVEService.exe C:\Programme\Nero\Nero 7\InCD\InCD.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\wt\updater\wcmdmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\RALINK\Common\RaUI.exe C:\Programme\Secunia\PSI (RC3)\psi.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hXXp://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hXXp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hXXp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hXXp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hXXp://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Microsoft Outlook.lnk = ? O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - hXXp://webcam.varna.bg:8080/VatDec.cab O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - hXXp://www3.snapfish.de/SnapfishActivia.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hXXp://static.pe.studivz.net/photouploader/ImageUploader4.cab?nocache=1203337233 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hXXp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=20080125-1 O17 - HKLM\System\CCS\Services\Tcpip\..\{41D9066F-620F-401D-B83C-40ACDFD46772}: NameServer = 192.168.8.254,0.0.0.0 O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 11093 bytes |
Du hast überhaupt nichts! :nixda: Es ist immernoch kein aktuelles ServicePack drauf. So kann dir hier keiner vernünftig helfen. Dein Rechner ist auf jeden Fall noch infiziert! Davon merkst du nur nichts. |
Hallo undoreal, was meinst du, ich hab überhaupt nichts? Ich hab nichts gemacht??? Gut, das Service Pack lade ich gerade noch, ich dachte, da auf der Microsoft-Seite etwas stand von „Netzwerkinstallationspaket für IT-Spezialisten und Entwickler“, dass es für mich nicht zutrifft. Bin da unwissend und auch gebrannt. Ich hatte mal ein ServicePack geladen und installiert, wonach ich meinen ganzen Rechner neu machen konnte, weil nichts mehr lief, der Rechner sich nur aufgehängt hat und arschlangsam war. Daher weiß ich immer nicht, wieweit man den Microsoft-Updates vertrauen kann, auch in Hinblick auf „Spionage“. Ihr könnt das vielleicht besser einschätzen. Die Software-Updates hatte ich mit Secunia PSI durchgeführt. Eine Sache konnte nicht aktualisiert werden, weil die Seite sich nicht öffnen ließ, wo die Lösung sich befinden sollte. Mein Anti-Viren Programm hab ich aktualisiert (Ich nehme an, dass Viren-Signaturen die Viren-Datenbanken sind?!). Das Windows-Update ist auch erfolgt (bis auf Service-Pack). Firewall ist im AntiViren Programm drin. Mit ccleaner hab ich auch aufgeräumt nach Anleitung. Den einen Schritt hab ich ewig oft wiederholt, leider blieben zwei Dinge stets über. Und ComboFix war mir in der Kürze sehr undurchsichtig, wenn schon der Hinweis kommt, dass eventuell das ganze System bergab geht. Was ist eigentlich ein tracking Cookie? Das meldete mein AV-Programm. Also sorry für die „schlampige“ Abarbeitung. Ich dachte, wenn die Symptome weg sind, dass der Rechner wieder sauber ist. Außerdem fliege ich morgen früh in den Urlaub, und steh etwas unter Strom. Ich würde mich aber freuen, wenn ich auf eure Hinweise nach dem Urlaub noch einmal zurückkommen kann. Kann ich denn irgendwie sicher sein, dass das System wieder sauber ist? Also Danke noch mal und sorry! Achso, kann ich etwas dagegen tun, dass mein Rechner durch die ganzen Hilfsprogramme nun etwas langsamer beim Hochfahren und allgemein beim Arbeiten ist? Webster |
Hallo, da bin ich nun wieder. Hab letzte Woche noch das 3.SP installiert und seit dem keine Internetverbindung mehr herstellen können, so dass ich nun über einen anderen Rechner ins Internet muss. Muss ich noch irgendwelche Einstellungen vornehmen? Ich hab zwar eine Verbindung zum Router (wird zumindest angezeigt), aber komme trotzdem nicht ins Netz. Verflixter PC! Für eure weitere Hilfe wäre ich dankbar! Webster |
Hallöle. Gut erholt? Zu dem Internet Problem: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) Sollte das keine Besserung bringen: 1.) Download WinsockFix.zip. 2.) UnZip WinsockFix.zip 3.) Run WinsockFix.exe 4.) Mache ein Backup der Registry 5.) Click the Fix button WinsockFix: http://www.winsockfix.nl/ Und führe Combofix aus... |
Hallo, leider krank zurückgekommen...;-( Also diese DNS-Einstellungen konnte ich nicht finden. Bin auf die Eigenschaften der genutzten Drahtlosnetzwerkverbindung gegangen und hab dort Doppelklick auf TCP/IP Protocol gemacht. Dort habe ich ja auch die IP Adressen eingegeben, die des PC und des Routers. Es stand zwar vieles zum Thema DNS, aber das richtige konnte ich nicht ausmachen. Übrigens zeigt dieser andere Rechner hier die gleichen Macken mit dem "hacked by...". ICh nehme an, nach erfolgreicher Beseitigung auf dem einen muss ich es hier nur analog durchführen?! Wenn ich nun das Programm rüberziehe über den Stick, sollte ich Autorun mit Shift unterbinden, oder? Versuche weiter mein Glück und melde mich wieder.... Webster |
So, ich geh langsam kaputt! :schmoll: Also Winsock hatte beim Backup ein Haufen Fehler gebracht und hatte nach der Ausführung auch keinen Erfolg. Internet geht nach wie vor nicht. Um Combofix auszuführen wollte ich Norton Security schließen. Jedoch bleibt immer etwas in der Taskleiste was ich nciht wegbekomme. Was mach ich nun??? |
Norton desintallieren, das removal Tool und cCleaner laufen lassen und diese Seuche nie wieder aufspilen.. ;) Da bist du mit jedem Anderen AV-Prog besser beraten. |
So, also was den zweiten Rechner angeht, den konnte ich mit Karl's Anleitung bereinigen. Ich hoffe, es ist damit wirklich erledigt. Hier hab ich die vbs.-Dateien mit dem PC-Namen auch überall finden können, von denen oben geredet wurde. Antivir hab ich hiern un installiert und lass ich gleich noch einmal durchlaufen. Nun mach ich am anderen Rechner weiter. Also Norton runterschmeißen und ccleaner und anschließend Combofix durchführen. Kann das meine Internetprobleme beheben? Hab noch kein Netz wieder! *Heul* Danke soweit!:dankeschoen: Webster |
Ansonsten melde dich mal im Netzwerk Forum... |
Hi, hier nun mein aktueller Hijachthis-Logfile. Kann man daran was erkennen??? :crazy: Wird der Combofix-Logfile auch benötigt? Soll ich ihn noch posten? Wie sollte es nun weitergehen? Gruß Webster Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:14:42, on 03.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\SMSC\SetIcon.exe C:\Programme\Home Cinema\TV Enhance\TVEService.exe C:\Programme\Nero\Nero 7\InCD\InCD.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\WINDOWS\wt\updater\wcmdmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe C:\Programme\Secunia\PSI (RC3)\psi.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\explorer.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Microsoft Outlook.lnk = ? O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - hxxp://webcam.varna.bg:8080/VatDec.cab O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - hxxp://www3.snapfish.de/SnapfishActivia.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxxp://static.pe.studivz.net/photouploader/ImageUploader4.cab?nocache=1203337233 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=20080125-1 O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 8942 bytes |
Poste bitte immer alle Logs! Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. |
So Datei 1: Datei PVRService.exe empfangen 2008.09.04 12:26:21 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.4.2 2008.09.04 - AntiVir 7.8.1.28 2008.09.04 - Authentium 5.1.0.4 2008.09.03 - Avast 4.8.1195.0 2008.09.03 - AVG 8.0.0.161 2008.09.04 - BitDefender 7.2 2008.09.04 - CAT-QuickHeal 9.50 2008.09.02 - ClamAV 0.93.1 2008.09.04 - DrWeb 4.44.0.09170 2008.09.04 - eSafe 7.0.17.0 2008.09.03 - eTrust-Vet 31.6.6069 2008.09.04 - Ewido 4.0 2008.09.03 - F-Prot 4.4.4.56 2008.09.03 - F-Secure 8.0.14332.0 2008.09.04 - Fortinet 3.14.0.0 2008.09.03 - GData 19 2008.09.04 - Ikarus T3.1.1.34.0 2008.09.04 - K7AntiVirus 7.10.439 2008.09.03 - Kaspersky 7.0.0.125 2008.09.04 - McAfee 5376 2008.09.03 - Microsoft 1.3903 2008.09.04 - NOD32v2 3414 2008.09.04 - Norman 5.80.02 2008.09.04 - Panda 9.0.0.4 2008.09.03 - PCTools 4.4.2.0 2008.09.03 - Prevx1 V2 2008.09.04 - Rising 20.60.31.00 2008.09.04 - Sophos 4.33.0 2008.09.04 - Sunbelt 3.1.1582.1 2008.09.02 - Symantec 10 2008.09.04 - TheHacker 6.3.0.8.072 2008.09.04 - TrendMicro 8.700.0.1004 2008.09.04 - VBA32 3.12.8.4 2008.09.03 - ViRobot 2008.9.4.1363 2008.09.04 - VirusBuster 4.5.11.0 2008.09.03 - Webwasher-Gateway 6.6.2 2008.09.04 - weitere Informationen File size: 1441280 bytes MD5...: ba8f3289344b8292ce6df3b1d563f5cc SHA1..: 6d5b402b0a118728e7b06b10583c6b1caeb90e7f SHA256: 3c166b9766f5a1001c3649a1528705c3eb65bd07fb60776cf459a3a82c9080e2 SHA512: c1c2133836f1dfadf447221c73910c05adbd3455b519f6701bea0922b22ae511 60da5fe6e16f205219aa8a8becf519fe78c5e8000cdb532edd4df184550cdee5 PEiD..: - TrID..: File type identification Win32 Executable Borland Delphi 7 (50.9%) Win32 Executable Borland Delphi 5 (34.3%) Windows OCX File (9.3%) Win32 EXE PECompact compressed (generic) (3.1%) Win32 Executable Delphi generic (1.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x533c98 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x132d10 0x132e00 6.57 a4cebad4af24561d2b94ed01246b195b DATA 0x134000 0x4144 0x4200 5.07 335aa0c482a263cb912bd7d883856ad1 BSS 0x139000 0x1365 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0x13b000 0x2f34 0x3000 5.03 d3b3e264378e66adfa4f229503c2104c .tls 0x13e000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0x13f000 0x18 0x200 0.20 21a4228d3f09a27c98cd058067a2c127 .reloc 0x140000 0x13318 0x13400 6.68 ad034d8cb00324155c0cfc8e6438466b .rsrc 0x154000 0x12400 0x12400 4.17 0c9b17f8a2d29bc5f1b1f91f3114ba39 ( 21 imports ) > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle > user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA > advapi32.dll: SetSecurityDescriptorDacl, ReportEventA, RegisterEventSourceA, RegSetValueExA, RegQueryValueExA, RegQueryValueA, RegOpenKeyExA, RegFlushKey, RegCreateKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA, LookupAccountNameW, InitializeSecurityDescriptor, DeregisterEventSource, AdjustTokenPrivileges > kernel32.dll: lstrcpyA, WritePrivateProfileStringA, WriteFile, WideCharToMultiByte, WaitForSingleObject, WaitForMultipleObjects, VirtualQuery, VirtualAlloc, SystemTimeToFileTime, SuspendThread, Sleep, SizeofResource, SetWaitableTimer, SetThreadPriority, SetThreadLocale, SetPriorityClass, SetNamedPipeHandleState, SetLocalTime, SetLastError, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResumeThread, ResetEvent, RemoveDirectoryA, ReadFile, PeekNamedPipe, OutputDebugStringA, MultiByteToWideChar, MulDiv, MoveFileA, LockResource, LocalFree, LocalFileTimeToFileTime, LoadResource, LoadLibraryA, LeaveCriticalSection, IsValidLocale, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVolumeInformationA, GetVersionExA, GetVersion, GetTimeZoneInformation, GetTickCount, GetThreadLocale, GetTempPathA, GetTempFileNameA, GetSystemInfo, GetSystemDefaultLangID, GetStringTypeExA, GetStdHandle, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameA, GetLogicalDrives, GetLocaleInfoW, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesExA, GetFileAttributesA, GetExitCodeThread, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCurrentProcess, GetComputerNameA, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FlushFileBuffers, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumSystemLocalesA, EnumResourceNamesA, EnumCalendarInfoA, EnterCriticalSection, DisconnectNamedPipe, DeleteFileA, DeleteCriticalSection, CreateWaitableTimerA, CreateThread, CreateNamedPipeA, CreateFileA, CreateEventA, CreateDirectoryA, CopyFileA, ConnectNamedPipe, CompareStringW, CompareStringA, CloseHandle, CancelWaitableTimer > version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA > gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, Rectangle, RectVisible, RealizePalette, PlayEnhMetaFile, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, BitBlt > user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostThreadMessageA, PostQuitMessage, PostMessageA, PeekMessageA, OpenClipboard, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessageA, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, CloseClipboard, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout > ole32.dll: CLSIDFromString, CoTaskMemFree, StringFromCLSID > kernel32.dll: Sleep > oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayPutElement, SafeArrayGetElement, SafeArrayUnaccessData, SafeArrayAccessData, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayRedim, SafeArrayCreate, VariantChangeType, VariantCopyInd, VariantCopy, VariantClear, VariantInit > ole32.dll: CoTaskMemFree, CLSIDFromProgID, ProgIDFromCLSID, StringFromCLSID, CoCreateInstance, CoRegisterClassObject, CoGetMalloc, CoUninitialize, CoInitialize, IsEqualGUID > oleaut32.dll: CreateErrorInfo, GetErrorInfo, SetErrorInfo, GetActiveObject, RegisterTypeLib, LoadTypeLib, SafeArrayCopy, SafeArrayUnaccessData, SafeArrayAccessData, SafeArrayGetUBound, SafeArrayDestroy, SafeArrayCreate, SysStringLen, SysFreeString > advapi32.dll: StartServiceA, StartServiceCtrlDispatcherA, SetServiceStatus, RegisterServiceCtrlHandlerA, QueryServiceStatus, OpenServiceA, OpenSCManagerA, DeleteService, CreateServiceA, CloseServiceHandle > comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create > wininet.dll: InternetReadFile, InternetOpenA, InternetConnectA, InternetCloseHandle, HttpSendRequestA, HttpQueryInfoA, HttpOpenRequestA > advapi32.dll: ConvertSidToStringSidW > LZ32.DLL: LZOpenFileA, LZCopy, LZClose > tvtvRemote.dll: tvtvClearLastError, tvtvGetLastError, tvtvGetJobs, tvtvSetCountry, tvtvSetUser, tvtvSetProxy, tvtvClose, tvtvOpen ( 0 exports ) |
Datei 2: Datei ULCDRSvr.exe empfangen 2008.09.04 12:29:05 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.4.2 2008.09.04 - AntiVir 7.8.1.28 2008.09.04 - Authentium 5.1.0.4 2008.09.03 - Avast 4.8.1195.0 2008.09.03 - AVG 8.0.0.161 2008.09.04 - BitDefender 7.2 2008.09.04 - CAT-QuickHeal 9.50 2008.09.02 - ClamAV 0.93.1 2008.09.04 - DrWeb 4.44.0.09170 2008.09.04 - eSafe 7.0.17.0 2008.09.03 - eTrust-Vet 31.6.6069 2008.09.04 - Ewido 4.0 2008.09.03 - F-Prot 4.4.4.56 2008.09.03 - F-Secure 8.0.14332.0 2008.09.04 - Fortinet 3.14.0.0 2008.09.03 - GData 19 2008.09.04 - Ikarus T3.1.1.34.0 2008.09.04 - K7AntiVirus 7.10.439 2008.09.03 - Kaspersky 7.0.0.125 2008.09.04 - McAfee 5376 2008.09.03 - Microsoft 1.3903 2008.09.04 - NOD32v2 3414 2008.09.04 - Norman 5.80.02 2008.09.04 - Panda 9.0.0.4 2008.09.03 - PCTools 4.4.2.0 2008.09.03 - Prevx1 V2 2008.09.04 - Rising 20.60.31.00 2008.09.04 - Sophos 4.33.0 2008.09.04 - Sunbelt 3.1.1582.1 2008.09.02 - Symantec 10 2008.09.04 - TheHacker 6.3.0.8.072 2008.09.04 - TrendMicro 8.700.0.1004 2008.09.04 - VBA32 3.12.8.4 2008.09.03 - ViRobot 2008.9.4.1363 2008.09.04 - VirusBuster 4.5.11.0 2008.09.03 - Webwasher-Gateway 6.6.2 2008.09.04 - weitere Informationen File size: 49152 bytes MD5...: 332d341d92b933600d41953b08360dfb SHA1..: 7c4cfd59769ebbd34fab1e8a155020ef08d4faa0 SHA256: 213a5c84abb0d627c05b355084a26a5081645d4ec398ff19ef6bbcb690b10055 SHA512: 50c8db9ed3ffbbb1e9c448c85efcd8372aff621c0c02ff9cc309e97e07bb5a5e 2e5fd0447635e105dfb271be44e4af34b645383a8ddaa85cb9b30df9010895bd PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401bc6 timedatestamp.....: 0x405217bf (Fri Mar 12 20:04:15 2004) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5d3a 0x6000 6.54 c0728f82239d2583e0b9d66b4afd94f8 .rdata 0x7000 0xee8 0x1000 5.15 a36d54704ddeb918d2b62b025f9c3e0e .data 0x8000 0x460c 0x3000 0.93 7bd9d86357698a646879e7ad849cbedd .rsrc 0xd000 0x3f0 0x1000 1.03 f11036507eb55563ea24c8d60ea47c59 ( 2 imports ) > KERNEL32.dll: Sleep, LocalFree, GetModuleFileNameA, FormatMessageA, GetVersion, SetEvent, CreateEventA, CreateNamedPipeA, ResetEvent, ConnectNamedPipe, GetLastError, WaitForMultipleObjects, ReadFile, OpenProcess, CreateFileA, GetCurrentProcess, DuplicateHandle, CloseHandle, WriteFile, lstrlenA, DisconnectNamedPipe, HeapFree, HeapAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, ExitProcess, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, RtlUnwind, TerminateProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetCurrentThreadId, TlsSetValue, TlsAlloc, SetLastError, TlsGetValue, SetFilePointer, InterlockedDecrement, InterlockedIncrement, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetStdHandle, FlushFileBuffers, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW > ADVAPI32.dll: ControlService, QueryServiceStatus, DeleteService, OpenSCManagerA, CreateServiceA, CloseServiceHandle, StartServiceA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, SetServiceStatus, RegisterServiceCtrlHandlerA, StartServiceCtrlDispatcherA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, OpenServiceA ( 0 exports ) |
Und die 3: Datei wcmdmgr.exe empfangen 2008.09.04 12:31:29 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 8/36 (22.23%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.4.2 2008.09.04 - AntiVir 7.8.1.28 2008.09.04 ADSPY/WildTangent.B Authentium 5.1.0.4 2008.09.03 - Avast 4.8.1195.0 2008.09.03 - AVG 8.0.0.161 2008.09.04 Generic3.FHN BitDefender 7.2 2008.09.04 - CAT-QuickHeal 9.50 2008.09.02 - ClamAV 0.93.1 2008.09.04 - DrWeb 4.44.0.09170 2008.09.04 - eSafe 7.0.17.0 2008.09.03 - eTrust-Vet 31.6.6069 2008.09.04 - Ewido 4.0 2008.09.03 - F-Prot 4.4.4.56 2008.09.03 - F-Secure 8.0.14332.0 2008.09.04 - Fortinet 3.14.0.0 2008.09.03 - GData 19 2008.09.04 - Ikarus T3.1.1.34.0 2008.09.04 AdWare.WildTangent K7AntiVirus 7.10.439 2008.09.03 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2008.09.04 - McAfee 5376 2008.09.03 - Microsoft 1.3903 2008.09.04 - NOD32v2 3414 2008.09.04 Win32/Adware.WildTangent Norman 5.80.02 2008.09.04 - Panda 9.0.0.4 2008.09.03 - PCTools 4.4.2.0 2008.09.03 - Prevx1 V2 2008.09.04 Malicious Software Rising 20.60.31.00 2008.09.04 - Sophos 4.33.0 2008.09.04 - Sunbelt 3.1.1582.1 2008.09.02 - Symantec 10 2008.09.04 - TheHacker 6.3.0.8.072 2008.09.04 - TrendMicro 8.700.0.1004 2008.09.04 - VBA32 3.12.8.4 2008.09.03 Win32.Adware.WildTangent ViRobot 2008.9.4.1363 2008.09.04 - VirusBuster 4.5.11.0 2008.09.03 - Webwasher-Gateway 6.6.2 2008.09.04 Ad-Spyware.WildTangent.B weitere Informationen File size: 131072 bytes MD5...: 3719cadaf5aa336aa86aae3e1b4ed003 SHA1..: 062520d6af28e9e1b5a9a2be5ae67da5d9383bc0 SHA256: 387a060955647238a7ecf1f17e67e6ce841ca2a42578c70f869cd3fec38b7732 SHA512: 09d52f095f8e85e5c2168611530109d1eb059544a68d8409159ae2ccb06076f7 0e57b9e25748bb4090cfd55e08a33e56845a94bd60a21b8cbef7995c9a9e9e4e PEiD..: Armadillo v1.71 TrID..: File type identification Win64 Executable Generic (54.6%) Win32 Executable MS Visual C++ (generic) (24.0%) Windows Screen Saver (8.3%) Win32 Executable Generic (5.4%) Win32 Dynamic Link Library (generic) (4.8%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4109da timedatestamp.....: 0x3a70dad0 (Fri Jan 26 02:02:56 2001) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x161d2 0x17000 6.30 9167e4d89cab734bba4b02f0cdd0ccca .rdata 0x18000 0x13e6 0x2000 4.06 7cc9cfb2934667853ecd9331d583c83a .data 0x1a000 0x5b84 0x4000 4.58 d81f3ec09f80b93771372e21d55377cf .rsrc 0x20000 0x1300 0x2000 3.03 544a29190d194c5abe0ba85925f62f80 ( 10 imports ) > WININET.dll: InternetCloseHandle, HttpOpenRequestA, HttpQueryInfoA, HttpSendRequestA, InternetOpenA, InternetConnectA, InternetReadFile > VERSION.dll: GetFileVersionInfoSizeA, VerQueryValueA, GetFileVersionInfoA > KERNEL32.dll: lstrcmpiA, GetTickCount, lstrcatA, GetPrivateProfileSectionNamesA, OutputDebugStringA, lstrcmpA, DeleteFileA, CreateEventA, InitializeCriticalSection, LeaveCriticalSection, SetEvent, EnterCriticalSection, WaitForSingleObject, GetLastError, Sleep, CloseHandle, FreeLibrary, GetProcAddress, LoadLibraryA, DeleteCriticalSection, GetLocalTime, WriteFile, SetFilePointer, CreateFileA, SetFileAttributesA, ReadFile, GetFileSize, CreateDirectoryA, CopyFileA, RemoveDirectoryA, FindClose, FindNextFileA, FindFirstFileA, GetModuleHandleA, lstrcpynA, GetPrivateProfileStringA, GetWindowsDirectoryA, UnmapViewOfFile, MapViewOfFile, OpenFileMappingA, MoveFileA, GetCurrentProcessId, SetPriorityClass, SetThreadPriority, DuplicateHandle, GetCurrentThread, GetCurrentProcess, GetCommandLineA, GetSystemTimeAsFileTime, CompareStringA, GetPrivateProfileIntA, WritePrivateProfileStringA, GetStdHandle, OpenProcess, SystemTimeToFileTime, FileTimeToSystemTime, WritePrivateProfileSectionA, GetSystemDirectoryA, GetExitCodeProcess, CreateProcessA, SetCurrentDirectoryA, GetCurrentDirectoryA, GetACP, GetOEMCP, GetUserDefaultLangID, GetShortPathNameA, MoveFileExA, GetFullPathNameA, CreateMutexA, ReleaseMutex, GetVersionExA, SetFileTime, LocalFileTimeToFileTime, GetFileAttributesA, CreateFileMappingA, GetSystemInfo, GlobalMemoryStatus, lstrcpyA, lstrlenA, GetFileTime, DosDateTimeToFileTime, GetStartupInfoA > USER32.dll: GetDC, CreateWindowExA, TranslateMessage, wsprintfA, MessageBoxA, PostMessageA, IsWindow, DispatchMessageA, ReleaseDC, GetSystemMetrics, ExitWindowsEx, CharLowerA, SendMessageA, DefWindowProcA, PostQuitMessage, RegisterClassA, GetMessageA > GDI32.dll: GetDeviceCaps > ADVAPI32.dll: RegQueryValueExA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, RegDeleteValueA, RegOpenKeyExA, RegSetValueExA, RegOpenKeyA, RegEnumKeyA, RegDeleteKeyA, RegCreateKeyExA, GetUserNameA, RegCloseKey > SHELL32.dll: FindExecutableA, ShellExecuteExA > ole32.dll: CoCreateGuid, CoInitialize, CoUninitialize > WSOCK32.dll: -, -, -, -, - > MSVCRT.dll: __set_app_type, __p__fmode, __getmainargs, __p___argc, __p___argv, _beginthreadex, _except_handler3, strrchr, sscanf, strtok, memcpy, strstr, memset, __2@YAPAXI@Z, __3@YAXPAX@Z, strcmp, atoi, _adjust_fdiv, __setusermatherr, _initterm, malloc, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, strncmp, free, sprintf, __p__commode, strchr, _controlfp ( 0 exports ) |
Hier noch der Combofix-Log: Nebenbei...im Netzwerk-Forum schlug jemand vor, SP3 wieder zu deinstallieren. Gesagt, getan,...Internet läuft wieder. Komme ich ohne SP3 aus? ComboFix 08-09-01.05 - _XXX_ 2008-09-03 19:05:51.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.582 [GMT 2:00] ausgeführt von:: D:\Tools Treiber etc Archiv\Tools\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-08-03 bis 2008-09-03 )))))))))))))))))))))))))))))) . 2008-09-03 13:01 . 2008-09-03 13:02 <DIR> d-------- C:\ERDNT 2008-08-25 20:22 . 2008-04-14 07:52 1,306,624 --------- C:\WINDOWS\system32\msxml6.dll 2008-08-25 20:22 . 2008-04-14 07:52 1,306,624 -----c--- C:\WINDOWS\system32\dllcache\msxml6.dll 2008-08-25 20:22 . 2008-04-14 07:27 93,184 --------- C:\WINDOWS\system32\msxml6r.dll 2008-08-25 20:22 . 2008-04-14 07:27 93,184 -----c--- C:\WINDOWS\system32\dllcache\msxml6r.dll 2008-08-25 20:22 . 2008-04-14 07:52 10,752 --------- C:\WINDOWS\system32\smtpapi.dll 2008-08-25 20:22 . 2008-04-14 07:52 9,728 --------- C:\WINDOWS\system32\rwnh.dll 2008-08-25 20:22 . 2008-04-14 00:13 9,728 --------- C:\WINDOWS\system32\comsdupd.exe 2008-08-25 20:18 . 2008-08-25 20:22 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-08-25 20:15 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\003048_.tmp 2008-08-23 13:44 . 2008-08-23 13:44 <DIR> d-------- C:\Programme\CCleaner 2008-08-23 12:53 . 2008-08-23 12:54 <DIR> d-------- C:\Programme\QuickTime 2008-08-23 12:53 . 2008-08-23 12:53 <DIR> d-------- C:\Programme\Apple Software Update 2008-08-23 11:48 . 2008-08-23 11:48 <DIR> d-------- C:\Programme\Secunia 2008-08-22 15:43 . 2008-08-22 15:43 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-22 15:43 . 2008-08-22 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\Malwarebytes 2008-08-22 15:43 . 2008-08-22 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-22 15:43 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-22 15:43 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-22 00:17 . 2008-08-22 00:17 <DIR> d-------- C:\Programme\Trend Micro 2008-08-17 18:37 . 2008-08-17 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\TuneUp Software 2008-08-17 18:37 . 2008-08-17 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-08-17 18:37 . 2008-08-17 18:37 361,216 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-08-17 18:37 . 2008-07-18 15:05 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-08-17 18:36 . 2008-08-17 18:38 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-08-17 18:35 . 2008-08-17 18:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-08-17 14:06 . 2008-09-03 18:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-08-14 19:28 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll 2008-08-12 09:45 . 2008-08-12 09:45 <DIR> d-------- C:\WINDOWS\system32\LogFiles 2008-08-12 09:45 . 2008-08-12 09:45 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF 2008-08-12 09:45 . 2008-08-12 09:45 <DIR> d-------- C:\Programme\Windows Media Connect 2 2008-08-12 09:40 . 2008-08-12 12:23 <DIR> d-------- C:\Programme\Wondershare 2008-08-11 21:42 . 2008-08-12 09:35 <DIR> d-------- C:\Programme\Presentersoft PowerVideoMaker 2008-08-11 21:42 . 2000-08-23 17:00 33,280 --a------ C:\WINDOWS\system32\huffyuv.dll 2008-08-11 21:42 . 2006-10-29 14:30 77 --a------ C:\WINDOWS\huffyuv.ini . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-03 16:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2008-09-03 11:22 --------- d-----w C:\Programme\SMSC 2008-08-23 11:02 --------- d-----w C:\Programme\Java 2008-08-20 07:11 --------- d-----w C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\CyberLink 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-04 17:59 --------- d-----w C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\MAGIX 2008-07-04 17:56 --------- d-----w C:\Programme\MEDION 2008-07-04 17:40 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared 2008-07-03 16:52 --------- d-----w C:\Programme\MGI 2008-07-03 16:52 --------- d-----w C:\Programme\Gemeinsame Dateien\MGI Shared 2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-05-09 06:38 48,776 ----a-w C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-12-12 20:02 0 ----a-w C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\wklnhst.dat 2007-12-12 10:34 5,224 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-06 68856] "TVBroadcast"="C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe" [2006-10-20 814080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-06 7700480] "SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792] "LanguageShortcut"="C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" [2006-05-18 49152] "TVEService"="C:\Programme\Home Cinema\TV Enhance\TVEService.exe" [2006-10-19 151552] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2006-04-25 535040] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "EEventManager"="C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2006-03-17 102400] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-18 185896] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-01-15 267048] "wcmdmgr"="C:\WINDOWS\wt\updater\wcmdmgrl.exe" [2001-01-25 20480] "Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696] "nwiz"="nwiz.exe" [2006-10-06 C:\WINDOWS\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-10-09 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-10-09 C:\WINDOWS\SkyTel.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] C:\Dokumente und Einstellungen\_XXX_\Startmen\Programme\Autostart\ Secunia PSI (RC3).lnk - C:\Programme\Secunia\PSI (RC3)\psi.exe [2008-06-16 663552] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM "msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm "msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm "msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm "VIDC.LAGS"= lagarith.dll "VIDC.HFYU"= huffyuv.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\Infogrames\\Grand Prix 4\\GP4.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2006-06-28 16896] R0 ViPrt;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2006-06-28 58368] R2 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664] S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 7808] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-17 361216] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4064ee46-bcfe-11dc-904d-0012bfc4bd71}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MEDION3GHZ.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{94a6965a-4ded-11dd-918b-0012bfc4bd71}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe BQI-KIRCHBERG.vbs *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.t-online.de/ R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 -: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} - hxxp://webcam.varna.bg:8080/VatDec.cab C:\WINDOWS\Downloaded Program Files\VATDecoder.dll O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=20080125-1 C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf C:\WINDOWS\system32\unicows.dll C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2008-09-03 19:07:17 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-09-03 19:07:51 ComboFix-quarantined-files.txt 2008-09-03 17:07:49 Pre-Run: 8 Verzeichnis(se), 36,449,796,096 Bytes frei Post-Run: 11 Verzeichnis(se), 36,444,033,024 Bytes frei 174 --- E O F --- 2008-08-16 22:31:23 |
Fixe mit HJT folgenden Eintrag: Zitat:
Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: Folders to delete:
Ohne SP3? Nicht somderlich empfehlenswert. Vorallem muss es ja auch mit gehen.. |
Also mein Rechner startete nun mit der Fehlermeldung: "Windows - Kein Datenträger" Exception Processing Message c0000013 Parameters 75b0bf9c 4 75b0bf9c 75b0bf9c Der Avenger-Log: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Folder "C:\WINDOWS\wt" deleted successfully. Completed script processing. ******************* Finished! Terminate. Achso, warum komm ich in den Ordner "System Volume Information" auf keiner Platte ran? Da scheinen noch .vbs-Dateien zu liegen. Kann aber nicht öffnen. |
Zitat:
Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Starte den Rechner neu und aktiviere sie wieder. Zur Fehlermeldung kannst du mal google befragen. Da kommt jede Menge bei raus. Das brauche ich nicht für dich zu machen.. |
So, alles erledigt. Gibt es wegen der Trojaner noch etwas zu tun, oder kann ich jetzt ruhigen Gewissens davon ausgehen, dass alles wieder passt? Dann an der Stelle nochmal ein herzliches :dankeschoen: für die Geduld und Mühe! Webster |
Sollte alles sauber sein. |
Super! Dann möchte ich mich hiermit natürlich nochmal ganz herzlich für die Unterstützung bedanken!! Wirklich ganz klasse!!! Gruß Webster |
Danke für's Feetback! :party: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board