Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   2 verschiedene versionen von IEXPLORE.EXE virusen (https://www.trojaner-board.de/81556-2-verschiedene-versionen-iexplore-exe-virusen.html)

AnalAcrobats 11.01.2010 05:59
2 verschiedene versionen von IEXPLORE.EXE virusen
 
bei ersten hat sich bei mir sich immer mehr iexplore geöffnet(je länger notebook an war desto mehr) bis es pc lahm legte(hälfte von allen prozessen), ich musste es dan neustarten, dann hab ich auf mmba auf iminfected gefunden wegen anderem virus(der sich als windows alarm benachrichtigungen verkleidet) und es gelöscht bei anderem pc is es aber anders, es ist da so wie meistens beschrieben das nur 3-2 iexplore autauchen und eben pc lahmlegen, nicht wie aufm notebook die taskmanager füllten. ich willes weghaben, sofware von iminfected kann es nicht entfernen, es is eine andere version von ieexplore

ich hab lösungsweg gelesen aber man braucht für jeden user einen individuellen(sonst würde ich etwas löschen und dann .....der lösungsweg galt nur für den user)


Zitat:
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:47:39, on 07.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
e:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
e:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RunDll32.exe
E:\Programme\Logitech\G-series Software\LGDCore.exe
E:\Programme\Logitech\G-series Software\LCDMon.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
E:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
E:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
E:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
E:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINDOWS\system32\RUNDLL32.EXE
H:\PROGRA~1\MICROS~3\GAMECO~1\common\swtrayv4.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\1.2.183.13\GoogleCrashHandler.exe
h:\Programme\Acunetix\Web Vulnerability Scanner 5\WVSScheduler.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
e:\Programme\Alwil Software\Avast4\ashMaiSv.exe
e:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Program Files\PhotoFiltre\PhotoFiltre.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 218.182.134.23:8080
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~2\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~2\toolbaru.dll (file missing)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Launch LGDCore] "E:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "E:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [avast!] e:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_SE2.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SideWinderTrayV4] h:\PROGRA~1\MICROS~3\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Rainlendar2] D:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - h:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - i:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - i:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - i:\Programme\ICQ6.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - i:\Programme\ICQ6.5\ICQ.exe (file missing)
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Acunetix WVS Scheduler v5 (AcuWVSSchedulerv5) - Acunetix Ltd. - h:\Programme\Acunetix\Web Vulnerability Scanner 5\WVSScheduler.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - e:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - e:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - e:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - e:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - H:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c9ae4f972fb88a) (gupdate1c9ae4f972fb88a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 8947 bytes

cosinus 11.01.2010 10:32
Hallo und :hallo:

Was meinst Du mit veschiedenen IE-Viren? :dummguck:
Bitte drück Dich mal so aus, dass man nicht herumraten muss was Du meinst :balla:

AnalAcrobats 12.01.2010 03:17
ieexplore.exe virus nicht explorer

bei einem mal tauchten bei mir so viele ieexplore prozesse auf dass sie pc lahm legten

beim anderem pc sind es 2 prozesse aber sie sind trotzdem da, und ich will nicht dass sie da sind

2 verschiedene virus editionen(ieexplore.exe)

wie soll ich diese entfernen?(2e edition, 1e hab ich durch iminfected.com entfernt, 2e edition is auf dem anderem pc, weiß nicht wie sie auf ihn gelangt ist, notebook ist kuriert)

cosinus 12.01.2010 08:13
Um das von Anfang an klarzustellen: Mach bitte pro Rechner einen Strang auf, sonst verlier ich hier die Übersicht! Mach am besten mit dem Rechner weiter, von dem auch das o.g. Hijackthis Logfile stammt.

Bitte nun diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

AnalAcrobats 13.01.2010 04:54
der erste ieexplore virus hab ich durch Malwarebytes-Anti-Malware entfernt, ich wollte nur sagen dass ich 2 viruse hatte die was mit ieexplore.exe zu tun haben, erster is entfernt, ich will den entfernen der auf dem anderem pc ist(es is ja deshalb so merkwürdig da auf dem anderem pc dieser virus auch ist, und noch merkwürdiger is dass es sich um ieexplore.exe handelt aber nur dass da dieser virus anders arbeitet als im vorherigen fall, es sind nur 3-2 prozesse die ieexplore.exe heißen)

deshalb "2 verschiedene virus editionen", es geht jetzt um den pc wo 3-2 von diesen prozessen auftauchen

was soll ich als erstes machen


(Malwarebytes-Anti-Malware hat was gefunden aber es hat es nicht entfernt, bzw es is immer noch da, darum frage ich hier da ich gelesen hab dass solche viruse(3-2 ieexplore.exe) man manuell entfernen muss)

cosinus 13.01.2010 08:21
Ohne Logs sag ich nichts! :pfui:

AnalAcrobats 18.01.2010 04:00
es steht nix ausergewöhnliches drin, habe noch nicht zu ende gescannt, musste abbrechen, hab aber bei mir keyloggers gefunden, und zwar viele von denen, freeware zeug und gleich 50 von ihnen vielleicht sollte ich einige von ihnen benutzen....weiß nicht ob das spam ist oder ob die eine "verlockende falle" sind


Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3450
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

18.01.2010 01:54:42
mbam-log-2010-01-18 (01-54-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 303459
Laufzeit: 6 hour(s), 38 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Dokumente\SmileyCentralPFSetup2.2.60.9.ZNfox000.exe (Adware.MyWebSearch) -> No action taken.
C:\Programme\ITSRS\MySecureFile\msf.dll (Trojan.FakeAlert) -> No action taken.
C:\Programme\ITSRS\MySecureFile\MySecureFile.exe (Trojan.FakeAlert) -> No action taken.
D:\PopularScreensaversSetup2.2.60.11-2.ZRfox000.exe (Adware.MyWebSearch) -> No action taken.
E:\Programme\Mozilla Firefox\components\MyComponent.dll (Spyware.Passwords) -> No action taken.
F:\Mozilla Firefox\plugins\npclntax.dll (Adware.Seekmo) -> No action taken.
F:\Mozilla Firefox\plugins\NPMyWebS.dll (Adware.MyWebSearch) -> No action taken.

cosinus 18.01.2010 08:20
Fund entfernt?
Was ist mit den RSIT-Logfiles?

AnalAcrobats 19.01.2010 07:00
es ist so dass es mit dem großen pc keine probleme gab, ich wollte da nur etwas entfernen, hab ich auch gemacht bzw werde machen bzw weiß nicht ob es weg is da ich mich daran nicht erinnere was ich heute gemacht hab aber es gibt keine probleme mit dem großen pc (nur dass er langsam ist, ich hab gehört dass es wegen festplatte ist, es hat den modus gewechselt, habe im internet magazin gelesen kenne aber keine lösung da ich kein premium leser war), da ich avast habe hat er gestern gemeldet dass da ein trojaner in user32.dll ist und ich hab es gelöscht bzw irgendwas mit ihr gemacht(ich hab versucht zu löschen/in container zu verschieben aber avast sagte dass es sich nicht löschen lässt...), ich konnte deshalb notebook nicht mehr starten, habe ganzen tag nach lösung gesucht und am abend nach user32.dll gesehen,(sie war aber dann user32.DLL, nicht .dll), habe sie durch eine illegale user32.dll ersetzt und pc meldete dass es verschoeben ist deshalb nahm ich vom großen pc diese user32.dll, geht jetzt wieder, aber bevor ich das gemacht habe hab ich 5h langen scannen gemacht und es kam immer wieder meldung 722 0,7(musste etwa 50k mal das OK klicken,4 h lang) (mbab software) da ich sie im abgesichertem modus scannte,am ende hatte ich etwa 30 infizierte objekte und als ich auf ergebnisse anzeigen klickte da musste mbab beendet werden und es war alles umsonst..... nun später hab ich das mit user32.dll rausgefunden.....(normaler modus) danach hab ich wieder scannen gemacht und erste 2(1 von 2) gelöscht das nmklo.dll war, die tauchte nach weniger als 1min beim scannen auf, als ich es weiter scannen lies da is nach 1h ein anderer fehler gekommen 721 0,14.........mbab hilft da nicht viel da es immer wieder diese fehler kommen und manchmal hängt mbab auf wenn ich infizierte dateien löschen will......jetzt geht es nicht mehr um großen pc aber um den notebook....ich werde rsit hijack logfiles posten

cosinus 19.01.2010 10:23
Zitat:
habe sie durch eine illegale user32.dll ersetzt
Hö? Was meinst Du damit? Von woher hast Du die "illegale" user32.dll?

AnalAcrobats 20.01.2010 04:26
von irgendwo runtergeladen, dei war aber auch nur 40kb groß


alles was ich erfolgreich scannen konnte:

Code:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20:43:37, on 19.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\PROGRA~1\MI948F~1\GAMECO~1\common\swtrayv4.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
C:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 78.52.78.54:80
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_15_Download-Version\TrayServer.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Natkbd] C:\Dokumente und Einstellungen\WINDOWS XP\Anwendungsdaten\Adobe\Update\befla.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c96bc7339ea54e) (gupdate1c96bc7339ea54e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: SecureSrv - Unknown owner - C:\Programme\Hide My IP 2007\SecureSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 11578 bytes

habe versucht mit gmer es zu scannen aber am ende wollte es sich nciht kopieren lassen und ist aufgehängt,er konnte da war nicht speichern. beim anderem pc sind ieexplore.exe viren noch nciht verschwunden aber um den kümmere ich mich später bzw ich werde hier mal darüber lesen denn die problembeschreibung passt(da nur 3 prozessen sind da statt 50), bei der anderer version die pc mit ieexplore.exe vollgespammt hat war eine andere problembeschreibung aber diese version is gelöscht. (ich schreibe von versionen weil es ein sodnerfall ist dass 1 malware 2 editionen hat,(aggresiv und nicht so aggresiv und dazu noch verteilt auf 2 pcs),kommt mir immer merkwürdig vor denn ich kenne niemanden der sowas hat)

cosinus 20.01.2010 09:11
Code:
C:\Dokumente und Einstellungen\WINDOWS XP\Anwendungsdaten\Adobe\Update\befla.exe
Bitte bei Virustotal auswerten lassen und Ergebnislink posten!

Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

AnalAcrobats 22.01.2010 03:29
es ist so dass seit dem diese user32.dll gelöscht wurde,(obwohl ich sie wieder reingemacht hab) pc langsam ist(obwohl davor er auch langsam

war bzw einige zeit brauchte bis icons "sich selbst gefunden haben"), obwohl man schon symbole sieht kann man sie nicht anklicken, es hängt(in

perioden),wenn es aber vorbei gegangen ist und es anklickbar ist dann klick ich darauf und es lädt sich dann und während es sich lädt kommt

noch so eine klicklose periode, es lagt(eng. lag),wenn ich auf das gehe was noch nicht geladen ist dann dauert es einige zeit bis es geladen

wird,am abend konnte ich notebook nicht mehr richtig bearbeiten,jetzt geht sie aber wieder wie früher.

damals hatte ich noch 30 infizierte objekte,jetzt nur 1, ic hweiß nicht was geschehen ist aber es kommt nur 1 raus


Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

21.01.2010 21:09:56
jjjjjjjjjjjjjjjjjjjjjjjjjjjjj

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 399252
Laufzeit: 2 hour(s), 9 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cooper.mine (Trojan.FakeAlert) -> No action taken.



http://www.virustotal.com/de/analisi...edc-1264037025

cosinus 22.01.2010 08:20
Bitte CF anwenden:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

AnalAcrobats 23.01.2010 22:17
Code:
ComboFix 10-01-21.08 - WINDOWS XP 23.01.2010  21:56:46.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1014.566 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\WINDOWS XP\Desktop\CoFi.exe
AV: avast! antivirus 4.8.1368 [VPS 100123-2] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe
c:\programme\AntiMalware
c:\windows\EventSystem.log
c:\windows\msacm32.drv
c:\windows\sdfixwcs.dll
c:\windows\system32\winio.vxd
c:\windows\wuasirvy.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2009-12-23 bis 2010-01-23  ))))))))))))))))))))))))))))))
.

2010-01-23 20:20 . 2010-01-23 20:20        --------        d-----w-        c:\programme\CCleaner
2010-01-19 19:43 . 2010-01-19 19:43        388096        ----a-r-        c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-19 19:43 . 2010-01-19 19:43        --------        d-----w-        c:\programme\TrendMicro
2010-01-19 15:34 . 2010-01-19 15:34        --------        d-----w-        c:\programme\trend micro
2010-01-19 15:34 . 2010-01-19 15:34        --------        d-----w-        C:\rsit
2010-01-18 22:39 . 2004-08-03 23:57        578560        ------w-        c:\windows\system32\user32.dll
2010-01-18 14:14 . 2010-01-18 14:14        --------        d-sh--w-        c:\windows\system32\config\systemprofile\IETldCache
2010-01-18 06:14 . 2010-01-18 06:14        198656        -c--a-w-        c:\windows\system32\dllcache\termsrv.dll
2010-01-18 01:24 . 2010-01-23 21:07        25600        ----a-w-        c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\Adobe\Update\befla.exe
2010-01-14 18:28 . 2008-05-29 06:03        37176        ----a-w-        c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-01-13 01:55 . 2010-01-13 01:55        --------        d-----w-        c:\programme\TGTSoft
2010-01-13 01:19 . 2009-11-21 16:37        470528        -c----w-        c:\windows\system32\dllcache\aclayers.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-23 21:04 . 2009-05-20 21:35        --------        d-----w-        c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\DNA
2010-01-23 20:03 . 2009-05-20 21:35        --------        d-----w-        c:\programme\DNA
2010-01-21 01:33 . 2009-12-12 02:28        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-01-20 16:42 . 2008-03-21 23:37        191536        ----a-w-        c:\dokumente und einstellungen\WINDOWS XP\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-18 06:14 . 2005-09-12 11:04        198656        ----a-w-        c:\windows\system32\termsrv.dll
2010-01-13 01:24 . 2008-12-30 18:09        --------        d-----w-        c:\programme\PKR
2010-01-07 22:30 . 2008-11-22 21:29        358        ----a-w-        c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\wklnhst.dat
2010-01-07 15:07 . 2009-12-12 02:28        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-12-12 02:28        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-01-07 06:32 . 2008-12-04 18:01        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-01-07 06:31 . 2008-12-04 18:01        --------        d-----w-        c:\programme\DVDVideoSoft
2010-01-03 01:50 . 2008-10-18 19:35        16        ----a-w-        C:\prefs.dat
2009-12-27 06:06 . 2009-03-03 04:27        --------        d-----w-        c:\programme\PokerStars
2009-12-22 03:48 . 2008-03-28 04:13        --------        d-----w-        c:\programme\Google
2009-12-21 19:05 . 2005-09-12 09:36        916480        ----a-w-        c:\windows\system32\wininet.dll
2009-12-20 03:50 . 2009-12-20 03:50        442        ----a-w-        C:\highs.dat
2009-12-12 03:02 . 2008-03-30 18:10        --------        d-----w-        c:\programme\ICQToolbar
2009-12-12 02:28 . 2009-12-12 02:28        --------        d-----w-        c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\Malwarebytes
2009-12-12 02:28 . 2009-12-12 02:28        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-10 01:31 . 2005-09-12 09:36        84722        ----a-w-        c:\windows\system32\perfc007.dat
2009-12-10 01:31 . 2005-09-12 09:36        459396        ----a-w-        c:\windows\system32\perfh007.dat
2009-11-24 23:54 . 2009-12-11 05:01        1280480        ----a-w-        c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2009-12-11 05:02        93424        ----a-w-        c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2009-12-11 05:02        94160        ----a-w-        c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2009-12-11 05:02        114768        ----a-w-        c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2009-12-11 05:02        20560        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2009-12-11 05:02        48560        ----a-w-        c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-12-11 05:02        23120        ----a-w-        c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-12-11 05:02        27408        ----a-w-        c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-12-11 05:02        97480        ----a-w-        c:\windows\system32\AvastSS.scr
2009-11-21 16:37 . 2005-09-12 09:35        470528        ----a-w-        c:\windows\AppPatch\aclayers.dll
2009-11-19 10:48 . 2009-12-03 01:34        43008        ----a-w-        c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\Mozilla\Firefox\Profiles\fjpea6q8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-11-19 10:48 . 2009-12-03 01:34        872960        ----a-w-        c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\Mozilla\Firefox\Profiles\fjpea6q8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-11-19 10:48 . 2009-12-03 01:34        346624        ----a-w-        c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\Mozilla\Firefox\Profiles\fjpea6q8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-11-19 10:48 . 2009-12-03 01:34        340480        ----a-w-        c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\Mozilla\Firefox\Profiles\fjpea6q8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-11-06 01:01 . 2009-05-25 14:04        2828        --sha-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2009-11-06 01:01 . 2009-05-25 14:04        2828        --sha-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2009-11-06 01:00 . 2009-05-25 14:04        88        --sh--r-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\6FE741D8E4.sys
2009-11-06 01:00 . 2009-05-25 14:04        88        --sh--r-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\6FE741D8E4.sys
2008-12-17 22:34 . 2009-01-11 23:55        67688        ----a-w-        c:\programme\mozilla firefox\components\jar50.dll
2008-12-17 22:34 . 2009-01-11 23:55        54368        ----a-w-        c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-17 22:34 . 2009-01-11 23:55        34944        ----a-w-        c:\programme\mozilla firefox\components\myspell.dll
2008-12-17 22:34 . 2009-01-11 23:55        46712        ----a-w-        c:\programme\mozilla firefox\components\spellchk.dll
2008-12-17 22:34 . 2009-01-11 23:55        172136        ----a-w-        c:\programme\mozilla firefox\components\xpinstal.dll
2006-05-03 09:06 . 2008-11-04 00:40        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-11-04 00:40        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2008-11-04 00:40        216064        --sh--r-        c:\windows\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2010-01-18 06:14 . D469ED2720A999421F0A248D0A717031 . 198656 . . [------] . . c:\windows\system32\dllcache\termsrv.dll
[-] 2010-01-18 06:14 . D469ED2720A999421F0A248D0A717031 . 198656 . . [------] . . c:\windows\system32\termsrv.dll
[-] 2008-04-14 . B7DE02C863D8F5A005A7BF375375A6A4 . 297472 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\termsrv.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 09:32        279944        ----a-w-        c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"BitTorrent DNA"="c:\programme\DNA\btdna.exe" [2009-11-07 323392]
"STYLEXP"="c:\programme\TGTSoft\StyleXP\StyleXP.exe" [2002-09-13 856064]
"Natkbd"="c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\Adobe\Update\befla.exe" [2010-01-23 25600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2005-05-23 90112]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"TrayServer"="c:\programme\MAGIX\Video_deluxe_15_Download-Version\TrayServer.exe" [2008-08-07 90112]
"TPSMain"="TPSMain.exe" [2005-08-12 266240]
"TPNF"="c:\programme\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-05-09 185896]
"TFncKy"="TFncKy.exe" [BU]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 28672]
"SVPWUTIL"="c:\programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 65536]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"SideWinderTrayV4"="c:\progra~1\MI948F~1\GAMECO~1\common\swtrayv4.exe" [1999-07-03 24650]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-07-12 77824]
"PadTouch"="c:\programme\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"NDSTray.exe"="NDSTray.exe" [BU]
"Launch LGDCore"="c:\programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 1122304]
"Launch LCDMon"="c:\programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 497152]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 221184]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"HWSetup"="c:\programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]
"Corel Photo Downloader"="c:\programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" [2008-08-18 532808]
"Corel File Shell Monitor"="c:\programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe" [2008-08-18 16712]
"CeEKEY"="c:\programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
2008-08-14 05:58        611712        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
2009-11-24 23:51        81000        ----a-w-        c:\progra~1\ALWILS~1\Avast4\ashDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AcuWVSSchedulerv5"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\SIERRA\\SWAT3\\Swat.icd"=
"c:\\SIERRA\\SWAT2\\SWAT.EXE"=
"c:\\Programme\\alibaba\\SWAT4 ALIBABA\\Content\\System\\Swat4.exe"=
"c:\\Programme\\Sierra\\SWAT 4\\Content\\System\\Swat4.exe"=
"c:\\Programme\\Sierra\\SWAT 4\\Content\\System\\Swat4DedicatedServer.exe"=
"c:\\Programme\\Sega\\Virtua Tennis\\VIRTUA_TENNIS_PC.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Program Files\\Microsoft Games\\AOE\\EMPIRESX.EXE"=
"c:\\Dokumente und Einstellungen\\WINDOWS XP\\Anwendungsdaten\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\octoshape\\octoshape.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\alibaba\\SWAT4 ALIBABA\\Content\\System\\Swat4DedicatedServer.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\AeriaGames\\Project Torque\\ProjectTorque.bin"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [11.12.2009 06:02 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [11.12.2009 06:02 20560]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [10.03.2009 03:48 222456]
R3 SecureSrv;SecureSrv;c:\programme\Hide My IP 2007\SecureSrv.exe [21.01.2009 19:26 102280]
S2 gupdate1c96bc7339ea54e;Google Update Service (gupdate1c96bc7339ea54e);c:\programme\Google\Update\GoogleUpdate.exe [01.01.2009 05:12 133104]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [19.05.2009 17:34 1527900]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [25.05.2009 16:05 544768]
S4 AcuWVSSchedulerv5;Acunetix WVS Scheduler v5;c:\programme\Acunetix\Web Vulnerability Scanner 5\WVSScheduler.exe [13.03.2008 10:36 655872]
.
Inhalt des "geplante Tasks" Ordners

2010-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-01-01 04:12]

2010-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-01-01 04:12]

2008-03-21 c:\windows\Tasks\Registrierungserinnerung 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-12 12:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
uInternet Settings,ProxyServer = 78.52.78.54:80
LSP: c:\windows\system32\securenet.dll
FF - ProfilePath - c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\Mozilla\Firefox\Profiles\fjpea6q8.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\dokumente und einstellungen\WINDOWS XP\Anwendungsdaten\Mozilla\Firefox\Profiles\fjpea6q8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJPI150_03.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPOJI610.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPTURNMED.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-AntiMalware - c:\programme\AntiMalware\antimalware.exe
AddRemove-Flight Simulator 9.0 - c:\programme\Microsoft Games\Flight Simulator 9\UNINSTAL.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-23 22:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'lsass.exe'(764)
c:\windows\system32\securenet.dll
.
Zeit der Fertigstellung: 2010-01-23  22:10:53
ComboFix-quarantined-files.txt  2010-01-23 21:10

Vor Suchlauf: 39 Verzeichnis(se), 15.583.371.264 Bytes frei
Nach Suchlauf: 41 Verzeichnis(se), 18.002.231.296 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 544A0BDABB868801E8137E963D87D35C


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:41 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131