|
Internet Explorer startet von allein (Nur im Taskmanager zu sehen) Vor kurzem habe ich eine Internetseite für Musiktexte (und das ist wirklich wahr) geöffnet. Daraufhin hat sich ein meiner Meinung nach gefälschtes Fenster des Windows Security Centers geöffnet (Alles war auf Englisch, aber ich habe ein deutsches Windows XP installiert), dass nach einer Zeit immer wieder erschien und laut dem ich einen Trojaner auf dem Pc hätte. Ich wurde natürlich misstrauisch und habe auch gleich darauf HiJackThis durchlaufen lassen und über deren Internetseite durchchecken lassen. Dann habe ich mit HiJackThis alle als "schädlich" angezeigten Sachen gefixt. Allerdings ist im Taskmanager unter Prozesse immer die iexplore.exe zu finden. Wenn ich diese dann beende ist sie nach einigen Minuten wieder da. |
Hi. Das Problem habe ich auch! Gucke mal ob du ähnliche Sachen hast die auftreten wie ich: http://www.trojaner-board.de/81877-t...end-hilfe.html |
Also die Probleme mit dem Sicherheitscenter (und Malware Defense, usw.) hatte ich auch... aber sie sind weg, seitdem ich das mit Hijackthis gemacht habe. jetzt habe ich nur noch das Problem mit dem iexplore.exe... und ich glaube, der öffnet dann auch irgndwelche Seiten, von denen ich nichts sehe... es kommt nur so komische musik (aber nicht immer)... die ist dann auch wieder weg, wenn ich den Prozess iexplore.exe mit dem Taskmanager beendet habe. Aber wie gesagt, er öffnet sich immer wieder, jedoch ohne dass ich ein Internet Explorer Fenster sehe. Und mein Avira AntiVir kann noch scannen... mache ich gerade, ist abe noch nicht fertig... Es hat bis jetzt nur ein Fund namens "EXP/Pidief.yag" gebracht. |
@rohpinn: Hallo und :hallo: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
ich habe jetzt MalwareBaytes installiert, es lässt sich aber nicht starten. und hier der HiJackThis Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:44:33, on 19.1.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Windows Home Server\esClient.exe C:\WINDOWS\Explorer.EXE C:\Programme\TortoiseSVN\bin\TSVNCache.exe C:\WINDOWS\ehome\ehtray.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\LMabcoms.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\Logitech\Logitech WebCam Software\LWS.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Electronic Arts\EADM\Core.exe C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Lexmark\ErrorApp\LMab1err.exe C:\Programme\Logitech\Logitech Vid\Vid.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Windows Home Server\WHSTrayApp.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Home Server\WHSConnector.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\ICQ7.0\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: BrowserHelper Class - {9A065C65-4EE7-4DDD-9918-F129089A894A} - C:\Programme\Windows Home Server\WHSDeskBands.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Home Server Banner - {D73E76A3-F902-45BD-8FC8-95AE8E014671} - C:\Programme\Windows Home Server\WHSDeskBands.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\Logitech WebCam Software\LWS.exe" /hide O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent O4 - HKCU\..\Run: [LMab1err] C:\Programme\Lexmark\ErrorApp\LMab1err.exe O4 - HKCU\..\Run: [Logitech Vid] "C:\Programme\Logitech\Logitech Vid\Vid.exe" -bootmode O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.0\ICQ.exe" silent loginmode=4 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\Logitech WebCam Software\eReg.exe (User 'SYSTEM') O4 - .DEFAULT Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\Logitech WebCam Software\eReg.exe (User 'Default user') O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\Logitech WebCam Software\eReg.exe O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O4 - Global Startup: Windows Home Server.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab3.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1220609340140 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Update Service (gupdate1ca7f3d189488ba) (gupdate1ca7f3d189488ba) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: lmab_device - - C:\WINDOWS\system32\LMabcoms.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 8424 bytes |
Wahrscheoinlich blockiert tdss/h8srt das Malwarebytes-Programm... Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: drivers to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Öffne umgehend Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend das Logfile posten. |
wenn ich den link "Swandog46's Public Anti-Malware Tools" anklicke erscheint nur ein Seiten Ladefehler. |
Nutz diesen Alternativlink => File-Upload.net - avngr.exe Hab die avenger.exe da hochgeladen, aber vorher umbenannt, da Schädlinge den bekannten Prozess avenger.exe nich abwürgen können. |
Wenn ich das Avira AntiVir Controlcenter zu öffnen versuche, klappt das nicht. |
Das hängt natürlich mit dem malwarebefall zusammen, bitte den Avenger ausführen! Klappt das nun über den Alternativlink? |
Ja, er klappt. |
Und? Script mit dem Avenger ausgeführt? Log posten! |
Hat funktioniert! Nach dem Start hat AntiVir auch gleich Meldungen von 2 Funden von Malware gemacht: In der Datei 'C:\WINDOWS\system32\H8SRTjqgrdnpolo.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.40960.257' [trojan] gefunden. Ausgeführte Aktion: Datei löschen und:In der Datei 'C:\WINDOWS\system32\H8SRTatprommfrq.dll' wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3614' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Ich habe diese dann gelöscht. Hier noch der Avenger log: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "H8SRTd.sys" found! ImagePath: \systemroot\system32\drivers\H8SRTdsgwpndbkl.sys Driver disabled successfully. Rootkit scan completed. Driver "h8srtd.sys" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
So und nun unbedingt Malwarebytes starten! Programm aktualisieren und mit nem VOLLSCAN alle Funde auch entfernen lassen, Log posten! |
sry... ich musste den scan abbrechen, weil ich morgen um 6 aufstehen muss und den Pc nicht über Nacht laufen lassen kann. Ich werde den Scan dann wohl morgen machen. Aber Malwarebytes hat schon einen Fund gemacht... habs dann gelöscht hier der log: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3599 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 19.1.2010 21:49:39 mbam-log-2010-01-19 (21-49-39).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 251862 Laufzeit: 1 hour(s), 10 minute(s), 18 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\ClearProg\eBay\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully. aber wie gesagt: Morgen dann der vollständig zu Ende geführte Scan |
so der scan ist fertig log: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3599 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 20.1.2010 19:36:20 mbam-log-2010-01-20 (19-36-20).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 641207 Laufzeit: 3 hour(s), 17 minute(s), 32 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 8 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\searchmigrateddefaulturl (Trojan.Zlob) -> Delete on reboot. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\SearchMigratedDefaultURL (Hijack.SearchPage) -> Bad: (http://internetsearchservice.com/search?q={searchTerms}) Good: (http://www.Google.com/) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{D8212FAE-EB41-4214-B31E-CC849F98F55F}\RP185\A0077348.exe (Trojan.Banker) -> Quarantined and deleted successfully. C:\WINDOWS\system32\H8SRTgjynkcglye.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\h8srtshsyst.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\H8SRTubvfqpidvp.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\H8SRTvjiqmiuhsm.dat (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\H8SRTdsgwpndbkl.sys (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Robin\Lokale Einstellungen\temp\H8SRT6af7.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. |
Gut, mach bitte nun mit CF weiter: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
combofix zeigt, dass AntiVir Desktop als Real-Time Scanner aktiv ist. ich habe aber den AntiVir Guard deaktiviert. |
Dann bitte die Meldung ignorieren. Falls AntiVir aber sich meldet sollte während CF werkelt, bitte nichts verweigern oder löschen, damit CF unstört seine Arbeit verrichten kann. |
der Scan ist fertig. auf meinem Desktop ist jetzt ein Icon vom Internet Explorer... ist das schlimm oder macht das nix? hier der log: ComboFix 10-01-19.08 - Robin 20.01.2010 20:39:47.3.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1606 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Robin\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\INSTALL.LOG . ((((((((((((((((((((((( Dateien erstellt von 2009-12-20 bis 2010-01-20 )))))))))))))))))))))))))))))) . 2010-01-19 17:33 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-19 17:33 . 2010-01-19 17:34 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-01-19 17:33 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-01-19 17:31 . 2010-01-19 17:31 -------- d-----w- c:\dokumente und einstellungen\Robin\Lokale Einstellungen\Anwendungsdaten\AOL 2010-01-19 17:31 . 2010-01-19 17:32 -------- d-----w- c:\programme\ICQ7.0 2010-01-17 19:48 . 2009-10-07 08:43 199192 ----a-w- c:\windows\system32\lvci12101110.dll 2010-01-16 20:49 . 2010-01-16 20:49 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache 2010-01-15 22:13 . 2010-01-15 22:13 -------- d-----w- c:\dokumente und einstellungen\Robin\Lokale Einstellungen\Anwendungsdaten\Wings of Prey 2010-01-15 22:12 . 2010-01-15 22:12 -------- d-----w- c:\dokumente und einstellungen\Robin\Lokale Einstellungen\Anwendungsdaten\WOP 2010-01-15 22:12 . 2010-01-15 22:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WOP 2010-01-15 22:12 . 2009-09-04 16:29 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll 2010-01-15 22:12 . 2009-09-04 16:29 5501792 ----a-w- c:\windows\system32\d3dcsx_42.dll 2010-01-13 21:13 . 2010-01-13 21:13 -------- d-----w- C:\2eb03b4227cb35050d10ebb1efa216 2010-01-13 15:16 . 2009-11-21 15:54 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll 2010-01-05 20:24 . 2008-04-13 23:15 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys 2010-01-05 20:24 . 2008-04-13 23:15 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys 2010-01-05 20:24 . 2008-04-13 23:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys 2010-01-05 20:24 . 2008-04-13 23:15 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys 2009-12-26 09:52 . 2009-12-26 11:21 -------- d-----w- C:\Worms DL 2009-12-25 16:07 . 2009-12-25 16:10 47104 ----a-w- c:\windows\system32\KMVIDC32.DLL . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-19 17:32 . 2008-08-08 07:33 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\ICQ 2010-01-19 17:31 . 2008-07-22 18:01 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-01-19 16:52 . 2008-08-23 07:42 -------- d-----w- c:\programme\Steam 2010-01-18 15:47 . 2009-05-31 17:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-01-18 15:15 . 2010-01-05 20:31 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs 2010-01-18 15:15 . 2010-01-05 20:30 0 ----a-w- c:\windows\system32\drivers\logiflt.iad 2010-01-17 19:49 . 2010-01-05 20:29 -------- d-----w- c:\programme\Gemeinsame Dateien\LogiShrd 2010-01-14 18:55 . 2009-04-07 16:41 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\Skype 2010-01-14 16:28 . 2008-10-11 19:03 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\skypePM 2010-01-07 21:09 . 2009-07-07 16:47 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\vlc 2010-01-07 09:48 . 2010-01-05 20:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd 2010-01-05 20:32 . 2010-01-05 20:29 -------- d-----w- c:\programme\Logitech 2009-12-30 11:37 . 2009-03-11 13:00 -------- d-----w- c:\programme\ICQ6.5 2009-12-26 10:57 . 2009-05-15 22:39 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\uTorrent 2009-12-26 09:42 . 2006-03-24 12:00 86710 ----a-w- c:\windows\system32\perfc007.dat 2009-12-26 09:42 . 2006-03-24 12:00 465212 ----a-w- c:\windows\system32\perfh007.dat 2009-12-25 20:38 . 2008-10-12 10:53 139152 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-12-25 20:38 . 2008-10-12 10:53 139152 ----a-w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\PnkBstrK.sys 2009-12-25 20:38 . 2008-10-12 10:53 111928 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-12-25 20:38 . 2008-10-12 10:53 794408 ----a-w- c:\windows\system32\pbsvc.exe 2009-12-25 20:38 . 2008-10-12 10:53 75064 ----a-w- c:\windows\system32\PnkBstrA.exe 2009-12-25 09:55 . 2008-08-05 12:12 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\dvdcss 2009-12-20 12:28 . 2008-09-28 18:31 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\teamspeak2 2009-12-20 10:22 . 2009-12-20 10:22 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\Notepad++ 2009-12-20 10:22 . 2009-12-20 10:22 -------- d-----w- c:\programme\Notepad++ 2009-12-17 17:20 . 2009-02-12 19:27 -------- d-----w- c:\programme\DivX 2009-12-17 17:20 . 2008-09-03 11:21 -------- d-----w- c:\programme\Google 2009-12-08 15:13 . 2009-11-29 10:40 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-29 10:40 . 2009-11-29 10:40 -------- d-----w- c:\programme\Avira 2009-11-29 10:40 . 2009-11-29 10:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-11-27 15:22 . 2009-11-27 15:22 533 ----a-w- c:\windows\eReg.dat 2009-11-27 15:14 . 2008-09-02 12:17 -------- d-----w- c:\programme\Windows Home Server 2009-11-25 15:00 . 2008-08-23 15:36 -------- d-----w- c:\programme\Opera 2009-11-22 14:36 . 2008-11-20 16:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton 2009-11-22 14:35 . 2008-11-20 16:23 -------- d-----w- c:\programme\Symantec 2009-11-22 14:35 . 2008-11-20 16:23 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared 2009-11-21 15:54 . 2006-03-24 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll 2009-10-29 05:24 . 2006-03-24 12:00 672768 ----a-w- c:\windows\system32\wininet.dll 2003-12-18 09:33 . 2009-08-17 16:14 20102 ----a-w- c:\programme\Readme.txt 2003-09-03 05:46 . 2009-08-17 16:14 10960 ----a-w- c:\programme\EULA.txt 2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\programme\opera\program\plugins\libdivx.dll 2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\programme\opera\program\plugins\ssldivx.dll 2006-05-03 09:06 . 2008-09-05 16:35 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2008-09-05 16:35 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 12:30 . 2008-09-05 16:35 216064 --sh--r- c:\windows\system32\nbDX.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal] @="{C5994560-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}] 2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified] @="{C5994561-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}] 2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict] @="{C5994562-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}] 2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked] @="{C5994563-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}] 2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly] @="{C5994564-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}] 2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted] @="{C5994565-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}] 2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded] @="{C5994566-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}] 2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored] @="{C5994567-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}] 2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned] @="{C5994568-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}] 2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952] "EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [2009-09-03 3342336] "LMab1err"="c:\programme\Lexmark\ErrorApp\LMab1err.exe" [2008-10-14 569344] "Logitech Vid"="c:\programme\Logitech\Logitech Vid\Vid.exe" [2009-07-16 5458704] "ICQ"="c:\programme\ICQ7.0\ICQ.exe" [2010-01-12 133368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "RTHDCPL"="RTHDCPL.EXE" [2008-03-31 16857600] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-25 8527872] "nwiz"="nwiz.exe" [2007-10-25 1626112] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-25 81920] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Robin\Startmen\Programme\Autostart\ Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2009-10-14 517384] c:\dokumente und einstellungen\Robin\Startmen\Programme\Autostart\ Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2009-10-14 517384] c:\dokumente und einstellungen\Robin\Startmen\Programme\Autostart\ Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2009-10-14 517384] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Status Monitor.lnk - c:\programme\Brother\Brmfcmon\BrMfcWnd.exe [2008-9-2 819200] Windows Home Server.lnk - c:\windows\Installer\{21E49794-7C13-4E84-8659-55BD378267D5}\WHSTrayApp.exe [2008-11-29 609128] c:\dokumente und einstellungen\Robin\Startmen\Programme\Autostart\ Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2009-10-14 517384] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Spiele\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe"= "c:\\Spiele\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"= "c:\\Spiele\\Ascaron Entertainment\\Sacred Underworld\\Sacred.exe"= "c:\\Programme\\Steam\\steamapps\\robinian\\source sdk base\\hl2.exe"= "c:\\Programme\\Xfire\\Xfire.exe"= "c:\\Programme\\Electronic Arts\\EADM\\Core.exe"= "c:\\Spiele\\FreeSpace2\\FS2.exe"= "c:\\Programme\\Steam\\steamapps\\robinian\\counter-strike source\\hl2.exe"= "c:\\Programme\\Steam\\steamapps\\robinian\\team fortress 2\\hl2.exe"= "c:\\Programme\\Steam\\steamapps\\robinian\\garrysmod\\hl2.exe"= "c:\\Programme\\Steam\\Steam.exe"= "c:\\Spiele\\Age of Empires 2\\age2_x1\\age2_x1.exe"= "c:\\WINDOWS\\system32\\dplaysvr.exe"= "c:\\Programme\\Steam\\steamapps\\robinian\\synergy\\hl2.exe"= "c:\\Programme\\Steam\\steamapps\\robinian\\zombie panic! source\\hl2.exe"= "c:\\Programme\\Steam\\steamapps\\robinian\\insurgency\\hl2.exe"= "c:\\Programme\\Steam\\steamapps\\robinian\\diprip warm up\\hl2.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Spiele\\Toblo\\Toblo 1.2.exe"= "c:\\Programme\\Steam\\steamapps\\robinian\\age of chivalry\\hl2.exe"= "c:\\Spiele\\racer\\racer.exe"= "c:\\Spiele\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"= "c:\\Spiele\\LucasArts\\Star Wars Empire at War Forces of Corruption\\swfoc.exe"= "c:\\Programme\\Steam\\steamapps\\common\\trackmania nations forever\\TmForever.exe"= "c:\\Programme\\Steam\\steamapps\\common\\trackmania nations forever\\TmForeverLauncher.exe"= "c:\\Programme\\Steam\\steamapps\\common\\peggle extreme\\PeggleExtreme.exe"= "c:\\Programme\\Steam\\steamapps\\common\\world of goo demo\\WorldOfGoo.exe"= "c:\\Spiele\\Kalypso\\Sins of a Solar Empire\\Sins of a Solar Empire.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\WINDOWS\\system32\\lmabcoms.exe"= "c:\\Programme\\Lexmark\\ErrorApp\\LMab1err.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\Steam\\steamapps\\common\\plants vs zombies\\PlantsVsZombies.exe"= "c:\\Spiele\\Codemasters\\GRID\\GRID.exe"= "c:\\Spiele\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "c:\\Spiele\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "c:\\Spiele\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= "c:\\Programme\\Steam\\steamapps\\common\\company of heroes\\RelicDownloader\\RelicDownloader.exe"= "c:\\Programme\\Opera\\opera.exe"= "c:\\Programme\\Steam\\steamapps\\common\\company of heroes\\help.htm"= "c:\\Programme\\Steam\\steamapps\\common\\company of heroes\\RelicCOH.exe"= "c:\\Programme\\Steam\\steamapps\\common\\red orchestra\\System\\RedOrchestra.exe"= "c:\\Spiele\\Team17\\Worms2\\Frontend.exe"= "c:\\Spiele\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"= "c:\\Spiele\\Team17\\Worms World Party\\Worms World Party.exe"= "c:\\Programme\\Steam\\steamapps\\robinian\\source sdk base 2007\\hl2.exe"= "c:\\Programme\\Steam\\steamapps\\common\\left 4 dead 2\\left4dead2.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Logitech\\Logitech Vid\\Vid.exe"= "c:\\Programme\\ICQ7.0\\ICQ.exe"= "c:\\Programme\\ICQ7.0\\aolload.exe"= R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [11.4.2009 20:57 28544] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22.11.2008 13:46 717296] R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [23.1.2008 09:19 501560] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.11.2009 11:40 108289] R2 esClient;Windows Media Center-Clientdienst;c:\programme\Windows Home Server\esClient.exe [7.10.2009 15:27 97128] R2 WHSConnector;Windows Home Server-Connectordienst;c:\programme\Windows Home Server\WHSConnector.exe [7.10.2009 15:27 376680] S2 gupdate1ca7f3d189488ba;Google Update Service (gupdate1ca7f3d189488ba);c:\programme\Google\Update\GoogleUpdate.exe [17.12.2009 18:19 133104] S3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i-MCE;c:\windows\system32\drivers\3xHybrid.sys [19.9.2009 19:05 1121536] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [7.10.2008 17:22 1527900] S3 mdxgthkn;mdxgthkn;\??\c:\dokume~1\Robin\LOKALE~1\Temp\mdxgthkn.sys --> c:\dokume~1\Robin\LOKALE~1\Temp\mdxgthkn.sys [?] S3 PhilCap;Pinnacle PCTV service;c:\windows\system32\drivers\PhilCap.sys [17.7.2007 09:22 908832] S3 SS1018mdm;Sony Ericsson Mobile Device Full USB Driver;c:\windows\system32\drivers\SS1018mdm.sys [8.2.2009 14:33 58536] S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [7.10.2008 17:26 544768] S3 zlportio;zlportio;\??\c:\spiele\UltraStar Deluxe\zlportio.sys --> c:\spiele\UltraStar Deluxe\zlportio.sys [?] . Inhalt des "geplante Tasks" Ordners 2010-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-12-17 17:19] 2010-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-12-17 17:19] . . ------- Zusätzlicher Suchlauf ------- . uSearchMigratedDefaultURL = 687474703a2f2f7777772e676f6f676c652e636f6d2f mSearchMigratedDefaultURL = 687474703a2f2f7777772e476f6f676c652e636f6d2f IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: {{88EB38EF-4D2C-436D-ABD3-56B232674062} - c:\programme\ICQ7.0\ICQ.exe FF - ProfilePath - c:\dokumente und einstellungen\Robin\Anwendungsdaten\Mozilla\Firefox\Profiles\2etu6pjy.default\ FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/speeddial.xul FF - plugin: c:\dokumente und einstellungen\Robin\Anwendungsdaten\Mozilla\Firefox\Profiles\2etu6pjy.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll FF - plugin: c:\dokumente und einstellungen\Robin\Anwendungsdaten\Mozilla\Firefox\Profiles\2etu6pjy.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-20 20:54 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll sfsync02.sys atapi.sys speh.sys >>UNKNOWN [0x8A5DF938]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf766bf28 \Driver\ACPI -> ACPI.sys @ 0xf7495cb8 \Driver\atapi -> sfsync02.sys @ 0xf76388b4 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e668e ParseProcedure -> ntoskrnl.exe @ 0x8057b6b1 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e668e ParseProcedure -> ntoskrnl.exe @ 0x8057b6b1 NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xbae72bb0 PacketIndicateHandler -> NDIS.sys @ 0xbae7fa21 SendHandler -> NDIS.sys @ 0xbae5d87b user & kernel MBR OK ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-823518204-261478967-839522115-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:be,52,3c,bb,04,01,83,a6,ed,56,b1,a8,2f,2a,42,f3,a7,a5,87,25,bd,a4,ac, d2,6b,a8,05,a6,f0,cb,e6,55,2e,2e,a8,47,5d,b0,dd,a4,9d,bc,a4,01,14,ff,89,e5,\ "??"=hex:3a,4c,c8,2e,9f,cf,65,24,93,af,d0,01,e1,5c,48,5a [HKEY_USERS\S-1-5-21-823518204-261478967-839522115-1005\Software\SecuROM\License information*] "datasecu"=hex:25,bf,39,fb,bf,8a,b7,8e,76,24,69,f5,dc,29,8d,1f,c9,ee,7c,73,21, aa,b4,01,31,26,b9,97,6b,ab,4b,b1,ec,da,0b,39,ad,25,a0,69,e9,20,c9,05,6d,9d,\ "rkeysecu"=hex:15,57,7f,70,ce,d1,62,15,37,d2,ef,f9,2c,50,98,d6 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(7648) c:\windows\TEMP\logishrd\LVPrcInj01.dll c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll c:\programme\TortoiseSVN\bin\TortoiseStub.dll c:\programme\TortoiseSVN\bin\TortoiseSVN.dll c:\programme\TortoiseSVN\bin\intl3_tsvn.dll c:\progra~1\WINDOW~3\wmpband.dll c:\windows\system32\msi.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\brss01a.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\windows\eHome\ehRecvr.exe c:\windows\eHome\ehSched.exe c:\programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\LMabcoms.exe c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\PnkBstrA.exe c:\windows\ehome\mcrdsvc.exe c:\programme\TortoiseSVN\bin\TSVNCache.exe c:\windows\RTHDCPL.EXE c:\windows\system32\RUNDLL32.EXE c:\programme\Windows Home Server\WHSTrayApp.exe c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe c:\windows\system32\dllhost.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\eHome\ehmsas.exe c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-01-20 21:02:23 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-01-20 20:02 ComboFix2.txt 2009-04-07 21:50 Vor Suchlauf: 19 Verzeichnis(se), 10.540.273.664 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 10.739.384.320 Bytes frei - - End Of File - - 46413B45250FC484189F7623B3DEACB1 |
Bitte einen Durchlauf mit GMER machen und das Log posten, ich trau der Sache noch nicht soo ganz ;) |
sorry, ich habe einfach nie genug zeit um den scan ganz durchlaufen zu lassen :P |
Dann lass es doch mal über Nacht durchlaufen :D |
vllt. irgnedwie werd ich das schon noch hinbekommen^^ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board