Trojaner-Board - gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich (https://www.trojaner-board.de/94995-gehackte-website-aufgerufen-mbam-ok-otl-log-moeglich.html)

gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich

Guten Abend,
Ich habe heute Nachmittag aus dem Google-Cache heraus eine offensichtlich gehackte Bandwebsite aufgerufen (sie war voll von zweifelhaften Links, die da nicht reingehörten). Sollte der URL benötigt werden, sende ich ihn gerne nach.

Ein MBAM-Log schien ok (siehe unten).

Der Versuch einen OTL-Log zu erstellen, war mit der neusten Version von OTL nicht möglich, es kam immer zu einem Crash wenn die AutoRun-Schlüssel gescannt wurden.

Mit einer älteren OTL-Version klappte es, leider habe ich die vor dem Posten auf diesem Forzm durch die aktuelle ersetzt und die Logs nicht abgespeichert. :(

Ich benötige also noch einmal Eure Hilfe!
Vielen Dank im Voraus!
ansto

--------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5576

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.01.2011 15:20:01
mbam-log-2011-01-23 (15-20-01).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147235
Laufzeit: 1 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Der Versuch einen OTL-Log zu erstellen, war mit der neusten Version von OTL nicht möglich, es kam immer zu einem Crash wenn die AutoRun-Schlüssel gescannt wurden.

sende mir mal die url als private nachicht.

Zitat:

Zitat von markusg (Beitrag 612379)

sende mir mal die url als private nachicht.

hab ich gemacht. Danke.

sieht aber soweit alles io aus, sind denn probleme aufgetreten?
die links sehen ungefährlich aus. nur spam

Ein Problem ist zum Beispiel: Der Versuch einen OTL-Log zu erstellen, ist mit der neusten Version von OTL nicht möglich, es kommt immer zu einem Crash wenn die AutoRun-Schlüssel gescannt wurden.

das kann auch an otl liegen.
HijackThis Logfileauswertung
lade hijackthis,
instalieren, scan and safe log, log posten

Hier die HijackThis-Logs einmal als Administrator und einmal als der betroffene User mit eingeschränkten Benutzerrechten:

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 17:33:42, on 25.01.2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Secunia\PSI\psi.exe

C:\Dokumente und Einstellungen\admin\Desktop\HiJackThis204.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [LXBYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll,_RunDLLEntry@16

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O15 - Trusted Zone: hxxp://download.windowsupdate.com

O15 - Trusted Zone: hxxp://*.windowsupdate.com

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: lxby_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbycoms.exe
 

--

End of file - 3074 bytes

--- --- ---

=================================

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 17:30:26, on 25.01.2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Dokumente und Einstellungen\[...]\Eigene Dateien\Downloads\HiJackThis204.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [LXBYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll,_RunDLLEntry@16

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: lxby_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbycoms.exe
 

--

End of file - 2461 bytes

--- --- ---

warum kein antivirus?

Zitat:

Zitat von markusg (Beitrag 613170)

warum kein antivirus?

Ich habe MBAM und lasse es tägl. drüberlaufen. Braucht man mit NoScript sicher konfigurierten WIndows-Diensten, NoScript, und keinem Downloaden unbekannter ausführbarer Dateien/ pdfs, etc. wirklich einen ständigen AV-Monitor?

Selbst wenn ein AV-Monitor (Avast oder AntiVir) auf der gehackten Seite nichts gefunden hätte, hätte ich sicherheitshalber hier nochmals nachgefragt.

Ist der Ansatz falsch?

musst du wissen, aber dann würde ich mit sandboxie surfen. anleitung kann ich dir geben.

Ist denn der Logfile soweit sauber?

ja, bitte lass uns den rest auch hier weiter besprechen, nicht per pm..
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ist die anleitung für sandboxie, und über backups nach denken, true image zb

Vielen Dank für die Hilfe und die Infos!

das ist kpn internet, sagt dir das was?

nein das sagt mir gar nichts. :(

schaun wir mal
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hier der ComboFix-Log. Zu Beginn des Scans öfnnete sich ein Fenster mit einer Warnung dass ComboFix Rootkit-Aktivitäten entdeckt hätte und ich deshalb den PC neustarten müsste. Das habe ich dann auch getan (auch wenn das in der Anleitung nicht vorkam).

Combofix Logfile:

Code:

ComboFix 11-01-28.01 - v** 28.01.2011  21:20:40.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.371 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\v**\Desktop\ComboFix.exe

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-12-28 bis 2011-01-28  ))))))))))))))))))))))))))))))

.
 

2011-01-26 20:07 . 2011-01-26 20:07        --------        d-----w-        c:\programme\VideoLAN

2011-01-23 16:33 . 2011-01-23 16:33        --------        d-----w-        c:\dokumente und einstellungen\g****\Anwendungsdaten\Malwarebytes

2011-01-08 11:16 . 2011-01-08 11:16        --------        d-----w-        c:\dokumente und einstellungen\v**\Anwendungsdaten\EAC

2011-01-08 11:16 . 2011-01-08 11:16        --------        d-----w-        c:\programme\Exact Audio Copy

2011-01-01 17:08 . 2001-08-18 03:54        5632        ----a-w-        c:\windows\system32\ptpusb.dll

2011-01-01 17:08 . 2008-04-14 06:52        159232        ----a-w-        c:\windows\system32\ptpusd.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-20 17:09 . 2010-12-11 14:46        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-20 17:08 . 2010-12-11 14:46        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-12-18 12:11 . 2010-12-18 12:11        411368        ----a-w-        c:\windows\system32\deployJava1.dll

2010-11-18 18:12 . 2010-12-11 10:25        86016        ----a-w-        c:\windows\system32\isign32.dll

2010-11-09 14:51 . 2003-04-02 12:00        249856        ----a-w-        c:\windows\system32\odbc32.dll

2010-11-06 00:21 . 2003-04-02 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-11-06 00:21 . 2003-04-02 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2010-11-06 00:21 . 2003-04-02 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2010-11-03 12:25 . 2010-12-11 11:03        385024        ----a-w-        c:\windows\system32\html.iec

2010-11-02 15:17 . 2003-04-02 12:00        40960        ----a-w-        c:\windows\system32\drivers\ndproxy.sys

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LXBYCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll" [2004-09-10 69632]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\verwaltung\Startmen\Programme\Autostart\

Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2010-5-28 911920]
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\lxbycoms.exe"=
 

S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [28.05.2010 12:04 14896]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

Trusted Zone: microsoft.com\*.update

Trusted Zone: microsoft.com\*.windowsupdate

Trusted Zone: microsoft.com\update

Trusted Zone: secunia.com\psi

Trusted Zone: windowsupdate.com

Trusted Zone: windowsupdate.com\download

FF - ProfilePath - c:\dokumente und einstellungen\v**\Anwendungsdaten\Mozilla\Firefox\Profiles\p0cq5uzq.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-Cmaudio - cmicnfg.cpl
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-01-28 21:27

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  LXBYCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2011-01-28  21:28:18

ComboFix-quarantined-files.txt  2011-01-28 20:28
 

Vor Suchlauf: 5 Verzeichnis(se), 20.947.316.736 Bytes frei

Nach Suchlauf: 6 Verzeichnis(se), 20.915.380.224 Bytes frei
 

- - End Of File - - 64884915E9E9CC163BCB695AD81A0D18

--- --- ---

kannst du mal den inhalt dieser datei posten?
ComboFix-quarantined-files.txt

2011-01-28 20:27:39 . 2011-01-28 20:27:39 125 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-Cmaudio.reg.dat
2011-01-28 20:25:45 . 2011-01-28 20:25:45 6,484 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2011-01-28 20:01:07 . 2011-01-28 20:16:46 204 ----a-w- C:\Qoobox\Quarantine\catchme.log

hmm ich sehe nichts von nem rootkit, nutzt du daimon tools oder ähniche cd emulatoren,besteht die verbindung noch?

Heute gab es stattdessen eine Verbindung zu 80-239-228-41.customer.teliacarrier.com !? Eigenartig finde ich, dass man zu beiden Adressen soviel online findet.

Nein ich benutze keinerlei "Damon Tools" oder "Cd Emulatoren". Ich weiss noch nicht mal was das ist.

ich denke nicht das das schädliche verbindungen sind, aber schaun wir mal weiter.
lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

7-Zip 9.20 ---------- NÖTIG
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.1.102.64 ---------- NÖTIG
burnatonce ---------- NÖTIG
C-Media 3D Audio ---------- NÖTIG??? (INSTALLIERT MIT AUDIOTREIBER)
CCleaner Piriform 3.01 ----------- NÖTIG
Exact Audio Copy 1.0beta1 Andre Wiethoff 1.0beta1 ---------- NÖTIG
GIMP 2.6.11 The GIMP Team 2.6.11 ---------- NÖTIG
Hotfix für Windows XP (KB969084) Microsoft Corporation 3 ---------- UNBEKANNT
Lexmark P910 Series ---------- NÖTIG
Malwarebytes' Anti-Malware Malwarebytes Corporation ---------- NÖTIG
Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 1 ---------- UNBEKANNT
Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation ----------- UNBEKANNT
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 ---------- UNBEKANNT
Mozilla Firefox (3.6.13) Mozilla 3.6.13 (de) ---------- NÖTIG
Mozilla Thunderbird (3.1.7) Mozilla 3.1.7 (de) ---------- NÖTIG
NVIDIA nForce Drivers ----------- NÖTIG
OpenOffice.org 3.2 OpenOffice.org 3.2.9502 ---------- NÖTIG
PDF-XChange Viewer Tracker Software Products Ltd. 2.5.188.0 ----------- NÖTIG
Secunia PSI ----------- NÖTIG
Tweak UI ----------- NÖTIG
VLC media player 1.1.6 VideoLAN 1.1.6 ----------- NÖTIG
Windows Genuine Advantage Validation Tool (KB892130) Microsoft Corporation ---------- NÖTIG ?
Windows Internet Explorer 8 Microsoft Corporation 20090308.140743 ----------- UNNÖTIG ;-)
Windows Media Format 11 runtime ---------- UNBEKANNT
Windows Media Player 11 ----------- UNNÖTIG
Windows XP Service Pack 3 Microsoft Corporation 20080414.031514 ---------- NÖTIG

wie siehts aus wenn du den ff im safe mode, also ohne plugin startest gibts die verbindungen dann auch?

Seit heut Abend ist es wieder "static-ip-62-41.eurorings.net" und zwar regelmäßig im Log. Was kann das nur sein?

sorry ich war krank.
http://www.trojaner-board.de/74908-a...t-scanner.html
poste mal nen gmer log.