Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus (https://www.trojaner-board.de/98827-rundll-fehler-beim-laden-c-windows-shomsr-dll-oeffnet-alleine-hiloti-d-1419-virus.html)

Seungho 08.05.2011 17:50
RUNDLL "Fehler beim Laden von C:/WINDOWS/shomsr.dll" öffnet sich von alleine + Hiloti.D.1419 = Virus
 
Hallo Liebes Trojaner Board Team,
also ich habe folgendes Problem:
Mein Anvira sagt mir neuerdings das folgende Datei infiziert ist:
Hiloti.D.1419
Seitdem er diesen Virus gefunden hat, öffnet sich bei mir alle 5-10 Sekunden das dieses Fenster :

hxxp://www.abload.de/image.php?img=screenshotymfi.jpg
(beim kopieren des Links wurde das T von HTTP ständig durch ein X ersetzt, bitte korrigiert das wenn ihr den Link öffnen wollt.)

Wenn ich dieses Fenster nicht ständig schließen würde, dann wären in 5 Minuten 25 von diesesn Tasks geöffnet.
Als ich meinen Avira durchsuchen ließ, fand er keinen weiteren Virus.
Könntet ihr mir sagen wie das aufhört?

Liebe Grüße Seungho (16)!

markusg 08.05.2011 18:22
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.
falls der scan nicht im normalen modus läuft, starte neu, f8 drücken dann abgesicherter modus wählen

Seungho 08.05.2011 19:24
1)

HTML-Code:
hxxp://www.file-upload.net/download-3416572/OTL.Txt.html
2)
HTML-Code:
hxxp://www.file-upload.net/download-3416574/Extras.Txt.html
Vielen Dank schonmal!

markusg 08.05.2011 20:05
das nächste mal bitte logs im forum anhängen
• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\S-1-5-21-1343024091-1177238915-1801674531-1003..\Run: [Lluyobilobakamo] C:\WINDOWS\shomsr.dll ()
O4 - HKLM..\Run: [Ppudabocu] C:\WINDOWS\emuvevamiw.dll ()
:Files
C:\WINDOWS\shomsr.dll
C:\WINDOWS\emuvevamiw.dll
C:\WINDOWS\shomsr.dll
C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job

:Commands
[purity]
[EMPTYFLASH]
[resethosts]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Seungho 08.05.2011 20:32
All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1343024091-1177238915-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Lluyobilobakamo deleted successfully.
File C:\WINDOWS\shomsr.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Ppudabocu deleted successfully.
C:\WINDOWS\emuvevamiw.dll moved successfully.
========== FILES ==========
File\Folder C:\WINDOWS\shomsr.dll not found.
File\Folder C:\WINDOWS\emuvevamiw.dll not found.
File\Folder C:\WINDOWS\shomsr.dll not found.
C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job moved successfully.
C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job moved successfully.
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator
->Flash cache emptied: 56502 bytes

User: All Users

User: Default User
->Flash cache emptied: 56466 bytes

User: Gast
->Flash cache emptied: 19011 bytes

User: LocalService

User: NetworkService

User: Sarah
->Flash cache emptied: 65239 bytes

User: Seungho
->Flash cache emptied: 56466 bytes

Total Flash Files Cleaned = 0,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 399017 bytes
->FireFox cache emptied: 34681514 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 14011301 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 3287270 bytes

User: Sarah
->Temp folder emptied: 448 bytes
->Temporary Internet Files folder emptied: 19452583 bytes
->Java cache emptied: 1405765 bytes
->FireFox cache emptied: 61985706 bytes
->Flash cache emptied: 0 bytes

User: Seungho
->Temp folder emptied: 173102 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2483406 bytes
%systemroot%\System32 .tmp files removed: 3063 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 7070305 bytes

Total Files Cleaned = 138,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 05082011_212149

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Habe die Datei 'MovedFiles.rar' nun wie in der Anleitung beschrieben hochgeladen.

Ich hofffe ich habe bis jetzt alles richtig gemacht.

markusg 08.05.2011 20:42
jepp
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Seungho 08.05.2011 21:29
Combofix Logfile:
Code:
ComboFix 11-05-08.02 - Sarah 08.05.2011  22:11:00.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.767.492 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sarah\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sunbelt Kerio Personal Firewall *Enabled* {E659E0EE-10E6-49B7-8696-60F38D0EB174}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\{6D73C9AB-646F-48EF-B705-8009AB69065B}
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\{6D73C9AB-646F-48EF-B705-8009AB69065B}\chrome.manifest
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\{6D73C9AB-646F-48EF-B705-8009AB69065B}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\{6D73C9AB-646F-48EF-B705-8009AB69065B}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\{6D73C9AB-646F-48EF-B705-8009AB69065B}\install.rdf
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{38C69D5E-4343-4794-A48A-32D241EF44C6}
c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{38C69D5E-4343-4794-A48A-32D241EF44C6}\chrome.manifest
c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{38C69D5E-4343-4794-A48A-32D241EF44C6}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{38C69D5E-4343-4794-A48A-32D241EF44C6}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{38C69D5E-4343-4794-A48A-32D241EF44C6}\install.rdf
c:\dokumente und einstellungen\Seungho\Lokale Einstellungen\Anwendungsdaten\{3C7D4704-1C0B-4B4F-862F-FA3C91A1B60A}
c:\dokumente und einstellungen\Seungho\Lokale Einstellungen\Anwendungsdaten\{3C7D4704-1C0B-4B4F-862F-FA3C91A1B60A}\chrome.manifest
c:\dokumente und einstellungen\Seungho\Lokale Einstellungen\Anwendungsdaten\{3C7D4704-1C0B-4B4F-862F-FA3C91A1B60A}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Seungho\Lokale Einstellungen\Anwendungsdaten\{3C7D4704-1C0B-4B4F-862F-FA3C91A1B60A}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Seungho\Lokale Einstellungen\Anwendungsdaten\{3C7D4704-1C0B-4B4F-862F-FA3C91A1B60A}\install.rdf
c:\windows\system32\AcroIEHelpe026.dll
c:\windows\system32\kock
c:\windows\system32\null0.26576512538663344.exe
c:\windows\system32\null0.3838691426491423.exe
c:\windows\system32\null0.39271551088126533.exe
c:\windows\system32\null0.9574857180023778.exe
c:\windows\system32\test.exe
c:\windows\system32\UAs
c:\windows\system32\UAs\firefox.exe_UAs001.dat
c:\windows\system32\UAs\iexplore.exe_UAs001.dat
c:\windows\system32\xmldm
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
-------\Service_SSHNAS
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-04-08 bis 2011-05-08  ))))))))))))))))))))))))))))))
.
.
2011-05-08 19:21 . 2011-05-08 19:27        --------        d-----w-        C:\_OTL
2011-04-24 17:42 . 2011-04-24 17:42        --------        d-----w-        c:\dokumente und einstellungen\Seungho
2011-04-24 17:39 . 2011-04-24 17:39        --------        d-----w-        c:\programme\Microsoft
2011-04-24 17:39 . 2011-04-24 17:39        --------        d-----w-        c:\programme\Windows Live SkyDrive
2011-04-24 17:39 . 2011-04-24 17:39        --------        d-----w-        c:\programme\Windows Live
2011-04-23 13:08 . 2011-04-23 13:09        --------        d-----w-        c:\programme\CCleaner
2011-04-23 12:21 . 2008-04-14 05:52        294912        ------w-        c:\programme\Windows Media Player\dlimport.exe
2011-04-23 12:20 . 2008-04-14 05:24        25856        ------w-        c:\windows\system32\drivers\hidbth.sys
2011-04-23 12:02 . 2011-04-23 12:02        781272        ----a-w-        c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-04-23 12:02 . 2011-04-23 12:02        728024        ----a-w-        c:\programme\Mozilla Firefox\libGLESv2.dll
2011-04-23 12:02 . 2011-04-23 12:02        1874904        ----a-w-        c:\programme\Mozilla Firefox\mozjs.dll
2011-04-23 12:02 . 2011-04-23 12:02        15832        ----a-w-        c:\programme\Mozilla Firefox\mozalloc.dll
2011-04-23 12:02 . 2011-04-23 12:02        142296        ----a-w-        c:\programme\Mozilla Firefox\libEGL.dll
2011-04-23 12:02 . 2011-04-23 12:02        1893336        ----a-w-        c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-04-23 12:02 . 2011-04-23 12:02        142296        ----a-w-        c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-04-23 12:02 . 2011-04-23 12:02        1975768        ----a-w-        c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-04-23 11:59 . 2011-04-23 11:59        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2011-04-23 11:58 . 2011-02-02 19:40        472808        ----a-w-        c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2011-04-23 11:58 . 2011-02-02 19:40        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2011-04-23 11:20 . 2011-04-23 11:20        --------        d-----w-        c:\dokumente und einstellungen\Administrator
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-23 12:02 . 2011-04-23 12:02        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\prxtbsof0.dll" [2011-01-17 175912]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54        175912        ----a-w-        c:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-04-27 08:08        2393184        ----a-w-        c:\programme\DVDVideoSoftTB\tbDVDV.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2011-01-17 14:54        175912        ----a-w-        c:\programme\softonic-de3\prxtbsof0.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2011-02-01 17:17        1487240        ----a-w-        c:\programme\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\prxtbsof0.dll" [2011-01-17 175912]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2011-02-01 1487240]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "c:\programme\softonic-de3\prxtbsof0.dll" [2011-01-17 175912]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2011-02-01 1487240]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="d:\eigene dateien\ICQ7.0\ICQ.exe" [2011-01-05 133432]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944]
"jv16 PT TempFileTool"="c:\programme\jv16 PowerTools\Plug-Ins\TempTool.exe" [2003-02-01 680448]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 08:38        209153        ----a-w-        c:\programme\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 20:12        3872080        ----a-w-        c:\programme\Windows Live\Messenger\msnmsgr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Eigene Dateien\\ICQ7.0\\ICQ.exe"=
"d:\\Eigene Dateien\\ICQ7.0\\aolload.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
.
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [18.07.2006 09:32 284184]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [18.07.2006 09:32 91672]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.02.2010 17:25 108289]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.12.2010 23:33 136176]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://eis.esnips.com/page/search/?client_uuid=bda82ac0-85c3-4b48-b0d2-41fde8d1391d
mStart Page = hxxp://eis.esnips.com/page/search/?client_uuid=bda82ac0-85c3-4b48-b0d2-41fde8d1391d
IE: Free YouTube Download - c:\dokumente und einstellungen\Sarah\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Sarah\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ll1kg2pv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://eis.esnips.com/page/search_provider/?client_uuid=bda82ac0-85c3-4b48-b0d2-41fde8d1391d&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{C689C99E-3A8C-4c87-A79C-C80DC9C81632} - (no file)
HKCU-Run-Lluyobilobakamo - c:\windows\shomsr.dll
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-05-08 22:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1343024091-1177238915-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D7B7827B-6201-FEC0-6B50-0E0B201074EF}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iagcpfecobhhnnogmg"=hex:6b,61,6d,6c,62,66,6a,69,6c,67,6b,6a,6a,6b,66,65,6f,63,
  67,6e,6a,63,00,00
"haaffgkceihanpka"=hex:6b,61,6d,6c,6e,66,66,6a,70,63,67,64,69,67,62,65,62,67,
  6f,62,65,68,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(7880)
c:\programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\windows\system32\wscntfy.exe
c:\programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-08  22:27:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-05-08 20:27
.
Vor Suchlauf: 6 Verzeichnis(se), 26.041.569.280 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 26.727.559.168 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - F2BE3CF8EA9E8A56247D3F27D84C0DFD
--- --- ---

Seungho 09.05.2011 18:42
Ich hoffe das dies die richtige Datei ist, da mein Computer ungefähr 45 Minuten dafür brauchte.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131