| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)Windows 7 Hier gehören alle Fragen zum Thema Trojaner, Viren, Würmer, Dialer, Spyware und andere Plagegeister hinein. |
 |
30.08.2008, 02:44
| #11 (permalink) |
 Registriert seit: 27.06.2008
Beiträge: 37
|  AW: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) hallo karl, hallo root.. ist ja nun schon passiert und hat immerhin das problem (augenscheinlich) gelöst. malwareb hat aber trotzdem noch einen kaputten oder infizierten exlorer gefunden. was nun? was genau ist mit zonealarm passiert? ich dachte immer das ist n gutes programm.. mmh.. gibts bessere alternativen um zu kontrollieren, welches programm ins netz geht? Code: Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1062 Windows 5.1.2600 Service Pack 2 01:40:04 30.08.2008 mbam-log-08-30-2008 (01-39-56).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 129939 Laufzeit: 58 minute(s), 24 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\explorer.ex_ (Heuristics.Reserved.Word.Exploit) -> No action taken. Geändert von sonjarocket (30.08.2008 um 03:00 Uhr) |
|  |
|
30.08.2008, 02:57
| #12 (permalink) |
| Registriert seit: 27.06.2008
Beiträge: 37
| AW: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) hey root.. sorry, hab das mit dem #code nicht gecheckt. nächstes mal.. das mit dem listing funktioniert irgendwie nicht. doppelklick auf die cmd datei, da öffnet sich der texteditor, aber passiert nichts weiter. also zumindest ist diese textdatei so klein, dass ich nicht glaube, dass du das meinst.. Code: echo LISTING FILE von root24; 28.01.2008 > %temp%\listing.txt echo "------ SYSTEMROOT ---" >> %temp%\listing.txt %systemdrive% cd\ dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ SYSTEM32 ---" >> %temp%\listing.txt cd %windir% cd system32 dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt cd %windir% cd "Downloaded Installations" dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt cd %windir% cd "Downloaded Program Files" dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt cd %windir% cd system32 cd drivers dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ PREFETCH ---" >> %temp%\listing.txt cd %windir% cd prefetch dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ TASKS ---" >> %temp%\listing.txt cd %windir% cd tasks dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ WINDIR ---" >> %temp%\listing.txt cd %windir% dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt cd system dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt cd %windir% cd temp dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ USER\TEMP ---" >> %temp%\listing.txt cd %temp% dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ PROGRAMS ---" >> %temp%\listing.txt cd %programfiles% dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ ALLUSERS ---" >> %temp%\listing.txt cd %allusersprofile% cd anwendungsdaten dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ USERS ---" >> %temp%\listing.txt cd %userprofile% cd anwendungsdaten dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt cd %temp% copy /y listing.txt "%userprofile%"\desktop\listing.txt |
|
| |
|
30.08.2008, 11:10
| #13 (permalink) |
| Gast
Beiträge: n/a
| AW: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) Wenn Du die listing8.cmd doppellickst, öffnet sich dan nur der von Dir gepostete Inhalt? So sollte das eigentlich nicht sein. Hast Du denn per Rechtsklick die Datei auf Deinen Desktop heruntergladen? |
| |
|
30.08.2008, 11:21
| #14 (permalink) |
| Gast
Beiträge: n/a
|  AW: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\WINDOWS\system32\drivers\pavboot.sys C:\WINDOWS\system32\drivers\sbhr.sys C:\WINDOWS\system32\drivers\sbapifs.sys H:\system.exe |
| |
|
30.08.2008, 15:43
| #15 (permalink) |
| Registriert seit: 27.06.2008
Beiträge: 37
| AW: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) Code: Datei pavboot.sys empfangen 2008.08.30 14:35:54 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/35 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 37 und 53 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.29.0 2008.08.29 - AntiVir 7.8.1.23 2008.08.29 - Authentium 5.1.0.4 2008.08.30 - Avast 4.8.1195.0 2008.08.30 - AVG 8.0.0.161 2008.08.29 - BitDefender 7.2 2008.08.30 - CAT-QuickHeal 9.50 2008.08.29 - ClamAV 0.93.1 2008.08.30 - DrWeb 4.44.0.09170 2008.08.30 - eSafe 7.0.17.0 2008.08.28 - eTrust-Vet 31.6.6057 2008.08.29 - Ewido 4.0 2008.08.30 - F-Prot 4.4.4.56 2008.08.29 - F-Secure 7.60.13501.0 2008.08.30 - Fortinet 3.14.0.0 2008.08.30 - GData 19 2008.08.30 - Ikarus T3.1.1.34.0 2008.08.30 - K7AntiVirus 7.10.432 2008.08.29 - Kaspersky 7.0.0.125 2008.08.30 - McAfee 5373 2008.08.29 - Microsoft 1.3807 2008.08.25 - NOD32v2 3401 2008.08.30 - Norman 5.80.02 2008.08.29 - Panda 9.0.0.4 2008.08.30 - PCTools 4.4.2.0 2008.08.30 - Prevx1 V2 2008.08.30 - Rising 20.59.51.00 2008.08.30 - Sophos 4.33.0 2008.08.30 - Sunbelt 3.1.1592.1 2008.08.30 - Symantec 10 2008.08.30 - TheHacker 6.3.0.6.068 2008.08.30 - TrendMicro 8.700.0.1004 2008.08.29 - ViRobot 2008.8.30.1357 2008.08.30 - VirusBuster 4.5.11.0 2008.08.29 - Webwasher-Gateway 6.6.2 2008.08.29 - weitere Informationen File size: 28544 bytes MD5...: 210a628a0d7b3f45257850efbff27538 SHA1..: 9220768745cd6b2e22554f41425aae1e889dd5a0 SHA256: 65b059bd5f783cd05e2d5df818d15b93bd5e8ff72eeb436dffa5de197283d8a8 SHA512: e4f56c9d98fe97012439ed373bf416ea8cf5f9ef7dc6f1979c3552b4c9d14224 d2a08a490bc33d7e14e3da2dceda71bf51c10bc1413da34dbbc6197e49a5f1c6 PEiD..: - TrID..: File type identification Win32 Executable Generic (51.1%) Win16/32 Executable Delphi generic (12.4%) Clipper DOS Executable (12.1%) Generic Win/DOS Executable (12.0%) DOS Executable Generic (12.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x14605 timedatestamp.....: 0x485a79d4 (Thu Jun 19 15:23:00 2008) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x480 0x3d10 0x3d80 6.27 aceb04c2dd830a6e55db29424bcc90e8 .rdata 0x4200 0x214 0x280 3.52 85ffd97bc4afe229f73bb32eda57de9c .data 0x4480 0x180 0x180 0.21 b26d6caa04f4b123fdc98b003a534973 INIT 0x4600 0x7c0 0x800 5.32 3cd24a5602ef4736306dd67efcf7071e .rsrc 0x4e00 0x300 0x300 3.23 0394a03f82ecfafc4165624ef0b7db99 .reloc 0x5100 0x432 0x480 5.73 d4800e59da919a2d613a076e4d756156 ( 2 imports ) > ntoskrnl.exe: InitSafeBootMode, strncmp, PsGetVersion, ExAllocatePoolWithTag, IoGetCurrentProcess, memcpy, memset, ExFreePoolWithTag, IoDeleteDevice, ZwClose, ZwQueryValueKey, ZwOpenKey, RtlAppendUnicodeToString, RtlCopyUnicodeString, ZwSetValueKey, ZwCreateKey, RtlAppendUnicodeStringToString, RtlCompareUnicodeString, ObQueryNameString, ZwQuerySymbolicLinkObject, RtlFreeUnicodeString, ZwOpenSymbolicLinkObject, RtlAnsiStringToUnicodeString, RtlInitAnsiString, MmIsAddressValid, _stricmp, strncpy, PsSetCreateProcessNotifyRoutine, IofCallDriver, IofCompleteRequest, PsGetCurrentThreadId, ExQueueWorkItem, IoAttachDeviceToDeviceStack, RtlInitUnicodeString, ObfReferenceObject, ObfDereferenceObject, IoDetachDevice, RtlFreeAnsiString, RtlCompareString, sprintf, RtlUnicodeStringToAnsiString, IoGetDeviceObjectPointer, IoRegisterFsRegistrationChange, NtOpenProcessToken, RtlCopySid, RtlLengthSid, NtQueryInformationToken, NtQuerySecurityObject, NtSetSecurityObject, RtlSetOwnerSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, RtlCreateSecurityDescriptor, ZwDeleteKey, ZwReadFile, ZwWriteFile, ZwQueryInformationFile, wcsncpy, ZwSetInformationFile, ZwCreateFile, ZwDeleteFile, NtQueryDirectoryFile, _wcsicmp, KeTickCount, KeBugCheckEx, IoCreateDevice, IoCreateSymbolicLink, KeDelayExecutionThread, IoDeleteSymbolicLink, RtlUnwind > HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql ( 0 exports ) |
|
| |
|
30.08.2008, 15:48
| #16 (permalink) |
| Registriert seit: 27.06.2008
Beiträge: 37
| AW: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) Code: Datei sbhr.sys empfangen 2008.08.30 14:45:56 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 37 und 53 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.29.0 2008.08.29 - AntiVir 7.8.1.23 2008.08.29 - Authentium 5.1.0.4 2008.08.30 - Avast 4.8.1195.0 2008.08.30 - AVG 8.0.0.161 2008.08.29 - BitDefender 7.2 2008.08.30 - CAT-QuickHeal 9.50 2008.08.29 - ClamAV 0.93.1 2008.08.30 - DrWeb 4.44.0.09170 2008.08.30 - eSafe 7.0.17.0 2008.08.28 - eTrust-Vet 31.6.6057 2008.08.29 - Ewido 4.0 2008.08.30 - F-Prot 4.4.4.56 2008.08.29 - F-Secure 7.60.13501.0 2008.08.30 - Fortinet 3.14.0.0 2008.08.30 - GData 19 2008.08.30 - Ikarus T3.1.1.34.0 2008.08.30 - K7AntiVirus 7.10.432 2008.08.29 - Kaspersky 7.0.0.125 2008.08.30 - McAfee 5373 2008.08.29 - Microsoft 1.3807 2008.08.25 - NOD32v2 3401 2008.08.30 - Norman 5.80.02 2008.08.29 - Panda 9.0.0.4 2008.08.30 - PCTools 4.4.2.0 2008.08.30 - Prevx1 V2 2008.08.30 - Rising 20.59.51.00 2008.08.30 - Sophos 4.33.0 2008.08.30 - Sunbelt 3.1.1592.1 2008.08.29 - Symantec 10 2008.08.30 - TheHacker 6.3.0.6.068 2008.08.30 - TrendMicro 8.700.0.1004 2008.08.29 - VBA32 3.12.8.4 2008.08.30 - ViRobot 2008.8.30.1357 2008.08.30 - VirusBuster 4.5.11.0 2008.08.29 - Webwasher-Gateway 6.6.2 2008.08.29 - weitere Informationen File size: 15544 bytes MD5...: c6ea8d8c6442648746f69e3d75cacf98 SHA1..: 0a8c657bfbb5e2f6a90973dc3f802c7a54ca237a SHA256: 019c89f35268bf32c3d9ebbcb372cfcf21e2112738b83ad32d4a6d5bbfeae73c SHA512: 34e6f995101e5dd8783259c0e2a1143bacf3d57cb39ce84dcb2f14dedc18aba0 c51af4a4fb53598f3eda60f952003df7e8454878db018f0e14d81e2a2661c123 PEiD..: - TrID..: File type identification Win32 Executable Generic (58.4%) Clipper DOS Executable (13.8%) Generic Win/DOS Executable (13.7%) DOS Executable Generic (13.7%) VXD Driver (0.2%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x11905 timedatestamp.....: 0x466e9c94 (Tue Jun 12 13:16:04 2007) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x480 0x106d 0x1080 6.28 11e48b0725253363ee322fe62d387227 .rdata 0x1500 0x198 0x200 3.57 977cd854fb9fecbcd6a31b8232e8d3e5 .data 0x1700 0x1cc 0x200 0.82 4dae837e757321cc61c2bbbf4b96c3f9 INIT 0x1900 0x2e6 0x300 5.25 1a43e83e510a713bc6752cead6aff0b9 .rsrc 0x1c00 0x320 0x380 3.02 2064ecf971fdf082402cfbddc06e8119 .reloc 0x1f80 0x1de 0x200 5.71 986285fa2b5f0fc6b315a794e6aa5662 ( 2 imports ) > ntoskrnl.exe: DbgPrint, sprintf, IoDeleteSymbolicLink, IoDeleteDevice, PsSetLoadImageNotifyRoutine, PsSetCreateProcessNotifyRoutine, ZwQueryKey, ZwCreateKey, ZwSetValueKey, ZwClose, ZwOpenKey, ExFreePoolWithTag, MmUnmapLockedPages, MmMapLockedPages, MmBuildMdlForNonPagedPool, MmCreateMdl, ExAllocatePool, KeServiceDescriptorTable, memset, KeTickCount, KeBugCheckEx, IoCreateDevice, IofCompleteRequest, RtlUnwind > HAL.dll: KfReleaseSpinLock, KfAcquireSpinLock ( 0 exports ) |
|
| |
|
30.08.2008, 15:52
| #17 (permalink) |
| Registriert seit: 27.06.2008
Beiträge: 37
| AW: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) hey root.. C:\WINDOWS\system32\drivers\sbapifs.sys und H:\system.exe konnten nicht gefunden werden. H:\ gibts nicht und die andere Datei auch nicht.. ?! gibts was neues bzgl zonealarm? lieben gruss, s. |
|
| |
|
30.08.2008, 20:06
| #18 (permalink) |
| > Helfer-Team    Registriert seit: 30.05.2006 Ort: Berlin :(
Beiträge: 2.021
| AW: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) Es wurde jemand informiert, der wiederum Kontakt zum Programmierer von Combofix hat. Wie schnell oder langsam dieser Kanal jetzt ist, weiß ich nicht. Wer auf Zonealarm nicht verzichten will nachdem das "Unglück" bereits passiert ist, installiert am besten neu (also Zonealarm). Bei der Benachrichtigung an den Programmierer geht es vor allen darum, dass das in Zukunft nicht mehr passiert. |
|
| |
|
31.08.2008, 01:19
| #19 (permalink) |
| Registriert seit: 27.06.2008
Beiträge: 37
| AW: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) ah okay.. und ansonsten? ist bei meinem rechnern nun alles wieder in ordnung? anbei nochmal mein aktuelles logfile von hijackthis: Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:15:31, on 31.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\AvidSDMService.exe C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Digidesign\Drivers\MMERefresh.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\lxcicoms.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sony\VAIO Event Service\VESMgr.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Sony\ISB Utility\ISBMgr.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe C:\Programme\Sony\VAIO Power Management\SPMgr.exe C:\Programme\Protector Suite QL\menusw.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Search Settings\SearchSettings.exe C:\Programme\Winamp\winampa.exe C:\Programme\Lexmark 7300 Series\lxcimon.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Lexmark 7300 Series\ezprint.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\RauchFrei\RauchFrei.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Norton Save and Restore\Agent\VProSvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Trend Micro\HijackThis\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.club-vaio.com/ R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe O4 - HKLM\..\Run: [VAIO Update 3] "C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" /Stationary O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe" O4 - HKLM\..\Run: [Biomenu] "C:\Programme\Protector Suite QL\menusw.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Programme\Digidesign\Drivers\MMERefresh.exe O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Norton Save and Restore 2.0] "C:\Programme\Norton Save and Restore\Agent\VProTray.exe" O4 - HKLM\..\Run: [lxcimon.exe] "C:\Programme\Lexmark 7300 Series\lxcimon.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 7300 Series\ezprint.exe" O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SWR3RauchFrei] "C:\Programme\RauchFrei\RauchFrei.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.com O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Drivers\MMERefresh.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Desktop Manager 5.7.801.1629 (GoogleDesktopManager-010108-205858) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe O23 - Service: Norton Save and Restore - Symantec Corporation - C:\Programme\Norton Save and Restore\Agent\VProSvc.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 13378 bytes |
|
| |
|
keine Windows Updates mehr möglich / statt update.microsoft.com öffnet sich google
Hijacker / HiJackThis Logs posten - Antworten: 5, 17.02.2009, 08:00
IE 7 öffnet automatisch chinesische Seite / Rechner lahmt
Hijacker / HiJackThis Logs posten - Antworten: 2, 18.06.2008, 19:26
IE öffnet automatisch zweite Seite
Hijacker / HiJackThis Logs posten - Antworten: 16, 15.05.2008, 15:49
IE öffnet eine Seite automatisch
Hijacker / HiJackThis Logs posten - Antworten: 5, 17.01.2005, 18:18
ungewollte Seite öffnet sich automatisch
Plagegeister aller Art und deren Bekämpfung - Antworten: 5, 02.01.2005, 14:32
