Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HILFE! Google-Links - Umleitung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.02.2008, 23:46   #1
dicker2204
 
HILFE! Google-Links - Umleitung - Standard

HILFE! Google-Links - Umleitung



Hi!
Bin auch neu hier - habe ein Problem, das anscheinend auch schon viele vor mir hatten...
Habe deshalb die Anweisungen an ein anderes Opfer gleich befolgt und sämtliche files angehängt, die Ihr wahrscheinlich sehen wollt...
Das Problem ist: bei Klick auf einen Google-Link komme ich auch immer auf daily-search.com oder sonstigen sch....
außerdem wird angezeigt, daß meine c-festplatte, die eigentlich mal 100 gb hatte, nur noch aus 29,2 mb besteht und bereits voll wäre....
vor einigen tagen war sie das allerdings noch nicht, da der computer grade mal 2 monate alt ist...
des weiteren öffnet sich hin und wieder in der toolbar unten rechts ein fenster, das behauptet, ich hätte sex-inhalte auf meinem computer!!
BITTE, BITTE helft mir rasch - ich nutze nämlich auch e-banking etc.
dürfte mir das ding eingefangen haben, als ich ein spiel über limewire runtergeladen habe. *selber schuld*.
der neue norton und sämtliche anderen virenprogramme haben leider auch nix gebracht.
Schon mal Danke im Voraus!
lg
dicker2204

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"AdwareAlert" = "C:\Programme\AdwareAlert\AdwareAlert.exe -boot" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"Persistence" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"Acrobat Assistant 7.0" = ""C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"" ["Adobe Systems Inc."]
"(Default)" = (empty string) [file not found]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"osCheck" = ""C:\Programme\Norton AntiVirus\osCheck.exe"" ["Symantec Corporation"]
"HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Co."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{0347C33E-8762-4905-BF09-768834316C61}\(Default) = "HP Print Enhancer"
-> {HKLM...CLSID} = "HP Print Enhancer"
\InProcServer32\(Default) = "C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll" ["Hewlett-Packard Co."]
{053F9267-DC04-4294-A72C-58F732D338C0}\(Default) = (no title provided)
-> {HKLM...CLSID} = "HP Print Clips"
\InProcServer32\(Default) = "C:\Programme\HP\Smart Web Printing\hpswp_framework.dll" ["Hewlett-Packard Co."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{4ECBC9A4-80A6-4409-8F68-BD6FE0C53377}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\capico.dll" [null data]
{6D53EC84-6AAE-4787-AEEE-F4628F01010C}\(Default) = "Symantec Intrusion Prevention"
-> {HKLM...CLSID} = "Symantec Intrusion Prevention"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll" ["Symantec Corporation"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEToolbarHelper Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}" = "Sophos Anti-Virus Shell Extension"
-> {HKLM...CLSID} = "ContextMenuHandler Class"
\InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL" ["Sophos Plc"]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
-> {HKLM...CLSID} = "ContextMenuHandler Class"
\InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\PROGRA~1\NORTON~1\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
-> {HKLM...CLSID} = "ContextMenuHandler Class"
\InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
-> {HKLM...CLSID} = "ContextMenuHandler Class"
\InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\PROGRA~1\NORTON~1\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssstars.scr" [MS]


Startup items in "***" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
"Outlook" -> shortcut to: "C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe" [null data]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"AutoUpdate Monitor" -> shortcut to: "C:\Programme\Sophos\AutoUpdate\ALMon.exe" ["Sophos Plc"]


Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Systemprüfung ausführen - ***" -> launches: "C:\Programme\Norton AntiVirus\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Classes\CLSID\{315108E4-E3AF-460F-B264-F2ACC9E1ACEB}\(Default) = "SE Sidebar"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\WINDOWS\system32\mysidesearch_sidebar.dll" [file not found]

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{58ECB495-38F0-49CB-A538-10282ABF65E7}\
"ButtonText" = "HP Sammelmappe"
"CLSIDExtension" = "{E763472E-A716-4CD9-89BD-DBDA6122F741}"
-> {HKLM...CLSID} = "ClipBookBtn Class"
\InProcServer32\(Default) = "C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll" ["Hewlett-Packard Co."]

{700259D7-1666-479A-93B1-3250410481E8}\
"ButtonText" = "HP Intelligente Auswahl"
"CLSIDExtension" = "{A93C41D8-01F8-4F8B-B14C-DE20B117E636}"
-> {HKLM...CLSID} = "EnhSelectionBtn Class"
\InProcServer32\(Default) = "C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll" ["Hewlett-Packard Co."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft"]
Adobe LM Service, Adobe LM Service, ""C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe"" ["Adobe Systems"]
Automatisches LiveUpdate - Scheduler, Automatic LiveUpdate Scheduler, "C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe" ["Symantec Corporation"]
HP CUE DeviceDiscovery Service, hpqddsvc, "C:\WINDOWS\system32\svchost.exe -k hpdevmgmt" {"C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll" ["Hewlett-Packard Co."]}
hpqcxs08, hpqcxs08, "C:\WINDOWS\system32\svchost.exe -k hpdevmgmt" {"C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll" ["Hewlett-Packard Co."]}
LiveUpdate Notice, LiveUpdate Notice, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
Net Driver HPZ12, Net Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZinw12.dll" ["Hewlett-Packard"]}
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZipm12.dll" ["Hewlett-Packard"]}
Sophos Anti-Virus, SAVService, ""C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe"" ["Sophos Plc"]
Sophos Anti-Virus Statusreporter, SAVAdminService, ""C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe"" ["Sophos Plc"]
Sophos AutoUpdate Service, Sophos AutoUpdate Service, "C:\Programme\Sophos\AutoUpdate\ALsvc.exe" ["Sophos Plc"]
Symantec Core LC, Symantec Core LC, "C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Symantec Lic NetConnect service, CLTNetCnService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
LIDIL hpzll5ha\Driver = "hpzll5ha.dll" ["Hewlett-Packard Company"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2008-02-06 00:22:54)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.



Rest im nächsten eintrag!

Alt 05.02.2008, 23:49   #2
dicker2204
 
HILFE! Google-Links - Umleitung - Standard

HILFE - Google-Links - Umleitung -die zweite-



Logfile of HijackThis v1.99.1
Scan saved at 23:42:53, on 05.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HP\Smart Web Printing\hpswp_clipbook.exe
D:\HiJackThis\HijackThis.exe

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4ECBC9A4-80A6-4409-8F68-BD6FE0C53377} - C:\WINDOWS\system32\capico.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdwareAlert] C:\Programme\AdwareAlert\AdwareAlert.exe -boot
O4 - Startup: Outlook.lnk = ?
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CBB-4753

Verzeichnis von C:\

05.02.2008 22:26 2.145.386.496 pagefile.sys
05.02.2008 22:26 657 aaw7boot.log
20.01.2008 20:35 1.119 INSTALL.LOG
14.01.2008 19:53 0 CONFIG.SYS
14.01.2008 19:53 0 MSDOS.SYS
14.01.2008 19:53 0 AUTOEXEC.BAT
14.01.2008 19:53 0 IO.SYS
14.01.2008 19:49 211 boot.ini
05.08.2004 13:00 251.184 ntldr
05.08.2004 13:00 47.564 NTDETECT.COM
05.08.2004 13:00 4.952 bootfont.bin
10.01.2001 12:23 162.304 UNWISE.EXE
12 Datei(en) 2.145.854.487 Bytes
0 Verzeichnis(se), 170.635.264 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CBB-4753

Verzeichnis von C:\WINDOWS\system32

05.02.2008 22:31 40.972 perfc009.dat
05.02.2008 22:31 314.644 perfh009.dat
05.02.2008 22:31 320.424 perfh007.dat
05.02.2008 22:31 49.372 perfc007.dat
05.02.2008 22:31 732.342 PerfStringBackup.INI
04.02.2008 23:24 2.206 wpa.dbl
01.02.2008 23:23 40.730 superiorads-uninst.exe
28.01.2008 19:40 5.686 jupdate-1.6.0_03-b05.log
27.01.2008 22:43 241.536 FNTCACHE.DAT
26.01.2008 23:04 4.924 jupdate-1.6.0_02-b06.log
26.01.2008 00:02 60.800 S32EVNT1.DLL
15.01.2008 02:48 0 h323log.txt
14.01.2008 20:40 23.392 nscompat.tlb
14.01.2008 20:40 16.832 amcompat.tlb
14.01.2008 20:10 940.794 LoopyMusic.wav
14.01.2008 20:10 146.650 BuzzingBee.wav
14.01.2008 19:55 261 $winnt$.inf
14.01.2008 19:53 2.951 CONFIG.NT
14.01.2008 19:52 488 logonui.exe.manifest
14.01.2008 19:52 488 WindowsLogon.manifest
14.01.2008 19:52 749 sapi.cpl.manifest
14.01.2008 19:52 749 cdplayer.exe.manifest
14.01.2008 19:52 749 ncpa.cpl.manifest
14.01.2008 19:52 749 nwc.cpl.manifest
14.01.2008 19:52 749 wuaucpl.cpl.manifest
14.01.2008 19:51 21.740 emptyregdb.dat



2009 Datei(en) 369.576.586 Bytes
0 Verzeichnis(se), 170.508.288 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CBB-4753

Verzeichnis von C:\WINDOWS\Prefetch

06.02.2008 00:24 18.134 NOTEPAD.EXE-336351A9.pf
06.02.2008 00:24 43.206 WINRAR.EXE-3588DFE8.pf
06.02.2008 00:22 68.392 WMIPRVSE.EXE-28F301A9.pf
05.02.2008 23:54 12.716 ADOBELM_CLEANUP.0001-2E88F244.pf
05.02.2008 23:54 69.458 ADOBELMSVC.EXE-0665217B.pf
05.02.2008 23:52 74.564 WINWORD.EXE-3395695A.pf
05.02.2008 23:52 91.426 OUTLOOK.EXE-14C4968A.pf
05.02.2008 23:46 99.638 ACROBAT.EXE-02E9AE67.pf
05.02.2008 23:34 15.500 HPSWP_CLIPBOOK.EXE-364E35B1.pf
05.02.2008 23:34 75.074 IEXPLORE.EXE-2CA9778D.pf
05.02.2008 23:32 14.222 NMBGMONITOR.EXE-0BC10095.pf
05.02.2008 23:32 41.226 NMIndexStoreSvr.exe-1DBCF9FD.pf
05.02.2008 23:31 49.142 ACROBATINFO.EXE-2A2FB9E7.pf
05.02.2008 23:17 21.572 SSSTARS.SCR-2D6FC20D.pf
05.02.2008 23:00 131.762 MSIEXEC.EXE-2F8A8CAE.pf
05.02.2008 22:53 15.262 REGSVR32.EXE-25EEFE2F.pf
05.02.2008 22:48 129.688 NAVW32.EXE-20C61389.pf
05.02.2008 22:47 54.152 SSAUTORN.EXE-125390C0.pf
05.02.2008 22:42 82.488 RUNDLL32.EXE-37A7C420.pf
05.02.2008 22:42 34.616 AUPDATE.EXE-089630E1.pf
05.02.2008 22:42 67.816 LUCALLBACKPROXY.EXE-0B5F632D.pf
05.02.2008 22:42 55.630 LUCOMSERVER_3_4.EXE-34438721.pf
05.02.2008 22:31 33.670 WMIADAP.EXE-2DF425B2.pf
05.02.2008 22:28 1.773.234 NTOSBOOT-B00DFAAD.pf
05.02.2008 00:29 21.336 LOGONUI.EXE-0AF22957.pf
05.02.2008 00:18 76.758 MCUI32.EXE-316ABBA2.pf
04.02.2008 23:47 79.744 IGFXSRVC.EXE-2FB63FE8.pf
04.02.2008 23:46 91.514 COH32.EXE-1453A4B6.pf
04.02.2008 23:45 56.372 RUNDLL32.EXE-1BC55A4F.pf
04.02.2008 23:40 39.934 SYMLCSVC.EXE-221DC953.pf
04.02.2008 23:40 10.242 SYMLCSV1.EXE-0EE21BE3.pf
04.02.2008 01:35 11.108 HPQUSGL.EXE-1D5E2061.pf
04.02.2008 01:26 17.102 IMAPI.EXE-0BF740A4.pf
04.02.2008 01:26 11.734 RUNDLL32.EXE-451FC2C0.pf
04.02.2008 01:21 70.788 NERO.EXE-2031B565.pf
04.02.2008 01:21 70.626 NEROSTARTSMART.EXE-0A488AA3.pf
04.02.2008 01:18 33.446 OSA.EXE-000C604A.pf
04.02.2008 01:16 52.406 DRWTSN32.EXE-2B4B52AC.pf
04.02.2008 01:16 99.566 MYMP3.EXE-1308E232.pf
04.02.2008 01:03 72.984 LIMEWIRE.EXE-1CE6208C.pf
04.02.2008 01:01 68.508 SHOWTIME.EXE-1713ECDC.pf
03.02.2008 14:28 15.186 AU_.EXE-0315491E.pf
03.02.2008 14:15 31.292 TASKMGR.EXE-20256C55.pf
02.02.2008 00:30 23.262 UISTUB2.EXE-21EAEB4C.pf
02.02.2008 00:00 75.070 RUNDLL32.EXE-1D873B11.pf
01.02.2008 23:39 13.920 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
01.02.2008 23:39 21.860 GOOGLETOOLBARNOTIFIER.EXE-18F4DAD0.pf
01.02.2008 23:31 21.038 GAMEINSTLR.EXE-31580682.pf
01.02.2008 23:30 13.364 UNINSTALL.EXE-3A184E84.pf
01.02.2008 23:30 40.220 EMERALDTALE.EXE-020F31D5.pf
01.02.2008 23:29 20.670 CC.EX_-1544767F.pf
01.02.2008 23:29 22.864 SETUP.EXE-119427C0.pf
01.02.2008 23:28 24.176 NAVSHCOM.EXE-1041A7EA.pf
01.02.2008 23:25 25.668 RUNDLL32.EXE-39AF94A7.pf
01.02.2008 23:25 25.668 RUNDLL32.EXE-1AB5ED34.pf
01.02.2008 23:25 25.668 RUNDLL32.EXE-1C9A5F5D.pf
01.02.2008 23:25 25.680 RUNDLL32.EXE-38918709.pf
01.02.2008 23:25 57.972 RUNDLL32.EXE-14C9B6D8.pf
01.02.2008 23:24 3.384 STUB.EXE-381D26C9.pf
01.02.2008 23:24 25.266 50.EX_-2C7A7792.pf
01.02.2008 23:24 16.214 WHINSTALLER.EXE-10AB5B4F.pf
01.02.2008 23:24 24.668 66.EX_-0736990E.pf
01.02.2008 23:23 15.626 RUNDLL32.EXE-2B816CCC.pf
01.02.2008 23:23 11.072 TMP19.TMP.EXE-0BF8C1A5.pf
01.02.2008 23:23 22.680 GAMES.EXE-188DDBFD.pf
01.02.2008 23:23 16.154 BANN.EXE-2060921A.pf
01.02.2008 23:23 20.250 ADW.EXE-388A062D.pf
01.02.2008 15:53 20.700 GOOGLETOOLBAR-DE.EXE-23FDB57B.pf
01.02.2008 15:53 25.650 MSI1A.TMP-1E7AAE3F.pf
01.02.2008 15:53 12.900 SWG1C.TMP-2151200A.pf
01.02.2008 15:53 13.188 GUS1B.TMP-00469681.pf
01.02.2008 15:53 52.116 ZGI13.TMP-2BCF2DFA.pf
01.02.2008 14:49 82.458 EMERALDTALE.DLL-05C70574.pf
01.02.2008 14:49 53.032 EMERALDTALEDOWNLOAD[1].EXE-16450E0F.pf
01.02.2008 14:19 85.150 EXCEL.EXE-0DC93B7A.pf
01.02.2008 14:18 31.116 START.EXE-2629DD07.pf
01.02.2008 14:13 84.074 EXPLORER.EXE-082F38A9.pf
01.02.2008 14:13 18.560 SETUP.EXE-393E66AE.pf
01.02.2008 14:09 14.178 SYMLCSV1.EXE-09DC115C.pf
01.02.2008 14:05 19.854 COHUPDT.EXE-30954EA4.pf
01.02.2008 14:04 45.190 DFRGNTFS.EXE-269967DF.pf
01.02.2008 14:04 14.920 DEFRAG.EXE-273F131E.pf
01.02.2008 14:04 389.738 Layout.ini
01.02.2008 13:55 37.628 SYMCUW.EXE-361E6BB0.pf
31.01.2008 23:42 31.770 IDSINST.EXE-063B5EEB.pf
30.01.2008 22:22 99.878 HELPSVC.EXE-2878DDA2.pf
30.01.2008 22:07 18.850 COHUPDT.EXE-2D0E3492.pf
29.01.2008 18:54 59.756 ACDSEEQV.EXE-05193191.pf
29.01.2008 18:48 20.560 AOM.EXE-04CC7735.pf
29.01.2008 18:47 61.658 PHOTOSHOPELEMENTS.EXE-1C90DCCB.pf
29.01.2008 18:47 14.958 RUNDLL32.EXE-32EAD1E4.pf
28.01.2008 21:22 34.526 RUNDLL32.EXE-1EC44590.pf
28.01.2008 21:22 33.164 RUNDLL32.EXE-2C91C5F9.pf
28.01.2008 21:22 34.966 RUNDLL32.EXE-1E7EF4A8.pf
28.01.2008 21:21 65.948 CCSVCHST.EXE-33FAFF2F.pf
28.01.2008 21:21 8.872 CCAPP.EXE-2EA3695D.pf
28.01.2008 21:15 12.490 SOL.EXE-1C0C14EB.pf
28.01.2008 20:57 17.226 RUNDLL32.EXE-3B3D8EB0.pf
28.01.2008 20:56 22.144 NTVDM.EXE-1A10A423.pf
28.01.2008 20:18 32.834 RUNDLL32.EXE-1CB9B650.pf
28.01.2008 20:01 31.904 RUNDLL32.EXE-2CA17584.pf
28.01.2008 20:01 32.616 RUNDLL32.EXE-17E38B97.pf
28.01.2008 19:40 36.032 JAVAW.EXE-2826389B.pf
28.01.2008 19:39 29.078 PATCHJRE.EXE-203CCF34.pf
28.01.2008 19:39 5.868 JAVA.EXE-0967259C.pf
28.01.2008 19:39 9.398 UNPACK200.EXE-09A3E822.pf
28.01.2008 19:39 5.898 LAUNCHER.EXE-1ACDCBCD.pf
28.01.2008 19:39 97.582 ZIPPER.EXE-0236362E.pf
28.01.2008 19:38 24.928 JINSTALL.EXE-00882ED7.pf
28.01.2008 19:24 29.674 MMC.EXE-3D93B3AE.pf
28.01.2008 19:24 24.484 SVCHOST.EXE-3530F672.pf
27.01.2008 22:56 64.856 NEROVISION.EXE-0D954CB8.pf
27.01.2008 22:54 38.518 NEROMEDIAHOME.EXE-000777FA.pf
27.01.2008 22:48 10.242 IGFXEXT.EXE-20973E2B.pf
27.01.2008 22:48 6.844 JAVA.EXE-1980726E.pf
27.01.2008 22:48 44.926 MOVIEMK.EXE-26DF9BB8.pf
27.01.2008 22:45 35.912 POWERDVD.EXE-35D9A3BA.pf
27.01.2008 22:44 20.898 HPRBLOG.EXE-20CD9551.pf
27.01.2008 22:44 22.402 HPQSTE08.EXE-1E91DFAA.pf
27.01.2008 22:07 40.052 PHOTOSNAPVIEWER.EXE-1BCDA4AE.pf
27.01.2008 21:54 21.604 MSPAINT.EXE-11CBB631.pf
27.01.2008 21:32 33.602 DREAMWEAVER.EXE-1FFDC856.pf
27.01.2008 21:31 31.192 IDRIVER.EXE-28F432B1.pf
27.01.2008 21:30 48.820 DW_CLIENT_INSTALLER.EXE-3115E0D0.pf
27.01.2008 21:29 10.752 DREAMWEAVER8-DE.EXE-15E131F2.pf
27.01.2008 21:17 29.804 RUNDLL32.EXE-1720125D.pf
27.01.2008 14:13 19.538 RUNDLL32.EXE-45694CB8.pf
27.01.2008 14:11 32.110 MMC.EXE-39071BCC.pf
27.01.2008 14:10 30.824 RUNDLL32.EXE-1FE5B1C9.pf
27.01.2008 13:15 44.470 WMPLAYER.EXE-09969339.pf
130 Datei(en) 7.080.528 Bytes
0 Verzeichnis(se), 170.524.672 Bytes frei
__________________


Alt 05.02.2008, 23:50   #3
dicker2204
 
HILFE! Google-Links - Umleitung - Standard

HILFE - Google-Links - Umleitung - die dritte...



so, das sollte jetzt vorerst mal alles sein....
vielen Dank nochmal!




----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CBB-4753

Verzeichnis von C:\WINDOWS

06.02.2008 00:24 202.375 WindowsUpdate.log
05.02.2008 23:00 921.820 setupapi.log
05.02.2008 22:27 0 0.log
05.02.2008 22:27 157 wiadebug.log
05.02.2008 22:27 50 wiaservc.log
05.02.2008 22:26 2.048 bootstat.dat
05.02.2008 00:29 14.370 SchedLgU.Txt
04.02.2008 23:34 256 adaway.lic
03.02.2008 23:37 202 NeroDigital.ini
03.02.2008 23:22 67.046 wmsetup.log
01.02.2008 23:32 1.257 IE4 Error Log.txt
01.02.2008 14:20 1.024 ppengine.ini
24.01.2008 00:04 160.172 hpoins14.dat
24.01.2008 00:04 711 win.ini
23.01.2008 23:59 58.284 DPINST.LOG
23.01.2008 23:43 0 hpqEmlSz.INI
15.01.2008 21:57 739 STImgBrowser.INI
15.01.2008 21:55 27.697 DirectX.log
15.01.2008 02:46 0 Sti_Trace.log
15.01.2008 02:44 1.348 regopt.log
15.01.2008 02:42 0 setuperr.log
14.01.2008 22:40 3.290 KB894391.log
14.01.2008 22:40 2.691 KB891781.log
14.01.2008 21:35 61.782 iis6.log
14.01.2008 21:35 1.569 ocmsn.log
14.01.2008 21:35 19.970 comsetup.log
14.01.2008 21:35 15.829 tsoc.log
14.01.2008 21:35 1.874 tabletoc.log
14.01.2008 21:35 1.374 imsins.log
14.01.2008 21:35 10.396 ntdtcsetup.log
14.01.2008 21:35 6.112 KB893803v2.log
14.01.2008 21:35 4.956 netfxocm.log
14.01.2008 21:35 20.564 ocgen.log
14.01.2008 21:35 2.337 MedCtrOC.log
14.01.2008 21:35 1.489 msgsocm.log
14.01.2008 21:35 23.901 FaxSetup.log
14.01.2008 21:35 13.898 msmqinst.log
14.01.2008 21:34 13.459 Ascd_tmp.ini
14.01.2008 21:33 0 AS_Debug.txt
14.01.2008 20:41 237 wmsetup10.log
14.01.2008 20:40 316.640 WMSysPr9.prx
14.01.2008 20:30 264 system.ini
14.01.2008 20:21 400 ODBC.INI
14.01.2008 20:08 1.374 imsins.BAK
14.01.2008 20:08 4.489 KB888111.log
14.01.2008 20:07 315.392 HideWin.exe
14.01.2008 19:57 829 OEWABLog.txt
14.01.2008 19:57 782.463 setuplog.txt
14.01.2008 19:56 8.192 REGLOCS.OLD
14.01.2008 19:55 182.401 setupact.log
14.01.2008 19:53 0 control.ini
14.01.2008 19:53 4.161 ODBCINST.INI
14.01.2008 19:52 749 WindowsShell.Manifest
14.01.2008 19:51 1.023 sessmgr.setup.log
14.01.2008 19:51 37 vbaddin.ini
14.01.2008 19:51 36 vb.ini
14.01.2008 19:51 133 DtcInstall.log
14.01.2008 19:50 200 cmsetacl.log

118 Datei(en) 44.346.924 Bytes
0 Verzeichnis(se), 170.524.672 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CBB-4753

Verzeichnis von C:\WINDOWS\tasks

05.02.2008 22:27 6 SA.DAT
28.01.2008 20:18 594 Norton AntiVirus - Systemprfung ausfhren - ***.job
05.08.2004 13:00 65 desktop.ini
3 Datei(en) 665 Bytes
0 Verzeichnis(se), 170.524.672 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CBB-4753

Verzeichnis von C:\WINDOWS\temp

06.02.2008 00:02 5.252 Sophos Anti-Virus Install Log_080205_110246.txt
06.02.2008 00:02 1.090 Sophos Anti-Virus CustomActions Log_080205_110246.txt
05.02.2008 23:20 138.062 hpqddsvc.log
05.02.2008 22:27 0 JET9625.tmp
31.01.2008 23:42 6.951 IDSinst.LOG
26.01.2008 00:03 4.007 SRTSP_Setup_10.2.2.6.log
26.01.2008 00:03 276.348 SRTSP_MSI_U_(1)10.2.0.57.log
26.01.2008 00:02 722 srtUnin.log
26.01.2008 00:02 435.122 SRTSP_MSI_I_10.2.2.6.log
26.01.2008 00:02 17.064 SYMEVENT.LOG
24.01.2008 18:49 616.448 umqfckfn.TMP
24.01.2008 00:04 448.070 ProductContextF2100.log
24.01.2008 00:03 11.937 HPZIDS002.log
24.01.2008 00:03 540 servic001.log
24.01.2008 00:03 81.370 hppldcoi.log
23.01.2008 23:55 938 hpqddusr.log
23.01.2008 23:43 8.353 TWAIN.LOG
23.01.2008 23:41 2 Twain001.Mtx
23.01.2008 23:41 156 Twunk001.MTX
23.01.2008 23:36 0 Twunk002.MTX
23.01.2008 23:36 4.426 setup0000.log
23.01.2008 23:36 2.463 hpzstu001.log
23.01.2008 23:36 4.142 hpzset006.log
23.01.2008 23:36 7.294 hpzpsl000.log
23.01.2008 23:32 1.858 hpzstu000.log
23.01.2008 23:32 26.531 hpzset000.log
23.01.2008 23:32 2.357 hpzwrp002.log
23.01.2008 23:32 2.588 hpzcdl004.log
23.01.2008 23:32 2.130 hpzmsi021.log
23.01.2008 23:32 2.605 hpzcdl003.log
23.01.2008 23:32 3.016 hpzmsi020.log
23.01.2008 23:32 190 F2100_doccd.log
23.01.2008 23:32 2.587 hpzcdl002.log
23.01.2008 23:32 3.072 hpzmsi019.log
23.01.2008 23:32 226 hpz_MSI.F2100_install.log
23.01.2008 23:32 47.122 DIO195.tmp
23.01.2008 23:32 2.602 hpzcdl001.log
23.01.2008 23:32 2.949 hpzmsi018.log
23.01.2008 23:32 190 hpz_MSI.F2100_Help_install.log
23.01.2008 23:32 47.122 DIO18F.tmp
23.01.2008 23:32 1.285 MAR185.tmp
23.01.2008 23:32 1.342 MAR184.tmp
23.01.2008 23:32 1.921 hpzrcv003.log
23.01.2008 23:32 1.805 hpzmsi017.log
23.01.2008 23:32 5.087 hpzpnp002.log
23.01.2008 23:32 2.440 hpzdui000.log
23.01.2008 23:31 5.087 hpzpnp001.log
23.01.2008 23:31 1.749 hpzset005.log
23.01.2008 23:31 2.385 hpzarp004.log
23.01.2008 23:31 2.276 hpzprl010.log
23.01.2008 23:31 2.153 hpzmsi016.log
23.01.2008 23:31 5.419 hpzmsi015.log
23.01.2008 23:31 190 hpovideotoolkit01.log
23.01.2008 23:31 284 hpoHPPhotosmartEssential.log
23.01.2008 23:31 284 hpoPSSWCore.log
23.01.2008 23:31 1.921 hpzmsi014.log
23.01.2008 23:31 2.564 hpzmsi013.log
23.01.2008 23:31 226 hpoMSI_HPUpdate.log
23.01.2008 23:31 1.921 hpzmsi012.log
23.01.2008 23:30 2.497 hpzmsi011.log
23.01.2008 23:30 226 hpoDTSS.log
23.01.2008 23:30 1.921 hpzmsi010.log
23.01.2008 23:30 2.577 hpzmsi009.log
23.01.2008 23:30 226 hpoWebPrint.log
23.01.2008 23:30 0 is155.tmp
23.01.2008 23:30 1.749 hpzset004.log
23.01.2008 23:30 2.380 hpzarp003.log
23.01.2008 23:30 2.272 hpzprl009.log
23.01.2008 23:30 2.037 hpzmsi008.log
23.01.2008 23:30 4.096 hpzmsi007.log
23.01.2008 23:30 190 hpoMSI_Mars.log
23.01.2008 23:30 58 MsiExe000.log
23.01.2008 23:30 472 hpoMSI_CustomerResearchQFolder.log
23.01.2008 23:30 1.749 hpzset003.log
23.01.2008 23:30 2.385 hpzarp002.log
23.01.2008 23:30 2.276 hpzprl008.log
23.01.2008 23:30 2.501 hpzmsi006.log
23.01.2008 23:30 9.197 hpzmsi005.log
23.01.2008 23:30 190 hpoMSI_DeviceDiscovery.log
23.01.2008 23:30 284 hpoMSI_Copy.log
23.01.2008 23:30 472 hpoMSI_Status.log
23.01.2008 23:30 284 hpoMSI_TrayApp.log
23.01.2008 23:30 284 hpoMSI_Destinations.log
23.01.2008 23:29 472 hpoMSI_DeviceManagementQFolder.log
23.01.2008 23:29 1.749 hpzset002.log
23.01.2008 23:29 2.381 hpzarp001.log
23.01.2008 23:29 2.210 hpzprl007.log
23.01.2008 23:29 2.269 hpzmsi004.log
23.01.2008 23:29 5.722 hpzmsi003.log
23.01.2008 23:29 378 hpoMSI_SolutionCenter.log
23.01.2008 23:29 284 hpoMSI_hpproductassistant.log
23.01.2008 23:29 284 hpoMSI_eSupportQFolder.log
23.01.2008 23:29 2.363 hpzrcv002.log
23.01.2008 23:29 1.921 hpzrcv001.log
23.01.2008 23:29 1.749 hpzset001.log
23.01.2008 23:29 2.849 hpzmsi002.log
23.01.2008 23:29 11.091 hpzmsi001.log
23.01.2008 23:29 190 hpoUnloadSupport.log
23.01.2008 23:29 284 hpoMSI_dj_aio_software_min.log
23.01.2008 23:29 284 hpoMSI_BufferChm.log
23.01.2008 23:29 284 hpoMSI_Scan.log
23.01.2008 23:29 846 _add_ds.log
23.01.2008 23:29 284 hpoMSI_Toolbox.log
23.01.2008 23:28 284 hpoMSI_WebReg.log
23.01.2008 23:28 284 hpoMSI_AiOScan.log
23.01.2008 23:28 284 hpoMSI_dj_aio_software.log
23.01.2008 23:28 2.435 hpzprl006.log
23.01.2008 23:28 2.431 hpzprl005.log
23.01.2008 23:28 2.449 hpzprl004.log
23.01.2008 23:28 1.946 hpzprl003.log
23.01.2008 23:28 2.459 hpzarp000.log
23.01.2008 23:28 1.878 hpzcdl000.log
23.01.2008 23:28 1.806 hpznop001.log
23.01.2008 23:28 2.457 hpzmsi000.log
23.01.2008 23:28 190 hpoMSI_cioum32.log
23.01.2008 23:28 1.585 hpzwrp001.log
23.01.2008 23:28 383 HPZIDS001.log
23.01.2008 23:28 528 DPInst000.log
23.01.2008 23:28 2.411 hpzprl002.log
23.01.2008 23:27 2.345 hpzprl001.log
23.01.2008 23:27 1.537 hpzwis000.log
23.01.2008 23:27 2.210 hpzrcv000.log
23.01.2008 23:27 1.967 hpzprl000.log
23.01.2008 23:27 101.764 hpzshl002.log
23.01.2008 23:27 1.603 hpzwrp000.log
23.01.2008 23:27 2.396 hpzsui000.log
23.01.2008 23:27 1.908 hpzgat000.log
23.01.2008 23:27 2.080 hpzpsc001.log
23.01.2008 23:27 1.615 hpqbhp000.log
23.01.2008 23:26 2.019 hpzopt000.log
23.01.2008 23:26 8.292 hpzchk000.log
23.01.2008 23:26 1.626 hpzshl001.log
23.01.2008 23:26 1.939 hpzshl000.log
23.01.2008 23:26 1.664 hpznop000.log
23.01.2008 23:26 1.982 hpzwup000.log
23.01.2008 23:26 2.467 hpzrei000.log
23.01.2008 23:25 2.066 hpzpsc000.log
23.01.2008 23:25 1.397 hpzpnp000.log
23.01.2008 23:25 4.125 HPZIDS000.log
23.01.2008 23:25 540 servic000.log
23.01.2008 22:58 0 JET590C.tmp
22.01.2008 19:23 7.296.134 0000059E
14.01.2008 21:35 14.919 coinlog.log
28.03.2007 12:50 37.842 hpzDE5ha.hlp
28.03.2007 12:50 51.060 hpzDE5ha.chm
145 Datei(en) 9.907.765 Bytes
0 Verzeichnis(se), 170.508.288 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CBB-4753

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

06.02.2008 00:25 122.049 filelist.txt
05.02.2008 23:59 16.384 ~WRF0001.tmp
05.02.2008 23:59 7.964 ~WRS0000.tmp
05.02.2008 23:54 59.964 Adobelm_Cleanup.0001
05.02.2008 23:46 355 Acr71.tmp
05.02.2008 23:46 2.048.000 Acr6F.tmp
01.02.2008 23:27 4.864 xvqxbmer.dat
7 Datei(en) 2.259.580 Bytes
0 Verzeichnis(se), 170.516.480 Bytes frei

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
__________________

Alt 06.02.2008, 00:23   #4
KarlKarl
/// Helfer-Team
 
HILFE! Google-Links - Umleitung - Standard

HILFE! Google-Links - Umleitung



Hi,

in welchem deiner Thread soll ich denn nun antworten?

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
  • Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
  • Geschützte Systemdateien ausblenden -> Haken weg
  • Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
  • Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Geh zu VirusTotal und lass die C:\WINDOWS\system32\capico.dll scannen, Ergebnisse komplett hierher kopieren.

Gruß, Karl

Alt 06.02.2008, 21:33   #5
dicker2204
 
HILFE! Google-Links - Umleitung - Standard

HILFE! Google-Links - Umleitung



Hallo, KarlKarl!

Danke für die schnelle Antwort erstmal. Hier das Ergebnis:

0 bytes size received / Se ha recibido un archivo vacio

(mußte meine ersten einträge auf 3 aufteilen, da immer die anzeige kam "zuviele zeichen"...)

lg
dicker2204


Alt 07.02.2008, 11:06   #6
Hoppimops
 
HILFE! Google-Links - Umleitung - Standard

HILFE! Google-Links - Umleitung



Versuch mal folgendes: Lad dir das Programm:http://siri.geekstogo.com/SmitfraudFix.exe runter und lass es mal im abgesicherten Modus laufen! Beschreibung des Programms findest du ebenfalls im Link!!

Viel Glück!!!!!!!!

Alt 07.02.2008, 12:31   #7
Chris4You
 
HILFE! Google-Links - Umleitung - Standard

HILFE! Google-Links - Umleitung



Hi,

@KarlKarl -> Bingo:
CAPICO.DLL, Prevx

Killbox:
Killbox - Pocket KillBox
oder
WinTotal - Software - KillBox

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINDOWS\system32\capico.dll
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"

PC neustarten

Dann neues HJ-Log sowie einen ComboFix-Lauf, da es wohl auch ein Trojandownloader ist.
Daher kein Homebanking mehr, Passwörter und Pins sperren oder sofort von einem sauberen Rechner aus ändern...

Combofix:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Scanne mit PrevX und poste eventuelle Funde:
Prevx CSI - FREE Malware Scanner

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 07.02.2008, 22:00   #8
dicker2204
 
HILFE! Google-Links - Umleitung - Standard

HILFE! Google-Links - Umleitung



Hi chris,
leider hat das löschen mit killbox nicht hingehauen,die datei ist immer noch da.
beim neustart war der pc außerdem seeehr langsam und es öffnete sich dann von selbst die msn-seite, ohne daß ich auf den internet-link geklickt hatte.
dann bekam ich beim prevxSCI die meldung, daß keine internetverbindung da wäre - und tatsächlich hat die auch erst nach einem neuerlichen neustart wieder funktioniert.
beim combofix war die erste zeile auch eine fehlermeldung: "der befehl "löschen" konnte nicht gefunden werden oder ist falsch geschrieben".
logfiles im anhang!
wie kann ich eine file posten, die fast 220000 zeichen hat? muß ich die wieder aufteilen und einzeln reinstellen? hätte sie grade geteilt, aber als anhang sind die teile immer noch zu groß.... (die logfile von Prevx SCI).

lg
dicker2204
Angehängte Dateien
Dateityp: txt combofixlog.txt (15,0 KB, 856x aufgerufen)
Dateityp: txt hijackthis-07-02-08.txt (7,1 KB, 275x aufgerufen)

Alt 08.02.2008, 06:51   #9
Chris4You
 
HILFE! Google-Links - Umleitung - Standard

HILFE! Google-Links - Umleitung



Hi,

nutzen wir mal Combofix...
Der zeigt im übrigen einen seltsamen Treiber, der zu HP-gehören soll (kwklkwot.dat) den ich aber per google nicht finde; Wenn Du die Treiber für den HP-Drucker noch hast, würde ich ihn löschen lassen...

Bitte folgende Files prüfen:
Zitat:
C:\WINDOWS\system32\drivers\kwklkwot.dat
C:\WINDOWS\system32\drivers\COH_Mon.sys
VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen.
Gib an "Alle Dateien" an - Speichern:
Zitat:
File::
C:\WINDOWS\system32\drivers\kwklkwot.dat
C:\WINDOWS\system32\capico.dll

Folder::

Driver::
kwklkwot

Registry::
Jetzt solltest Du diese Datei auf Deinem Desktop finden, mit der Maus anklicken (rechte Taste gedrückt halten) und per drag-and-drop auf das Combofix-Icon fallen lassen. Der sollte nun starten und das Script abarbeiten; Poste danach das Log von Combofix.

Poste vom PrevX-Log nur die Zeilen, wo er einen Fund meldet (und keine Cookies), das müssten hoffentlich weniger sein... ;o)...

Anschließend noch mal ein neues HJ-Log (siehe Signatur) und Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 09.02.2008, 01:04   #10
dicker2204
 
HILFE! Google-Links - Umleitung - Standard

HILFE! Google-Links - Umleitung



hi chris,
habe alles gemacht, was du mir aufgeschrieben hast.
mal ´ne (für dich bestimmt lächerliche) laien-frage: wie erkenne ich in der prevx-file die cookies unter all den buchstaben und zahlen...? sorry, is sicher ´ne blöde frage....
hier die andern logfiles von eben:
Logfile of HijackThis v1.99.1
Scan saved at 01:56:04, on 09.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\Forum\HiJackThis\HijackThis.exe

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdwareAlert] C:\Programme\AdwareAlert\AdwareAlert.exe -boot
O4 - Startup: Outlook.lnk = ?
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

ComboFix 08-02.05.3 - *** 2008-02-09 1:46:10.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1524 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE
C:\WINDOWS\system32\capico.dll
C:\WINDOWS\system32\drivers\kwklkwot.dat
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\capico.dll
C:\WINDOWS\system32\drivers\kwklkwot.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NPF






((((((((((((((((((((((( Dateien erstellt von 2008-01-09 bis 2008-02-09 ))))))))))))))))))))))))))))))
.

2008-02-07 23:24 . 2008-02-07 23:32 2,378 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-07 23:23 . 2008-01-14 19:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-07 23:23 . 2008-01-15 02:44 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-02-07 23:23 . 2008-01-15 02:44 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-07 23:23 . 2008-02-09 01:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-07 23:23 . 2008-01-15 02:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-07 23:23 . 2008-01-15 02:44 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-07 23:23 . 2008-01-15 02:44 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-07 23:06 . 2008-02-07 23:06 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-02-07 22:17 . 2008-02-07 22:24 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PrevxCSI
2008-02-07 22:11 . 2004-08-05 13:00 401,408 --a------ C:\kmd.exe
2008-02-06 22:24 . 2008-02-06 22:24 19,990 --a------ C:\ircbo-zy.ide
2008-02-05 23:00 . 2008-02-05 23:01 <DIR> d-------- C:\Programme\Sophos
2008-02-05 23:00 . 2008-02-05 23:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Cisco Systems
2008-02-05 23:00 . 2008-02-05 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
2008-02-05 23:00 . 2007-03-09 09:56 17,920 --a------ C:\WINDOWS\system32\SophosBootTasks.exe
2008-02-05 22:59 . 2007-09-10 11:09 101,120 --a------ C:\WINDOWS\system32\drivers\savonaccesscontrol.sys
2008-02-05 22:59 . 2007-09-10 11:08 33,408 --a------ C:\WINDOWS\system32\drivers\savonaccessfilter.sys
2008-02-05 22:52 . 2006-05-18 08:30 2,091,031 --------- C:\Programme\Setup.exe
2008-02-05 00:18 . 2008-02-05 00:18 357,768 --a------ C:\Dokumente und Einstellungen\***\SymXPep2.dll
2008-02-03 13:58 . 2008-02-03 13:58 <DIR> d-------- C:\Programme\Lavasoft
2008-02-03 13:58 . 2008-02-03 13:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-03 13:58 . 2008-02-03 13:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-01 23:23 . 2008-02-01 23:23 40,730 --a------ C:\WINDOWS\system32\superiorads-uninst.exe
2008-02-01 15:53 . 2008-02-01 23:42 <DIR> d-------- C:\Programme\Google
2008-02-01 14:49 . 2008-02-01 14:49 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zylom
2008-02-01 14:49 . 2008-02-01 14:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-02-01 14:18 . 2008-02-01 14:20 1,024 --a------ C:\WINDOWS\ppengine.ini
2008-01-28 20:58 . 1994-12-27 12:54 21,648 --------- C:\WINDOWS\system\ctl3dv2.dll
2008-01-28 20:58 . 1993-06-01 08:51 15,856 --------- C:\WINDOWS\system\ctl3d.dll
2008-01-28 20:58 . 1995-02-21 04:39 537 --------- C:\WINDOWS\spedview.ini
2008-01-28 19:41 . 2008-01-28 20:36 <DIR> d-------- C:\Programme\win2day
2008-01-28 19:40 . 2008-01-28 19:40 <DIR> d-------- C:\WINDOWS\Sun
2008-01-27 22:45 . 2008-01-27 22:45 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\CyberLink
2008-01-27 21:31 . 2008-01-27 21:31 <DIR> d-------- C:\Programme\Macromedia
2008-01-27 21:31 . 2008-01-27 21:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2008-01-27 21:30 . 2008-01-27 21:30 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-01-26 23:06 . 2008-01-26 23:06 <DIR> d-------- C:\Dokumente und Einstellungen\***\LimeWire Store Purchased
2008-01-26 23:05 . 2008-01-26 23:05 <DIR> d-------- C:\Dokumente und Einstellungen\***\Incomplete
2008-01-26 23:05 . 2008-02-04 01:03 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\LimeWire
2008-01-26 23:04 . 2008-01-26 23:05 <DIR> d-------- C:\Programme\LimeWire
2008-01-26 23:04 . 2008-01-28 19:40 <DIR> d-------- C:\Programme\Java
2008-01-26 23:04 . 2008-01-26 23:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-01-26 23:04 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-24 00:04 . 2008-01-24 00:11 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HP
2008-01-24 00:01 . 2008-01-24 00:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2008-01-24 00:00 . 2008-01-24 00:00 <DIR> d-------- C:\Programme\Hewlett-Packard
2008-01-23 23:57 . 2008-01-24 00:04 160,172 --------- C:\WINDOWS\hpoins14.dat
2008-01-23 23:57 . 2007-06-06 00:07 2,000 --------- C:\WINDOWS\hpomdl14.dat
2008-01-23 23:44 . 2008-02-03 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HPAppData
2008-01-23 23:43 . 2008-01-23 23:43 0 --------- C:\WINDOWS\hpqEmlSz.INI
2008-01-23 23:41 . 2008-01-23 23:41 <DIR> d---s---- C:\Dokumente und Einstellungen\LocalService\UserData
2008-01-23 23:36 . 2008-01-23 23:36 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\HP
2008-01-23 23:32 . 2008-01-23 23:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEBREG
2008-01-23 23:30 . 2008-01-23 23:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2008-01-23 23:29 . 2008-01-23 23:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\HP
2008-01-23 23:29 . 2008-01-24 00:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-01-23 23:28 . 2008-01-23 23:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-01-23 23:27 . 2008-01-23 23:30 <DIR> d-------- C:\Programme\HP
2008-01-23 23:25 . 2008-01-23 23:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2008-01-23 23:25 . 2007-03-30 16:07 267,864 -r------- C:\WINDOWS\system32\hpzids01.dll
2008-01-23 23:25 . 2007-03-28 14:01 117,760 --------- C:\WINDOWS\system32\hpzll5ha.dll
2008-01-23 23:25 . 2007-03-08 05:20 49,920 -r------- C:\WINDOWS\system32\drivers\HPZid412.sys
2008-01-23 23:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-01-23 23:25 . 2004-08-03 23:01 25,856 -----c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-01-23 23:25 . 2007-03-08 05:20 21,568 -r------- C:\WINDOWS\system32\drivers\HPZius12.sys
2008-01-23 23:25 . 2007-03-08 05:20 16,496 -r------- C:\WINDOWS\system32\drivers\HPZipr12.sys
2008-01-23 23:24 . 2007-03-17 17:11 675,840 -r------- C:\WINDOWS\system32\hpowiax3.dll
2008-01-23 23:24 . 2007-03-17 17:11 569,344 -r------- C:\WINDOWS\system32\hpotscl3.dll
2008-01-23 23:24 . 2007-03-08 05:20 364,544 -r------- C:\WINDOWS\system32\hppldcoi.dll
2008-01-23 23:24 . 2007-03-17 17:11 303,104 -r------- C:\WINDOWS\system32\hpovst10.dll
2008-01-23 23:24 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-01-23 23:24 . 2004-08-03 22:58 15,104 -----c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-01-23 23:19 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-01-23 23:19 . 2004-08-03 23:08 31,616 -----c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-01-21 22:38 . 2008-01-21 22:38 <DIR> d---s---- C:\Dokumente und Einstellungen\***\UserData
2008-01-21 22:25 . 2008-01-21 22:25 <DIR> d-------- C:\Programme\Windows Sidebar
2008-01-21 22:25 . 2008-01-26 22:30 <DIR> d-------- C:\Programme\Norton AntiVirus
2008-01-21 22:25 . 2008-01-26 00:02 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-01-21 22:25 . 2008-01-26 00:02 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-01-21 22:25 . 2008-01-26 00:02 10,740 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-01-21 22:25 . 2008-01-26 00:02 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-01-20 20:35 . 2001-06-18 09:41 282,624 --------- C:\WINDOWS\system32\ActiveSkin.ocx
2008-01-20 20:35 . 2001-01-10 12:23 162,304 --------- C:\UNWISE.EXE
2008-01-20 20:35 . 2001-06-18 09:41 112 --------- C:\WINDOWS\ActiveSkin.INI
2008-01-16 23:09 . 2008-01-16 23:09 <DIR> d-------- C:\Programme\Usb to Serial Driver 1.12.28
2008-01-15 22:35 . 2008-02-08 00:05 202 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-15 22:28 . 2008-02-04 23:59 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-01-15 22:26 . 2004-08-09 06:44 82,768 -r-h----- C:\WINDOWS\system32\drivers\slabser.sys
2008-01-15 22:26 . 2004-08-09 06:44 6,112 -r-h----- C:\WINDOWS\system32\drivers\slabcmnt.sys
2008-01-15 22:26 . 2004-08-09 06:44 6,112 -r-h----- C:\WINDOWS\system32\drivers\slabcm.sys
2008-01-15 22:25 . 2004-08-09 06:44 51,040 -r-h----- C:\WINDOWS\system32\drivers\slabbus.sys
2008-01-15 22:25 . 2004-08-09 06:44 47,616 -r-h----- C:\WINDOWS\system32\USB2k.exe
2008-01-15 22:25 . 2004-08-09 06:44 5,776 -r-h----- C:\WINDOWS\system32\drivers\slabwhnt.sys
2008-01-15 22:25 . 2004-08-09 06:44 5,776 -r-h----- C:\WINDOWS\system32\drivers\slabwh.sys
2008-01-15 22:25 . 2004-08-09 06:44 100 -r-h----- C:\WINDOWS\system32\USB.u2k
2008-01-15 21:57 . 2008-01-15 21:57 739 --------- C:\WINDOWS\STImgBrowser.INI
2008-01-15 21:56 . 2008-01-15 21:56 <DIR> d-------- C:\Programme\Samsung
2008-01-15 21:56 . 2008-01-15 21:56 <DIR> d-------- C:\Programme\DigimaxReader Eng
2008-01-15 21:56 . 1998-06-18 00:00 89,360 --------- C:\WINDOWS\system32\VB5DB.DLL

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-15 08:54 10,537 ----a-w C:\WINDOWS\system32\drivers\coh_mon.cat
2008-01-15 04:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-01-14 18:53 --------- d-----w C:\Programme\microsoft frontpage
2008-01-14 18:52 --------- d-----w C:\Programme\Online-Dienste
2008-01-14 18:52 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2008-01-14 18:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-01-12 17:32 23,904 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2006-12-19 16:14 6,922 ----a-r C:\Programme\readscc.txt
2006-12-11 14:39 74,549,248 ----a-r C:\Programme\Sophos Control Center.msi
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0347C33E-8762-4905-BF09-768834316C61}]
2007-03-02 16:52 1298024 -r------- C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{053F9267-DC04-4294-A72C-58F732D338C0}]
2007-03-02 16:52 177768 -r------- C:\Programme\HP\Smart Web Printing\hpswp_framework.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-01-31 23:42 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
"AdwareAlert"="C:\Programme\AdwareAlert\AdwareAlert.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-05 14:11 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-05 14:13 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-05 14:10 94208]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 08:28 16126464 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-04-04 10:22 1822720 C:\WINDOWS\SkyTel.exe]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12 483328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-08-24 22:07 51048]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2007-08-24 21:53 714608]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 21:34 49152]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\
Outlook.lnk - C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe [2008-01-14 20:21:10 794624]

C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\
Outlook.lnk - C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe [2008-01-14 20:21:10 794624]

C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\
Outlook.lnk - C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe [2008-01-14 20:21:10 794624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2000-01-08 09:22]
R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-09-10 11:09]
R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-09-10 11:08]
R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" [2007-08-24 22:07]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2007-07-03 11:33]
R3 SymIMMP;SymIMMP;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]
S0 hpcceipw;hpcceipw;C:\WINDOWS\system32\drivers\kwklkwot.dat []
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-01-12 18:32]
S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.
Inhalt des "geplante Tasks" Ordners
"2008-01-28 19:18:54 C:\WINDOWS\Tasks\Norton AntiVirus - Systemprüfung ausführen - ***.job"
- C:\Programme\Norton AntiVirus\Navw32.exel/TASK:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-09 01:47:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-09 1:47:26
ComboFix-quarantined-files.txt 2008-02-09 00:47:24
ComboFix2.txt 2008-02-07 21:14:07
.
2008-02-09 00:09:25 --- E O F ---


AhnLab-V3 2008.2.6.10 2008.02.05 -
AntiVir 7.6.0.62 2008.02.08 -
Authentium 4.93.8 2008.02.08 -
Avast 4.7.1098.0 2008.02.08 -
AVG 7.5.0.516 2008.02.08 -
BitDefender 7.2 2008.02.09 -
CAT-QuickHeal None 2008.02.08 -
ClamAV 0.92 2008.02.09 -
DrWeb 4.44.0.09170 2008.02.08 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5522 2008.02.08 -
Ewido 4.0 2008.02.08 -
FileAdvisor 1 2008.02.09 -
Fortinet 3.14.0.0 2008.02.08 -
F-Prot 4.4.2.54 2008.02.08 -
F-Secure 6.70.13260.0 2008.02.08 -
Ikarus T3.1.1.20 2008.02.08 -
Kaspersky 7.0.0.125 2008.02.09 -
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.09 -
NOD32v2 2860 2008.02.08 -
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.08 -
Prevx1 V2 2008.02.09 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.08 -
Sunbelt 2.2.907.0 2008.02.08 -
Symantec 10 2008.02.09 -
TheHacker 6.2.9.213 2008.02.09 -
VBA32 3.12.6.0 2008.02.09 -
VirusBuster 4.3.26:9 2008.02.08 -
Webwasher-Gateway 6.6.2 2008.02.08 -
weitere Informationen
File size: 23904 bytes
MD5: 4ecde31d8cf3c342bef518af954f513b
SHA1: dd8602f8e18f4146fd2c537fb420af95302b3134
PEiD: -

Alt 11.02.2008, 06:31   #11
Chris4You
 
HILFE! Google-Links - Umleitung - Standard

HILFE! Google-Links - Umleitung



Hi,

zwei weiter Files zu prüfen und ggf. zu löschen:
C:\WINDOWS\system32\tmp.reg
C:\kmd.exe (Kaza oder Wurm?->http://www.fbmsoftware.com/spyware-net/process/kmd_exe/584/)

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Poste das Ergebnis mit Filename!

Cookies haben meist die Endung .txt und stehen in einem Verzeichnis, was dem Browser zuzuordnen ist...

Scanne noch mit Dr. Web und poste das log:
Anleitung: Anleitung: DrWeb - CureIt - Anleitung
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 11.02.2008, 17:16   #12
KarlKarl
/// Helfer-Team
 
HILFE! Google-Links - Umleitung - Standard

HILFE! Google-Links - Umleitung



kmd.exe ist einer der neuen "Tricks" von Combofix, eine Kopie von cmd.exe aus system32.

Alt 13.02.2008, 11:05   #13
dicker2204
 
HILFE! Google-Links - Umleitung - Standard

HILFE! Google-Links - Umleitung



hi, leute!
vielen vielen dank für eure tips und tricks - aber ich habe meinen compi jetzt doch lieber ganz neu aufgesetzt, da die meldungen und aktivitäten immer kurioser wurden (microsoft-update 34 von 87 wird ausgeführt beim herunterfahren etc...).
das mit dem google hat zwar am schluss wieder funktioniert, aber ich traute dem frieden nicht ganz....

also nochmal - herzlichen dank und ich hoffe, ich darf mich wieder melden, wenns mal wieder probleme geben sollte!
lg
dicker2204

Antwort

Themen zu HILFE! Google-Links - Umleitung
acroiehelper.dll, adobe, antivirus, appinit_dlls, browser, computer, ctfmon.exe, desktop, document, e-banking, einstellungen, explorer, gpedit.msc, helper, heulen, internet, internet explorer, intrusion prevention, jusched.exe, limewire, malware, monitor, pdf, problem, realtek, registry, rthdcpl.exe, saver, shortcut, shut down, software, svchost.exe, symantec, system, windows, windows xp, öffnet



Ähnliche Themen: HILFE! Google-Links - Umleitung


  1. W7: Umleitung bei gefundenen Links bei Googlesuche in Firefox
    Log-Analyse und Auswertung - 27.11.2013 (5)
  2. Umleitung von Google-Links auf Werbeseiten
    Log-Analyse und Auswertung - 31.08.2013 (29)
  3. Firefox: Bei Anklicken von Links nach Google-Suche erfolgt Umleitung auf Werbeseiten
    Log-Analyse und Auswertung - 12.07.2013 (13)
  4. Trojanerbefall: Umleitung von Links
    Plagegeister aller Art und deren Bekämpfung - 12.07.2013 (17)
  5. Umleitung bei klick auf Links in Google
    Log-Analyse und Auswertung - 07.12.2012 (4)
  6. Umleitung von Google-Links über 100ksearches
    Plagegeister aller Art und deren Bekämpfung - 05.08.2011 (22)
  7. 100Ksearches Umleitung der Links bei Google -Lösung- ?
    Plagegeister aller Art und deren Bekämpfung - 22.07.2011 (3)
  8. Brauche Hilfe bei TR/Dropper.gen + windowsclick (google links funktionieren nicht)
    Plagegeister aller Art und deren Bekämpfung - 17.02.2010 (21)
  9. (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe...
    Log-Analyse und Auswertung - 03.02.2009 (12)
  10. Hilfe!!! Falsche google Links und CPU Auslastung 100%
    Mülltonne - 29.11.2008 (0)
  11. Hilfe! Statt Google-Links kommen Werbeseiten
    Mülltonne - 12.10.2008 (0)
  12. Falsche Links nach Google Suche. Brauche Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 08.08.2008 (7)
  13. Umleitung auf unerwünschte links im InternetExplorer, was tun?
    Log-Analyse und Auswertung - 30.01.2008 (9)
  14. Google-Links schicken mich auf falsche (Sex) Seiten. Bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 10.01.2008 (0)
  15. Umleitung Google - ein Trojaner? brauche Hilfe
    Log-Analyse und Auswertung - 17.11.2007 (2)
  16. Browser Umleitung (z.B. Google Links)
    Log-Analyse und Auswertung - 10.04.2007 (1)
  17. falsche Google-Links - dringend Hilfe -BITTE
    Log-Analyse und Auswertung - 28.03.2007 (3)

Zum Thema HILFE! Google-Links - Umleitung - Hi! Bin auch neu hier - habe ein Problem, das anscheinend auch schon viele vor mir hatten... Habe deshalb die Anweisungen an ein anderes Opfer gleich befolgt und sämtliche files - HILFE! Google-Links - Umleitung...
Archiv
Du betrachtest: HILFE! Google-Links - Umleitung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.