Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Keylogger, Adware und Spyware seit heute

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.08.2008, 19:49   #1
Chris&Caro
 
Keylogger, Adware und Spyware seit heute - Standard

Keylogger, Adware und Spyware seit heute



Hallo erstmal,

habe seit gerade eben ein großes Problem das immer wieder, egal was ich mache, Fehlermeldungen erscheinen. Teilweise sind diese ohne Inhalt, also einfach nur Fenster mit einem OK Button.
Das letzte Programm das ich installiert habe war True Crypt vor 2 Tagen und heute habe ich nur google gequält und massig Bilder gesucht. Wobei ich sagen muss das ich mit Firefox 3 surfe und noscript.

Mein Spybot findet(hat) 3 Fehler gefunden:
1. Fehler während der Überprüfung!: SCKeylogger [15 - $CFAE152C] (TRegExpr(exec): Not Assigned Expression Property) ()
2. Fehler während der Überprüfung!: Synatix.Peppi [1 - $054E88C8] (TRegExpr(exec): Not Assigned Expression Property) ()
3. Fehler während der Überprüfung!: Synatix.Peppi [3 - $623FF72B] (TRegExpr(exec): Not Assigned Expression Property) ()

Spybot hat die Version 1.6.0.31 falls es von Interesse ist.
Habe anschließend mal eScan durchlaufen lassen und folgendes Ergebnis erhalten:
Nagut, irgendwie will das nicht einfügen, markiert > kopiert > einfügen...nichts eingefügt
Jedenfalls stand im Fenster das 2-mal Gain.Gator, ein Trojan Downloader und ein Keylogger gefunden wurde.
Zu guter letzt noch Hijack:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:56, on 21.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\avmwlanstick\wlangui.exe
D:\Microsoft IntelliType Pro\itype.exe
D:\Microsoft IntelliPoint\ipoint.exe
D:\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Microsoft IntelliPoint\dpupdchk.exe
D:\PeerGuardian2\pg2.exe
C:\WINDOWS\system32\ctfmon.exe
D:\a-squared Free\a2service.exe
D:\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\AVG7~1\avgamsvr.exe
D:\AVG7~1\avgupsvc.exe
D:\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\oodag.exe
D:\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com
D:\Mozilla\Firefox\firefox.exe
D:\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.christopher-at-home.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - D:\Crawler\Toolbar\ctbr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - D:\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] D:\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [itype] "D:\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "D:\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartCCC] "D:\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [PeerGuardian] D:\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] D:\AVG7~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://www.world-of-x.com
O15 - Trusted Zone: h**p://*.world-of-x.net
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - D:\Crawler\Toolbar\ctbr.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\AVG7~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\AVG7~1\avgupsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - D:\avmwlanstick\WlanNetService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Nero 8\InCD\InCDsrv.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - D:\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - D:\Borland\InterBase\bin\ibserver.exe
O23 - Service: InterBase InterClient Server (InterServer) - InterBase - D:\Borland\InterBase\InterClient\bin\interserver.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - D:\WinOnCD 10\Digital Home 10\RoxioUPnPRenderer10.exe
O23 - Service: Roxio Upnp Server 10 - Sonic Solutions - D:\WinOnCD 10\Digital Home 10\RoxioUpnpService10.exe
O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Sandboxie\SbieSvc.exe
O23 - Service: SessionLauncher - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 10342 bytes
         
Hoffentlich könnt ihr mir einen Weg aufzeigen der ohne möglichst ohne Neuinstallation funtkioniert.
Leider kann ich mich heute auch nicht merh melden, [ACHTUNG SPASS]sonst schimpft meine Freundin mit mir[SPASS ZU ENDE]

Wünsche euch jedenfalls noch eine schönen Abend. Bis morgen.

Alt 22.08.2008, 10:13   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Keylogger, Adware und Spyware seit heute - Icon32

Keylogger, Adware und Spyware seit heute



Hallo und

Du solltest nur einen Virenscanner mit Hintergrundwächter einsetzen, da sich beide sonst gegenseitig in die Quere kommen und sich so aushebeln können. Obendrauf verbrätst Du Resourcen ohne Ende. Entscheide Dich entweder für AVG oder AntiVir.

Acker diese Punkte für weitere Analysen ab:

A.) Führe dieses MBR-Tool aus und poste die Ausgabe

B.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

C.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

D.) Poste ein neues Hijackthis Logfile.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]

E.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 09.09.2008, 18:28   #3
Chris&Caro
 
Keylogger, Adware und Spyware seit heute - Standard

Keylogger, Adware und Spyware seit heute



Sorry das ich mich jetzt erst wieder melden kann war jetzt 2 Wochen auf Übung...

Nun erstmal Danke für die Bemühung und für die Ausführlichkeit
Zu den Punkten:

A.) MBR
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
B.) Blacklight
Code:
ATTFilter
09/09/08 18:43:35 [Info]: BlackLight Engine 1.0.70 initialized
09/09/08 18:43:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/09/08 18:43:36 [Note]: 7019 4
09/09/08 18:43:36 [Note]: 7005 0
09/09/08 18:43:39 [Note]: 7006 0
09/09/08 18:43:39 [Note]: 7011 1552
09/09/08 18:43:39 [Note]: 7035 0
09/09/08 18:43:39 [Note]: 7026 0
09/09/08 18:43:40 [Note]: 7026 0
09/09/08 18:43:41 [Note]: FSRAW library version 1.7.1024
09/09/08 18:47:01 [Note]: 2000 1012
09/09/08 18:47:01 [Note]: 2000 1012
09/09/08 18:48:32 [Note]: 7007 0
         
und Malwarebytes Antimalware:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1132
Windows 5.1.2600 Service Pack 2

09.09.2008 19:09:34
mbam-log-2008-09-09 (19-09-31).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|)
Durchsuchte Objekte: 105059
Laufzeit: 15 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
C.) Folgt noch.

D.) HijackThis
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:07, on 09.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Ad-Aware 2008\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Microsoft Office 2008\Office12\GrooveMonitor.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\avmwlanstick\wlangui.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
D:\a-squared Free\a2service.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\avmwlanstick\WlanNetService.exe
D:\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\svchost.exe
D:\Mozilla\Firefox\firefox.exe
D:\Malwarebytes' Anti-Malware\mbam.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Microsoft Office 2008\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "D:\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVMWlanClient] D:\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\MICROS~1\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Ad-Aware 2008\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - D:\avmwlanstick\WlanNetService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - D:\Delphi\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - D:\Delphi\InterBase\bin\ibserver.exe
O23 - Service: InterBase InterClient Server (InterServer) - InterBase - D:\Delphi\InterBase\InterClient\bin\interserver.exe
O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - D:\WinOnCD 10\Digital Home 10\RoxioUPnPRenderer10.exe
O23 - Service: Roxio Upnp Server 10 - Sonic Solutions - D:\WinOnCD 10\Digital Home 10\RoxioUpnpService10.exe
O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe
O23 - Service: SessionLauncher - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9064 bytes
         
E.) listing8.cmd
File-Upload.net - listing.txt

Habe jetzt auch mal ordentlich aufgeräumt. Allerdings sehe ich gerade das Groove Monitor aktiviert ist, das war aber nicht geplant...
__________________

Geändert von Chris&Caro (09.09.2008 um 18:34 Uhr)

Alt 09.09.2008, 18:45   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Keylogger, Adware und Spyware seit heute - Standard

Keylogger, Adware und Spyware seit heute



Äh. Combofix hat aber nix mit Tuneup zu tun. CF untersucht verschiedene Bereiche und auch von der Registry und entfernt bekannte Malwaredateien. Als Abschluss gibt es ein aufschlussreiches Logfile, daher wollte ich dass Du CF auch ausführst wie ich es beschrieben hatte.

Aber nun gut, dann lass Combofix erstmal sein und mach stattdesen ein Logfile mit silentrunners (siehe Signatur). Bitte wieder mit Codetags umschlossen posten.

Code:
ATTFilter
O23 - Service: SessionLauncher - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe (file missing)
         
Dieser Service sieht schon etwas merkwürdig aus. Hat aber offensichtlich was mit DirectX zu tun...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.09.2008, 19:17   #5
Chris&Caro
 
Keylogger, Adware und Spyware seit heute - Standard

Keylogger, Adware und Spyware seit heute



Sorry hatte mich verlesen hatte ComboFix mit dem Hinweis über Autorun verbunden.

Habe jetzt mal ComboFix mit folgendem Ergebnis ausgeführt:
Code:
ATTFilter
ComboFix 08-09-05.12 - Administrator 2008-09-09 19:55:13.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.616 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx

.
(((((((((((((((((((((((   Dateien erstellt von 2008-08-09 bis 2008-09-09  ))))))))))))))))))))))))))))))
.

2008-09-09 18:41 . 2008-09-09 18:41	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-09 18:41 . 2008-09-09 18:41	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-09 18:41 . 2008-09-08 00:11	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 18:41 . 2008-09-08 00:11	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-09 18:05 . 2008-04-27 10:33	765,952	--a------	C:\WINDOWS\system32\xvidcore.dll
2008-09-09 18:05 . 2008-04-27 10:35	180,224	--a------	C:\WINDOWS\system32\xvidvfw.dll
2008-09-09 18:05 . 2007-06-28 18:55	77,824	--a------	C:\WINDOWS\system32\xvid.ax
2008-09-09 17:54 . 2008-09-09 17:54	<DIR>	d---s----	C:\Dokumente und Einstellungen\Administrator\UserData
2008-09-09 17:21 . 2008-06-14 19:57	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-09-09 17:21 . 2008-06-14 19:57	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-09 17:19 . 2008-09-09 17:40	<DIR>	d--h-----	C:\WINDOWS\$hf_mig$
2008-09-09 17:11 . 2008-09-09 17:11	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\dwhelper
2008-09-03 18:31 . 2008-09-03 18:31	7,680	--ahs----	C:\WINDOWS\Thumbs.db
2008-09-03 17:33 . 2006-04-06 02:06	264,704	-ra------	C:\WINDOWS\system32\drivers\fwlanusb.sys
2008-09-03 17:33 . 2006-04-06 02:06	97,312	-ra------	C:\WINDOWS\system32\drivers\Fwusb1b.bin
2008-09-03 17:33 . 2006-04-06 02:06	55,808	-ra------	C:\WINDOWS\system32\avmadd32.dll
2008-09-03 17:33 . 2006-04-06 02:06	33,792	-ra------	C:\WINDOWS\system32\avmcowlan.dll
2008-09-03 17:33 . 2006-04-06 02:06	5,966	-ra------	C:\WINDOWS\instwcli.inf
2008-09-02 08:45 . 2008-09-02 08:53	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FileZilla
2008-08-31 10:33 . 2008-08-31 10:33	325	--a------	C:\WINDOWS\BkcEmu.ini
2008-08-30 11:23 . 2006-02-20 18:59	85,408	-ra------	C:\WINDOWS\system32\drivers\w810mgmt.sys
2008-08-30 11:22 . 2006-02-20 18:59	94,064	-ra------	C:\WINDOWS\system32\drivers\w810mdm.sys
2008-08-30 11:22 . 2006-02-20 18:59	83,344	-ra------	C:\WINDOWS\system32\drivers\w810obex.sys
2008-08-30 11:22 . 2006-02-20 18:59	8,336	-ra------	C:\WINDOWS\system32\drivers\w810mdfl.sys
2008-08-30 11:22 . 2006-02-20 18:59	6,176	-ra------	C:\WINDOWS\system32\drivers\w810cmnt.sys
2008-08-30 11:22 . 2006-02-20 18:59	6,176	-ra------	C:\WINDOWS\system32\drivers\w810cm.sys
2008-08-30 11:10 . 2006-02-20 18:59	58,288	-ra------	C:\WINDOWS\system32\drivers\w810bus.sys
2008-08-30 11:10 . 2006-02-20 18:59	5,808	-ra------	C:\WINDOWS\system32\drivers\w810whnt.sys
2008-08-30 11:10 . 2006-02-20 18:59	5,808	-ra------	C:\WINDOWS\system32\drivers\w810wh.sys
2008-08-27 20:06 . 1998-04-29 17:52	145,360	-ra------	C:\WINDOWS\system32\WEBPOST.DLL
2008-08-27 20:06 . 1998-04-29 17:52	121,984	-ra------	C:\WINDOWS\system32\CRSWPP.DLL
2008-08-27 20:06 . 1998-04-29 17:52	112,064	-ra------	C:\WINDOWS\system32\WPWIZDLL.DLL
2008-08-27 20:06 . 1998-05-14 17:30	99,008	-ra------	C:\WINDOWS\system32\POSTWPP.DLL
2008-08-27 20:06 . 1998-04-29 17:52	98,960	-ra------	C:\WINDOWS\system32\FTPWPP.DLL
2008-08-27 20:06 . 1998-05-15 15:57	93,456	-ra------	C:\WINDOWS\system32\FPWPP.DLL
2008-08-27 20:06 . 1998-04-29 17:52	50,816	-ra------	C:\WINDOWS\system32\PIPARSE.DLL
2008-08-27 20:06 . 2008-08-30 10:12	602	--a------	C:\WINDOWS\ODBC.INI
2008-08-27 19:56 . 2008-08-27 19:56	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\.borland
2008-08-27 19:17 . 2008-08-27 19:17	<DIR>	d--------	C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Roxio
2008-08-27 19:13 . 2008-08-27 19:13	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Roxio
2008-08-27 19:08 . 2008-08-27 19:08	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic
2008-08-27 19:07 . 2008-08-27 19:17	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roxio
2008-08-27 19:06 . 2008-08-27 19:09	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Sonic Shared
2008-08-27 19:06 . 2008-08-27 19:09	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Roxio Shared
2008-08-27 19:06 . 2008-08-27 19:09	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2008-08-27 19:06 . 2008-08-27 19:06	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-08-27 19:05 . 2007-03-12 16:42	3,495,784	--a------	C:\WINDOWS\system32\d3dx9_33.dll
2008-08-27 19:05 . 2007-03-12 16:42	1,123,696	--a------	C:\WINDOWS\system32\D3DCompiler_33.dll
2008-08-27 19:05 . 2007-03-15 16:57	443,752	--a------	C:\WINDOWS\system32\d3dx10_33.dll
2008-08-27 19:04 . 2008-08-27 19:04	<DIR>	d--------	C:\WINDOWS\system32\URTTEMP
2008-08-27 08:12 . 2004-02-22 10:11	719,872	--a------	C:\WINDOWS\system32\devil.dll
2008-08-27 08:12 . 2006-10-07 17:43	502,784	--a------	C:\WINDOWS\x2.64.exe
2008-08-27 08:12 . 2007-05-17 17:30	318,976	--a------	C:\WINDOWS\system32\avisynth.dll
2008-08-27 08:12 . 2005-02-28 13:16	240,128	--a------	C:\WINDOWS\system32\x.264.exe
2008-08-27 08:12 . 2006-04-12 09:47	217,073	--a------	C:\WINDOWS\meta4.exe
2008-08-27 08:12 . 2004-01-25 00:00	70,656	--a------	C:\WINDOWS\system32\yv12vfw.dll
2008-08-27 08:12 . 2004-01-25 00:00	70,656	--a------	C:\WINDOWS\system32\i420vfw.dll
2008-08-27 08:12 . 2006-04-05 08:09	66,560	--a------	C:\WINDOWS\MOTA113.exe
2008-08-27 08:12 . 2005-07-14 12:31	27,648	--a------	C:\WINDOWS\system32\AVSredirect.dll
2008-08-26 19:16 . 2008-09-02 05:52	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Notepad++
2008-08-26 17:39 . 2008-08-26 17:39	34	--a------	C:\WINDOWS\cdplayer.ini
2008-08-26 16:06 . 2008-08-26 16:06	<DIR>	d--hs----	C:\WINDOWS\ftpcache
2008-08-26 15:58 . 2008-08-26 16:01	<DIR>	d--------	C:\WINDOWS\system32\NtmsData
2008-08-26 08:42 . 2008-08-26 08:42	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-08-26 07:29 . 2008-08-26 07:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-08-26 07:29 . 2008-08-26 07:29	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-08-26 06:39 . 1999-10-23 14:41	55,808	---------	C:\WINDOWS\system32\ActPanel.dll
2008-08-26 06:28 . 2001-11-29 01:50	430,080	--a------	C:\WINDOWS\system32\ibmgr.cpl
2008-08-26 06:28 . 2001-11-29 01:50	376,832	--a------	C:\WINDOWS\system32\gds32.dll
2008-08-26 06:28 . 2001-11-29 01:50	177,152	--a------	C:\WINDOWS\system32\ibinstall.dll
2008-08-26 06:28 . 2001-11-29 01:50	28,672	--a------	C:\WINDOWS\system32\ibxml.dll
2008-08-26 06:27 . 2008-04-07 05:38	45,392	-ra------	C:\WINDOWS\system32\AdobePDF.dll
2008-08-26 06:27 . 2008-04-07 05:38	22,872	-ra------	C:\WINDOWS\system32\AdobePDFUI.dll
2008-08-26 06:21 . 2004-08-03 23:08	26,496	--a--c---	C:\WINDOWS\system32\dllcache\usbstor.sys
2008-08-26 06:17 . 2006-10-26 19:58	30,512	--a------	C:\WINDOWS\system32\mdimon.dll
2008-08-26 06:16 . 2006-10-26 19:56	32,592	--a------	C:\WINDOWS\system32\msonpmon.dll
2008-08-26 06:12 . 2008-08-26 06:15	<DIR>	d--------	C:\WINDOWS\SHELLNEW
2008-08-26 06:12 . 2008-08-29 11:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-26 06:07 . 2008-09-09 16:50	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\ntsvcfg
2008-08-25 19:16 . 2008-08-25 19:16	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-08-25 19:16 . 1998-10-29 16:45	306,688	--a------	C:\WINDOWS\IsUninst.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 16:41	---------	d-----w	D:\\Malwarebytes' Anti-Malware
2008-09-09 16:05	---------	d-----w	D:\\Xvid
2008-09-09 15:30	---------	d-----w	D:\\MSXML 4.0
2008-09-09 15:05	---------	d-----w	D:\\a-squared Free
2008-09-09 14:59	---------	d-----w	D:\\Ad-Aware 2008
2008-09-09 14:58	---------	d-----w	D:\\Spybot - Search & Destroy
2008-09-09 14:55	---------	d-----w	D:\\Avira
2008-09-07 14:31	---------	d-----w	D:\\VirusTotalUploader
2008-09-04 13:41	133,255	----a-w	D:\\AccessLog.ali
2008-09-04 11:00	---------	d-----w	D:\\GSpot
2008-09-03 15:33	---------	d-----w	D:\\avmwlanstick
2008-09-03 03:55	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-09-03 03:50	---------	d-----w	D:\\FileZilla FTP Client
2008-09-02 03:50	---------	d-----w	D:\\Notepad++
2008-08-31 08:35	---------	d-----w	D:\\VR-NetWorld
2008-08-30 18:51	---------	d-----w	D:\\Phase5
2008-08-30 08:12	---------	d--h--w	D:\\InstallShield Installation Information
2008-08-29 10:27	---------	d-----w	D:\\Microsoft AutoRoute
2008-08-27 18:11	---------	d-----w	D:\\Visual Basic
2008-08-27 18:06	---------	d-----w	D:\\Web Publish
2008-08-27 18:06	---------	d-----w	D:\\Visual Basic Extra
2008-08-27 17:09	---------	d-----w	D:\\WinOnCD 10
2008-08-27 17:06	---------	d-----w	D:\\SmartSound Software
2008-08-27 17:06	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2008-08-27 07:28	---------	d-----w	D:\\SUPER
2008-08-26 15:37	---------	d-----w	D:\\Audiograbber
2008-08-26 15:37	---------	d-----w	D:\\Audacity
2008-08-26 09:32	---------	d-----w	D:\\AccessLog
2008-08-26 06:31	---------	d-----w	D:\\VitualDub
2008-08-26 05:28	---------	d-----w	D:\\CyberLink
2008-08-26 05:08	---------	d-----w	D:\\Microsoft Encarta
2008-08-26 05:01	---------	d-sh--w	D:\\System Volume Information
2008-08-26 04:46	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-26 04:39	---------	d-----w	D:\\Delphi
2008-08-26 04:16	---------	d-----w	D:\\Microsoft Works
2008-08-26 04:15	---------	d-----w	D:\\MSBuild
2008-08-26 04:15	---------	d-----w	D:\\Microsoft Office 2008
2008-08-26 04:14	---------	d-----w	D:\\Microsoft.NET
2008-08-26 04:13	---------	d-----w	D:\\Microsoft Visual Studio 8
2008-08-26 04:13	---------	d-----w	D:\\IDE
2008-08-26 04:12	---------	d--h--r	D:\\MSOCache
2008-08-25 18:02	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-25 17:52	---------	d-----w	D:\\IsoBuster
2008-08-25 16:51	---------	d-----w	D:\\QuickTime
2008-08-25 16:51	---------	d-----w	D:\\Bonjour
2008-08-25 16:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-08-25 16:32	---------	d-----w	D:\\IrfanView
2008-08-25 16:32	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2008-08-25 16:31	---------	d-----w	D:\\VideoLAN Client
2008-08-25 16:28	---------	d-----w	D:\\Mozilla
2008-08-25 16:28	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
2008-08-25 16:28	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback
2008-08-25 16:21	306,432	----a-w	C:\WINDOWS\system32\TuneUpDefragService.exe
2008-08-25 16:21	---------	d-----w	D:\\TuneUp Utilities 2008
2008-08-25 16:21	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-25 16:21	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-08-25 16:21	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-08-25 16:17	---------	d-----w	D:\\ClamWin
2008-08-25 16:17	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.clamwin
2008-08-25 16:13	0	---ha-w	C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-08-25 16:13	0	---ha-w	C:\WINDOWS\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf
2008-08-25 16:10	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-25 16:09	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-08-25 16:09	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ATI
2008-08-25 16:05	---------	d-----w	C:\Programme\Gemeinsame Dateien\SRC Shared
2008-08-25 16:05	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SmarThru4
2008-08-25 15:52	---------	d-----w	D:\\Alcohol 120
2008-08-25 15:50	715,248	----a-w	C:\WINDOWS\system32\drivers\sptd.sys
2008-08-25 15:49	---------	d-sh--w	D:\\RECYCLER
2008-08-25 15:01	---------	d-----w	C:\Programme\Gemeinsame Dateien\Dienste
2008-07-29 19:10	73,720	----a-w	C:\WINDOWS\system32\dxva2.dll
2008-07-29 19:10	493,048	----a-w	C:\WINDOWS\system32\evr.dll
2008-07-29 19:10	26,112	----a-w	C:\WINDOWS\system32\TsWpfWrp.exe
2008-07-29 18:35	326,160	----a-w	C:\WINDOWS\system32\PresentationHost.exe
2008-07-29 17:59	781,344	----a-w	C:\WINDOWS\system32\PresentationNative_v0300.dll
2008-07-29 17:59	43,544	----a-w	C:\WINDOWS\system32\PresentationHostProxy.dll
2008-07-29 17:59	161,296	----a-w	C:\WINDOWS\system32\UIAutomationCore.dll
2008-07-29 17:59	105,016	----a-w	C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll
2008-07-29 17:24	97,800	----a-w	C:\WINDOWS\system32\infocardapi.dll
2008-07-29 17:24	622,080	----a-w	C:\WINDOWS\system32\icardagt.exe
2008-07-29 17:24	11,264	----a-w	C:\WINDOWS\system32\icardres.dll
2008-07-25 09:17	41,984	----a-w	C:\WINDOWS\system32\netfxperf.dll
2008-07-25 09:16	96,760	----a-w	C:\WINDOWS\system32\dfshim.dll
2008-07-25 09:16	83,968	----a-w	C:\WINDOWS\system32\mscories.dll
2008-07-25 09:16	282,112	----a-w	C:\WINDOWS\system32\mscoree.dll
2008-07-25 09:16	158,720	----a-w	C:\WINDOWS\system32\mscorier.dll
2008-07-07 20:30	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-07-06 12:06	575,488	------w	C:\WINDOWS\system32\xpsshhdr.dll
2008-07-06 12:06	117,760	------w	C:\WINDOWS\system32\prntvpt.dll
2008-07-06 12:06	1,676,288	------w	C:\WINDOWS\system32\xpssvcs.dll
2008-06-24 16:22	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-11 21:43	111,992	----a-w	C:\WINDOWS\system32\acaptuser32.dll
2006-05-03 09:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
2008-03-16 12:30	216,064	--sh--r	C:\WINDOWS\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"itype"="C:\Programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 988584]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736]
"GrooveMonitor"="D:\Microsoft Office 2008\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"Adobe Acrobat Speed Launcher"="D:\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"AVMWlanClient"="D:\avmwlanstick\wlangui.exe" [2006-04-06 1503232]
"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Ptipbmf"="ptipbmf.dll" [2003-06-20 C:\WINDOWS\system32\ptipbmf.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
VR-NetWorld Auftragsprfung.lnk - D:\VR-NetWorld\vrtoolcheckorder.exe [2008-08-30 176128]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 9 (0x9)
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=acaptuser32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msvideo"= o100vc.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Samsung PanelMgr"=C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
"ClamWin"="D:\ClamWin\bin\ClamTray.exe" --logon
"Acrobat Assistant 8.0"="D:\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
"DMXLauncher"="D:\WinOnCD 10\CinePlayer\DMXLauncher.exe"
"LanguageShortcut"=D:\CyberLink\PowerDVD\Language\Language.exe
"RemoteControl"=D:\CyberLink\PowerDVD\PDVDServ.exe
"RoxWatchTray"="C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Microsoft Office 2008\\Office12\\GROOVE.EXE"=
"D:\\Microsoft Office 2008\\Office12\\ONENOTE.EXE"=
"D:\\Microsoft Office 2008\\Office12\\OUTLOOK.EXE"=
"D:\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"D:\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};D:\CyberLink\PowerDVD\000.fcl [2006-11-02 16:51 13560]
R2 RoxWatch10;Roxio Hard Drive Watcher 10;C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe [2007-08-24 166384]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14336]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
R3 HCW848NT;Hauppauge Win/TV;C:\WINDOWS\system32\DRIVERS\hcw848nt.sys [2000-06-12 140440]
S2 Roxio Upnp Server 10;Roxio Upnp Server 10;D:\WinOnCD 10\Digital Home 10\RoxioUpnpService10.exe [2007-08-24 362992]
S2 RoxLiveShare10;LiveShare P2P Server 10;C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe [2007-08-24 309744]
S2 SessionLauncher;SessionLauncher;C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe [ ]
S2 SSPORT;SSPORT;C:\WINDOWS\system32\Drivers\SSPORT.sys [ ]
S3 InterServer;InterBase InterClient Server;D:\Delphi\InterBase\InterClient\bin\interserver.exe [2001-11-29 114176]
S3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;D:\WinOnCD 10\Digital Home 10\RoxioUPnPRenderer10.exe [2007-08-24 72176]
S3 RoxMediaDB10;RoxMediaDB10;C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [2007-08-24 1083888]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-25 306432]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

*Newly Created Service* - MBR
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\asbspxmy.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
FF -: plugin - D:\Adobe\Acrobat 9.0\Acrobat\browser\nppdf32.dll
FF -: plugin - D:\Mozilla\Firefox\plugins\npnul32.dll
FF -: plugin - D:\Mozilla\Firefox\plugins\NPOFF12.DLL
FF -: plugin - D:\Mozilla\Firefox\plugins\nppdf32.dll
FF -: plugin - D:\Mozilla\Firefox\plugins\NPSWF32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 19:56:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\D:\CyberLink\PowerDVD\000.fcl"
.
Zeit der Fertigstellung: 2008-09-09 19:58:22
ComboFix-quarantined-files.txt  2008-09-09 17:58:17

Pre-Run: 1,919,365,120 Bytes frei
Post-Run: 1,994,067,968 Bytes frei

292	--- E O F ---	2008-09-09 15:47:06
         
und Silentrunner, leider verhindert die Zeichenbegrenzung das posten deshalb http://www.file-upload.net/download-...08.34.txt.html

SessionLauncher steht unter Dienste mit der Beschreibung Sonic, allerding habe ich nicht viel mit Google gefunden. Hab es mal auf Manuell gestellt, mal sehen was sich tut.

Muss für heute auch schluss machen, kann also erst morgen wieder auf Anregungen zur Problembeseitigung reagieren.


Geändert von Chris&Caro (09.09.2008 um 19:40 Uhr)

Alt 09.09.2008, 19:37   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Keylogger, Adware und Spyware seit heute - Standard

Keylogger, Adware und Spyware seit heute



Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\devil.dll
C:\WINDOWS\x2.64.exe
C:\WINDOWS\system32\x.264.exe
C:\WINDOWS\meta4.exe
C:\WINDOWS\system32\Drivers\SSPORT.sys
         
__________________
--> Keylogger, Adware und Spyware seit heute

Alt 10.09.2008, 05:35   #7
Chris&Caro
 
Keylogger, Adware und Spyware seit heute - Standard

Keylogger, Adware und Spyware seit heute



Laut google erlaubt devill.dll ImageWriter/ImageReader-Befehle in AVS 2.5 und ist ein Entwickler Tool
Code:
ATTFilter
 File devil.dll received on 09.10.2008 06:00:56 (CET)Laut
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/36 (0%)
Loading server information...
Your file is queued in position: 1.
Estimated start time is between 39 and 56 seconds.
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email: 	
	
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2008.9.6.0	2008.09.09	-
AntiVir	7.8.1.28	2008.09.09	-
Authentium	5.1.0.4	2008.09.10	-
Avast	4.8.1195.0	2008.09.08	-
AVG	8.0.0.161	2008.09.09	-
BitDefender	7.2	2008.09.10	-
CAT-QuickHeal	9.50	2008.09.10	-
ClamAV	0.93.1	2008.09.10	-
DrWeb	4.44.0.09170	2008.09.10	-
eSafe	7.0.17.0	2008.09.09	-
eTrust-Vet	31.6.6080	2008.09.09	-
Ewido	4.0	2008.09.09	-
F-Prot	4.4.4.56	2008.09.09	-
F-Secure	8.0.14332.0	2008.09.10	-
Fortinet	3.112.0.0	2008.09.09	-
GData	19	2008.09.10	-
Ikarus	T3.1.1.34.0	2008.09.10	-
K7AntiVirus	7.10.448	2008.09.09	-
Kaspersky	7.0.0.125	2008.09.10	-
McAfee	5380	2008.09.09	-
Microsoft	1.3903	2008.09.10	-
NOD32v2	3429	2008.09.09	-
Norman	5.80.02	2008.09.09	-
Panda	9.0.0.4	2008.09.09	-
PCTools	4.4.2.0	2008.09.09	-
Prevx1	V2	2008.09.10	-
Rising	20.61.20.00	2008.09.10	-
Sophos	4.33.0	2008.09.10	-
Sunbelt	3.1.1616.1	2008.09.09	-
Symantec	10	2008.09.10	-
TheHacker	6.3.0.8.075	2008.09.06	-
TrendMicro	8.700.0.1004	2008.09.09	-
VBA32	3.12.8.5	2008.09.09	-
ViRobot	2008.9.10.1370	2008.09.10	-
VirusBuster	4.5.11.0	2008.09.09	-
Webwasher-Gateway	6.6.2	2008.09.09	-
Additional information
File size: 719872 bytes
MD5...: d27959321703b70120025a9356e89a7d
SHA1..: f1252382feb6a31a384a840e41e623b72bb3d000
SHA256: 38aed5589e8da0a3b123e754b0c839818627f4fd178df31b556cbb304caefc28
SHA512: e2ebdd5d4d1d29859d6ac0b6290f3f0441b0dd7b520a17ab0df9a89562aca44f
d06811b4e2291ca64b69c878ec50cadcfd71eff75c7bbd79cfe7d3856b83e90b
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Windows Screen Saver (39.4%)
Win32 Executable Generic (25.6%)
Win32 Dynamic Link Library (generic) (22.8%)
Generic Win/DOS Executable (6.0%)
DOS Executable Generic (6.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1007851b
timedatestamp.....: 0x4038336a (Sun Feb 22 04:43:22 2004)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x80852 0x80a00 6.69 f711d9f2461c7dbc9ccc0e4b989a8c26
.rdata 0x82000 0x1cc9f 0x1ce00 3.01 ef259c4d5932dc94747e3b08c1e9cff2
.data 0x9f000 0xbfcf0 0xb200 5.54 94430492c09d8b57315901ed71d6fbde
.rsrc 0x15f000 0x1888 0x1a00 1.85 b3e5ac232ee91006bddcf121cd9b838f
.reloc 0x161000 0x52a0 0x5400 6.01 8d3f2fb04a247d8f0e7ce22d1c176357

( 3 imports )
> MSVCRT.dll: fgetc, fread, fseek, ftell, fclose, fputc, fwrite, vsprintf, fprintf, _setjmp3, longjmp, strncmp, atoi, _pctype, __mb_cur_max, _isctype, fputs, _vsnprintf, sprintf, strftime, localtime, _tzset, time, strtol, exit, _ftol, fopen, sscanf, getenv, qsort, _CIpow, memcpy, memset, calloc, malloc, fabs, pow, strlen, strcpy, fflush, strtod, floor, realloc, vfprintf, rand, __dllonexit, _onexit, _initterm, _adjust_fdiv, abs, free, strncpy, _iob, memcmp, _fstat, _close, _strnicmp, _stricmp, _read, _write, _lseek, ldexp, frexp, _open, _unlink, _swab, printf
> KERNEL32.dll: FatalAppExitA, GetSystemTime
> USER32.dll: MessageBoxA

( 119 exports )
_icalloc@8, iBindImageTemp, iConvertImage, iConvertPal, iCopyPal, iGetFlipped, ialloc, ifree, ilActiveImage, ilActiveLayer, ilActiveMipmap, ilApplyPal, ilApplyProfile, ilBindImage, ilBlit, ilClearColour, ilClearImage, ilClearImage_, ilCloneCurImage, ilCloseImage, ilClosePal, ilCompressFunc, ilConvertBuffer, ilConvertImage, ilConvertPal, ilCopyImage, ilCopyImageAttr, ilCopyImage_, ilCopyPixels, ilCreateSubImage, ilDefaultImage, ilDeleteImages, ilDisable, ilEnable, ilFormatFunc, ilGenImages, ilGetAlpha, ilGetBoolean, ilGetBooleanv, ilGetBppFormat, ilGetBppPal, ilGetBppType, ilGetClear, ilGetCurImage, ilGetCurName, ilGetDXTCData, ilGetData, ilGetError, ilGetInteger, ilGetIntegerv, ilGetLumpPos, ilGetPalBaseType, ilGetPalette, ilGetString, ilGetTypeBpc, ilHint, ilInit, ilIsDisabled, ilIsEnabled, ilIsImage, ilIsValid, ilIsValidF, ilIsValidL, ilIsValidPal, ilKeyColour, ilLoad, ilLoadData, ilLoadDataF, ilLoadDataL, ilLoadF, ilLoadFromJpegStruct, ilLoadImage, ilLoadL, ilLoadPal, ilNewImage, ilNextPower2, ilOriginFunc, ilOverlayImage, ilPopAttrib, ilPushAttrib, ilRegisterFormat, ilRegisterLoad, ilRegisterMipNum, ilRegisterNumImages, ilRegisterOrigin, ilRegisterPal, ilRegisterSave, ilRegisterType, ilRemoveLoad, ilRemoveSave, ilReplaceCurImage, ilResetMemory, ilResetRead, ilResetWrite, ilResizeImage, ilSave, ilSaveData, ilSaveF, ilSaveFromJpegStruct, ilSaveImage, ilSaveL, ilSavePal, ilSetCurImage, ilSetData, ilSetDuration, ilSetError, ilSetInteger, ilSetMemory, ilSetPal, ilSetPixels, ilSetRead, ilSetString, ilSetWrite, ilShutDown, ilTexImage, ilTexImage_, ilTexSubImage_, ilTypeFromExt, ilTypeFunc
         
x2.64.exe im WIndows und system32 Order + die meta4.exe scheinen laut google zu Super 2008 zu gehören.
Windows Order:
Code:
ATTFilter
File x2.64.exe received on 09.10.2008 06:07:13 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 3/36 (8.34%)
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email: 	
	
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2008.9.6.0	2008.09.09	-
AntiVir	7.8.1.28	2008.09.09	-
Authentium	5.1.0.4	2008.09.10	-
Avast	4.8.1195.0	2008.09.08	-
AVG	8.0.0.161	2008.09.09	-
BitDefender	7.2	2008.09.10	-
CAT-QuickHeal	9.50	2008.09.10	(Suspicious) - DNAScan
ClamAV	0.93.1	2008.09.10	-
DrWeb	4.44.0.09170	2008.09.10	-
eSafe	7.0.17.0	2008.09.09	Suspicious File
eTrust-Vet	31.6.6080	2008.09.09	-
Ewido	4.0	2008.09.09	-
F-Prot	4.4.4.56	2008.09.09	-
F-Secure	8.0.14332.0	2008.09.10	-
Fortinet	3.112.0.0	2008.09.09	-
GData	19	2008.09.10	-
Ikarus	T3.1.1.34.0	2008.09.10	-
K7AntiVirus	7.10.448	2008.09.09	-
Kaspersky	7.0.0.125	2008.09.10	-
McAfee	5380	2008.09.09	-
Microsoft	1.3903	2008.09.10	-
NOD32v2	3429	2008.09.09	-
Norman	5.80.02	2008.09.09	-
Panda	9.0.0.4	2008.09.09	-
PCTools	4.4.2.0	2008.09.09	-
Prevx1	V2	2008.09.10	-
Rising	20.61.20.00	2008.09.10	-
Sophos	4.33.0	2008.09.10	-
Sunbelt	3.1.1616.1	2008.09.09	Trojan.Win32.Packed.gen (v)
Symantec	10	2008.09.10	-
TheHacker	6.3.0.8.075	2008.09.06	-
TrendMicro	8.700.0.1004	2008.09.09	-
VBA32	3.12.8.5	2008.09.09	-
ViRobot	2008.9.10.1370	2008.09.10	-
VirusBuster	4.5.11.0	2008.09.09	-
Webwasher-Gateway	6.6.2	2008.09.09	-
Additional information
File size: 502784 bytes
MD5...: ce6975d1530ef9239b33d05d4ace1448
SHA1..: a5a37925e10ed8365f6c9b80088bc2c070715515
SHA256: f95d95e55bfb1cbae65421ff1c8200e3aae4250dcf2be4b2137d4018bf6f1fca
SHA512: 1cbbe3f94f572262aa00dd719a19aa84224658dfae596e163bbc7be29460d4d8
29259067a440a275727b80fdce973268d7fa12a1838bfa270e55156259b278c3
PEiD..: UPX-Scrambler RC v1.x
TrID..: File type identification
Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5423cf
timedatestamp.....: 0x4518fa75 (Tue Sep 26 10:01:25 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
rr01 0x1000 0xc7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
rr02 0xc8000 0x7b000 0x7a600 7.92 ded44b066367f8f80ee26a8ea3f01b89
rr03 0x143000 0x1000 0x200 1.91 e074104051a965d07d32da67976dcc3a

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> MSVCRT.dll: pow
> WINMM.dll: timeGetTime

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=ce6975d1530ef9239b33d05d4ace1448
packers (Kaspersky): PE_Patch, UPX
         
System32 Ordner:
Code:
ATTFilter
 File x.264.exe received on 09.10.2008 06:19:44 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 1/36 (2.78%)
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email: 	
	
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2008.9.6.0	2008.09.09	-
AntiVir	7.8.1.28	2008.09.09	-
Authentium	5.1.0.4	2008.09.10	-
Avast	4.8.1195.0	2008.09.08	-
AVG	8.0.0.161	2008.09.09	-
BitDefender	7.2	2008.09.10	-
CAT-QuickHeal	9.50	2008.09.10	-
ClamAV	0.93.1	2008.09.10	-
DrWeb	4.44.0.09170	2008.09.10	-
eSafe	7.0.17.0	2008.09.09	Suspicious File
eTrust-Vet	31.6.6080	2008.09.09	-
Ewido	4.0	2008.09.09	-
F-Prot	4.4.4.56	2008.09.09	-
F-Secure	8.0.14332.0	2008.09.10	-
Fortinet	3.112.0.0	2008.09.09	-
GData	19	2008.09.10	-
Ikarus	T3.1.1.34.0	2008.09.10	-
K7AntiVirus	7.10.448	2008.09.09	-
Kaspersky	7.0.0.125	2008.09.10	-
McAfee	5380	2008.09.09	-
Microsoft	1.3903	2008.09.10	-
NOD32v2	3429	2008.09.09	-
Norman	5.80.02	2008.09.09	-
Panda	9.0.0.4	2008.09.09	-
PCTools	4.4.2.0	2008.09.09	-
Prevx1	V2	2008.09.10	-
Rising	20.61.20.00	2008.09.10	-
Sophos	4.33.0	2008.09.10	-
Sunbelt	3.1.1616.1	2008.09.09	-
Symantec	10	2008.09.10	-
TheHacker	6.3.0.8.075	2008.09.06	-
TrendMicro	8.700.0.1004	2008.09.09	-
VBA32	3.12.8.5	2008.09.09	-
ViRobot	2008.9.10.1370	2008.09.10	-
VirusBuster	4.5.11.0	2008.09.09	-
Webwasher-Gateway	6.6.2	2008.09.09	-
Additional information
File size: 240128 bytes
MD5...: 5fdd7d827c1cc58567367d03d24548ce
SHA1..: 9937882f96f025991634b2833c5f4bcaef70beb2
SHA256: fb38f3faf93a90cfe0b9f0c0d9317eac12c2ccedc37e3058175b6e67598e2b91
SHA512: fe03478d08a06d5aef21a76027e59d2af64e215f753988f7fb3d28f1bc1e275e
fe0d40b635700e16495dc3085d7003eca58e5ef4c7a394f9a77ebcd10e3a1cd3
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4fd0f0
timedatestamp.....: 0x422343d4 (Mon Feb 28 16:16:20 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xc2000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc3000 0x3b000 0x3a400 7.89 e48e6951c44a76c049967dc96482543b
UPX2 0xfe000 0x1000 0x200 1.41 1f7725eb8b599d9111fe0eb839e1a6d3

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> WS2_32.dll: -

( 0 exports )
packers (F-Prot): UPX
packers (Kaspersky): UPX
         
Code:
ATTFilter
 File meta4.exe received on 09.10.2008 06:08:46 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 4/36 (11.12%)
Loading server information...
Your file is queued in position: 1.
Estimated start time is between 39 and 56 seconds.
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email: 	
	
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2008.9.6.0	2008.09.09	-
AntiVir	7.8.1.28	2008.09.09	-
Authentium	5.1.0.4	2008.09.10	-
Avast	4.8.1195.0	2008.09.08	-
AVG	8.0.0.161	2008.09.09	-
BitDefender	7.2	2008.09.10	-
CAT-QuickHeal	9.50	2008.09.10	(Suspicious) - DNAScan
ClamAV	0.93.1	2008.09.10	-
DrWeb	4.44.0.09170	2008.09.10	-
eSafe	7.0.17.0	2008.09.09	Suspicious File
eTrust-Vet	31.6.6080	2008.09.09	-
Ewido	4.0	2008.09.09	-
F-Prot	4.4.4.56	2008.09.09	-
F-Secure	8.0.14332.0	2008.09.10	-
Fortinet	3.112.0.0	2008.09.09	-
GData	19	2008.09.10	-
Ikarus	T3.1.1.34.0	2008.09.10	-
K7AntiVirus	7.10.448	2008.09.09	-
Kaspersky	7.0.0.125	2008.09.10	-
McAfee	5380	2008.09.09	-
Microsoft	1.3903	2008.09.10	-
NOD32v2	3429	2008.09.09	-
Norman	5.80.02	2008.09.09	-
Panda	9.0.0.4	2008.09.09	Suspicious file
PCTools	4.4.2.0	2008.09.09	-
Prevx1	V2	2008.09.10	-
Rising	20.61.20.00	2008.09.10	-
Sophos	4.33.0	2008.09.10	-
Sunbelt	3.1.1616.1	2008.09.09	-
Symantec	10	2008.09.10	-
TheHacker	6.3.0.8.075	2008.09.06	-
TrendMicro	8.700.0.1004	2008.09.09	-
VBA32	3.12.8.5	2008.09.09	-
ViRobot	2008.9.10.1370	2008.09.10	-
VirusBuster	4.5.11.0	2008.09.09	-
Webwasher-Gateway	6.6.2	2008.09.09	Win32.Malware.gen (suspicious)
Additional information
File size: 217073 bytes
MD5...: 67f51b1a82fb11bbb9d486f7ce41cd35
SHA1..: 47c3c04a031a21c118ef34e8c29db8beddcd38f1
SHA256: 7148362f350c430419c1e6df79a526d440438fe71c14cb386fb967292441239d
SHA512: 539cf538db92f48692a54e8da17077043542721b7eb8f5d1f81e55a4768b4cf7
b8043d056b9fb4f4edc7d248b2af780da44492b21de0e460232c071548c32eab
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
Win32 EXE Yoda's Crypter (56.8%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4ca540
timedatestamp.....: 0x3f624be0 (Fri Sep 12 22:42:40 2003)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x99000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x9a000 0x31000 0x30800 7.64 6ce4ec47baa8be574bc676d1d1289646
.rdata 0xcb000 0x1000 0x200 1.46 d221ad615082a40dbddfbb1887007f98

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> msvcrt.dll: _iob

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=67f51b1a82fb11bbb9d486f7ce41cd35
packers (Kaspersky): UPX
packers (F-Prot): UPX
         
SSPORT.sys habe ich heute noch nicht gefunden. Laut Google ist das ein Treiber von Samsung und ich habe zum einen, einen Samsung Monitor, der allerdings ohne Samsung Software zu installieren funktioniert und einen Samsung Drucker.

Alt 11.09.2008, 21:17   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Keylogger, Adware und Spyware seit heute - Icon32

Keylogger, Adware und Spyware seit heute



Also, wirkliche Funde sind bisher m.E. nicht aufgetaucht.

Zitat:
Das letzte Programm das ich installiert habe war True Crypt vor 2 Tagen und heute habe ich nur google gequält und massig Bilder gesucht. Wobei ich sagen muss das ich mit Firefox 3 surfe und noscript.
TrueCrypt deaktiviert m.W. standardmäßig die Auslagerungsdatei, jedenfalls hatte ich diesen Haken im Setup vor ein paar Tagen aktiviert gesehen im Setup. Können daher Probleme entstehen? Überprüf die Windows-Auslagerungsdatei. Hat Windows schonmal gemeckert wegen zu wenig virtuellem Arbeitsspeicher?
Hatte schon die merkwürdigsten Fehler / Fehlfunktionem wg deaktiviertem pagefile erlebt

Was ist mit den meldungen wg malware?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Keylogger, Adware und Spyware seit heute
ad-aware, antivir, antivirus, antivirus scan, avira, bho, browser, desktop, downloader, firefox, google, hijack, hijackthis, hkus\s-1-5-18, immer wieder, logfile, mozilla, problem, programm, senden, server, software, spyware, stick, symantec, system, trojan downloader, true crypt, tuneup.defrag, windows, windows xp



Ähnliche Themen: Keylogger, Adware und Spyware seit heute


  1. Plötzlich Low-FPS in allen Spielen seit heute
    Plagegeister aller Art und deren Bekämpfung - 08.08.2015 (27)
  2. Win7 home premium, 64bit. Seit heute ADWARE/BHO.Bprotector.1.2
    Log-Analyse und Auswertung - 13.09.2013 (15)
  3. Seitenaufbau im Internet seit Heute sehr langsam
    Log-Analyse und Auswertung - 11.05.2013 (15)
  4. Seit Heute Morgen CPU Auslastung immer 100%
    Plagegeister aller Art und deren Bekämpfung - 19.12.2012 (20)
  5. Keylogger. Spyware, PUP.Adware, RootKit, Trojan, Backdoor.Bot
    Log-Analyse und Auswertung - 15.08.2012 (1)
  6. Avira findet seit heute TR/Kryptik.NC.1 in SteamService.exe
    Plagegeister aller Art und deren Bekämpfung - 13.03.2011 (1)
  7. Seit heute öffnen sich Java und Internetexplorer ständig
    Log-Analyse und Auswertung - 22.02.2011 (37)
  8. Seit heute ständig werbung bei Firefox und IE8
    Log-Analyse und Auswertung - 14.10.2009 (6)
  9. PC bootet seit heute schlecht/langsam
    Plagegeister aller Art und deren Bekämpfung - 23.07.2009 (0)
  10. Mein PC ist seit heute morgen sehr langsam
    Log-Analyse und Auswertung - 31.10.2008 (34)
  11. TR/Dldr.WMA.Wimad.N seit heute morgen =((
    Mülltonne - 03.05.2008 (0)
  12. Seit heute 100 Spam-Mails in 1 Stunde?! Hilfe!
    Überwachung, Datenschutz und Spam - 18.04.2008 (3)
  13. Seit heute morgen -Bonjour-
    Log-Analyse und Auswertung - 08.02.2008 (4)
  14. 180Solutions Spyware/, VX2 Spyware/Adware, VB and VBA Program Settings Spyware/Adware
    Log-Analyse und Auswertung - 12.07.2006 (10)
  15. Firefox öffnet seit heute nur bestimmte Seiten
    Plagegeister aller Art und deren Bekämpfung - 05.12.2005 (3)
  16. Virusmeldung seit heute morgen.
    Plagegeister aller Art und deren Bekämpfung - 30.05.2005 (11)
  17. about blank seit heute - Trojaner Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 01.02.2005 (33)

Zum Thema Keylogger, Adware und Spyware seit heute - Hallo erstmal, habe seit gerade eben ein großes Problem das immer wieder, egal was ich mache, Fehlermeldungen erscheinen. Teilweise sind diese ohne Inhalt, also einfach nur Fenster mit einem OK - Keylogger, Adware und Spyware seit heute...
Archiv
Du betrachtest: Keylogger, Adware und Spyware seit heute auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.