Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.08.2008, 21:27   #1
sonjarocket
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



Hallo..

Nach dem Hochfahren des Computers öffnet sich seit neustem Mozilla Firefox mit folgender Webseite:

http://update.windowssettings.org/2/update.php

Mozilla warnt dann mit "Web Betrug" Phishing Seite etc....

Woran liegt das? Was ist zu tun?
Tausend Dank für eure Hilfe!

Lieben Gruss, Sonja

Alt 24.08.2008, 21:31   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Ausrufezeichen

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 29.08.2008, 22:02   #3
sonjarocket
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



Vielen Dank für deine Hilfe, werde das jetzt alles ausführen. Zu meinen Problem mit der Seite ist folgendes hinzu gekommen:

http://www.trojaner-board.de/58807-explorer-exe-konnte-nicht-gefunden-werden-trojaner.html

Hier nochmal der Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:07, on 29.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\WINDOWS\system32\AvidSDMService.exe
C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Digidesign\Drivers\MMERefresh.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\lxcicoms.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\MICROS~3\Office\OUTLOOK.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Trend Micro\HijackThis\hijackthis.exe
C:\PROGRA~1\MICROS~3\Office\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.club-vaio.com/
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin .dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIO Update 3] "C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [Biomenu] "C:\Programme\Protector Suite QL\menusw.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry
O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Programme\Digidesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItim e.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon. exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Sccs] C:\Dokumente und Einstellungen\sonja\sccs.exe
O4 - HKLM\..\Run: [Css] C:\Dokumente und Einstellungen\sonja\css.exe
O4 - HKLM\..\Run: [ppxcs] C:\Dokumente und Einstellungen\sonja\ppxcs.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Norton Save and Restore 2.0] "C:\Programme\Norton Save and Restore\Agent\VProTray.exe"
O4 - HKLM\..\Run: [lxcimon.exe] "C:\Programme\Lexmark 7300 Series\lxcimon.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 7300 Series\ezprint.exe"
O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
O4 - HKLM\..\RunOnce: [*Restore] C:\WINDOWS\system32\restore\rstrui.exe -i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SWR3RauchFrei] "C:\Programme\RauchFrei\RauchFrei.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.v bs"
O4 - HKCU\..\RunOnce: [TSClientAXDisabler] cmd.exe /C "%systemroot%\Installer\TSClientMsiTrans\tscdsbl.b at"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Drivers\MMERefresh.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Desktop Manager 5.7.801.1629 (GoogleDesktopManager-010108-205858) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe
O23 - Service: Norton Save and Restore - Symantec Corporation - C:\Programme\Norton Save and Restore\Agent\VProSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 12805 bytes
__________________

Alt 29.08.2008, 22:42   #4
sonjarocket
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



hey root..

also das mbr tool hab ich runtergeladen, wenn ich es über den taskmanager öffne, geht kurz ein fenster auf ( eine art dos modus) was gleich wieder verschwindet. das wars dann. mehr geht da nicht. mmh?

blacklight hat nichts gefunden.

malwarebytes läuft noch..

oh mann..ich dreh noch durch.. immer son mist, wenn man es am wenigsten braucht..

danke für deine hilfe.. sonja

Alt 29.08.2008, 22:54   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Icon32

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



mbr.exe ist ein command-line-tool. Hätte ich eigentlich erwähnen müssen, nachdem Du es ausgeführt hast, speichert es automatisch eine Logdatei. Wahrscheinlich bei Dir aufm Desktop (mbr.log).

Poste die Logfiles mit Codetags umschlossen!

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.08.2008, 23:46   #6
sonjarocket
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



Malwarebytes' Anti-Malware 1.19
Datenbank Version: 901
Windows 5.1.2600 Service Pack 2

23:44:33 29.08.2008
mbam-log-8-29-2008 (23-44-25).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 124823
Scan Dauer: 52 minute(s), 39 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\dllcache\explorer.ex_ (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\explorer.ex_ (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Dokumente und Einstellungen\sonja\Desktop\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Alt 30.08.2008, 00:23   #7
sonjarocket
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Alt 30.08.2008, 00:28   #8
sonjarocket
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



Krass, vielen Tausend Dank. Keine Ahnung wie stabil das ganze nun ist, aber die Sache mit dem Comofix hats in sich. Alles wieder da. Super.. vielen lieben Dank. Du hast mir echt das Wochenende gerettet. Dachte schon, ich muss alles neu aufsetzen, was ein Problem wäre, weil ich unterwegs bin und die ganze Software natürlich nicht dabei hab..

muss ich nun irgendwas wieder einstellen? systemwiederherstellung oder so?
was ist mit den funden von malwarebyte..muss ich die löschen oder hat combofix schon klar schiff gemacht?

krass ist, dass nun jeder mist, den ich mal über msconfig aus dem systemstart gelöscht habe (msn und realplayer zeugs..) nun wieder automatisch beim hochfahren am start ist.. kann ich das wieder alles deaktivieren?

und gibt es noch was, dass ich machen muss, damit mein baby nun wieder stabil läuft?

anbei das logfile von combofix:

ComboFix 08-08-29.01 - sonja 2008-08-30 0:03:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1456 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\sonja\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Microsoft Common
C:\WINDOWS\system32\tmp82.tmp
C:\WINDOWS\system32\vsdatant.sys
C:\WINDOWS\system32\x64

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_VSDATANT
-------\Service_vsdatant


((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-29 ))))))))))))))))))))))))))))))
.

2008-08-29 23:58 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-29 22:45 . 2008-08-29 22:45 <DIR> d-------- C:\Programme\CCleaner
2008-08-29 21:56 . 2008-08-29 23:27 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-08-29 20:05 . 2008-08-29 21:04 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-29 20:05 . 2008-08-29 21:04 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-29 19:18 . 2004-08-04 00:57 252,928 --a------ C:\WINDOWS\system32\dllcache\ctmasetp.dll
2008-08-29 19:17 . 2001-08-18 04:53 119,296 --a------ C:\WINDOWS\system32\dllcache\camext30.dll
2008-08-29 19:17 . 2004-08-03 23:00 8,192 --a------ C:\WINDOWS\system32\dllcache\changer.sys
2008-08-29 19:16 . 2004-08-04 00:58 18,432 --a------ C:\WINDOWS\system32\dllcache\bdaplgin.ax
2008-08-29 19:16 . 2004-08-03 23:10 13,696 --a------ C:\WINDOWS\system32\dllcache\avcstrm.sys
2008-08-29 19:16 . 2004-08-03 23:10 11,776 --a------ C:\WINDOWS\system32\dllcache\bdasup.sys
2008-08-29 19:15 . 2007-02-28 18:06 2,184,448 --a------ C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-08-29 19:15 . 2004-08-03 23:00 12,288 --a------ C:\WINDOWS\system32\dllcache\4mmdat.sys
2008-08-29 16:40 . 2004-08-04 14:00 847,360 --a------ C:\WINDOWS\system32\dllcache\inetmgr.dll
2008-08-29 16:39 . 2004-08-04 14:00 19,456 --a------ C:\WINDOWS\system32\dllcache\agt0804.dll
2008-08-29 16:38 . 2004-08-04 14:00 19,456 --a------ C:\WINDOWS\system32\dllcache\agt0412.dll
2008-08-29 16:38 . 2004-08-04 14:00 19,456 --a------ C:\WINDOWS\system32\dllcache\agt040d.dll
2008-08-29 16:38 . 2004-08-04 14:00 19,456 --a------ C:\WINDOWS\system32\dllcache\agt0401.dll
2008-08-29 16:37 . 2004-08-04 14:00 334,848 --a------ C:\WINDOWS\system32\dllcache\aqueue.dll
2008-08-29 16:37 . 2004-08-04 14:00 218,112 --a------ C:\WINDOWS\system32\dllcache\c_g18030.dll
2008-08-29 16:30 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\003059_.tmp
2008-08-29 16:27 . 2007-10-25 18:42 8,501,248 --a------ C:\WINDOWS\system32\dllcache\shell32.dll
2008-08-28 21:00 . 2008-04-14 05:42 1,033,728 --a------ C:\WINDOWS\explorer.ex_
2008-08-28 20:59 . 2008-04-14 05:42 1,033,728 --a--c--- C:\WINDOWS\system32\dllcache\explorer.ex_
2008-08-27 18:48 . 2001-08-18 04:55 99,865 --a--c--- C:\WINDOWS\system32\dllcache\xlog.exe
2008-08-27 18:48 . 2001-08-18 04:55 27,648 --a--c--- C:\WINDOWS\system32\dllcache\xrxftplt.exe
2008-08-27 18:48 . 2001-08-18 04:54 23,040 --a--c--- C:\WINDOWS\system32\dllcache\xrxwbtmp.dll
2008-08-27 18:48 . 2001-08-18 04:55 4,608 --a--c--- C:\WINDOWS\system32\dllcache\xrxflnch.exe
2008-08-27 18:47 . 2004-08-04 14:00 28,288 --a--c--- C:\WINDOWS\system32\dllcache\xjis.nls
2008-08-27 18:47 . 2004-08-03 22:29 19,455 --a--c--- C:\WINDOWS\system32\dllcache\wvchntxx.sys
2008-08-27 18:47 . 2001-08-17 12:11 16,970 --a--c--- C:\WINDOWS\system32\dllcache\xem336n5.sys
2008-08-27 18:47 . 2004-08-03 22:29 12,063 --a--c--- C:\WINDOWS\system32\dllcache\wsiintxx.sys
2008-08-27 18:44 . 2001-08-17 13:28 701,386 --a--c--- C:\WINDOWS\system32\dllcache\wdhaalba.sys
2008-08-27 18:43 . 2001-08-17 13:28 687,999 --a--c--- C:\WINDOWS\system32\dllcache\usrwdxjs.sys
2008-08-27 18:43 . 2001-08-17 13:28 604,253 --a--c--- C:\WINDOWS\system32\dllcache\vmodem.sys
2008-08-27 18:43 . 2004-08-04 14:00 426,041 --a------ C:\WINDOWS\system32\dllcache\voicepad.dll
2008-08-27 18:43 . 2001-08-17 13:28 397,502 --a--c--- C:\WINDOWS\system32\dllcache\vpctcom.sys
2008-08-27 18:43 . 2001-08-17 12:14 249,402 --a--c--- C:\WINDOWS\system32\dllcache\vinwm.sys
2008-08-27 18:43 . 2004-08-04 14:00 86,073 --a------ C:\WINDOWS\system32\dllcache\voicesub.dll
2008-08-27 18:43 . 2001-08-17 13:49 24,576 --a--c--- C:\WINDOWS\system32\dllcache\viairda.sys
2008-08-27 18:42 . 2001-08-17 13:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys
2008-08-27 18:42 . 2001-08-17 13:28 794,399 --a--c--- C:\WINDOWS\system32\dllcache\usr1806v.sys
2008-08-27 18:42 . 2001-08-17 13:28 793,598 --a--c--- C:\WINDOWS\system32\dllcache\usr1806.sys
2008-08-27 18:42 . 2001-08-17 13:28 765,884 --a--c--- C:\WINDOWS\system32\dllcache\usrti.sys
2008-08-27 18:42 . 2001-08-17 13:28 224,802 --a--c--- C:\WINDOWS\system32\dllcache\usr1807a.sys
2008-08-27 18:42 . 2001-08-17 13:28 113,762 --a--c--- C:\WINDOWS\system32\dllcache\usrpda.sys
2008-08-27 18:42 . 2004-08-04 14:00 76,288 --a------ C:\WINDOWS\system32\dllcache\uniime.dll
2008-08-27 18:42 . 2004-08-04 14:00 65,024 --a------ C:\WINDOWS\system32\dllcache\unicdime.ime
2008-08-27 18:42 . 2004-08-04 00:43 32,384 --a--c--- C:\WINDOWS\system32\dllcache\usb101et.sys
2008-08-27 18:42 . 2001-08-17 13:28 7,556 --a--c--- C:\WINDOWS\system32\dllcache\usroslba.sys
2008-08-27 18:40 . 2004-08-04 14:00 571,392 --a------ C:\WINDOWS\system32\dllcache\tintlgnt.ime
2008-08-27 18:39 . 2004-08-04 14:00 185,344 --a--c--- C:\WINDOWS\system32\dllcache\thawbrkr.dll
2008-08-27 18:38 . 2001-08-18 04:18 287,232 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys
2008-08-27 18:37 . 2001-08-18 04:52 147,200 --a--c--- C:\WINDOWS\system32\dllcache\smidispb.dll
2008-08-27 18:36 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys
2008-08-27 18:35 . 2001-08-18 04:52 386,560 --a--c--- C:\WINDOWS\system32\dllcache\sgiul50.dll
2008-08-27 18:35 . 2001-08-18 04:35 161,888 --a--c--- C:\WINDOWS\system32\dllcache\sgsmusb.sys
2008-08-27 18:35 . 2001-08-17 12:51 98,080 --a--c--- C:\WINDOWS\system32\dllcache\sgiulnt5.sys
2008-08-27 18:35 . 2001-08-17 12:19 36,480 --a--c--- C:\WINDOWS\system32\dllcache\sfmanm.sys
2008-08-27 18:35 . 2001-08-18 04:54 26,112 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_seos.dll
2008-08-27 18:35 . 2001-07-21 14:29 18,400 --a--c--- C:\WINDOWS\system32\dllcache\sgsmld.sys
2008-08-27 18:35 . 2001-08-18 04:34 18,176 --a--c--- C:\WINDOWS\system32\dllcache\sermouse.sys
2008-08-27 18:35 . 2001-08-18 04:34 7,040 --a--c--- C:\WINDOWS\system32\dllcache\serscan.sys
2008-08-27 18:35 . 2001-08-17 13:53 6,912 --a--c--- C:\WINDOWS\system32\dllcache\seaddsmc.sys
2008-08-27 18:33 . 2001-08-18 04:33 715,242 --a--c--- C:\WINDOWS\system32\dllcache\r2mdmkxx.sys
2008-08-27 18:32 . 2001-08-18 04:33 899,658 --a--c--- C:\WINDOWS\system32\dllcache\r2mdkxga.sys
2008-08-27 18:31 . 2004-08-04 14:00 482,304 --a------ C:\WINDOWS\system32\dllcache\pintlgnt.ime
2008-08-27 18:30 . 2004-08-03 22:29 1,897,408 --a--c--- C:\WINDOWS\system32\dllcache\nv4_mini.sys
2008-08-27 18:29 . 2004-08-04 00:49 132,695 --a--c--- C:\WINDOWS\system32\dllcache\netwlan5.sys
2008-08-27 18:28 . 2004-08-04 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-08-27 18:27 . 2001-08-17 14:02 35,200 --a--c--- C:\WINDOWS\system32\dllcache\msgame.sys
2008-08-27 18:27 . 2001-08-17 13:52 17,280 --a--c--- C:\WINDOWS\system32\dllcache\mraid35x.sys
2008-08-27 18:27 . 2001-08-17 13:48 6,016 --a--c--- C:\WINDOWS\system32\dllcache\msfsio.sys
2008-08-27 18:25 . 2004-08-04 14:00 1,158,818 --a--c--- C:\WINDOWS\system32\dllcache\korwbrkr.lex
2008-08-27 18:24 . 2004-08-04 14:00 716,856 --a------ C:\WINDOWS\system32\dllcache\imjpcus.dll
2008-08-27 18:23 . 2004-08-04 14:00 13,463,552 --a------ C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-08-27 18:22 . 2004-08-04 14:00 10,096,640 --a--c--- C:\WINDOWS\system32\dllcache\hwxcht.dll
2008-08-27 18:21 . 2001-08-18 04:52 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll
2008-08-27 18:20 . 2001-08-17 12:15 455,680 --a--c--- C:\WINDOWS\system32\dllcache\fus2base.sys
2008-08-27 18:19 . 2001-08-18 04:30 634,198 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys
2008-08-27 18:18 . 2001-08-17 12:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys
2008-08-27 18:17 . 2008-04-13 22:13 480,256 --a--c--- C:\WINDOWS\system32\dllcache\cintsetp.exe
2008-08-27 18:16 . 2004-08-04 14:00 1,677,824 --a--c--- C:\WINDOWS\system32\dllcache\chsbrkr.dll
2008-08-27 18:15 . 2001-08-17 13:28 871,388 --a--c--- C:\WINDOWS\system32\dllcache\bcmdm.sys
2008-08-27 18:14 . 2001-08-17 12:19 747,392 --a--c--- C:\WINDOWS\system32\dllcache\adm8830.sys
2008-08-27 18:13 . 2001-08-17 13:28 762,780 --a--c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys
2008-08-27 18:13 . 2001-08-18 04:52 689,216 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvs.dll
2008-08-27 18:13 . 2001-08-17 12:48 148,352 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvsm.sys
2008-08-27 18:13 . 2001-08-17 14:06 11,264 --a--c--- C:\WINDOWS\system32\dllcache\1394vdbg.sys
2008-08-27 18:13 . 2004-08-04 14:00 7,168 --a--c--- C:\WINDOWS\system32\dllcache\wamregps.dll
2008-08-27 18:12 . 2004-08-04 14:00 172,032 --a--c--- C:\WINDOWS\system32\dllcache\iisui.dll
2008-08-27 18:12 . 2004-08-04 14:00 96,768 --a--c--- C:\WINDOWS\system32\dllcache\certmap.ocx
2008-08-27 18:12 . 2001-08-18 04:52 66,048 --a--c--- C:\WINDOWS\system32\dllcache\s3legacy.dll
2008-08-27 18:12 . 2004-08-04 14:00 19,968 --a--c--- C:\WINDOWS\system32\dllcache\inetsloc.dll
2008-08-27 18:12 . 2004-08-04 14:00 15,360 --a--c--- C:\WINDOWS\system32\dllcache\iisreset.exe
2008-08-27 18:12 . 2004-08-04 14:00 7,680 --a--c--- C:\WINDOWS\system32\dllcache\inetmgr.exe
2008-08-27 18:12 . 2004-08-04 14:00 6,144 --a--c--- C:\WINDOWS\system32\dllcache\ftpsapi2.dll
2008-08-27 18:12 . 2004-08-04 14:00 5,632 --a--c--- C:\WINDOWS\system32\dllcache\iisrstap.dll
2008-08-27 18:05 . 2008-08-27 18:05 <DIR> d--h----- C:\WINDOWS\PIF
2008-08-27 17:22 . 2008-08-27 17:22 <DIR> d-------- C:\Programme\Panda Security
2008-08-27 17:22 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-08-22 14:54 . 2008-08-22 14:59 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-08-21 20:21 . 2008-08-21 20:21 <DIR> d-------- C:\Programme\MagicISO
2008-08-20 19:48 . 2008-08-20 19:49 <DIR> d-------- C:\WINDOWS\usb-audio.deMaya44
2008-08-20 19:47 . 2007-09-06 03:29 325,344 --------- C:\WINDOWS\system32\drivers\Maya44.sys
2008-08-20 19:47 . 2007-09-06 03:29 23,360 --------- C:\WINDOWS\system32\drivers\pgusbmm3.sys
2008-08-20 19:34 . 2008-08-20 20:38 <DIR> d-------- C:\Programme\Native Instruments

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-29 22:12 8,867,872 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-29 22:10 6,441,798 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-08-29 22:07 105,872 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-29 21:58 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-08-29 21:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-29 10:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-28 22:07 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\skypePM
2008-08-28 21:59 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\Skype
2008-08-22 14:01 --------- d-----w C:\Programme\Lx_cats
2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-16 15:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-13 10:15 781,824 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-07-30 20:31 --------- d-----w C:\Programme\RauchFrei
2008-07-19 18:40 --------- d-----w C:\Programme\SUPERAntiSpyware
2008-07-19 18:40 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\SUPERAntiSpyware.com
2008-07-13 17:00 --------- d-----w C:\Programme\gs
2008-07-13 17:00 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\WordToPDF
2008-07-13 16:41 --------- d-----w C:\Programme\Ghostgum
2008-07-13 16:39 --------- d-----w C:\Programme\WordToPDF
2008-07-10 16:07 --------- d-----w C:\Programme\Google
2008-07-03 16:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-02 22:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-07-02 22:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-29 10:55 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\Malwarebytes
2008-06-29 10:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-28 17:54 20,239,647 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_06_28_19_43_42_full.dmp.zip
2008-06-28 17:43 3,027,456 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-06-28 17:43 1,760,256 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-06-28 17:06 15,544 ----a-w C:\WINDOWS\system32\drivers\sbhr.sys
2008-06-28 17:04 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\Sunbelt Software
2008-06-28 17:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-06-28 17:03 --------- d-----w C:\Programme\Sunbelt Software
2008-06-05 22:45 1,669,120 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-05-31 10:36 1,662,976 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-04-08 20:43 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-08 12:06 94208]
"SWR3RauchFrei"="C:\Programme\RauchFrei\RauchFrei.exe" [2004-04-07 01:02 895488]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:37 21898024]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"SetDefaultMIDI"="MIDIDef.exe" [2005-04-22 05:27 73728 C:\WINDOWS\MIDIDEF.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2007-02-14 12:05 172032]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-03-30 04:13 138008]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-03-30 04:13 162584]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-03-30 04:13 138008]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2007-05-15 08:41 53248]
"ISBMgr.exe"="C:\Programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 14:12 32768]
"VAIO Update 3"="C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" [2007-05-31 09:32 551032]
"SonyPowerCfg"="C:\Programme\Sony\VAIO Power Management\SPMgr.exe" [2007-07-30 20:29 217088]
"Biomenu"="C:\Programme\Protector Suite QL\menusw.exe" [2006-02-22 20:02 1094144]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 22:51 266497]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"CTAPR2"="C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 17:39 57344]
"VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 18:50 180224]
"DigidesignMMERefresh"="C:\Programme\Digidesign\Drivers\MMERefresh.exe" [2006-02-15 01:31 61440]
"LXCICATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2006-11-21 19:27 106496]
"WrtMon.exe"="C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 09:35 20480]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-13 02:37 185896]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-12-11 11:56 286720]
"SearchSettings"="C:\Programme\Search Settings\SearchSettings.exe" [2008-02-06 17:47 1036640]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"Norton Save and Restore 2.0"="C:\Programme\Norton Save and Restore\Agent\VProTray.exe" [2007-10-05 13:33 2041184]
"lxcimon.exe"="C:\Programme\Lexmark 7300 Series\lxcimon.exe" [2007-02-02 04:14 205744]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 13:10 267048]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-01-28 13:22 29744]
"EzPrint"="C:\Programme\Lexmark 7300 Series\ezprint.exe" [2007-02-02 04:15 103344]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2008-01-09 18:20 455680]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"SPIRun"="SPIRun.dll" [2006-11-29 12:35 8704 C:\WINDOWS\system32\SPIRun.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-08-24 03:18 437160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-02-22 20:03 39936 C:\WINDOWS\system32\fusstub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2006-12-28 16:54 73728 C:\WINDOWS\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.DVSD"= miroDV2avi.dll
"vidc.AVRn"= AvidAVICodec.dll
"MIDI2"= diomidi.dll
"wave2"= Digi32.dll
"vidc.XVID"= xvid.dll
"vidc.MPG4"= vp31vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\lxcicoms.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxcipswx.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24]
R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-06-28 19:06]
R0 shpf;Sony HDD Protection Filter Driver;C:\WINDOWS\system32\DRIVERS\shpf.sys [2007-03-19 04:40]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2007-09-26 11:53]
R2 BcmSqlStartupSvc;SQL Server-Startdienst für Business Contact Manager;C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [2008-01-16 09:51]
R2 FdRedir;FdRedir;C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys [2006-02-22 20:05]
R2 FileDisk2;FileDisk Protector Kernel Driver;C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys [2006-02-22 20:05]
R2 lxci_device;lxci_device;C:\WINDOWS\system32\lxcicoms.exe [2007-02-02 04:13]
R2 SentEmul;SentEmul;C:\WINDOWS\system32\DRIVERS\sentemul.sys [2006-05-14 01:49]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2007-02-14 12:07]
R3 Norton Save and Restore;Norton Save and Restore;C:\Programme\Norton Save and Restore\Agent\VProSvc.exe [2007-10-05 13:33]
R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []
R3 ti21sony;ti21sony;C:\WINDOWS\system32\drivers\ti21sony.sys [2007-03-13 23:33]
S3 GoogleDesktopManager-010108-205858;Google Desktop Manager 5.7.801.1629;C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-01-28 13:22]
S3 IO;IO;A:\IO.SYS []
S3 MAYA44;usb-audio.de driver for Maya44;C:\WINDOWS\system32\Drivers\Maya44.sys [2007-09-06 03:29]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2007-02-10 05:29]
S3 pgusbmme;usb-audio.de MME-Adapter;C:\WINDOWS\system32\drivers\pgusbmm3.sys [2007-09-06 03:29]
S3 SonyImgF;Sony Image Conversion Filter Driver;C:\WINDOWS\system32\DRIVERS\SonyImgF.sys [2007-04-05 03:03]
S3 t3;SB Xtreme Audio Notebook;C:\WINDOWS\system32\drivers\t3.sys [2007-06-19 07:38]
S3 t3filt;t3filt;C:\WINDOWS\system32\drivers\t3filt.sys [2007-08-20 07:35]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0db3fe53-386e-11dd-a7ea-001cbf5abbb5}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\Shell\Explore\command - H:\system.exe
\Shell\Open\command - H:\system.exe

*Newly Created Service* - SBAPIFS
.
Inhalt des "geplante Tasks" Ordners

2008-08-20 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
HKLM-Run-Sccs - C:\Dokumente und Einstellungen\sonja\sccs.exe
HKLM-Run-Css - C:\Dokumente und Einstellungen\sonja\css.exe
HKLM-Run-ppxcs - C:\Dokumente und Einstellungen\sonja\ppxcs.exe
HKLM-Run-osCheck - C:\Programme\Norton Internet Security\osCheck.exe
HKLM-Run-NWEReboot - (no file)
Notify-dimsntfy - (no file)

Alt 30.08.2008, 00:29   #9
sonjarocket
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\Mozilla\Firefox\Profiles\01m6uep6.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ig?ct=1056757711
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1273.1045\npCIDetect12.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-08-30 00:09:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\AvidSDMService.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Apoint2K\ApntEx.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\Programme\Real\RealPlayer\realplay.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-30 0:19:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-29 22:19:16

Pre-Run: 13 Verzeichnis(se), 33,891,610,624 Bytes frei
Post-Run: 16 Verzeichnis(se), 33,802,412,032 Bytes frei

360 --- E O F --- 2008-08-28 22:47:10

Alt 30.08.2008, 01:23   #10
KarlKarl
/// Helfer-Team
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



Hi,

am Rande bemerkt: Bitte die Finger von Combofix lassen. Das ist heute schon der zweite Rechner, den ich zu sehen bekomme, auf dem Combofix Zonealarm killt. Ich halte zwar Zonealarm für Blödsinn, der auch noch Spyware installiert, weswegen mich diese Aktion von Combofix schon erheitert, aber man sollte einer ordentlichen Deinstallation den Vorzug geben.

Karl

Alt 30.08.2008, 01:44   #11
sonjarocket
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



hallo karl, hallo root..

ist ja nun schon passiert und hat immerhin das problem (augenscheinlich) gelöst. malwareb hat aber trotzdem noch einen kaputten oder infizierten exlorer gefunden. was nun?

was genau ist mit zonealarm passiert? ich dachte immer das ist n gutes programm.. mmh.. gibts bessere alternativen um zu kontrollieren, welches programm ins netz geht?


Code:
ATTFilter
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 2

01:40:04 30.08.2008
mbam-log-08-30-2008 (01-39-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 129939
Laufzeit: 58 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\explorer.ex_ (Heuristics.Reserved.Word.Exploit) -> No action taken.
         

Geändert von sonjarocket (30.08.2008 um 02:00 Uhr)

Alt 30.08.2008, 01:57   #12
sonjarocket
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



hey root..

sorry, hab das mit dem #code nicht gecheckt. nächstes mal..

das mit dem listing funktioniert irgendwie nicht. doppelklick auf die cmd datei, da öffnet sich der texteditor, aber passiert nichts weiter. also zumindest ist diese textdatei so klein, dass ich nicht glaube, dass du das meinst..

Code:
ATTFilter
echo LISTING FILE von root24; 28.01.2008  > %temp%\listing.txt

echo "------ SYSTEMROOT ---" >> %temp%\listing.txt
%systemdrive%
cd\
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ SYSTEM32 ---" >> %temp%\listing.txt
cd %windir%
cd system32
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Installations"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Program Files"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt
cd %windir%
cd system32
cd drivers
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PREFETCH ---" >> %temp%\listing.txt
cd %windir%
cd prefetch
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ TASKS ---" >> %temp%\listing.txt
cd %windir%
cd tasks
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR ---" >> %temp%\listing.txt
cd %windir%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt
cd system
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt
cd %windir%
cd temp
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ USER\TEMP ---" >> %temp%\listing.txt
cd %temp%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PROGRAMS ---" >> %temp%\listing.txt
cd %programfiles%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ ALLUSERS ---" >> %temp%\listing.txt
cd %allusersprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ USERS ---" >> %temp%\listing.txt
cd %userprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

cd %temp%
copy /y listing.txt "%userprofile%"\desktop\listing.txt
         

Alt 30.08.2008, 10:10   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



Wenn Du die listing8.cmd doppellickst, öffnet sich dan nur der von Dir gepostete Inhalt?
So sollte das eigentlich nicht sein. Hast Du denn per Rechtsklick die Datei auf Deinen Desktop heruntergladen?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.08.2008, 10:21   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Blinzeln

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:
ATTFilter
C:\WINDOWS\system32\drivers\pavboot.sys
C:\WINDOWS\system32\drivers\sbhr.sys
C:\WINDOWS\system32\drivers\sbapifs.sys
H:\system.exe
         
@Karl: Ist das bekannt, das CF ZA killt?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.08.2008, 14:43   #15
sonjarocket
 
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Standard

Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)



Code:
ATTFilter
 

 Datei pavboot.sys empfangen 2008.08.30 14:35:54 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.8.29.0	2008.08.29	-
AntiVir	7.8.1.23	2008.08.29	-
Authentium	5.1.0.4	2008.08.30	-
Avast	4.8.1195.0	2008.08.30	-
AVG	8.0.0.161	2008.08.29	-
BitDefender	7.2	2008.08.30	-
CAT-QuickHeal	9.50	2008.08.29	-
ClamAV	0.93.1	2008.08.30	-
DrWeb	4.44.0.09170	2008.08.30	-
eSafe	7.0.17.0	2008.08.28	-
eTrust-Vet	31.6.6057	2008.08.29	-
Ewido	4.0	2008.08.30	-
F-Prot	4.4.4.56	2008.08.29	-
F-Secure	7.60.13501.0	2008.08.30	-
Fortinet	3.14.0.0	2008.08.30	-
GData	19	2008.08.30	-
Ikarus	T3.1.1.34.0	2008.08.30	-
K7AntiVirus	7.10.432	2008.08.29	-
Kaspersky	7.0.0.125	2008.08.30	-
McAfee	5373	2008.08.29	-
Microsoft	1.3807	2008.08.25	-
NOD32v2	3401	2008.08.30	-
Norman	5.80.02	2008.08.29	-
Panda	9.0.0.4	2008.08.30	-
PCTools	4.4.2.0	2008.08.30	-
Prevx1	V2	2008.08.30	-
Rising	20.59.51.00	2008.08.30	-
Sophos	4.33.0	2008.08.30	-
Sunbelt	3.1.1592.1	2008.08.30	-
Symantec	10	2008.08.30	-
TheHacker	6.3.0.6.068	2008.08.30	-
TrendMicro	8.700.0.1004	2008.08.29	-
ViRobot	2008.8.30.1357	2008.08.30	-
VirusBuster	4.5.11.0	2008.08.29	-
Webwasher-Gateway	6.6.2	2008.08.29	-
weitere Informationen
File size: 28544 bytes
MD5...: 210a628a0d7b3f45257850efbff27538
SHA1..: 9220768745cd6b2e22554f41425aae1e889dd5a0
SHA256: 65b059bd5f783cd05e2d5df818d15b93bd5e8ff72eeb436dffa5de197283d8a8
SHA512: e4f56c9d98fe97012439ed373bf416ea8cf5f9ef7dc6f1979c3552b4c9d14224
d2a08a490bc33d7e14e3da2dceda71bf51c10bc1413da34dbbc6197e49a5f1c6
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (51.1%)
Win16/32 Executable Delphi generic (12.4%)
Clipper DOS Executable (12.1%)
Generic Win/DOS Executable (12.0%)
DOS Executable Generic (12.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x14605
timedatestamp.....: 0x485a79d4 (Thu Jun 19 15:23:00 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x3d10 0x3d80 6.27 aceb04c2dd830a6e55db29424bcc90e8
.rdata 0x4200 0x214 0x280 3.52 85ffd97bc4afe229f73bb32eda57de9c
.data 0x4480 0x180 0x180 0.21 b26d6caa04f4b123fdc98b003a534973
INIT 0x4600 0x7c0 0x800 5.32 3cd24a5602ef4736306dd67efcf7071e
.rsrc 0x4e00 0x300 0x300 3.23 0394a03f82ecfafc4165624ef0b7db99
.reloc 0x5100 0x432 0x480 5.73 d4800e59da919a2d613a076e4d756156

( 2 imports )
> ntoskrnl.exe: InitSafeBootMode, strncmp, PsGetVersion, ExAllocatePoolWithTag, IoGetCurrentProcess, memcpy, memset, ExFreePoolWithTag, IoDeleteDevice, ZwClose, ZwQueryValueKey, ZwOpenKey, RtlAppendUnicodeToString, RtlCopyUnicodeString, ZwSetValueKey, ZwCreateKey, RtlAppendUnicodeStringToString, RtlCompareUnicodeString, ObQueryNameString, ZwQuerySymbolicLinkObject, RtlFreeUnicodeString, ZwOpenSymbolicLinkObject, RtlAnsiStringToUnicodeString, RtlInitAnsiString, MmIsAddressValid, _stricmp, strncpy, PsSetCreateProcessNotifyRoutine, IofCallDriver, IofCompleteRequest, PsGetCurrentThreadId, ExQueueWorkItem, IoAttachDeviceToDeviceStack, RtlInitUnicodeString, ObfReferenceObject, ObfDereferenceObject, IoDetachDevice, RtlFreeAnsiString, RtlCompareString, sprintf, RtlUnicodeStringToAnsiString, IoGetDeviceObjectPointer, IoRegisterFsRegistrationChange, NtOpenProcessToken, RtlCopySid, RtlLengthSid, NtQueryInformationToken, NtQuerySecurityObject, NtSetSecurityObject, RtlSetOwnerSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, RtlCreateSecurityDescriptor, ZwDeleteKey, ZwReadFile, ZwWriteFile, ZwQueryInformationFile, wcsncpy, ZwSetInformationFile, ZwCreateFile, ZwDeleteFile, NtQueryDirectoryFile, _wcsicmp, KeTickCount, KeBugCheckEx, IoCreateDevice, IoCreateSymbolicLink, KeDelayExecutionThread, IoDeleteSymbolicLink, RtlUnwind
> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql

( 0 exports )
         

Antwort

Themen zu Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)
automatisch, betrug, compu, computers, dubiose, firefox, folge, folgender, hochfahren, mozilla, mozilla firefox, phishing, seite, sich automatisch, update, warnt, webseite, windows, windows update, öffnet, öffnet sich automatisch



Ähnliche Themen: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)


  1. Windows 10: Watch4 Seite öffnet sich von alleine
    Log-Analyse und Auswertung - 28.11.2015 (24)
  2. C:\Users\Name\AppData\Roaming\UPDATE-1\UM.exe - Fenster öffnet sich beim Hochfahren
    Plagegeister aller Art und deren Bekämpfung - 25.08.2015 (13)
  3. Chrome: Bei jeder besuchten Seite öffnet sich automatisch ein Pop-Up
    Log-Analyse und Auswertung - 25.05.2015 (16)
  4. Bei jedem Rechner-Start öffnet sich automatisch Firefox mit Farmaster.Net-Seite
    Log-Analyse und Auswertung - 21.09.2014 (11)
  5. Windows Explorer Ordner öffnet sich immer nach dem Hochfahren
    Alles rund um Windows - 04.05.2014 (16)
  6. Win 8.1: Button Konto verwalten in Word 2013 öffnet dubiose Seite
    Log-Analyse und Auswertung - 12.01.2014 (31)
  7. C:\WINDOWS\system32 Ordner öffnet sich automatisch beim Starten
    Log-Analyse und Auswertung - 11.05.2013 (20)
  8. Internetseite(Tesyxaltert.us) öffnet sich nach hochfahren automatisch, kann nichts machen.
    Log-Analyse und Auswertung - 19.01.2013 (11)
  9. beim hochfahren von windows xp professional öffnet sich die taskleiste nicht
    Alles rund um Windows - 30.06.2011 (3)
  10. Virus oder Malware: Bei benutzen eines Webbrowsers öffnet sich automatisch eine http://xn seite
    Plagegeister aller Art und deren Bekämpfung - 21.05.2011 (3)
  11. 'Microsoft Windows malicious software removal tool' öffnet sich beim Hochfahren
    Plagegeister aller Art und deren Bekämpfung - 04.05.2011 (1)
  12. Explorer öffnet automatisch auf dubiose ISeiten
    Log-Analyse und Auswertung - 31.08.2010 (18)
  13. Explorer öffnet automatisch beim Hochfahren
    Plagegeister aller Art und deren Bekämpfung - 04.02.2010 (9)
  14. IE 7 öffnet automatisch chinesische Seite / Rechner lahmt
    Log-Analyse und Auswertung - 18.06.2008 (2)
  15. IE öffnet automatisch zweite Seite
    Log-Analyse und Auswertung - 15.05.2008 (16)
  16. IE öffnet eine Seite automatisch
    Log-Analyse und Auswertung - 17.01.2005 (5)
  17. ungewollte Seite öffnet sich automatisch
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (5)

Zum Thema Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) - Hallo.. Nach dem Hochfahren des Computers öffnet sich seit neustem Mozilla Firefox mit folgender Webseite: http://update.windowssettings.org/2/update.php Mozilla warnt dann mit "Web Betrug" Phishing Seite etc.... Woran liegt das? Was ist - Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)...
Archiv
Du betrachtest: Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.