Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ie Fenster zur Überprüfung Standardbrowser geht ständig auf

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.10.2008, 10:15   #1
SteffiA
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Standard

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Hallo zusammen,

auch mich hat google hierher geführt und ich hoffe auf Hilfe. Seit ca. 2 Wochen (war eine Woche im Urlaub, jetzt geht's weiter) geht im Abstand weniger Minuten für 1-2 Sekunden das Fenster "Internet Explorer ist nicht ihr Standardbrowser" auf.

Betriebssystem XP, SP2, Firefox als Standardbrowser, beim ie die Überprüfung auf Standardbrowser abgeschaltet.

An dem Tag, an dem dies zum ersten Mal geschehen ist, habe ich

1. einen neuen Monitor angeschlossen
2. Den Grafiktreiber von NVidia aktualisiert
3. ein Java Update durchgeführt (mittleweile bereits rückgängig gemacht, kein Erfolg.)
4. gesurft und gespielt, aber nicht online ;-)

Mein Verdacht geht Richtung Trojaner, habe jedoch Antivir zunächst erfolglos rüberlaufen lassen, der am 4.10. dann jedoch TR/obfuscated.GX.2051 gemeldet hat. Betroffene Dateien sind gelöscht, trotzdem immer noch das nervige Fenster.

Spybot, Adaware, Malwarebytes und CCleaner liefern alle ein sauberes System, mittlerweile bin ich komplett ratlos. Da ich wenig Lust habe, das System neu aufzusetzen, ohne zumindest zu wissen, wo es hakt hoffe ich hier auf Hilfe.

Hier mein aktuelles Hijack-log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:56:32, on 06.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Tools\adaware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\tools\AntiVir PersonalEdition Classic\sched.exe
C:\tools\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\tools\AntiVir PersonalEdition Classic\avgnt.exe
D:\tools\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Tools\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\System32\svchost.exe
D:\Tools\highjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Tools\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\DFUE\FlashFXP\IEFlash.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\tools\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "d:\tools\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Tools\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Tools\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Tools\SPYBOT~1\SDHelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Tools\adaware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Tools\PerfectDisk\PDSched.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7378 bytes

Bin für jeden Tipp dankbar!

LG
Steffi

Alt 07.10.2008, 15:21   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Icon32

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Hallo und

Da Du Malwarebefall hast (hattest?), acker diese Punkte für weitere Analysen ab - Du glückliche bist im Besitz einer Backup-Image-Software, deswegen solltest Du für den Fall der Fälle vorher ein Image erstellen falls was mit nem Tool schiefgeht.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________

Alt 08.10.2008, 12:35   #3
SteffiA
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Standard

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Hallo und zunächst vielen, lieben Dank für die bisherige Hilfe :-)

Ich behaupte mal, dass wir dadurch den Übeltäter gefunden haben (nur noch nicht entfernt).

Aber jetzt zu den Log-Files (diesmal richtig im Code-Format, sorry fürs letzte Mal ). Dort wo als User "xxx" steht, habe ich lediglich meinen Real-bzw. den PC Namen überschrieben ...

MBR-Tool:

Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
Blacklight

Code:
ATTFilter
10/08/08 08:37:10 [Info]: BlackLight Engine 2.2.1092 initialized
10/08/08 08:37:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/08/08 08:37:11 [Note]: 7019 4
10/08/08 08:37:11 [Note]: 7005 0
10/08/08 08:37:25 [Note]: 7006 0
10/08/08 08:37:25 [Note]: 7011 1912
10/08/08 08:37:26 [Note]: 7035 0
10/08/08 08:37:26 [Note]: 7026 0
10/08/08 08:37:26 [Note]: 7026 0
10/08/08 08:37:26 [Note]: 7024 3
10/08/08 08:37:26 [Info]: Hidden process: C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.exe
10/08/08 08:37:30 [Note]: FSRAW library version 1.7.1024
10/08/08 08:39:39 [Info]: Hidden file: c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.AT.config
10/08/08 08:39:39 [Note]: 10002 3
10/08/08 08:39:39 [Info]: Hidden file: c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.core.dll
10/08/08 08:39:39 [Note]: 10002 3
10/08/08 08:39:39 [Info]: Hidden file: C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.exe
10/08/08 08:39:39 [Note]: 10002 3
10/08/08 08:39:39 [Info]: Hidden file: c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.ServerPlugin.config
10/08/08 08:39:39 [Note]: 10002 3
10/08/08 08:39:39 [Note]: 10002 2
10/08/08 08:39:39 [Note]: 10002 2
10/08/08 08:42:26 [Note]: 7007 0
         
Diese d98...exe habe ich auch im Protokoll meiner Firewall gefunden, wurde automatisch geblockt (zum Glück ....). Datei wird nirgends angezeigt. "Clean" durch Blacklight hat nicht gefunzt. Musste den PC für Silentrunners nochmal neu starten weil Skripten deaktiviert waren. Ein erneuter Blacklight Scan brachte das gleiche Ergebnis.

Malware brachte nix Neues:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1229
Windows 5.1.2600 Service Pack 2

08.10.2008 10:32:35
mbam-log-2008-10-08 (10-32-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 233567
Laufzeit: 1 hour(s), 48 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Silent Runner (nun verläßt es mich, ich hoffe, du wirst daraus schlau ;-)). Das Log war für den Fred leider zu lang:

File-Upload.net - Startup-Programs-PC-Name-2008-10-08-11.21.07.txt

Hier jetzt Combo:

Code:
ATTFilter
ComboFix 08-10-07.06 - xxx 2008-10-08 11:45:00.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.618 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Bank.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


(((((((((((((((((((((((   Dateien erstellt von 2008-09-08 bis 2008-10-08  ))))))))))))))))))))))))))))))
.

2008-10-07 13:24 . 2008-07-18 22:09	29,896	--a------	C:\WINDOWS\system32\wuapi.dll.mui
2008-10-07 11:19 . 2008-10-07 11:19	1,209	--a------	C:\WINDOWS\uninst.ini
2008-10-07 09:11 . 2008-10-07 09:11	<DIR>	d--------	C:\WINDOWS\system32\NtmsData
2008-10-05 17:54 . 2008-10-05 17:54	<DIR>	dr-------	C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-10-05 17:54 . 2008-10-07 11:07	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-10-05 15:59 . 2008-10-05 15:59	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2008-10-05 15:59 . 2008-10-05 15:59	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-05 15:59 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 15:59 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-04 20:29 . 2008-10-04 20:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nodetmpe
2008-10-04 19:59 . 2008-10-04 19:59	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz
2008-10-04 19:30 . 2008-10-04 19:30	<DIR>	d--------	C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-10-04 19:28 . 2008-10-04 19:28	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg
2008-10-04 14:26 . 2008-10-04 14:27	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-04 14:25 . 2008-10-04 14:25	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-23 20:51 . 2008-09-23 20:51	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\jd
2008-09-23 20:51 . 2008-09-23 20:51	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\config
2008-09-22 17:13 . 2008-09-22 17:13	<DIR>	dr-------	C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-09-19 19:42 . 2008-05-16 11:48	446,464	--a------	C:\WINDOWS\system32\NVUNINST.EXE
2008-09-19 19:42 . 2008-05-19 18:16	186,407	--a------	C:\WINDOWS\system32\nvapps.nvb
2008-09-19 19:32 . 2008-09-19 19:33	<DIR>	d--------	C:\Programme\SystemRequirementsLab

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 09:50	17,408	----a-w	C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-10-08 09:50	---------	d-----w	C:\Programme\SpeedFan
2008-10-08 09:39	---------	d-----w	C:\Programme\firefox
2008-10-08 09:11	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-08 09:09	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FRITZ!
2008-10-07 11:21	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\MediaMan
2008-10-04 11:44	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Lavasoft
2008-10-04 11:39	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-10-03 10:33	---------	d-----w	C:\Programme\Java
2008-09-22 17:47	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-22 17:22	---------	d-----w	C:\Programme\FlashGet
2008-08-16 14:21	---------	d-----w	C:\Programme\SpeedCommander 11
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2007-12-25 09:39	92,064	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmmdm.sys
2007-12-25 09:39	9,232	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmmdfl.sys
2007-12-25 09:39	79,328	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmserd.sys
2007-12-25 09:39	66,656	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmbus.sys
2007-12-25 09:39	6,208	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmcmnt.sys
2007-12-25 09:39	5,936	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmwhnt.sys
2007-12-25 09:39	4,048	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmcr.sys
2007-12-25 09:39	25,600	----a-w	C:\Dokumente und Einstellungen\xxx\usbsermptxp.sys
2007-12-25 09:39	22,768	----a-w	C:\Dokumente und Einstellungen\xxx\usbsermpt.sys
2007-12-16 17:27	34,534	----a-w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mdb.bin
2004-12-01 08:21	468	----a-w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\wklnhst.dat
2004-10-17 17:30	8	--sh--r	C:\WINDOWS\system32\32828BBAAC.sys
2004-10-17 17:30	5,224	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2004-09-14 131072]
"avgnt"="C:\tools\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-11 266497]
"DAEMON Tools"="d:\tools\DAEMON Tools\daemon.exe" [2005-11-09 128920]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Dit"="Dit.exe" [2004-07-20 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2004-02-24 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 C:\WINDOWS\CNYHKey.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\xxx\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-01-23 917504]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2007-01-23 679936]
SpeedFan.lnk - C:\Programme\SpeedFan\speedfan.exe [2007-02-28 2796544]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Scanner Finder.lnk - C:\Programme\ScanWizard 5\ScannerFinder.exe [2005-03-09 315392]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ulead Kalendar Checker 4.0 SE.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ulead Kalendar Checker 4.0 SE.lnk
backup=C:\WINDOWS\pss\Ulead Kalendar Checker 4.0 SE.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="D:\Programme\quicktime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\DFUE\\FlashFXP\\flashfxp.exe"=
"E:\\fear\\FEAR.exe"=
"D:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe"=

R0 Defrag32b;Defrag32Boot;C:\WINDOWS\system32\drivers\Defrag32b.sys [2004-10-23 54424]
R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys [2003-06-03 123957]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264]
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys [2003-06-03 46900]
R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2008-03-15 108768]
R2 Defrag32;Defrag32;C:\WINDOWS\system32\drivers\Defrag32.sys [2004-10-23 54424]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 53248]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 945152]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 1272000]
R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 11672]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 19928]
S2 PDSched;PDScheduler;D:\Tools\PerfectDisk\PDSched.exe [2005-01-12 237635]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 77824]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-10-08 17408]
S3 jatmlano;jatmlano;C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys [ ]
S3 motccgp;Motorola USB Composite Device Driver;C:\WINDOWS\system32\DRIVERS\motccgp.sys [2007-02-27 17792]
S3 motccgpfl;MotCcgpFlService;C:\WINDOWS\system32\DRIVERS\motccgpfl.sys [2007-01-23 7680]
S3 MotDev;Motorola Inc. USB Device;C:\WINDOWS\system32\DRIVERS\motodrv.sys [2006-12-14 40832]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]
S3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]
S3 USB-100;Realtek RTL8150 USB 10/100 Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\RTL8150.SYS [2002-02-22 26505]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\slnex9i3.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 11:50:35
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation

Scanne versteckte Prozesse...

C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.exe [1764] 0x85D6FB98

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\.d98b63cad1f348ac

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\d98b63cad1f348ac]
"ImagePath"="C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.exe"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.core.dll
-> C:\WINDOWS\HKCYDLL.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
D:\Tools\adaware\aawservice.exe
C:\WINDOWS\system32\scardsvr.exe
C:\tools\AntiVir PersonalEdition Classic\sched.exe
C:\tools\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-08 11:53:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-08 09:53:04

Vor Suchlauf: 843.509.760 Bytes frei
Nach Suchlauf: 757,207,040 Bytes frei

199
         
Das nächste Listing ist hier: File-Upload.net - listing.txt

Bei der mofizierten Hijack-Datei gab's ein Problem:

File-Upload.net - Fehler-neuer-Hijack.jpg


Hier jetzt das passende Log
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:28, on 08.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Tools\adaware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\tools\AntiVir PersonalEdition Classic\sched.exe
C:\tools\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\tools\AntiVir PersonalEdition Classic\avgnt.exe
D:\tools\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\xxx\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\DFUE\FlashFXP\IEFlash.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\tools\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "d:\tools\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Tools\adaware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Tools\PerfectDisk\PDSched.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6910 bytes
         
Was die bisherigen Clean-Aktionen gebracht haben: Das Fenster poppt im größeren Intervall auf. Zeitgleich wird versucht, eine Web Verbindung über DHCP (?) herzustellen, was jedoch nicht funktioniert.

Nach dem Lauf fragte mich Firefox, ob er nicht wieder als Standardbrowser eingerichtet werden soll ... habe das bejaht.

Was noch unrund ist: Irgendwas läuft mit Windows Security unrund. Die ausgeschaltete FW meldet sich plötzlich zu Wort, gleiches gilt fürs Update. Letzteres habe ich manuell wieder ausgeschaltet (Dienste ...). Alle paar Minuten geht die CPU-Auslastung extrem hoch und nach wenigen Sekunden wieder runter. Angeblich wegen explorer.exe.

Ich hoffe, du hast eine Idee, wie ich diese d98...exe und Verwandte dll's verschwinden lassen kann. Wenn ich dann noch wüsste, was das ist und wo das herkommt, ist mein glaube an meine HW fast wieder hergestellt ;-).

LG
Steffi
__________________

Alt 08.10.2008, 14:05   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Ausrufezeichen

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Ganz ehrlich, wir können wir an dieser Stelle mit dem Bereinigen aufhören, sowohl Blacklight als auch GMER (unter der Ausführung von Combofix) haben Dir per Rootkit versteckte Objtekt angezeigt - da würde ich nicht mehr bereinigen. Du solltest Dich ans Neuaufsetzen machen.

Geh an einen sauberen PC und ändere von da aus sämtliche Im Internet benutzte Kennwörter. Wenn Du Onlinebanking betreibst, solltest Du Dein Konto im Auge behalten und evtl. eine Sperre in Betracht ziehen.

Ich würde gern aber noch wissen was sich hinter den versteckten Objekten verbirgt - mehr dazu später heute...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.10.2008, 14:15   #5
SteffiA
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Standard

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



OK, ich hatte das schon befürchtet. Allerdings würde mich noch interessieren, wo das Mistding herkommt. Ich treibe mich weder auf einschlägigen Seiten herum noch installiere wild irgendwelche Software.

Bin da für jeden Tipp dankbar. Schöner Sch... Werde sicherheitshalber Konto im Auge behalten und Passes ändern, obwohl ich (fast) sicher bin, dass das Mistding nicht 'rausgekommen' ist.

Danke soweit, LG
Steffi


Alt 08.10.2008, 14:19   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Cool

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Zitat:
Zitat von SteffiA Beitrag anzeigen
Allerdings würde mich noch interessieren, wo das Mistding herkommt.
Evtl. wenn man an die schädliche Datei herankommt und diese bei Virustotal auswerten kann. Dann könnte man sehen welcher Schädling das ist (sofern bekannt!!) und dann lässt sich evtl auch abschätzen, welche Infektionsquelle in Frage kommt.

Aber wie erwähnt, dazu mehr später. Bin gerade "unterwegs"
__________________
--> Ie Fenster zur Überprüfung Standardbrowser geht ständig auf

Alt 08.10.2008, 14:26   #7
myrtille
/// TB-Ausbilder
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Standard

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Ich setz mich mal dazu und guck was passiert. Bin ja gar nicht neugierig.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 08.10.2008, 14:31   #8
SteffiA
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Standard

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Zitat:
Zitat von myrtille Beitrag anzeigen
Ich setz mich mal dazu und guck was passiert. Bin ja gar nicht neugierig.

lg myrtille
Na, dann schmeiß ich mal die Mikrowelle an und gebe eine Runde Popcorn aus *g*

Wenn das System soweiso im *zensiert* ist , spiele ich vorher noch ein wenig mit GMER und Sophos Anti-Rootkit rum, aber nicht ehe ich brav auf Root24's Rückmeldung gewartet habe.

Alt 08.10.2008, 15:07   #9
SteffiA
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Standard

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Erwischt...

Habe die exe Datei kopiert und als txt abgespeichert. Die Analyse bei Virustotal ergab dies hier:

Code:
ATTFilter
 Datei test.txt empfangen 2008.09.30 15:42:05 (CET)
Status: Beendet
Ergebnis: 6/36 (16.67%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	-
Authentium 	- 	- 	-
Avast 	- 	- 	Win32:Gamona
AVG 	- 	- 	Win32/Heur
BitDefender 	- 	- 	-
CAT-QuickHeal 	- 	- 	-
ClamAV 	- 	- 	-
DrWeb 	- 	- 	-
eSafe 	- 	- 	Suspicious File
eTrust-Vet 	- 	- 	-
Ewido 	- 	- 	-
F-Prot 	- 	- 	-
F-Secure 	- 	- 	Suspicious:W32/Malware!Gemini
Fortinet 	- 	- 	-
GData 	- 	- 	Win32:Gamona
Ikarus 	- 	- 	-
K7AntiVirus 	- 	- 	-
Kaspersky 	- 	- 	-
McAfee 	- 	- 	-
Microsoft 	- 	- 	-
NOD32 	- 	- 	-
Norman 	- 	- 	-
Panda 	- 	- 	-
PCTools 	- 	- 	-
Prevx1 	- 	- 	Suspicious
Rising 	- 	- 	-
SecureWeb-Gateway 	- 	- 	-
Sophos 	- 	- 	-
Sunbelt 	- 	- 	-
Symantec 	- 	- 	-
TheHacker 	- 	- 	-
TrendMicro 	- 	- 	-
VBA32 	- 	- 	-
ViRobot 	- 	- 	-
VirusBuster 	- 	- 	-
weitere Informationen
MD5: 99faa05177ce42b7c18ccacf81852611
SHA1: d6fe3bbd9f4d3f88a73e7b4a684ba60b6c576be6
SHA256: 0d284c1840b14ea5afabb835c44e4b3df58ba02847c64f1095aaf6f36efa6ede
SHA512: 14344ea5793edb49425d62ab22cf5c767e201c69cc9c32fe45d7f27a21c5f80ce6d3d46797066d17febc764b415b0ab5633ab0b1b2eec098317ecf874e93d2bb
         

Alt 08.10.2008, 20:04   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Ausrufezeichen

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Scheint was neues zu sein. Wenn Du magst, sende mir davon eine Kopie an

root240@XXXarcorXXX.de

(die XXX bitte entfernen, die dienen als Spamschutz)

Code:
ATTFilter
C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys
C:\WINDOWS\HKCYDLL.dll
         
Falls auffindbar bzw. sichtbar auch bei Virustotal auswerten lassen und Ergebnisse posten. Dann geht's los:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:
ATTFilter
Collect::
C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys
C:\WINDOWS\HKCYDLL.dll

DirLook::
c:\WINDOWS\system32\.d98b63cad1f348ac
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg

Rootkit::
c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.AT.config
C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.exe
c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.core.dll
c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.ServerPlugin.config
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

--

Danach: (auch hier die xxx durch das richtige ersetzen!!)

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
files to delete:
C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys
C:\WINDOWS\HKCYDLL.dll

folders to delete:
c:\WINDOWS\system32\.d98b63cad1f348ac
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg

registry keys to delete:
HKLM\System\ControlSet001\Services\d98b63cad1f348ac

drivers to delete:
jatmlano
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.10.2008, 09:41   #11
SteffiA
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Standard

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Guten Morgen und einen weiteren Dank rüberreich,

wundere dich nicht über den Inhalt der Logs. Ich habe gestern beim Reparieren gepennt und einen Vertipper beim Austausch der xxx fabriziert. Deshalb dann ein zweiter Lauf, diesmal richtig, aber ohne vorige Sicherung der alten Logs (war schon richtig spät ..., trotzdem ). Anyway, soweit ich sehen kann, war alles erfolgreich.

Gmer findet nix mehr, sophos auch nicht, beide hatten vorher die d98er Dateien angemeckert. In der reg habe ich noch manuell nach den Übeltätern gesucht und einige "legacy" Einträge gelöscht, was immer die da auch sollten...

Virustotal hat bei der dll keine Rückmeldung gebracht, die sys war auf der HD nicht zu finden. Zur Dll: Beim Neustart meckert die Kiste jetzt, dass die CNHKEY.exe nicht mehr läuft bzw. gestartet werden kann. Diese Anwendung sollte die Hotkeys meiner Tastatur steuern, funzt aber trotz der Fehlermeldung einwandfrei.

CPU-Auslastung sieht gut aus und passt zu den lfd. Prozessen. Der ie ist bisher nicht wieder aufgetaucht *aufHolzhämmer*

Ein völliges Rätsel bleibt: Dein Combo-Skript hat nicht nur die hidden Dateien sondern auch die kopierte und umbenannte Test_exe.txt gelöscht! Die übrig gebliebenen maile ich dir zu.

Combo:

Code:
ATTFilter
ComboFix 08-10-07.06 - xxx 2008-10-08 20:31:53.3 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.646 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\xxx\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-09-08 bis 2008-10-08  ))))))))))))))))))))))))))))))
.

2008-10-08 14:41 . 2008-10-08 16:49	250	--a------	C:\WINDOWS\gmer.ini
2008-10-08 12:57 . 2008-10-08 12:57	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\DoctorWeb
2008-10-07 13:24 . 2008-07-18 22:09	29,896	--a------	C:\WINDOWS\system32\wuapi.dll.mui
2008-10-07 11:19 . 2008-10-07 11:19	1,209	--a------	C:\WINDOWS\uninst.ini
2008-10-07 09:11 . 2008-10-07 09:11	<DIR>	d--------	C:\WINDOWS\system32\NtmsData
2008-10-05 17:54 . 2008-10-05 17:54	<DIR>	dr-------	C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-10-05 17:54 . 2008-10-07 11:07	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-10-05 15:59 . 2008-10-05 15:59	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2008-10-05 15:59 . 2008-10-05 15:59	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-05 15:59 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 15:59 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-04 20:29 . 2008-10-04 20:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nodetmpe
2008-10-04 19:30 . 2008-10-04 19:30	<DIR>	d--------	C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-10-04 14:26 . 2008-10-04 14:27	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-04 14:25 . 2008-10-04 14:25	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-23 20:51 . 2008-09-23 20:51	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\jd
2008-09-23 20:51 . 2008-09-23 20:51	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\config
2008-09-22 17:13 . 2008-09-22 17:13	<DIR>	dr-------	C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-09-19 19:42 . 2008-05-16 11:48	446,464	--a------	C:\WINDOWS\system32\NVUNINST.EXE
2008-09-19 19:42 . 2008-05-19 18:16	186,407	--a------	C:\WINDOWS\system32\nvapps.nvb
2008-09-19 19:32 . 2008-09-19 19:33	<DIR>	d--------	C:\Programme\SystemRequirementsLab

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 18:35	17,408	----a-w	C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-10-08 18:35	---------	d-----w	C:\Programme\SpeedFan
2008-10-08 18:29	---------	d-----w	C:\Programme\firefox
2008-10-08 18:24	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FRITZ!
2008-10-08 15:14	---------	d-----w	C:\Programme\SpeedCommander 11
2008-10-08 09:11	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-07 11:21	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\MediaMan
2008-10-04 11:44	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Lavasoft
2008-10-04 11:39	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-10-03 10:33	---------	d-----w	C:\Programme\Java
2008-09-22 17:47	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-22 17:22	---------	d-----w	C:\Programme\FlashGet
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2007-12-25 09:39	92,064	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmmdm.sys
2007-12-25 09:39	9,232	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmmdfl.sys
2007-12-25 09:39	79,328	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmserd.sys
2007-12-25 09:39	66,656	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmbus.sys
2007-12-25 09:39	6,208	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmcmnt.sys
2007-12-25 09:39	5,936	----a-w	C:\Dokumente und Einstellungen\xxxx\mqdmwhnt.sys
2007-12-25 09:39	4,048	----a-w	C:\Dokumente und Einstellungen\xxx\mqdmcr.sys
2007-12-25 09:39	25,600	----a-w	C:\Dokumente und Einstellungen\xxx\usbsermptxp.sys
2007-12-25 09:39	22,768	----a-w	C:\Dokumente und Einstellungen\xxx\usbsermpt.sys
2007-12-16 17:27	34,534	----a-w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mdb.bin
2004-12-01 08:21	468	----a-w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\wklnhst.dat
2004-10-17 17:30	8	--sh--r	C:\WINDOWS\system32\32828BBAAC.sys
2004-10-17 17:30	5,224	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz ----

			C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz\ 

---- Directory of C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg ----

			C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg\ 

---- Directory of c:\WINDOWS\system32\.d98b63cad1f348ac ----

			c:\WINDOWS\system32\.d98b63cad1f348ac\ 


(((((((((((((((((((((((((((((   snapshot@2008-10-08_11.52.32.39   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-08 12:41:16	819,200	----a-w	C:\WINDOWS\gmer.dll
+ 2008-01-18 18:31:10	757,760	----a-w	C:\WINDOWS\gmer.exe
+ 2008-07-19 14:43:08	1,163,960	----a-w	C:\WINDOWS\system32\aswBoot.exe
+ 2008-07-19 14:30:53	94,392	----a-w	C:\WINDOWS\system32\AvastSS.scr
+ 2008-07-19 14:32:15	26,944	----a-w	C:\WINDOWS\system32\drivers\aavmker4.sys
+ 2008-07-19 14:37:42	20,560	----a-w	C:\WINDOWS\system32\drivers\aswFsBlk.sys
+ 2008-01-17 16:34:01	93,264	----a-w	C:\WINDOWS\system32\drivers\aswmon.sys
+ 2008-07-19 14:37:21	94,416	----a-w	C:\WINDOWS\system32\drivers\aswmon2.sys
+ 2008-07-19 14:35:18	78,416	----a-w	C:\WINDOWS\system32\drivers\aswSP.sys
+ 2008-10-08 12:41:16	85,713	----a-w	C:\WINDOWS\system32\drivers\gmer.sys
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2004-09-14 131072]
"avgnt"="C:\tools\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-11 266497]
"DAEMON Tools"="d:\tools\DAEMON Tools\daemon.exe" [2005-11-09 128920]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"QuickTime Task"="D:\Programme\quicktime\qttask.exe" [2006-09-01 282624]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Dit"="Dit.exe" [2004-07-20 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2004-02-24 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 C:\WINDOWS\CNYHKey.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\xxx\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-01-23 917504]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2007-01-23 679936]
SpeedFan.lnk - C:\Programme\SpeedFan\speedfan.exe [2007-02-28 2796544]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Scanner Finder.lnk - C:\Programme\ScanWizard 5\ScannerFinder.exe [2005-03-09 315392]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ulead Kalendar Checker 4.0 SE.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ulead Kalendar Checker 4.0 SE.lnk
backup=C:\WINDOWS\pss\Ulead Kalendar Checker 4.0 SE.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="D:\Programme\quicktime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\DFUE\\FlashFXP\\flashfxp.exe"=
"E:\\fear\\FEAR.exe"=
"D:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe"=

R0 Defrag32b;Defrag32Boot;C:\WINDOWS\system32\drivers\Defrag32b.sys [2004-10-23 54424]
R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys [2003-06-03 123957]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264]
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys [2003-06-03 46900]
R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2008-03-15 108768]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 Defrag32;Defrag32;C:\WINDOWS\system32\drivers\Defrag32.sys [2004-10-23 54424]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 53248]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 945152]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 1272000]
R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 11672]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 19928]
S2 PDSched;PDScheduler;D:\Tools\PerfectDisk\PDSched.exe [2005-01-12 237635]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 77824]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-10-08 17408]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\E.tmp [ ]
S3 motccgp;Motorola USB Composite Device Driver;C:\WINDOWS\system32\DRIVERS\motccgp.sys [2007-02-27 17792]
S3 motccgpfl;MotCcgpFlService;C:\WINDOWS\system32\DRIVERS\motccgpfl.sys [2007-01-23 7680]
S3 MotDev;Motorola Inc. USB Device;C:\WINDOWS\system32\DRIVERS\motodrv.sys [2006-12-14 40832]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]
S3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]
S3 USB-100;Realtek RTL8150 USB 10/100 Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\RTL8150.SYS [2002-02-22 26505]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 20:35:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\E.tmp"
.
------------------------ Weitere laufende Prozesse ------------------------
.
D:\Tools\adaware\aawservice.exe
D:\Tools\Avast\aswUpdSv.exe
D:\Tools\Avast\ashServ.exe
C:\WINDOWS\system32\scardsvr.exe
C:\tools\AntiVir PersonalEdition Classic\sched.exe
C:\tools\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-08 20:38:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-08 18:38:11
ComboFix2.txt  2008-10-08 18:20:55
ComboFix3.txt  2008-10-08 09:53:21

Vor Suchlauf: 654.925.824 Bytes frei
Nach Suchlauf: 640,716,800 Bytes frei

203
         
Avenger

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys" not found!
Deletion of file "C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\HKCYDLL.dll" not found!
Deletion of file "C:\WINDOWS\HKCYDLL.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "c:\WINDOWS\system32\.d98b63cad1f348ac" not found!
Deletion of folder "c:\WINDOWS\system32\.d98b63cad1f348ac" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz" not found!
Deletion of folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg" not found!
Deletion of folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "HKLM\System\ControlSet001\Services\d98b63cad1f348ac" not found!
Deletion of registry key "HKLM\System\ControlSet001\Services\d98b63cad1f348ac" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\jatmlano" not found!
Deletion of driver "jatmlano" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
LG
Steffi

Alt 09.10.2008, 10:26   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Cool

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Benutz nochmal den Avenger aber diesmal mit diesem script:

Code:
ATTFilter
drivers to delete:
MEMSWEEP2

registry keys to delete:
HKLM\System\ControlSet001\Services\MEMSWEEP2

files to delete:
C:\WINDOWS\system32\E.tmp
         
Den Rest wie gehabt - danach auch bitte ein neues HijackThis Logfile.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.10.2008, 15:04   #13
SteffiA
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Standard

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Done.

Avenger:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "MEMSWEEP2" deleted successfully.

Error:  registry key "HKLM\System\ControlSet001\Services\MEMSWEEP2" not found!
Deletion of registry key "HKLM\System\ControlSet001\Services\MEMSWEEP2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\E.tmp" not found!
Deletion of file "C:\WINDOWS\system32\E.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
Hijack

zeigte zunächst eine Fehlermeldung an, lief dann aber:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:01:41, on 09.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Tools\adaware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\tools\AntiVir PersonalEdition Classic\sched.exe
C:\tools\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\tools\AntiVir PersonalEdition Classic\avgnt.exe
D:\tools\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\System32\svchost.exe
D:\Tools\highjackthis\HijackThis.exe
C:\PROGRA~1\FIREFOX\FIREFOX.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\DFUE\FlashFXP\IEFlash.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\tools\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "d:\tools\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\quicktime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Tools\adaware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Tools\PerfectDisk\PDSched.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7141 bytes
         
Lt. Gmer nachwievor alles ok

LG
Steffi

Alt 09.10.2008, 15:37   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Cool

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Das sieht auch okay aus. Trotzdem um auf der sicheren Seite zu sein, solltest Du das System neu aufsetzen, jetzt scheint es zumindest in einem zustand zu sein, wo man rel. gefahrlos Backups erstellen kann (wie immer aber immer reine Datendateien, keine ausführbaren!).

Die Mail hab ich von Dir erhalten
Ich hab die Datei mal zu Kaspersky geschickt mit ner kleinen Beschreibung, bin mal gespannt als welche Malware die das Teil einstufen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.10.2008, 16:05   #15
SteffiA
 
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Standard

Ie Fenster zur Überprüfung Standardbrowser geht ständig auf



Daten sind alle komplett gesichert. Ehrlich gesagt bin ich selbst neugierig, was die nächsten Tage passiert. Aufsetzen *schüttel* kann ich dann immer noch ;-). So aufgeräumt (und schnell) war mein System lange nicht.

Ich habe die Bank-Logs überprüft: Keine Versuche sich einzuloggen *aufatme* naja, ohne itans wird man da eh nix. Ich denke, das Mistviech kam nicht an meiner FW vorbei.

Auf Kaspersky-Antwort bin ich gespannt...

Danke

LG
Steffi

Antwort

Themen zu Ie Fenster zur Überprüfung Standardbrowser geht ständig auf
ad-aware, adobe, antivir, avira, bho, computer, ctfmon.exe, dll, dsl, excel, explorer, firefox, google, highjackthis, hijackthis, hkus\s-1-5-18, ie fenster, internet, internet explorer, jusched.exe, monitor, nvidia, programme, rundll, rückgängig, sekunden, software, system neu, trojaner, urlsearchhook, windows, windows xp



Ähnliche Themen: Ie Fenster zur Überprüfung Standardbrowser geht ständig auf


  1. Ständig erscheint Werbung im neuen Fenster
    Log-Analyse und Auswertung - 14.10.2015 (20)
  2. Firefox öffnet ständig Fenster
    Log-Analyse und Auswertung - 14.04.2015 (30)
  3. Browser öffnet ständig leere Fenster
    Plagegeister aller Art und deren Bekämpfung - 28.06.2014 (21)
  4. Hotspotshield - ständig öffenen sich IE-Fenster
    Plagegeister aller Art und deren Bekämpfung - 07.05.2014 (13)
  5. Standardbrowser öffnet sich ständig von alleine und springt immer auf die Startseite
    Log-Analyse und Auswertung - 14.12.2009 (1)
  6. ff und ie öffnen ständig neue fenster
    Log-Analyse und Auswertung - 22.01.2009 (11)
  7. IE öffnet ständig neue Fenster
    Log-Analyse und Auswertung - 09.01.2009 (1)
  8. Explorer öffnet ständig CID Fenster
    Mülltonne - 30.12.2008 (0)
  9. firefox öffnet ständig neue fenster
    Plagegeister aller Art und deren Bekämpfung - 18.12.2008 (2)
  10. Firefox öffnet ständig neue Fenster
    Log-Analyse und Auswertung - 24.10.2008 (6)
  11. Firefox öffnet ständig Werbe-Fenster
    Log-Analyse und Auswertung - 15.08.2008 (1)
  12. IE öffnet ständig neue Fenster
    Log-Analyse und Auswertung - 25.03.2008 (9)
  13. ie7 öffnet ständig unerwünschte fenster
    Log-Analyse und Auswertung - 30.01.2008 (3)
  14. fenster öffnen sich ständig...
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  15. Ständig POP UP Fenster Bitte um HILFE
    Log-Analyse und Auswertung - 14.03.2006 (6)
  16. ständig pop up fenster
    Log-Analyse und Auswertung - 03.05.2005 (1)
  17. Ständig öffnet sich IE - Fenster
    Plagegeister aller Art und deren Bekämpfung - 03.03.2005 (7)

Zum Thema Ie Fenster zur Überprüfung Standardbrowser geht ständig auf - Hallo zusammen, auch mich hat google hierher geführt und ich hoffe auf Hilfe. Seit ca. 2 Wochen (war eine Woche im Urlaub, jetzt geht's weiter) geht im Abstand weniger Minuten - Ie Fenster zur Überprüfung Standardbrowser geht ständig auf...
Archiv
Du betrachtest: Ie Fenster zur Überprüfung Standardbrowser geht ständig auf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.