Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Hijack.AE.1

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.11.2008, 14:34   #1
JackieKS
 
TR/Hijack.AE.1 - Standard

TR/Hijack.AE.1



Hallo,

ich habe jetzt innerhalb von 2 Wochen den 2. Trojaner auf meinem PC
Der erste war: TR/Crypt.CFI.Gen - danach hab ich mein System neu eufgesetzt - das will ich nicht schon wieder.

Kann mir jemand mit dem neuen helfen, wie ich ihn wieder loswerde? TR/Hijack.AE.1

Schon mal danke im Voraus

Hier das Ergebnis von Antivir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 11. November 2008 17:51

Es wird nach 1026777 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HOME-4D93EA8418

Versionsinformationen:
BUILD.DAT : 8.2.0.336 16933 Bytes 30.10.2008 11:40:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 09:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 14:44:59
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 16:50:48
ANTIVIR2.VDF : 7.1.0.57 2048 Bytes 09.11.2008 16:50:49
ANTIVIR3.VDF : 7.1.0.70 84480 Bytes 11.11.2008 16:50:49
Engineversion : 8.2.0.30
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 11:05:56
AESCRIPT.DLL : 8.1.1.14 332156 Bytes 11.11.2008 16:50:50
AESCN.DLL : 8.1.1.5 123251 Bytes 09.11.2008 14:58:44
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 14:40:55
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 16:50:50
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 09.11.2008 14:58:44
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 09.11.2008 14:58:43
AEHELP.DLL : 8.1.1.3 119157 Bytes 09.11.2008 14:58:42
AEGEN.DLL : 8.1.1.0 319859 Bytes 09.11.2008 14:58:42
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.4.1 172405 Bytes 09.11.2008 14:58:41
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 26.10.2008 14:04:22
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, J:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 11. November 2008 17:51

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIACE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\user3232.dll
[FUND] Ist das Trojanische Pferd TR/Hijack.AE.1
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2863e5.qua' verschoben!
Beginne mit der Suche in 'J:\' <EXTERNI>


Ende des Suchlaufs: Dienstag, 11. November 2008 19:47
Benötigte Zeit: 1:56:02 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

4700 Verzeichnisse wurden überprüft
144314 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
144311 Dateien ohne Befall
646 Archive wurden durchsucht
8 Warnungen
1 Hinweise

Und hier von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:28, on 13.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Rossmann Fotoservice\dd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Katrin\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.2.1/cgi-bin/login.exe?user=root&pws=Castella
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Device Detection] C:\Programme\Rossmann Fotoservice\dd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 6178 bytes

Alt 14.11.2008, 18:37   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Hijack.AE.1 - Standard

TR/Hijack.AE.1



Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________

Alt 16.11.2008, 09:28   #3
JackieKS
 
TR/Hijack.AE.1 - Standard

TR/Hijack.AE.1



Hier die ersten Ergebnisse:
mbr:
HTML-Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
fsbl:
HTML-Code:
11/15/08 14:03:20 [Info]: BlackLight Engine 2.2.1092 initialized
11/15/08 14:03:20 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/15/08 14:03:20 [Note]: 7019 4
11/15/08 14:03:20 [Note]: 7005 0
11/15/08 14:03:27 [Note]: 7006 0
11/15/08 14:03:27 [Note]: 7011 1160
11/15/08 14:03:28 [Note]: 7035 0
11/15/08 14:03:28 [Note]: 7026 0
11/15/08 14:03:28 [Note]: 7026 0
11/15/08 14:03:29 [Note]: FSRAW library version 1.7.1024
11/15/08 14:07:01 [Note]: 7007 0
mbam:
HTML-Code:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1397
Windows 5.1.2600 Service Pack 3

14.11.2008 16:19:03
mbam-log-2008-11-14 (16-19-03).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 89200
Laufzeit: 39 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
silent runners:
HTML-Code:
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0\bin\jusched.exe" ["Sun Microsystems, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"" ["Adobe Systems Incorporated"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"EPSON Stylus DX3800 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"" ["SEIKO EPSON CORPORATION"]
"Device Detection" = "C:\Programme\Rossmann Fotoservice\dd.exe" [empty string]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot" ["RealNetworks, Inc."]
"ISTray" = ""C:\Programme\Spyware Doctor\pctsTray.exe"" ["PC Tools"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub"
  -> {HKLM...CLSID} = "Adobe PDF Link Helper"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
  -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
  -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
  -> {HKLM...CLSID} = "iTunes"
                   \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                   \InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
  -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Katrin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

AdobePhotoshopElements6ShowPicturesOnArrival\
"Provider" = "Adobe Photoshop Elements 6.0"
"InvokeProgID" = "PhotoshopElements.Application.6"
"InvokeVerb" = "launch"
HKLM\SOFTWARE\Classes\PhotoshopElements.Application.6\shell\launch\command\(Default) = ""C:\Programme\Adobe\Photoshop Elements 6.0\PseProxy.exe" -v "%1"" ["Adobe Systems Incorporated"]

EpsonCreativitySuite\
"Provider" = "FileManager"
"InvokeProgID" = "EpsonCreativitySuite"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\EpsonCreativitySuite\shell\Play\DropTarget\CLSID = "{7720BCC1-4F11-4f17-A80F-0BB69EF9788F}"
  -> {HKLM...CLSID} = (no title provided)
                   \LocalServer32\(Default) = "C:\Programme\EPSON\Creativity Suite\File Manager\eppqcom.exe" [null data]

HPS1773-38\
"Provider" = "HPS1773-38"
"InvokeProgID" = "HPS1773-38.BestShow"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\HPS1773-38.BestShow\shell\import\command\(Default) = ""C:\Programme\BUDNI Fotowelt\Fotobuch\BUDNI Fotowelt.exe" "-i %L"" [null data]

iTunesBurnCDOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.BurnCD"
"InvokeVerb" = "burn"
HKLM\SOFTWARE\Classes\iTunes.BurnCD\shell\burn\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayBurn "%L"" ["Apple Computer, Inc."]

iTunesImportSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ImportSongsOnCD"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\iTunes.ImportSongsOnCD\shell\import\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayImportSongs "%L"" ["Apple Computer, Inc."]

iTunesPlaySongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.PlaySongsOnCD"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\iTunes.PlaySongsOnCD\shell\play\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /playCD "%L"" ["Apple Computer, Inc."]

iTunesShowSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ShowSongsOnCD"
"InvokeVerb" = "showsongs"
HKLM\SOFTWARE\Classes\iTunes.ShowSongsOnCD\shell\showsongs\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayShowSongs "%L"" ["Apple Computer, Inc."]

IviDVDEventHandler\
"Provider" = "InterVideo WinDVD"
"InvokeProgID" = "Ivi.MediaFile"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\Ivi.MediaFile\shell\play\command\(Default) = "C:\Programme\InterVideo\WinDVD\WinDVD.exe %1" ["InterVideo Inc."]

IviVideoCDHandler\
"Provider" = "InterVideo WinDVD"
"InvokeProgID" = "Ivi.MediaFile"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\Ivi.MediaFile\shell\play\command\(Default) = "C:\Programme\InterVideo\WinDVD\WinDVD.exe %1" ["InterVideo Inc."]

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
  -> {HKLM...CLSID} = "WPDShextAutoplay"
                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

NeroAutoPlay2CDAudio\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:AudioCD /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2CopyCD\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_CopyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /Dialog:DiscCopy /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2DataDisc\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_DataDisc"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:ISODisc /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2LaunchNeroStartSmart\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2VideoCapture\
"Provider" = "NeroVision Express SE"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "VideoCameraArrival_VideoCapture"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\VideoCameraArrival_VideoCapture\command\(Default) = "C:\Programme\Ahead\NeroVision\NeroVision.exe /New:VideoCapture /Drive:%L" ["Nero AG"]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKCU\Software\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
  -> {HKLM...CLSID} = "RealNetworks Scheduler"
                   \LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKCU\Software\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe"  /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKCU\Software\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe"  /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKCU\Software\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /autoplay "%1"" ["RealNetworks, Inc."]


Startup items in "Katrin" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0000-ABCDEFFEDCBC}"
  -> {HKLM...CLSID} = "Java Plug-in 1.5.0"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0\bin\npjpi150.dll" ["Sun Microsystems, Inc."]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "@C:\Programme\Messenger\Msgslang.dll,-61144"
"MenuText" = "@C:\Programme\Messenger\Msgslang.dll,-61144"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Adobe Active File Monitor V6, AdobeActiveFileMonitor6.0, "C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe" [null data]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
iPodService, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
PC Tools Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\pctsAuxs.exe" ["PC Tools"]
PC Tools Security Service, sdCoreService, "C:\Programme\Spyware Doctor\pctsSvc.exe" ["PC Tools"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus DX3800 Series 2KMonitor5E\Driver = "E_FLMACE.DLL" ["SEIKO EPSON CORPORATION"]


---------- (launch time: 2008-11-15 14:21:20)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 37 seconds, including 5 seconds for message boxes)


cCleaner ebenfalls durchgeführt
__________________

Geändert von JackieKS (16.11.2008 um 10:16 Uhr)

Alt 16.11.2008, 10:09   #4
JackieKS
 
TR/Hijack.AE.1 - Standard

TR/Hijack.AE.1



combofix
HTML-Code:
ComboFix 08-11-14.01 - Katrin 2008-11-16 10:52:04.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.234 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Katrin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Katrin\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2008-10-16 bis 2008-11-16  ))))))))))))))))))))))))))))))
.

2008-11-15 14:29 . 2008-11-15 14:29    <DIR>    d--------    c:\programme\CCleaner
2008-11-14 15:37 . 2008-11-14 15:37    <DIR>    d--------    c:\programme\Malwarebytes' Anti-Malware
2008-11-14 15:37 . 2008-11-14 15:37    <DIR>    d--------    c:\dokumente und einstellungen\Katrin\Anwendungsdaten\Malwarebytes
2008-11-14 15:37 . 2008-11-14 15:37    <DIR>    d--------    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-14 15:37 . 2008-10-22 16:10    38,496    --a------    c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-14 15:37 . 2008-10-22 16:10    15,504    --a------    c:\windows\system32\drivers\mbam.sys
2008-11-13 18:23 . 2008-11-16 10:24    <DIR>    d-a------    c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-13 18:23 . 2008-08-25 12:36    81,288    --a------    c:\windows\system32\drivers\iksyssec.sys
2008-11-13 18:23 . 2008-08-25 12:36    66,952    --a------    c:\windows\system32\drivers\iksysflt.sys
2008-11-13 18:23 . 2008-08-25 12:36    40,840    --a------    c:\windows\system32\drivers\ikfilesec.sys
2008-11-13 18:23 . 2008-06-02 16:19    29,576    --a------    c:\windows\system32\drivers\kcom.sys
2008-11-13 18:22 . 2008-11-14 15:32    <DIR>    d--------    c:\programme\Spyware Doctor
2008-11-13 18:22 . 2008-11-13 18:22    <DIR>    d--------    c:\dokumente und einstellungen\Katrin\Anwendungsdaten\PC Tools
2008-11-13 18:21 . 2008-09-04 18:15    1,106,944    -----c---    c:\windows\system32\dllcache\msxml3.dll
2008-11-13 18:21 . 2008-10-24 12:21    455,296    -----c---    c:\windows\system32\dllcache\mrxsmb.sys
2008-11-09 10:57 . 2008-11-09 10:57    <DIR>    d--------    c:\windows\system32\Adobe
2008-11-06 15:44 . 2008-11-06 15:44    <DIR>    d--------    c:\windows\Sun
2008-11-03 17:22 . 2008-11-03 17:22    <DIR>    d--------    c:\programme\Gemeinsame Dateien\xing shared
2008-11-03 17:21 . 2008-11-03 17:22    <DIR>    d--------    c:\programme\Gemeinsame Dateien\Real
2008-11-03 17:21 . 2008-11-03 17:21    <DIR>    d--------    C:\Program Files
2008-11-03 17:21 . 2008-11-03 17:21    499,712    --a------    c:\windows\system32\msvcp71.dll
2008-11-03 17:21 . 2008-11-03 17:21    348,160    --a------    c:\windows\system32\msvcr71.dll
2008-10-30 18:33 . 2008-10-30 18:33    <DIR>    d--------    c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps
2008-10-30 18:33 . 2008-11-09 16:25    54,156    --ah-----    c:\windows\QTFont.qfn
2008-10-30 18:33 . 2008-10-30 18:33    1,409    --a------    c:\windows\QTFont.for
2008-10-30 16:33 . 2008-10-30 16:33    <DIR>    d--------    c:\dokumente und einstellungen\Katrin\Anwendungsdaten\EPSON
2008-10-29 18:54 . 2008-11-06 16:15    682,523    --a------    c:\dokumente und einstellungen\Katrin\Anwendungsdaten\mdb.bin
2008-10-29 18:41 . 2008-10-29 18:41    <DIR>    d--------    c:\programme\Rossmann Fotoservice
2008-10-29 18:38 . 2008-10-29 18:38    <DIR>    d--------    c:\programme\BUDNI Fotowelt
2008-10-29 18:00 . 2004-11-25 06:07    79,679    --a------    c:\windows\system32\E_FLMACE.DLL
2008-10-29 18:00 . 2003-05-21 03:27    64,000    --a------    c:\windows\system32\E_FBCBACE.DLL
2008-10-29 18:00 . 2004-09-10 21:12    49,152    --a------    c:\windows\system32\E_DCINST.DLL
2008-10-29 18:00 . 2000-06-07 02:01    34,304    --a------    c:\windows\system32\E_FBCHACE.DLL
2008-10-29 17:59 . 2008-10-29 18:05    <DIR>    d--------    c:\programme\epson
2008-10-29 17:59 . 2008-10-29 17:59    25    --a------    c:\windows\CDE DX3800EFGIPSD.ini
2008-10-29 17:57 . 2005-02-25 00:00    46,080    --a------    c:\windows\system32\escimgd.dll
2008-10-29 17:57 . 2005-02-25 00:00    29,696    --a------    c:\windows\system32\escwiad.dll
2008-10-29 17:57 . 2008-04-13 19:47    25,856    --a------    c:\windows\system32\drivers\usbprint.sys
2008-10-29 17:57 . 2008-04-13 19:47    25,856    --a--c---    c:\windows\system32\dllcache\usbprint.sys
2008-10-29 17:57 . 2005-02-25 00:00    22,016    --a------    c:\windows\system32\esccmd.dll
2008-10-29 17:57 . 2008-04-13 19:45    15,104    --a------    c:\windows\system32\drivers\usbscan.sys
2008-10-29 17:57 . 2008-04-13 19:45    15,104    --a--c---    c:\windows\system32\dllcache\usbscan.sys
2008-10-29 17:31 . 2008-10-29 17:31    18,936    --a------    c:\dokumente und einstellungen\Katrin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-10-29 15:48 . 2008-10-29 15:48    <DIR>    d--------    C:\Acrobat3
2008-10-29 15:48 . 2008-10-29 15:48    153    --a------    c:\windows\ACROREAD.INI
2008-10-29 15:47 . 1997-06-13 06:46    298,496    --a------    c:\windows\uninst.exe
2008-10-29 15:46 . 2008-10-29 15:46    <DIR>    d--------    c:\dokumente und einstellungen\Katrin\WINDOWS
2008-10-29 15:45 . 2008-10-29 15:45    41,700    --a------    C:\huadio.tmp
2008-10-29 15:45 . 2008-10-29 15:45    3,808    --a------    C:\hwa.tmp
2008-10-29 15:45 . 2008-10-29 15:45    3,392    --a------    C:\hua.tmp
2008-10-28 17:50 . 2008-10-28 17:50    <DIR>    d--------    c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-10-28 17:41 . 2008-10-28 17:41    <DIR>    d--------    c:\programme\Gemeinsame Dateien\Macrovision Shared
2008-10-28 17:37 . 2008-10-29 15:53    <DIR>    d--------    c:\programme\Gemeinsame Dateien\Adobe
2008-10-26 17:14 . 2008-10-26 17:14    400    --a------    c:\windows\ODBC.INI
2008-10-26 17:12 . 2008-10-26 17:13    <DIR>    d--------    c:\windows\ShellNew
2008-10-26 17:09 . 2008-10-26 17:09    <DIR>    d--------    c:\programme\Windows Media Connect 2
2008-10-26 17:08 . 2008-10-26 17:08    <DIR>    d--------    c:\windows\system32\LogFiles
2008-10-26 17:08 . 2008-10-26 17:08    <DIR>    d--------    c:\windows\system32\drivers\UMDF
2008-10-26 15:48 . 2008-10-26 15:48    <DIR>    d--------    c:\windows\system32\de
2008-10-26 15:48 . 2008-10-26 15:48    <DIR>    d--------    c:\windows\system32\bits
2008-10-26 15:48 . 2008-10-26 15:48    <DIR>    d--------    c:\windows\l2schemas
2008-10-26 15:45 . 2008-10-26 15:45    <DIR>    d--------    c:\windows\ServicePackFiles
2008-10-26 15:40 . 2008-10-26 15:40    <DIR>    d--------    c:\windows\EHome
2008-10-26 15:31 . 2008-06-20 12:51    361,600    -----c---    c:\windows\system32\dllcache\tcpip.sys
2008-10-26 15:31 . 2008-06-20 18:46    247,296    -----c---    c:\windows\system32\dllcache\mswsock.dll
2008-10-26 15:31 . 2008-06-20 12:08    225,856    -----c---    c:\windows\system32\dllcache\tcpip6.sys
2008-10-26 15:31 . 2008-06-20 18:46    147,968    -----c---    c:\windows\system32\dllcache\dnsapi.dll
2008-10-26 15:31 . 2008-08-14 11:04    138,496    -----c---    c:\windows\system32\dllcache\afd.sys
2008-10-26 15:24 . 2008-10-26 15:48    <DIR>    d--------    c:\windows\system32\de-de
2008-10-26 15:24 . 2008-10-03 17:58    6,066,176    -----c---    c:\windows\system32\dllcache\ieframe.dll
2008-10-26 15:24 . 2007-04-17 10:32    2,455,488    -----c---    c:\windows\system32\dllcache\ieapfltr.dat
2008-10-26 15:24 . 2007-03-08 06:09    1,040,384    -----c---    c:\windows\system32\dllcache\ieframe.dll.mui
2008-10-26 15:24 . 2008-08-26 08:57    459,264    -----c---    c:\windows\system32\dllcache\msfeeds.dll
2008-10-26 15:24 . 2008-08-26 08:57    383,488    -----c---    c:\windows\system32\dllcache\ieapfltr.dll
2008-10-26 15:24 . 2008-08-26 08:57    267,776    -----c---    c:\windows\system32\dllcache\iertutil.dll
2008-10-26 15:24 . 2008-08-26 08:57    63,488    -----c---    c:\windows\system32\dllcache\icardie.dll
2008-10-26 15:24 . 2008-08-26 08:57    52,224    -----c---    c:\windows\system32\dllcache\msfeedsbs.dll
2008-10-26 15:24 . 2008-08-25 09:38    13,824    -----c---    c:\windows\system32\dllcache\ieudinit.exe
2008-10-26 15:09 . 2004-08-04 00:38    327,168    ---------    c:\windows\system32\drivers\ati2mtaa.sys
2008-10-26 15:02 . 2008-10-26 15:02    <DIR>    d--------    c:\programme\Avira
2008-10-26 15:02 . 2008-10-26 15:02    <DIR>    d--------    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-10-26 14:59 . 2008-09-15 16:24    1,846,528    -----c---    c:\windows\system32\dllcache\win32k.sys
2008-10-26 14:59 . 2008-09-08 11:41    333,824    -----c---    c:\windows\system32\dllcache\srv.sys
2008-10-26 14:59 . 2008-06-14 18:32    273,024    ---------    c:\windows\system32\drivers\bthport.sys
2008-10-26 14:59 . 2008-06-14 18:32    273,024    -----c---    c:\windows\system32\dllcache\bthport.sys
2008-10-26 14:58 . 2008-08-14 14:19    2,191,488    -----c---    c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-26 14:58 . 2008-08-14 14:19    2,147,840    -----c---    c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-26 14:58 . 2008-08-14 14:19    2,068,352    -----c---    c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-26 14:58 . 2008-08-14 14:19    2,026,496    -----c---    c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-26 14:58 . 2008-04-11 20:04    691,712    -----c---    c:\windows\system32\dllcache\inetcomm.dll
2008-10-26 14:58 . 2008-05-08 15:02    203,136    -----c---    c:\windows\system32\dllcache\rmcast.sys
2008-10-26 14:57 . 2008-10-15 17:35    337,408    -----c---    c:\windows\system32\dllcache\netapi32.dll
2008-10-26 14:24 . 2008-10-26 14:24    0    --a------    c:\windows\nsreg.dat
2008-10-26 14:14 . 2006-03-15 09:35    17,664    -ra------    c:\windows\system32\drivers\AWISp50.sys
2008-10-25 18:48 . 2008-10-25 18:49    <DIR>    d--------    c:\programme\ABBYY FineReader 6.0 Sprint
2008-10-25 18:44 . 2008-10-25 18:44    <DIR>    d--------    c:\programme\QuickTime
2008-10-25 18:44 . 2008-10-25 18:44    <DIR>    d--------    c:\programme\iTunes
2008-10-25 18:44 . 2008-10-25 18:44    <DIR>    d--------    c:\dokumente und einstellungen\Katrin\Anwendungsdaten\Apple Computer
2008-10-25 18:44 . 2008-10-25 18:44    <DIR>    d--------    c:\dokumente und einstellungen\All Users\Anwendungsdaten\QuickTime
2008-10-25 18:44 . 2008-10-25 18:44    <DIR>    d--------    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-25 18:43 . 2008-10-25 18:43    <DIR>    d--------    c:\programme\iPod
2008-10-25 18:39 . 2008-10-25 17:46    <DIR>    d--h-----    c:\dokumente und einstellungen\Default User\Vorlagen
2008-10-25 18:39 . 2008-10-25 18:39    <DIR>    dr-------    c:\dokumente und einstellungen\Default User\Startmenü
2008-10-25 18:39 . 2008-10-25 18:39    <DIR>    d--h-----    c:\dokumente und einstellungen\Default User\Netzwerkumgebung
2008-10-25 18:39 . 2008-10-25 18:39    <DIR>    dr-h-----    c:\dokumente und einstellungen\Default User\Lokale Einstellungen
2008-10-25 18:39 . 2008-10-25 18:39    <DIR>    d--------    c:\dokumente und einstellungen\Default User\Favoriten
2008-10-25 18:39 . 2008-10-25 18:39    <DIR>    d--h-----    c:\dokumente und einstellungen\Default User\Druckumgebung
2008-10-25 18:39 . 2008-10-25 18:39    <DIR>    dr-h-----    c:\dokumente und einstellungen\Default User\Anwendungsdaten
2008-10-25 18:39 . 2008-10-25 18:39    <DIR>    d--h-----    c:\dokumente und einstellungen\All Users\Vorlagen
2008-10-25 18:39 . 2008-10-29 17:25    <DIR>    dr-------    c:\dokumente und einstellungen\All Users\Startmenü
2008-10-25 18:39 . 2008-10-25 18:39    <DIR>    d--------    c:\dokumente und einstellungen\All Users\Favoriten
2008-10-25 18:39 . 2008-10-29 18:41    <DIR>    dr-------    c:\dokumente und einstellungen\All Users\Dokumente
2008-10-25 18:39 . 2008-11-14 15:37    <DIR>    dr-h-----    c:\dokumente und einstellungen\All Users\Anwendungsdaten
2008-10-25 18:38 . 2008-10-25 18:36    <DIR>    d--h-----    c:\dokumente und einstellungen\Default User
2008-10-25 18:38 . 2008-10-25 17:49    <DIR>    d--------    c:\dokumente und einstellungen\All Users
2008-10-25 18:35 . 2008-10-25 18:35    <DIR>    d--------    c:\programme\Gemeinsame Dateien\Nero
2008-10-25 18:34 . 2008-10-25 18:34    <DIR>    d--------    c:\programme\Gemeinsame Dateien\Ahead
2008-10-25 18:34 . 2008-10-25 18:36    <DIR>    d--------    c:\programme\Ahead
2008-10-25 18:34 . 2008-10-25 18:34    <DIR>    d--------    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2008-10-25 18:28 . 2008-10-25 18:28    <DIR>    d--------    c:\programme\ATI Technologies
2008-10-25 18:26 . 2008-10-25 18:26    <DIR>    d--------    c:\programme\InterVideo
2008-10-25 18:26 . 2008-10-29 18:07    <DIR>    d--h-----    c:\programme\InstallShield Installation Information
2008-10-25 18:26 . 2008-10-29 18:07    <DIR>    d--------    c:\programme\Gemeinsame Dateien\InstallShield

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-28 16:37    9,464    ------w    c:\windows\system32\drivers\cdralw2k.sys
2008-10-28 16:37    9,336    ------w    c:\windows\system32\drivers\cdr4_xp.sys
2008-10-28 16:37    43,528    ------w    c:\windows\system32\drivers\PxHelp20.sys
2008-10-28 16:37    129,784    ------w    c:\windows\system32\pxafs.dll
2008-10-28 16:37    118,520    ------w    c:\windows\system32\pxinsi64.exe
2008-10-28 16:37    116,472    ------w    c:\windows\system32\pxcpyi64.exe
2008-10-25 16:52    ---------    d-----w    c:\programme\microsoft frontpage
2008-10-25 16:52    ---------    d-----w    c:\programme\Java
2008-10-25 16:52    ---------    d-----w    c:\programme\Gemeinsame Dateien\Java
2008-10-25 16:48    ---------    d-----w    c:\programme\Online-Dienste
2008-10-25 16:47    ---------    d-----w    c:\programme\Gemeinsame Dateien\Dienste
2008-10-24 11:21    455,296    ----a-w    c:\windows\system32\drivers\mrxsmb.sys
2008-09-15 15:24    1,846,528    ----a-w    c:\windows\system32\win32k.sys
2008-09-10 01:13    1,307,648    ------w    c:\windows\system32\msxml6.dll
2008-09-04 17:15    1,106,944    ----a-w    c:\windows\system32\msxml3.dll
2008-08-26 07:57    826,368    ----a-w    c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0\bin\jusched.exe" [2008-10-25 36972]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-03 344064]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2005-06-24 278528]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-10-25 98304]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Elements 6.0\apdproxy.exe" [2007-09-11 67488]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"Device Detection"="c:\programme\Rossmann Fotoservice\dd.exe" [2006-10-26 139776]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-11-03 185872]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2008-08-25 1168264]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [2007-09-11 124832]
S3 huadio;huadio;\??\c:\huadio.tmp [2008-10-29 41700]

*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Katrin\Anwendungsdaten\Mozilla\Firefox\Profiles\neydmm0m.default\
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\programme\Java\jre1.5.0\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\jre1.5.0\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\jre1.5.0\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\jre1.5.0\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\jre1.5.0\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\jre1.5.0\bin\NPJPI150.dll
FF -: plugin - c:\programme\Java\jre1.5.0\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-16 10:54:27
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\huadio]
"ImagePath"="\??\c:\huadio.tmp"
.
Zeit der Fertigstellung: 2008-11-16 10:55:48
ComboFix-quarantined-files.txt  2008-11-16 09:55:44

Vor Suchlauf: 12 Verzeichnis(se), 152.197.455.872 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 152,243,830,784 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

226    --- E O F ---    2008-11-13 17:33:14
filelisting:
http://www.file-upload.net/download-...sting.txt.html

neues HiJackThis:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:11:36, on 16.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\K***\Desktop\qlketzd.com
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.2.1/cgi-bin/login.exe?user=root&pws=Castella
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Device Detection] C:\Programme\Rossmann Fotoservice\dd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 5839 bytes
Ich hoffe das war alles richtig so...

Geändert von JackieKS (16.11.2008 um 10:17 Uhr)

Alt 17.11.2008, 15:30   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Hijack.AE.1 - Standard

TR/Hijack.AE.1



Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\huadio.tmp
C:\hwa.tmp
C:\hua.tmp
         

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.11.2008, 16:39   #6
JackieKS
 
TR/Hijack.AE.1 - Standard

TR/Hijack.AE.1



Hier die Ergebnisse - habe mein Virenprogramm auch noch mal durchlaufen lassen - konnte nichts mehr finden. Antivir meckert auch nicht mehr... Möchte nur sicher gehen, dass auch alles sauber ist! noch mal Danke!

C:\huadio.tmp
Datei huadio.tmp empfangen 2008.11.17 17:24:10 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V32008.11.18.02008.11.17-
AntiVir7.9.0.312008.11.17-
Authentium5.1.0.42008.11.17-
Avast4.8.1281.02008.11.16-
AVG8.0.0.1992008.11.17-
BitDefender7.22008.11.17-
CAT-QuickHeal10.002008.11.15-
ClamAV0.94.12008.11.17-
DrWeb4.44.0.091702008.11.17-
eSafe7.0.17.02008.11.17-
eTrust-Vet31.6.62092008.11.14-
Ewido4.02008.11.17-
F-Prot4.4.4.562008.11.17-
F-Secure8.0.14332.02008.11.17-
Fortinet3.117.0.02008.11.15-
GData192008.11.17-
IkarusT3.1.1.45.02008.11.17-
K7AntiVirus7.10.5262008.11.15-
Kaspersky7.0.0.1252008.11.17-
McAfee54362008.11.16-
Microsoft1.41042008.11.17-
NOD3236182008.11.17-
Norman5.80.022008.11.14-
Panda9.0.0.42008.11.16-
PCTools4.4.2.02008.11.17-
Prevx1V22008.11.17-
Rising21.04.02.002008.11.17-
SecureWeb-Gateway6.7.62008.11.17-
Sophos4.35.02008.11.17-
Sunbelt3.1.1801.22008.11.14-
Symantec102008.11.17-
TheHacker6.3.1.1.1552008.11.15-
TrendMicro8.700.0.10042008.11.17-
VBA323.12.8.92008.11.17-
ViRobot2008.11.17.14722008.11.17-
VirusBuster4.5.11.02008.11.17-
Code:
ATTFilter
weitere Informationen
File size: 41700 bytes
MD5...: 09beb1879a809bf4a9f2b892005c88e6
SHA1..: ffc51e94859f33d002b136ca09fc6f21332043b0
SHA256: fbc523f0e0583dbda52f56da5b81f736e1eb6ba9dc4b091a41214d5161aad379
SHA512: 52b54c004c2a24682436acdc39c05f8d492843d726c3960be99976333db2dc7b
d5eda72d7745732b2b19975d0e549e61da23de915f6002b6f7dd76444a9969f8
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
VXD Driver (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x102ee
timedatestamp.....: 0x3767a674 (Wed Jun 16 13:28:20 1999)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x220 0x503 0x520 5.39 e3c38d28f8995b9beeef52dfd08b295a
INIT 0x740 0x180 0x180 4.68 cfd741239fa106b9d8d6cf6ad59c8967
.rsrc 0x8c0 0x398 0x3a0 3.38 b6bc4e3f1b8a502a0026e1ad1665382a
.reloc 0xc60 0x58 0x60 2.94 3c8755425e9efd508e21207f15b3cf89

( 2 imports )
> ntoskrnl.exe: IoCreateDevice, IoDeleteSymbolicLink, IofCompleteRequest, RtlInitUnicodeString, IoCreateSymbolicLink, IoDeleteDevice
> HAL.dll: READ_PORT_ULONG, WRITE_PORT_UCHAR, WRITE_PORT_USHORT, READ_PORT_UCHAR, READ_PORT_USHORT, WRITE_PORT_ULONG

( 0 exports )
         
C:\hwa.tmp
Datei hwa.tmp empfangen 2008.11.17 17:28:33 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V32008.11.18.02008.11.17-
AntiVir7.9.0.312008.11.17-
Authentium5.1.0.42008.11.17-
Avast4.8.1281.02008.11.16-
AVG8.0.0.1992008.11.17-
BitDefender7.22008.11.17-
CAT-QuickHeal10.002008.11.15-
ClamAV0.94.12008.11.17-
DrWeb4.44.0.091702008.11.17-
eSafe7.0.17.02008.11.17-
eTrust-Vet31.6.62102008.11.14-
Ewido4.02008.11.17-
F-Prot4.4.4.562008.11.17-
F-Secure8.0.14332.02008.11.17-
Fortinet3.117.0.02008.11.15-
GData192008.11.17-
IkarusT3.1.1.45.02008.11.17-
K7AntiVirus7.10.5262008.11.15-
Kaspersky7.0.0.1252008.11.17-
McAfee54362008.11.16-
Microsoft1.41042008.11.17-
NOD3236182008.11.17-
Norman5.80.022008.11.14-
Panda9.0.0.42008.11.16-
PCTools4.4.2.02008.11.17-
Prevx1V22008.11.17-
Rising21.04.02.002008.11.17-
SecureWeb-Gateway6.7.62008.11.17-
Sophos4.35.02008.11.17-
Sunbelt3.1.1801.22008.11.14-
Symantec102008.11.17-
TheHacker6.3.1.1.1552008.11.15-
TrendMicro8.700.0.10042008.11.17-
VBA323.12.8.92008.11.17-
ViRobot2008.11.17.14722008.11.17-
VirusBuster4.5.11.02008.11.17-
Code:
ATTFilter
weitere Informationen
File size: 3808 bytes
MD5...: d368c4eb022e397cab062c7e441def87
SHA1..: f64e2364d34c8cf15462f2b808a55cad968a6418
SHA256: 457613ecb1b52f53520a0e771fd143f5fc72a6e026bfbefc0602f42295754bb5
SHA512: 967f17ca1b8a5a4155c59722e128f20e1c985901fed427b6c4badaf7e3d50502
de2a237b7d4ce0bd871b501e0b964619beef46134949bc1905f95c19c1357093
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.5%)
DOS Executable Generic (49.5%)
VXD Driver (0.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x102da
timedatestamp.....: 0x36677c11 (Fri Dec 04 06:07:13 1998)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x200 0x439 0x440 5.71 47fcde30ccc4d15a40b2c0ae10247bcd
INIT 0x640 0x18a 0x1a0 4.55 bdadab082c582c1062fcf64f89b0caa4
.reloc 0x7e0 0x56 0x60 2.86 5728345a81bec9e2b2d6189f67b96368

( 2 imports )
> ntoskrnl.exe: IoDeleteDevice, RtlInitUnicodeString, IofCompleteRequest, ZwUnmapViewOfSection, IoCreateSymbolicLink, IoCreateDevice, ZwMapViewOfSection, ObReferenceObjectByHandle, ZwOpenSection, IoDeleteSymbolicLink, ZwClose
> HAL.dll: HalTranslateBusAddress

( 0 exports )
         
C:\hua.tmp
Datei hua.tmp empfangen 2008.11.17 17:31:08 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V32008.11.18.02008.11.17-
AntiVir7.9.0.312008.11.17-
Authentium5.1.0.42008.11.17-
Avast4.8.1281.02008.11.16-
AVG8.0.0.1992008.11.17-
BitDefender7.22008.11.17-
CAT-QuickHeal10.002008.11.15-
ClamAV0.94.12008.11.17-
DrWeb4.44.0.091702008.11.17-
eSafe7.0.17.02008.11.17-
eTrust-Vet31.6.62102008.11.14-
Ewido4.02008.11.17-
F-Prot4.4.4.562008.11.17-
F-Secure8.0.14332.02008.11.17-
Fortinet3.117.0.02008.11.15-
GData192008.11.17-
IkarusT3.1.1.45.02008.11.17-
K7AntiVirus7.10.5262008.11.15-
Kaspersky7.0.0.1252008.11.17-
McAfee54362008.11.16-
Microsoft1.41042008.11.17-
NOD3236182008.11.17-
Norman5.80.022008.11.14-
Panda9.0.0.42008.11.16-
PCTools4.4.2.02008.11.17-
Prevx1V22008.11.17-
Rising21.04.02.002008.11.17-
SecureWeb-Gateway6.7.62008.11.17-
Sophos4.35.02008.11.17-
Sunbelt3.1.1801.22008.11.14-
Symantec102008.11.17-
TheHacker6.3.1.1.1552008.11.15-
TrendMicro8.700.0.10042008.11.17-
VBA323.12.8.92008.11.17-
ViRobot2008.11.17.14722008.11.17-
VirusBuster4.5.11.02008.11.17-
Code:
ATTFilter
weitere Informationen
File size: 3392 bytes
MD5...: 2c01a8cc7462e9b59b0c88b7a17e7a4d
SHA1..: a44c28558e4e49cee3fd56d20f8294aab7680540
SHA256: 7d3637d2c4e9472999b8aa092330f85f51f055c429332d1fa4c8e45b5fcbd5bf
SHA512: d02d26a5b08e464d4626eb3fd1f3e513547bfe1e71d297b9da05ee6651ee8918
82e98aa7933f5bc9b6c30a48515ef54f54f61e9d83d0badab4879f7df7b357ea
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.5%)
DOS Executable Generic (49.5%)
VXD Driver (0.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x103ba
timedatestamp.....: 0x34d783b7 (Tue Feb 03 20:53:11 1998)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x220 0x262 0x280 5.01 618f63d7cadc1655195455b3f27afe59
.data 0x4a0 0x4 0x20 0.00 70bc8f4b72a86921468bf8e8441dce51
INIT 0x4c0 0x162 0x180 4.54 44b34f4f586c7dce06953e4c388b7566
.reloc 0x640 0x58 0x60 3.08 33d558e9a066b059a039bef7b60dc386

( 1 imports )
> ntoskrnl.exe: IoGetCurrentProcess, IoDeleteSymbolicLink, RtlInitUnicodeString, MmFreeNonCachedMemory, Ke386SetIoAccessMap, Ke386IoSetAccessProcess, IoDeleteDevice, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, MmAllocateNonCachedMemory

( 0 exports )
         

Alt 18.11.2008, 18:39   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Hijack.AE.1 - Standard

TR/Hijack.AE.1



Also die Logfiles sehen unauffällig aus. Erschien die Meldung erneut?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.11.2008, 14:21   #8
JackieKS
 
TR/Hijack.AE.1 - Standard

TR/Hijack.AE.1



Nein, habe jetzt aktuell keine Fehlermeldung mehr bekommen... "Ich" bin also geheilt? Hört sich gut an

Ich danke dir auf jeden Fall!!!

Antwort

Themen zu TR/Hijack.AE.1
0 bytes, antivir, antivirus, avgnt.exe, bho, desktop, downloader, excel, firefox, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, logon.exe, mozilla, nt.dll, prozesse, registry, security, software, spyware, suchlauf, svchost.exe, system, system neu, tr/crypt.cfi.gen, trojaner, usb, verweise, virus, virus gefunden, warnung, windows, windows xp sp3, wuauclt.exe, xp sp3



Ähnliche Themen: TR/Hijack.AE.1


  1. Hijack.ControlPanelStyle / PUM.Hijack.DisplayProperties
    Plagegeister aller Art und deren Bekämpfung - 19.09.2012 (3)
  2. Verschlüsselungstrojaner Trojan.FakeVLC, PUM.Hijack.Task, Hijack.Regedit, Trojan.Agent
    Log-Analyse und Auswertung - 24.06.2012 (1)
  3. pum.bad.proxy-hijack.shell-pum.hijack.dis....
    Plagegeister aller Art und deren Bekämpfung - 19.01.2012 (1)
  4. Viren Hijack.Regedit und Hijack.TaskManager: Wie beheben?
    Log-Analyse und Auswertung - 14.11.2010 (5)
  5. IE und Antivir funktioniert nicht - Security.Hijack und Hijack.ControlPanelStyle
    Log-Analyse und Auswertung - 25.07.2009 (37)
  6. TR/Hijack.AE
    Plagegeister aller Art und deren Bekämpfung - 08.12.2008 (0)
  7. Hijack-Log
    Log-Analyse und Auswertung - 17.08.2007 (1)
  8. Hijack Log
    Log-Analyse und Auswertung - 10.09.2006 (4)
  9. TR/Hijack.Cop.5
    Plagegeister aller Art und deren Bekämpfung - 14.08.2006 (11)
  10. IE Hijack
    Log-Analyse und Auswertung - 19.07.2006 (11)
  11. Hijack This Log
    Log-Analyse und Auswertung - 26.08.2005 (9)
  12. hijack log!
    Log-Analyse und Auswertung - 30.07.2005 (4)
  13. Hijack Log !
    Log-Analyse und Auswertung - 26.07.2005 (4)
  14. Help HIJack this.log
    Log-Analyse und Auswertung - 09.05.2005 (1)
  15. hijack log
    Log-Analyse und Auswertung - 28.02.2005 (1)
  16. Help me if u can (Hijack-Log)
    Log-Analyse und Auswertung - 19.02.2005 (2)
  17. hijack fixer, hijack this
    Log-Analyse und Auswertung - 19.07.2004 (1)

Zum Thema TR/Hijack.AE.1 - Hallo, ich habe jetzt innerhalb von 2 Wochen den 2. Trojaner auf meinem PC Der erste war: TR/Crypt.CFI.Gen - danach hab ich mein System neu eufgesetzt - das will ich - TR/Hijack.AE.1...
Archiv
Du betrachtest: TR/Hijack.AE.1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.