Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Kein Admin? PopUp im Netz....Terror

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.01.2009, 19:40   #1
Flex-Cut
 
Kein Admin? PopUp im Netz....Terror - Standard

Kein Admin? PopUp im Netz....Terror



Hallo liebe Community, ich hab nen Laptop, seit 2 Monaten, und musste zwecks Rechersche auf recht dubiosen Seiten verkehren. Ich ärger mich, denn ich denke mir etwas eingefangen zu haben. Leider bin ich PC Technisch nicht so auf der Höhe, was solche Systemvorgänge anbetrifft.
Folgende Probleme treten in letzter Zeit auf

-Wenn ich im Internet mit Firefox unterwegs bin, öffnet sich ein weiteres Browserfenster, mit irgendwelcher Werbung.

-Trots vor Wochen abgestellter Nachfrage von Vista, wird mir wieder die frage gestellt, ob ich mir sicher bin, dass die Administrativen Rechte besitzen muss und sowas. Ich bin aber als Administrator eingestuft. Ich kann in manchen Ordnern keine Datein mehr erstellen oder überschreiben, das ist für mich fatal.

-Systemwiederherstellung; hhm - bringt irgendwie nichts. Das Problem besteht weiterhin, und dazu werden meine Daten tatsächlich auf den Stand zurück versetzt Oo
Sie sind einfach weg.

Ich habe hier mein Logfile, ich hoffe jemand mit geschultem Auge sieht da die Fehlerquelle, denn sowie ich in Googel erfahren habe, soll es sich um irgendein backdoor...Trojaner handeln, den man im Abgesicherten Modus löschen kann/soll. Keine Ahnung, hat es hier im Forum ggf entsprechende Anleitungen?

Ich bedanke mich bereits im Vorraus
____________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:31, on 15.01.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Windows\ehome\ehtray.exe
C:\Users\Alex\AppData\Local\yweegkw.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conime.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\ConAppM.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Users\Alex\Desktop\Neuer Ordner\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll (file missing)
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [VMCL] C:\Users\Alex\Desktop\Vodavone\VMC_PBStarter.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [yweegkw] "c:\users\alex\appdata\local\yweegkw.exe" yweegkw
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\program files\aol\aol toolbar 5.0\resources\de-de\local\search.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC17E7C-DE20-4D2A-B346-ADC6D28847D7}: NameServer = 139.7.30.125 139.7.30.126
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.206,85.255.112.76
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.113.206,85.255.112.76
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.206,85.255.112.76
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\Windows\system32\bmwebcfg.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8976 bytes

Alt 15.01.2009, 19:54   #2
Sunny
Administrator
> Competence Manager
 

Kein Admin? PopUp im Netz....Terror - Standard

Kein Admin? PopUp im Netz....Terror



Hallo Flex-Cut und

  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
  • In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
  • Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.


Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

(nach dem scannen auf den Button klicken und Funde löschen lassen!)



Anleitung SmitfraudFix (by S!Ri)

Klick auf das Symbol und lies die Anleitung ->
und lass das System durchsuchen. (Option 1)
  • Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans
__________________

__________________

Alt 16.01.2009, 15:06   #3
Flex-Cut
 
Kein Admin? PopUp im Netz....Terror - Standard

Kein Admin? PopUp im Netz....Terror



hier das antivir




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 15. Januar 2009 21:36

Es wird nach 1207247 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (Service Pack 1) [6.0.6001]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: FLEX-CUT

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 15.12.2008 19:33:09
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 21:43:19
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 12:13:20
ANTIVIR2.VDF : 7.1.1.114 2048 Bytes 14.01.2009 12:13:21
ANTIVIR3.VDF : 7.1.1.116 44032 Bytes 14.01.2009 12:13:22
Engineversion : 8.2.0.54
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 11:05:56
AESCRIPT.DLL : 8.1.1.24 340348 Bytes 11.01.2009 10:57:30
AESCN.DLL : 8.1.1.5 123251 Bytes 22.11.2008 21:43:47
AERDL.DLL : 8.1.1.3 438645 Bytes 22.11.2008 21:43:46
AEPACK.DLL : 8.1.3.5 393588 Bytes 11.01.2009 10:57:29
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 15.12.2008 19:33:10
AEHEUR.DLL : 8.1.0.78 1532280 Bytes 11.01.2009 10:57:27
AEHELP.DLL : 8.1.2.0 119159 Bytes 22.11.2008 21:43:34
AEGEN.DLL : 8.1.1.8 323956 Bytes 15.12.2008 19:33:10
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 15.12.2008 19:33:10
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 22.11.2008 21:43:29
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 15. Januar 2009 21:36

Der Suchlauf nach versteckten Objekten wird begonnen.
C:\ProgramData\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-213612-F8E18C5B\AVSCAN-00000003.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\ProgramData\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-213612-F8E18C5B\AVSCAN-00000003.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.cig
C:\ProgramData\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-213612-F8E18C5B\AVSCAN-00000004.sys
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\ProgramData\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-213612-F8E18C5B\AVSCAN-00000004.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Pakes.DI
c:\windows\system32\tdssnbcb.dat
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49e2a247.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssoguf.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49e2a249.qua erstellt ( QUARANTÄNE )
c:\windows\system32\drivers\tdssmcmc.sys
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 40f65c1a.qua erstellt ( QUARANTÄNE )
c:\users\alex\appdata\local\temp\tdss51da.tmp
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.ccq.1
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49e2a24a.qua erstellt ( QUARANTÄNE )
c:\users\alex\appdata\local\temp\tdss51e9.tmp
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49e2a24b.qua erstellt ( QUARANTÄNE )
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '106472' Objekte überprüft, '15' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ieuser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ConAppM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bmctl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobileConnect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApMsgFwd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'yweegkw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPHC_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XAudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bmwebcfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '69' Prozesse mit '69' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '44' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Station C>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Users\Alex\AppData\Local\Temp\jah31203.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\Alex\Desktop\SmitfraudFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Agent.OMZ.Fix.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted.E
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.F-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde gelöscht.
C:\Windows\Temp\8A1.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Station D>
Beginne mit der Suche in 'F:\' <FLEX-CUT>
F:\Station D\Mistkübel\Software\Tools\Messenger Password Decrypter v1.0.exe
--> Object
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster des SPR/PSW.Messen.103.4-Programmes
[HINWEIS] Die Datei wurde gelöscht.
F:\Station D\Mistkübel\Software\Tools\Sternchen\Revelation.exe
[FUND] Enthält Erkennungsmuster des SPR/CodeRevel.A.3-Programmes
[HINWEIS] Die Datei wurde gelöscht.
F:\Station D\Mistkübel\Software\Tools\Sternchen\RevelationHelper.dll
[FUND] Enthält Erkennungsmuster des SPR/CodeRevel.A.1-Programmes
[HINWEIS] Die Datei wurde gelöscht.
F:\Station C\Eigene Dateien\Meine empfangenen Dateien\RevelationV2.zip
[0] Archivtyp: ZIP
--> SetupRevelationV2.exe
[FUND] Enthält Erkennungsmuster des SPR/CodeRevel.A.2-Programmes
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Donnerstag, 15. Januar 2009 23:25
Benötigte Zeit: 1:49:24 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

23913 Verzeichnisse wurden überprüft
465451 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden als verdächtig eingestuft
7 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
465437 Dateien ohne Befall
3827 Archive wurden durchsucht
2 Warnungen
12 Hinweise
106472 Objekte wurden beim Rootkitscan durchsucht
15 Versteckte Objekte wurden gefunden
__________________

Alt 16.01.2009, 15:08   #4
Flex-Cut
 
Kein Admin? PopUp im Netz....Terror - Standard

Kein Admin? PopUp im Netz....Terror



Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 6.0.6001 Service Pack 1

15.01.2009 23:37:04
malwarebytes.ttx

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 50997
Laufzeit: 7 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> No action taken.
C:\Users\Alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\extravideo (Trojan.DNSChanger) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\extravideo (Trojan.DNSChanger) -> No action taken.

Infizierte Dateien:
C:\Windows\System32\TDSSoguf.dll (Trojan.TDSS) -> No action taken.
C:\autorun.inf (Trojan.DNSChanger) -> No action taken.
C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\extravideo\Uninstall.lnk (Trojan.DNSChanger) -> No action taken.
C:\Users\Alex\AppData\Local\Temp\matrix32267.exe (Trojan.FakeAlert) -> No action taken.
C:\Windows\System32\drivers\TDSSmcmc.sys (Rootkit.Agent) -> No action taken.

Alt 16.01.2009, 15:24   #5
Flex-Cut
 
Kein Admin? PopUp im Netz....Terror - Standard

Kein Admin? PopUp im Netz....Terror



Vistascan


Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\Windows *****
***** ***** ***** ***** *****

16.01.2009 bootstat.dat 13 28:67.584
15.01.2009 WindowsUpdate.log 23 54:1.991.641
11.01.2009 Muma60.INI 16 11:353
10.01.2009 win.ini 14 43:376
08.01.2009 ULEAD32.INI 18 38:3.999
07.01.2009 Sam10_E.INI 19 59:0
07.01.2009 mgxoschk.ini 19 39:5.937
06.01.2009 audiotowavcon.ini 23 24:92
29.12.2008 avisplitter.INI 13 13:38
Wallpaper.cmp 28.12.2008 ACD 19 33:2.400.054
21.12.2008 UnHyCam.bat 16 20:3.005
20.12.2008 Iedit.INI 21 46:30
23.11.2008 WindowsShell.Manifest 00 31:749
29.10.2008 explorer.exe 07 29:2.927.104
11.10.2008 CoD.INI 15 55:632
06.09.2008 sam7_D.INI 19 48:0
04.06.2008 nsreg.dat 09 25:0
18.04.2008 CSUP.txt 14 00:12
19.01.2008 regedit.exe 08 33:134.656
19.01.2008 notepad.exe 08 33:151.040
19.01.2008 HelpPane.exe 08 33:498.176
19.01.2008 fveupdate.exe 08 33:13.312
19.01.2008 bfsvc.exe 08 33:58.880
02.11.2006 WMSysPr9.prx 13 35:316.640
02.11.2006 twunk_16.exe 13 34:49.680
02.11.2006 twain_32.dll 13 34:50.688
02.11.2006 twunk_32.exe 13 34:31.232


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\Windows\system32 *****
***** ***** ***** ***** *****

16.01.2009 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 13 28:3.168
16.01.2009 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 13 28:3.168
14.01.2009 MRT.INI 14 16:118
10.01.2009 mrt.exe 02 35:20.853.704
09.01.2009 perfh009.dat 16 01:587.178
09.01.2009 perfc009.dat 16 01:101.250
09.01.2009 perfc007.dat 16 01:122.648
09.01.2009 perfh007.dat 16 01:618.442
09.01.2009 PerfStringBackup.INI 16 01:1.418.612
06.01.2009 SySaudiotowav.dat 23 24:5
02.01.2009 CmdLineExt03.dll 16 29:43.520
27.12.2008 CDUninst.isu 21 13:5.767
22.12.2008 javaws.exe 17 36:148.888
22.12.2008 javaw.exe 17 36:144.792
22.12.2008 java.exe 17 36:144.792
22.12.2008 deploytk.dll 17 36:410.984
20.12.2008 frapsvid.dll 00 30:81.920
17.12.2008 TDSSnbcb.dat 14 57:441
16.12.2008 igxpun.exe 11 27:993.816
12.12.2008 mshtml.dll 06 52:3.578.880
02.12.2008 iglhxs32.vp 13 30:39.952
02.12.2008 TVWSetup.exe 12 49:8.198.680
02.12.2008 igfxtray.exe 12 49:141.848
02.12.2008 igfxsrvc.exe 12 49:252.952
02.12.2008 igfxext.exe 12 49:172.568
02.12.2008 igfxpers.exe 12 49:150.552
02.12.2008 igfxcfg.exe 12 49:668.696
02.12.2008 hkcmd.exe 12 49:173.592
02.12.2008 igfxCoIn_v1608.dll 12 40:155.648
02.12.2008 igdumd32.dll 12 33:3.821.568
02.12.2008 igkrng400.bin 12 31:1.498.564
02.12.2008 igdumdx32.dll 12 27:536.576
02.12.2008 igd10umd32.dll 12 22:2.580.480
02.12.2008 ig4dev32.dll 12 13:2.674.688
02.12.2008 ig4icd32.dll 12 13:4.112.384
02.12.2008 igfxrtha.lrc 12 06:262.656
02.12.2008 igfxrsve.lrc 12 06:282.624
02.12.2008 igfxrtrk.lrc 12 06:279.040
02.12.2008 igfxrslv.lrc 12 06:277.504
02.12.2008 igfxrsky.lrc 12 06:282.624
02.12.2008 igfxrrus.lrc 12 06:291.328
02.12.2008 igfxrptg.lrc 12 06:294.912
02.12.2008 igfxrptb.lrc 12 06:289.280
02.12.2008 igfxrnor.lrc 12 06:279.552
02.12.2008 igfxrplk.lrc 12 06:287.744
02.12.2008 igfxrnld.lrc 12 06:299.008
02.12.2008 igfxrkor.lrc 12 06:205.312


***** ***** ***** ***** *****
***** Scanning C:\Windows\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ======== ================ =========== ===============
System Idle Process 0 Services 0 24 K
System 4 Services 0 1.420 K
smss.exe 416 Services 0 564 K
csrss.exe 580 Services 0 7.412 K
csrss.exe 624 Console 1 11.740 K
wininit.exe 632 Services 0 4.200 K
services.exe 668 Services 0 6.888 K
winlogon.exe 696 Console 1 4.888 K
lsass.exe 724 Services 0 2.748 K
lsm.exe 732 Services 0 3.536 K
svchost.exe 872 Services 0 6.116 K
svchost.exe 936 Services 0 6.992 K
svchost.exe 988 Services 0 26.988 K
svchost.exe 1092 Services 0 12.368 K
svchost.exe 1132 Services 0 76.308 K
svchost.exe 1160 Services 0 44.868 K
audiodg.exe 1272 Services 0 10.308 K
SLsvc.exe 1304 Services 0 3.844 K
svchost.exe 1340 Services 0 12.428 K
svchost.exe 1472 Services 0 15.040 K
spoolsv.exe 1712 Services 0 9.808 K
sched.exe 1736 Services 0 1.324 K
svchost.exe 1748 Services 0 11.868 K
avguard.exe 1944 Services 0 12.748 K
bmwebcfg.exe 1956 Services 0 3.244 K
IAANTmon.exe 2028 Services 0 4.800 K
svchost.exe 444 Services 0 5.104 K
RichVideo.exe 532 Services 0 3.464 K
svchost.exe 628 Services 0 5.832 K
VMCService.exe 1260 Services 0 14.068 K
svchost.exe 456 Services 0 2.048 K
SearchIndexer.exe 2068 Services 0 50.916 K
XAudio.exe 2120 Services 0 2.064 K
hpqWmiEx.exe 2136 Services 0 4.728 K
taskeng.exe 3144 Console 1 10.388 K
dwm.exe 3300 Console 1 45.992 K
explorer.exe 3308 Console 1 50.852 K
Apoint.exe 3532 Console 1 4.652 K
IAAnotif.exe 3540 Console 1 4.888 K
QPService.exe 3548 Console 1 8.472 K
QLBCTRL.exe 3556 Console 1 7.124 K
MSASCui.exe 3572 Console 1 10.988 K
hpwuSchd2.exe 3580 Console 1 2.480 K
jusched.exe 3604 Console 1 7.292 K
avgnt.exe 3628 Console 1 1.904 K
WmiPrvSE.exe 3724 Services 0 6.344 K
hkcmd.exe 3748 Console 1 4.112 K
igfxpers.exe 3756 Console 1 4.152 K
msnmsgr.exe 3772 Console 1 7.024 K
ICQ.exe 3780 Console 1 34.084 K
ehtray.exe 3788 Console 1 1.472 K
igfxsrvc.exe 3804 Console 1 6.280 K
yweegkw.exe 3840 Console 1 39.668 K
WiFiMsg.exe 4028 Console 1 3.924 K
ehmsas.exe 776 Console 1 4.436 K
HpqToaster.exe 2336 Console 1 5.908 K
ApMsgFwd.exe 1868 Console 1 2.680 K
ApntEx.exe 2792 Console 1 3.056 K
HPHC_Service.exe 2684 Services 0 9.656 K
MobileConnect.exe 3092 Console 1 62.324 K
WmiPrvSE.exe 1804 Services 0 8.880 K
ConAppM.exe 2748 Console 1 22.112 K
bmctl.exe 4036 Console 1 7.352 K
wmpnscfg.exe 3372 Console 1 5.048 K
wmpnetwk.exe 4100 Services 0 10.276 K
usnsvc.exe 4564 Services 0 3.612 K
conime.exe 2456 Console 1 3.320 K
bmop.exe 2964 Console 1 15.880 K
SearchProtocolHost.exe 6136 Services 0 8.844 K
SearchFilterHost.exe 5840 Services 0 6.140 K
ieuser.exe 3860 Console 1 8.564 K
firefox.exe 5628 Console 1 52.124 K
cmd.exe 5856 Console 1 2.920 K
tasklist.exe 2292 Console 1 4.708 K



Microsoft Windows [Version 6.0.6001]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 16.01.2009 um 15:21:36,53 ***


Alt 16.01.2009, 15:26   #6
Flex-Cut
 
Kein Admin? PopUp im Netz....Terror - Standard

Kein Admin? PopUp im Netz....Terror



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:43, on 16.01.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\igfxsrvc.exe
C:\Users\Alex\AppData\Local\yweegkw.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\ConAppM.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\conime.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Optimization Client\bmop.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Alex\Desktop\kj\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [VMCL] C:\Users\Alex\Desktop\Vodavone\VMC_PBStarter.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [yweegkw] "c:\users\alex\appdata\local\yweegkw.exe" yweegkw
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\program files\aol\aol toolbar 5.0\resources\de-de\local\search.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC17E7C-DE20-4D2A-B346-ADC6D28847D7}: NameServer = 139.7.30.125 139.7.30.126
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\Windows\system32\bmwebcfg.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8178 bytes

Antwort

Themen zu Kein Admin? PopUp im Netz....Terror
abgesicherten modus, adobe, antivir, antivirus, avg, avira, bho, defender, desktop, error, explorer, firefox, handel, hijack, hijackthis, internet, internet explorer, intrusion prevention, kein admin, launch, logfile, menu.exe, monitor, mozilla, plug-in, popup, rundll, seit 2 monaten, senden, software, symantec, vista, vodafone, vodavone, windows, windows defender, windows sidebar



Ähnliche Themen: Kein Admin? PopUp im Netz....Terror


  1. Defender neuerdings deaktiviert und trotz Admin teilweise kein Zugriff
    Plagegeister aller Art und deren Bekämpfung - 04.06.2015 (11)
  2. Popup Konsolenregistrierungsprogramm verlangt Admin Rechte und blockiert alles
    Plagegeister aller Art und deren Bekämpfung - 24.11.2014 (19)
  3. Popup Konsolenregistrierungsprogramm verlangt Admin Rechte und blockiert alles
    Log-Analyse und Auswertung - 30.05.2014 (5)
  4. Kein Netz mehr nach Wiederherstellung
    Alles rund um Windows - 16.09.2012 (7)
  5. Kein Admin mehr auf dem eigenen pc
    Log-Analyse und Auswertung - 11.08.2012 (1)
  6. Keine Anmeldung bei Windows mehr möglich. Passwort feld fehlt. Kein Internet mehr. Kein Admin mehr.
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (5)
  7. kein admin mehr
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (1)
  8. kein admin und kein abgesicherter modus mehr
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (2)
  9. Kein Internet auf dem Laptop obwohl mein PC im Netz ist bei WLAN und Lan
    Log-Analyse und Auswertung - 09.08.2009 (1)
  10. Popup Trojaner gelöscht. Nun kein Systemloginscreen mehr
    Plagegeister aller Art und deren Bekämpfung - 25.04.2009 (10)
  11. Popup-Adware -- kein Programm hilft!!!!!!
    Mülltonne - 24.10.2008 (0)
  12. Tracking-cookie, popup-terror, cookie-einstellungen
    Plagegeister aller Art und deren Bekämpfung - 02.08.2008 (0)
  13. Cookie einstellungen, popup terror etc.
    Mülltonne - 02.08.2008 (0)
  14. Popup-Terror: Pls help!
    Mülltonne - 21.05.2006 (2)
  15. Trotz LSP-fix kein Netz
    Log-Analyse und Auswertung - 17.08.2004 (5)
  16. popup-> countdown,aber kein virus gefunden
    Plagegeister aller Art und deren Bekämpfung - 12.09.2003 (5)

Zum Thema Kein Admin? PopUp im Netz....Terror - Hallo liebe Community, ich hab nen Laptop, seit 2 Monaten, und musste zwecks Rechersche auf recht dubiosen Seiten verkehren. Ich ärger mich, denn ich denke mir etwas eingefangen zu haben. - Kein Admin? PopUp im Netz....Terror...
Archiv
Du betrachtest: Kein Admin? PopUp im Netz....Terror auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.