| |
| |||||||
Log-Analyse und Auswertung: Hijackthis Logfile. IE Werbung hört nicht mehr auf sich zu öffnenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
06.06.2010, 14:46
| #1 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Hijackthis Logfile. IE Werbung hört nicht mehr auf sich zu öffnen Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{3C4937C8-CF2F-463D-B4C94FE163E6EB82}]
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{43876202-6C7C-4127-8C7B72696276CB83}]
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{D9BFCF6A-24FE-4D9B-9008F4915F6AAE9C}]
Driver::
{3C4937C8-CF2F-463D-B4C94FE163E6EB82}
{43876202-6C7C-4127-8C7B72696276CB83}
{D9BFCF6A-24FE-4D9B-9008F4915F6AAE9C}
NetSvc::
{43876202-6C7C-4127-8C7B72696276CB83}
{3C4937C8-CF2F-463D-B4C94FE163E6EB82}
File::
c:\users\Ruby\AppData\Local\Temp\B8D6.tmp
c:\windows\TEMP\AEE5.tmp
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
06.06.2010, 15:52
| #2 |
 | Hijackthis Logfile. IE Werbung hört nicht mehr auf sich zu öffnen huhu,
__________________also nach einem neustart wurde nach dem lauf nciht verlangt und unter dem namen "combofix.txt" is auf meinem pc auch nichts, aber ich geh mal davon aus, dass es sich um den log handelt den combofix nach dem lauf erstellt (log.txt), welches dieser wäre: Combofix Logfile: Code:
ATTFilter ComboFix 10-06-05.02 - Ruby 06.06.2010 16:20:41.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3066.1931 [GMT 2:00]
ausgeführt von:: c:\users\Ruby\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\users\Ruby\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
FILE ::
"c:\users\Ruby\AppData\Local\Temp\B8D6.tmp"
"c:\windows\TEMP\AEE5.tmp"
.
((((((((((((((((((((((( Dateien erstellt von 2010-05-06 bis 2010-06-06 ))))))))))))))))))))))))))))))
.
2010-06-06 14:26 . 2010-06-06 14:26 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-06-06 14:26 . 2010-06-06 14:26 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-06 13:09 . 2010-06-06 14:26 -------- d-----w- c:\users\Ruby\AppData\Local\temp
2010-06-06 12:45 . 2010-06-06 13:09 -------- d-----w- C:\cofi.exe
2010-06-06 12:38 . 2010-06-06 12:38 -------- d-----w- c:\program files\CCleaner
2010-06-01 18:03 . 2010-06-01 18:03 -------- d-----w- c:\users\Ruby\AppData\Roaming\Malwarebytes
2010-06-01 18:03 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-01 18:03 . 2010-06-01 18:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-01 18:03 . 2010-06-01 18:03 -------- d-----w- c:\programdata\Malwarebytes
2010-06-01 18:03 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-01 09:59 . 2010-06-01 08:58 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-06-01 08:59 . 2010-02-04 15:53 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-06-01 08:58 . 2010-06-01 08:58 -------- dc----w- c:\windows\system32\DRVSTORE
2010-06-01 08:58 . 2010-06-01 08:58 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-01 08:39 . 2010-06-01 08:39 -------- dc-h--w- c:\programdata\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
2010-06-01 08:39 . 2010-02-04 15:53 2954656 -c--a-w- c:\programdata\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
2010-06-01 08:39 . 2010-06-01 08:58 -------- d-----w- c:\programdata\Lavasoft
2010-06-01 08:39 . 2010-06-01 08:39 -------- d-----w- c:\program files\Lavasoft
2010-05-31 12:43 . 2010-05-31 12:43 -------- d-----w- c:\program files\Common Files\Java
2010-05-31 12:43 . 2010-05-31 12:42 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-31 12:42 . 2010-05-31 12:42 -------- d-----w- c:\program files\Java
2010-05-31 11:45 . 2010-05-31 11:45 -------- d-----w- c:\users\Ruby\AppData\Local\MigWiz
2010-05-31 11:29 . 2010-06-02 18:21 -------- d-----w- c:\users\Ruby\AppData\Local\Deployment
2010-05-30 15:05 . 2010-06-01 19:27 -------- d-----w- c:\windows\Sun
2010-05-30 14:52 . 2010-05-30 14:52 -------- d-----w- c:\programdata\Roxio
2010-05-28 17:21 . 2010-05-28 17:21 -------- d-----w- c:\users\Ruby\AppData\Roaming\Media Player Classic
2010-05-26 10:09 . 2010-04-23 14:13 2048 ----a-w- c:\windows\system32\tzres.dll
2010-05-12 13:31 . 2010-01-29 15:40 738816 ----a-w- c:\windows\system32\inetcomm.dll
2010-05-07 16:48 . 2010-05-07 16:48 -------- d-----w- c:\program files\Common Files\Deterministic Networks
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-06 13:03 . 2008-01-21 07:15 618442 ----a-w- c:\windows\system32\perfh007.dat
2010-06-06 13:03 . 2008-01-21 07:15 122842 ----a-w- c:\windows\system32\perfc007.dat
2010-06-03 21:16 . 2008-12-24 20:05 89520 ----a-w- c:\users\Ruby\AppData\Local\GDIPFONTCACHEV1.DAT
2010-06-01 14:32 . 2008-12-25 19:39 -------- d-----w- c:\program files\Steam
2010-05-31 13:03 . 2010-01-16 17:35 -------- d-----w- c:\users\Ruby\AppData\Roaming\Skype
2010-05-30 14:54 . 2008-12-17 12:07 -------- d-----w- c:\program files\Common Files\Roxio Shared
2010-05-13 09:36 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-13 09:31 . 2009-12-24 21:54 -------- d-----w- c:\program files\DivX
2010-05-12 18:17 . 2009-01-29 20:49 -------- d-----w- c:\program files\Common Files\fluxDVD
2010-05-12 09:21 . 2009-10-09 23:00 221568 ------w- c:\windows\system32\MpSigStub.exe
2008-12-17 12:05 . 2008-12-17 12:05 76 --sh--r- c:\windows\CT4CET.bin
2008-12-17 20:18 . 2008-12-17 20:17 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-07-17 196608]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-08-05 3563520]
"Dell Webcam Central"="c:\program files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-06-03 446635]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2008-10-04 206064]
"ProfilerU"="c:\program files\Saitek\SD6\Software\ProfilerU.exe" [2007-10-02 233472]
"SaiMfd"="c:\program files\Saitek\SD6\Software\SaiMfd.exe" [2007-10-02 131072]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-10-10 69632]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
c:\users\Ruby\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2008-12-24 3581680]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-1-5 809488]
QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-7-9 1616976]
VPN Client.lnk - c:\windows\Installer\{08B785C1-3893-4154-B53B-F5D341D0AAAA}\Icon3E5562ED7.ico [2010-5-7 6144]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GoToAssist]
2008-12-17 12:12 10536 ----a-w- c:\program files\Citrix\GoToAssist\514\g2awinlogon.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\startupfolder\C:^Users^Ruby^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Antimalware Doctor.lnk]
path=c:\users\Ruby\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnk.Startup
backupExtension=.Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38 34672 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
2008-08-14 06:58 611712 ----a-w- c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-08-08 12:11 490952 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2008-07-04 13:16 132392 ------w- c:\program files\Dell\MediaDirect\PCMService.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 12:11 25623336 ----a-r- c:\program files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-05-07 17:18 1238352 ----a-w- c:\program files\Steam\Steam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysTrayApp]
2008-07-17 10:23 442433 ----a-w- c:\program files\IDT\WDM\sttray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2008-08-03 23:02 36352 ----a-w- c:\program files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):f4,04,66,f8,bf,72,ca,01
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-06-01 1314704]
R2 WlansvcWlansvc;Automatische WLAN-Konfiguration WlansvcWlansvc;c:\windows\system32\advpacka.exe [2008-01-21 82944]
R3 SaiH80C0;SaiH80C0;c:\windows\system32\DRIVERS\SaiH80C0.sys [2007-05-01 132232]
R3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-21 987648]
R3 VSTHWBS2;VSTHWBS2;c:\windows\system32\DRIVERS\VSTBS23.SYS [2008-01-21 251904]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2008-12-26 717296]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-02-04 64288]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f091b975\aestsrv.exe [2008-07-17 73728]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2008-07-28 54784]
S3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2008-05-29 203264]
S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\DRIVERS\OA001Ufd.sys [2008-09-22 144672]
S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\DRIVERS\OA001Vid.sys [2008-09-22 277632]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3081217
uInternet Settings,ProxyOverride = <local>
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Ruby\AppData\Roaming\Mozilla\Firefox\Profiles\di9xmhig.default\
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Common Files\fluxDVD\APIX\NPAPIX.dll
FF - plugin: c:\program files\Common Files\fluxDVD\BrowserIntegration\NPFluxBrowserHelper.dll
FF - plugin: c:\program files\Common Files\mpDRM\NPMPDRM.dll
FF - plugin: c:\program files\Common Files\mpDRM\NPWMDRMWrapper.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAPIX.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPFluxBrowserHelper.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPMPDRM.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPWMDRMWrapper.dll
FF - plugin: c:\users\Ruby\AppData\Roaming\Mozilla\Firefox\Profiles\di9xmhig.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
**************************************************************************
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien:
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'Explorer.exe'(688)
c:\program files\Stardock\ObjectDock\DockShellHook.dll
c:\program files\Logitech\SetPoint\GameHook.dll
c:\program files\Logitech\SetPoint\lgscroll.dll
.
Zeit der Fertigstellung: 2010-06-06 16:29:56
ComboFix-quarantined-files.txt 2010-06-06 14:29
ComboFix2.txt 2010-06-06 13:09
Vor Suchlauf: 12 Verzeichnis(se), 159.891.197.952 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 159.854.755.840 Bytes frei
- - End Of File - - 4256FBB3F97EF4ADFC4F35B8F75E9BE0
|
|
| Themen zu Hijackthis Logfile. IE Werbung hört nicht mehr auf sich zu öffnen |
| ad-aware, antivir, antivir guard, avira, bho, browser, computer, desktop, error, excel, firefox, frage, hijack, hijackthis, homepage, internet explorer, mozilla, plug-in, registry, software, spielen, super, system, trojaner, virus, vista, werbung, windows, ändern |
Hybrid-Darstellung
