Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Internet Explorer öffnet sich von selbst

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.06.2010, 13:14   #1
Belias
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Hallo,

ich habe seit gestern das Problem, dass sich in regelmäßigen Abständen Fenster vom IE selbstständig öffnen und dort irgendwelche Werbung angezeigt wird.

Nun habe ich mal Antivir drüber laufen lassen und der zeigt mir HTML/Infected.WebPage.Gen - Malware an, aber wenn ich diese Sachen reparieren lasse, hilft das trotzdem nicht.

Ich hoffe ihr könnt mir da weiter helfen. Ich habe mal einen hijackthis-Log angehängt.

Gruß


HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:12:21, on 10.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\EXPERTool\TBPanel.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFDE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Realtek\RTL8187B Wireless LAN Utility\RtWLan.exe
C:\WINDOWS\Brotob.exe
c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\QIP\qip.exe
C:\Programme\World of Warcraft\WoW.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Legendkiller\Eigene Dateien\Downloads\HiJackThis204.exe
C:\DOKUME~1\LEGEND~1\LOKALE~1\Temp\Bzz.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Legendkiller\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Legendkiller\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GAINWARD] C:\Programme\EXPERTool\TBPanel.exe /A
O4 - HKCU\..\Run: [RGSC] C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON SX210 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFDE.EXE /FU "C:\WINDOWS\TEMP\E_S4E.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [{7AA60444-EC29-428A-B52C-E1B1A70F2132}] "C:\Dokumente und Einstellungen\Legendkiller\Anwendungsdaten\Sixueg\acxe.exe"
O4 - HKCU\..\Run: [M5T8QL3YW3] C:\DOKUME~1\LEGEND~1\LOKALE~1\Temp\Bzz.exe
O4 - HKCU\..\Run: [Gsidagedeyox] rundll32.exe "C:\WINDOWS\esfcolSE.dll",Startup
O4 - HKCU\..\Run: [{72765078-BA3F-82F6-7C6F-4B9294BA3AD1}] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Oqel\ywir.exe
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WIS1C4551A64743409391E41477CD655043_9_09_0203.MSI" TRANSFORMS="C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WIS1C4551A64743409391E41477CD655043_9_09_0203.MST" WISE_SETUP_EXE_PATH="d:\win2kxp\PhysX_9.09.0408_SystemSoftware.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: sisytj32.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: MSI US54SE II Wireless Client Utility.lnk = C:\Programme\MSI\US54SE II\Installer\WINXP\MCU.exe
O4 - Global Startup: REALTEK RTL8187B Wireless LAN Utility.lnk = C:\Programme\Realtek\RTL8187B Wireless LAN Utility\RtWLan.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Programme\QIP\qip.exe (HKCU)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: RAS-Verbindungsverwaltung RasManRpcSs (RasManRpcSs) - Unknown owner - C:\WINDOWS\system32\AgCPanelSwedishz.exe

--
End of file - 8822 bytes
         
--- --- ---

Alt 10.06.2010, 14:40   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 10.06.2010, 16:20   #3
Belias
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Danke für die schnelle Antwort, hier sind die Logs:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4186

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.06.2010 16:13:28
mbam-log-2010-06-10 (16-13-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 204250
Laufzeit: 1 Stunde(n), 10 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 25

Infizierte Speicherprozesse:
C:\WINDOWS\Brotob.exe (Trojan.FraudPack.Gen) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bzz.exe (Trojan.FraudPack.Gen) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\V71IQL7HI7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\Brotob.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bzz.exe (Trojan.FraudPack.Gen) -> Delete on reboot.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\pcwcorwo.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bz0.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bz1.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bz2.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\cxgxdna.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\arapj.exe (Rogue.AVSecuritySuite) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\0.8140781342454972.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LYFMB6P\setup[1].exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ET21ON4J\setup[2].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Programme\Windows Media Player\run.exe (Trojan.CryptRun) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{156C3412-898A-4411-A506-7646DAE46D86}\RP183\A0052395.exe (Rogue.AVSecuritySuite) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{156C3412-898A-4411-A506-7646DAE46D86}\RP183\A0052399.dll (Adware.LuckyEstimation) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{156C3412-898A-4411-A506-7646DAE46D86}\RP184\A0054549.exe (Trojan.CryptRun) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{156C3412-898A-4411-A506-7646DAE46D86}\RP184\A0054560.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{156C3412-898A-4411-A506-7646DAE46D86}\RP184\A0054719.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\Brotoa.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Programme\Windows Media Player\wmupdater.exe (Trojan.Vilsel) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\services.exe (Password.Stealer) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
__________________

Alt 10.06.2010, 16:22   #4
Belias
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



So hier die restlichen 2 logs.

Hoffe ihr könnt mri helfen

Gruß
Angehängte Dateien
Dateityp: txt Extras.Txt (39,9 KB, 320x aufgerufen)
Dateityp: txt OTL.Txt (56,1 KB, 326x aufgerufen)

Alt 10.06.2010, 17:06   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
PRC - C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bzz.exe ()
SRV - (nvsvc) --  File not found
SRV - (RasManRpcSs) -- C:\WINDOWS\System32\AgCPanelSwedishz.exe ()
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
O4 - HKLM..\Run: [nwiz]  File not found
O4 - HKCU..\Run: [{72765078-BA3F-82F6-7C6F-4B9294BA3AD1}] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Oqel\ywir.exe ()
O4 - HKCU..\Run: [{7AA60444-EC29-428A-B52C-E1B1A70F2132}] C:\Dokumente und Einstellungen\Legendkiller\Anwendungsdaten\Sixueg\acxe.exe ()
O4 - HKCU..\Run: [Gsidagedeyox] C:\WINDOWS\esfcolSE.DLL (MaresWEB)
O4 - Startup: C:\Dokumente und Einstellungen\Legendkiller\Startmenü\Programme\Autostart\sisytj32.exe ()
[2010.06.10 16:13:44 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\unvavtn.sys
[2010.06.09 22:59:39 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\dhxiuw.dat
@Alternate Data Stream - 974 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:24721E3C

:Files
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bzz.exe
C:\WINDOWS\System32\AgCPanelSwedishz.exe
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Oqel
C:\Dokumente und Einstellungen\Legendkiller\Anwendungsdaten\Sixueg
C:\WINDOWS\esfcolSE.DLL
C:\Dokumente und Einstellungen\Legendkiller\Startmenü\Programme\Autostart\sisytj32.exe

:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.06.2010, 17:15   #6
Belias
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Ok hab ich auch gemacht, hier der Log

All processes killed
========== OTL ==========
No active process named Bzz.exe was found!
Service nvsvc stopped successfully!
Service nvsvc deleted successfully!
File File not found not found.
Service RasManRpcSs stopped successfully!
Service RasManRpcSs deleted successfully!
File move failed. C:\WINDOWS\system32\AgCPanelSwedishz.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\nwiz deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{72765078-BA3F-82F6-7C6F-4B9294BA3AD1} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{72765078-BA3F-82F6-7C6F-4B9294BA3AD1}\ not found.
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Oqel\ywir.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{7AA60444-EC29-428A-B52C-E1B1A70F2132} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7AA60444-EC29-428A-B52C-E1B1A70F2132}\ not found.
C:\Dokumente und Einstellungen\Legendkiller\Anwendungsdaten\Sixueg\acxe.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Gsidagedeyox deleted successfully.
C:\WINDOWS\esfcolSE.dll moved successfully.
File move failed. C:\Dokumente und Einstellungen\Legendkiller\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot.
File C:\WINDOWS\System32\drivers\unvavtn.sys not found.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\dhxiuw.dat moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:24721E3C deleted successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bzz.exe not found.
File move failed. C:\WINDOWS\System32\AgCPanelSwedishz.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Oqel folder moved successfully.
C:\Dokumente und Einstellungen\Legendkiller\Anwendungsdaten\Sixueg folder moved successfully.
File\Folder C:\WINDOWS\esfcolSE.DLL not found.
File move failed. C:\Dokumente und Einstellungen\Legendkiller\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Legendkiller
->Temp folder emptied: 49543645 bytes
->Temporary Internet Files folder emptied: 138171750 bytes
->Java cache emptied: 35010718 bytes
->FireFox cache emptied: 77058776 bytes
->Flash cache emptied: 3167 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 5170259 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 933214 bytes
->Flash cache emptied: 1147 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1119649 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1204117 bytes
RecycleBin emptied: 2158320 bytes

Total Files Cleaned = 296,00 mb


OTL by OldTimer - Version 3.2.6.0 log created on 06102010_171023

Files\Folders moved on Reboot...
C:\WINDOWS\system32\AgCPanelSwedishz.exe moved successfully.
C:\Dokumente und Einstellungen\Legendkiller\Startmenü\Programme\Autostart\sisytj32.exe moved successfully.

Registry entries deleted on Reboot...

Alt 10.06.2010, 17:29   #7
Belias
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



hmmm nu hängt der PC aber ganz schön

Alt 10.06.2010, 19:26   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Was heißt das genau? Bitte so formulieren, dass man nicht herumraten muss was Du meinst!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.06.2010, 19:35   #9
Belias
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Das "hängen" war nach einem Neustart weg, ist also kein Problem mehr. Allerding kommen immernoch ab und an IE Fenster mit Werbung.

Alt 10.06.2010, 20:18   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Dann mach jetzt nen Lauf mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.06.2010, 00:20   #11
Belias
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



So habe alles gemacht wie angegeben, hier der Log:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-06-10.03 - Legendkiller 11.06.2010   0:05.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3326.2815 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Legendkiller\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
Die folgenden Dateien wurden während des Laufs deaktiviert:
c:\windows\system32\contll32.dll


((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\C036F795BA922110E3F0C153B7FB5FB4
c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\C036F795BA922110E3F0C153B7FB5FB4\enemies-names.txt
c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\C036F795BA922110E3F0C153B7FB5FB4\lsrslt.ini
c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\chrtmp
c:\windows\Brotoa.exe
c:\windows\esfcolSE.dll
c:\windows\system32\2790051269.dat
c:\windows\system32\sshnas21.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

Infizierte Kopie von c:\windows\system32\drivers\tcpip.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Service_SSHNAS


(((((((((((((((((((((((   Dateien erstellt von 2010-05-10 bis 2010-06-10  ))))))))))))))))))))))))))))))
.

2010-06-10 15:17 . 2010-06-10 15:17	46592	----a-w-	c:\windows\system32\contll32.dll
2010-06-10 15:10 . 2010-06-10 15:10	--------	d-----w-	C:\_OTL
2010-06-10 13:01 . 2010-06-10 13:01	--------	d-----w-	c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\Malwarebytes
2010-06-10 13:01 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-10 13:01 . 2010-06-10 13:01	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-06-10 13:01 . 2010-06-10 13:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-06-10 13:01 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-06-10 12:35 . 2010-06-10 15:00	--------	d-----w-	c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\Qoerxe
2010-06-10 12:35 . 2010-06-10 12:35	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2010-06-09 20:56 . 2010-06-09 20:56	57344	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-06-09 20:56 . 2010-06-09 20:56	56765	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-06-09 20:56 . 2010-06-09 20:54	1062184	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-06-09 20:56 . 2010-06-09 20:54	895256	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-06-09 20:56 . 2010-06-09 20:56	57715	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-06-09 20:56 . 2010-06-09 20:56	53600	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-06-09 20:54 . 2010-06-09 20:54	54073	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-06-09 20:54 . 2010-06-10 12:35	--------	d-----w-	c:\programme\DivX
2010-06-09 20:54 . 2010-06-10 12:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-06-09 12:29 . 2010-06-09 12:29	46592	---ha-w-	c:\windows\system32\contdsvr.dll
2010-06-09 10:25 . 2010-06-10 12:35	--------	d-s---w-	c:\dokumente und einstellungen\NetworkService\UserData
2010-06-09 10:11 . 2010-06-09 10:11	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-06-07 16:02 . 2010-06-07 16:02	--------	d-----w-	c:\programme\MSECache
2010-05-31 12:18 . 2010-05-31 12:18	--------	d-----w-	c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\EPSON
2010-05-31 12:14 . 2008-04-13 22:15	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-05-31 12:14 . 2008-04-13 22:15	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-05-31 12:12 . 2009-04-30 22:00	15872	----a-w-	c:\windows\system32\escdev.dll
2010-05-31 12:12 . 2009-04-30 22:00	128392	----a-w-	c:\windows\system32\esdevapp.exe
2010-05-31 12:12 . 2008-11-16 22:00	342016	----a-w-	c:\windows\system32\eswiaud.dll
2010-05-31 12:11 . 2010-05-31 12:11	--------	d-----w-	c:\programme\epson
2010-05-31 12:11 . 2010-05-31 12:11	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-05-31 12:10 . 2010-05-31 12:11	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-05-31 12:08 . 2010-05-31 12:08	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-05-31 12:08 . 2010-05-31 12:08	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-05-31 12:05 . 2008-11-13 06:05	296448	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPSON SX210 Series\Language\0407.E_DIX0RE.DLL
2010-05-31 12:00 . 2008-12-15 23:05	43008	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPSON SX210 Series\Language\0407.E_HBE0D7.DLL
2010-05-31 11:19 . 2008-11-06 01:02	7680	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPSON SX210 Series\Language\0407.E_DUPA3E.DLL
2010-05-31 11:18 . 2008-12-16 04:05	58880	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPSON SX210 Series\Language\0407.E_SBE0D7.DLL
2010-05-31 11:18 . 2008-11-13 06:05	213504	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPSON SX210 Series\Language\0407.E_DI0FAE.DLL
2010-05-31 11:18 . 2007-12-17 02:00	143872	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40ST7.EXE
2010-05-31 11:18 . 2007-01-11 02:02	113664	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
2010-05-31 11:17 . 2007-04-09 23:06	8192	----a-w-	c:\windows\system32\E_DCINST.DLL
2010-05-31 11:17 . 2007-12-07 00:01	78848	----a-w-	c:\windows\system32\E_FD4BFDE.DLL
2010-05-31 11:17 . 2008-08-08 00:09	86528	----a-w-	c:\windows\system32\E_FLBFDE.DLL
2010-05-31 11:17 . 2010-05-31 11:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON
2010-05-26 20:24 . 2010-05-26 20:24	--------	d-----w-	c:\programme\Amazon

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-10 22:11 . 2009-08-01 12:29	16608	----a-w-	c:\windows\gdrv.sys
2010-06-10 22:10 . 2009-08-08 19:38	478168	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-06-10 22:07 . 2003-04-02 12:00	451980	----a-w-	c:\windows\system32\perfh007.dat
2010-06-10 22:07 . 2003-04-02 12:00	80920	----a-w-	c:\windows\system32\perfc007.dat
2010-06-10 21:51 . 2010-03-14 14:04	--------	d-----w-	c:\programme\CCleaner
2010-06-10 12:35 . 2010-01-16 19:34	--------	d-----w-	c:\programme\TeamSpeak 3 Client
2010-06-10 12:35 . 2009-08-01 13:02	--------	d-----w-	c:\programme\World of Warcraft
2010-06-10 12:35 . 2010-01-16 19:34	--------	d-----w-	c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\TS3Client
2010-06-09 20:57 . 2010-06-09 20:55	--------	d-----w-	c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\DivX
2010-03-28 09:54 . 2009-08-06 11:28	196608	----a-w-	c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\Acreon\WowMatrix\Libraries\wmweb.dll
2010-03-28 09:54 . 2009-08-06 11:28	258048	----a-w-	c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\Acreon\WowMatrix\Libraries\wmzip.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GAINWARD"="c:\programme\EXPERTool\TBPanel.exe" [2009-05-12 2181672]
"RGSC"="c:\programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe" [2009-08-01 306088]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"="MSIEXEC" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-01-13 18084864]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-11-30 149280]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Hama Wireless LAN Utility.lnk - c:\programme\Hama\Common\RaUI.exe [2009-9-9 610304]
MSI US54SE II Wireless Client Utility.lnk - c:\programme\MSI\US54SE II\Installer\WINXP\MCU.exe [2009-8-1 593920]
REALTEK RTL8187B Wireless LAN Utility.lnk - c:\programme\Realtek\RTL8187B Wireless LAN Utility\RtWLan.exe [2009-9-3 815104]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
ntsdedit	REG_SZ         	c:\windows\system32\contll32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"=
"c:\\Programme\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"c:\\Programme\\EA GAMES\\MOHAA\\MOHAA.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=
"c:\\Programme\\Electronic Arts\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\Ventrilo\\Ventrilo.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.03.2010 17:01 108289]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [03.09.2009 19:52 38144]
R2 ES lite Service;ES lite Service for program management.;c:\programme\Gigabyte\EasySaver\essvr.exe [01.08.2009 14:30 68136]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [08.01.2010 20:46 222456]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [12.03.2010 18:18 100480]
S3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\rtl8187B.sys [03.09.2009 19:53 270720]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24.09.2009 13:54 722416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uDefault_Search_URL = hxxp://search.qip.ru
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
FF - ProfilePath - c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\Mozilla\Firefox\Profiles\o608tas7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.search.selectedengine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-{7AA60444-EC29-428A-B52C-E1B1A70F2132} - c:\dokumente und einstellungen\Legendkiller\Anwendungsdaten\Sixueg\acxe.exe
HKCU-Run-Gsidagedeyox - c:\windows\esfcolSE.dll
MSConfigStartUp-NvCplDaemon - c:\windows\System32\NvCpl.dll
MSConfigStartUp-NvMediaCenter - c:\windows\System32\NvMcTray.dll
AddRemove-Warcraft III - c:\windows\War3Unin.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-11 00:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-343818398-1417001333-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2d,a5,23,8b,e6,4f,e7,83,2f,8c,46,cc,1d,4d,ce,44,fa,66,58,67,40,a3,59,
   76,27,d4,4b,53,83,6f,30,3d,17,9b,1c,28,ee,4b,e7,c4,f3,d6,8c,db,61,a3,96,ad,\
"??"=hex:2f,b6,6f,45,ee,e2,ec,0a,29,d5,69,d3,55,fd,2c,18

[HKEY_USERS\S-1-5-21-343818398-1417001333-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:8d,c1,72,52,61,d5,a3,e2,5c,8a,40,8b,89,f5,09,6a,a7,f1,46,7a,95,
   05,82,74,37,73,25,fd,9d,1c,a0,91,04,ec,14,96,55,9c,bb,35,ae,13,7e,5e,4a,c0,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\:ôwjY*]
"DisplayName"="???\16?\11\09"
"DeviceDesc"="???\16?\11\09"
"ProviderName"="???\11?\17?\11??"
"MFG"="???????"
"ReinstallString"=".10.1000.8"
"DeviceInstanceIds"=multi:"d:\\chipset\\7-ser\\xp\\sbdrv\\smbus\\smbusati.inf\00"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(456)
c:\windows\system32\contll32.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-11  00:17:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-06-10 22:17

Vor Suchlauf: 7 Verzeichnis(se), 425.724.723.200 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 425.660.268.544 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 2B4EE6793DE0725FE8B019F638AFC37A
         
--- --- ---

Alt 11.06.2010, 09:41   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
registry values to delete:
HKLM\system\currentcontrolset\control\session manager\appcertdlls | ntsdedit

files to delete:
c:\windows\system32\contll32.dll
c:\windows\system32\contdsvr.dll
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.06.2010, 10:09   #13
Belias
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Guten Morgen, wieder alles gemacht wie beschrieben.

Hier der Link: hxxp://www.file-upload.net/download-2590515/backup.zip.html

Und hier der Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry value "HKLM\system\currentcontrolset\control\session manager\appcertdlls|ntsdedit" deleted successfully.
File "c:\windows\system32\contll32.dll" deleted successfully.
File "c:\windows\system32\contdsvr.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 11.06.2010, 11:07   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Ok, hab die Dateien, danke.

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.06.2010, 14:27   #15
Belias
 
Internet Explorer öffnet sich von selbst - Standard

Internet Explorer öffnet sich von selbst



Hier die Logs.

GMER:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-06-16 14:16:15
Windows 5.1.2600 Service Pack 3
Running: uu0zmkvt.exe; Driver: C:\DOKUME~1\LEGEND~1\LOKALE~1\Temp\fwldqpoc.sys


---- System - GMER 1.0.15 ----

SSDT   B86E9316                                                                                              ZwCreateKey
SSDT   B86E930C                                                                                              ZwCreateThread
SSDT   B86E931B                                                                                              ZwDeleteKey
SSDT   B86E9325                                                                                              ZwDeleteValueKey
SSDT   B86E932A                                                                                              ZwLoadKey
SSDT   B86E92F8                                                                                              ZwOpenProcess
SSDT   B86E92FD                                                                                              ZwOpenThread
SSDT   B86E9334                                                                                              ZwReplaceKey
SSDT   B86E932F                                                                                              ZwRestoreKey
SSDT   B86E9320                                                                                              ZwSetValueKey
SSDT   B86E9307                                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\System32\DRIVERS\nv4_mini.sys                                                              section is writeable [0xB361C360, 0x3CEED5, 0xE8000020]
.text  C:\WINDOWS\system32\DRIVERS\ithsgt.sys                                                                section is writeable [0xB0111300, 0x21770, 0xE8000020]

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                      
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                   1
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                0x1E 0x34 0xF0 0x4C ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                      
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                   0x38 0x0F 0x98 0x02 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                   0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                0x36 0x49 0xF0 0x6E ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)  
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                       1
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                    0x1E 0x34 0xF0 0x4C ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)  
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                       0x38 0x0F 0x98 0x02 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                       0
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                    0x36 0x49 0xF0 0x6E ...

---- EOF - GMER 1.0.15 ----
         
--- --- ---


OSAM:

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:26:17 on 16.06.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.3

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ddbaccpl.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddbaccpl.cpl
"ddbacctm.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddbacctm.cpl
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"PhysX.cpl" - ? - C:\WINDOWS\system32\PhysX.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\MLCFG32.CPL

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v3.4.5.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"gdrv" (gdrv) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\gdrv.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"ithsgt" (ithsgt) - ? - C:\WINDOWS\System32\DRIVERS\ithsgt.sys  (File found, but it contains no detailed information)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"lilsgt" (lilsgt) - ? - C:\WINDOWS\System32\DRIVERS\lilsgt.sys  (File found, but it contains no detailed information)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Realtek EAPPkt Protocol" (EAPPkt) - "Realtek" - C:\WINDOWS\System32\DRIVERS\EAPPkt.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"TBPanel" (TBPanel) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPanel.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{0107B611-5FC7-11D5-B092-00C026283F7F} "Büro Plus SendenAn Erweiterung" - ? -   (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - ? -   (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - ? -   (File not found | COM-object registry key not found)
{FBF23B40-E3F0-101B-8488-00AA003E56F8} "Internetverknüpfung" - ? - C:\WINDOWS\system32\ieframe.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "NvCpl DesktopContext Class" - ? -   (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - ? -   (File not found | COM-object registry key not found)
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\OLKFSTUB.DLL
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "Play on my TV helper" - ? -   (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"QIP 2005" - "The Author of QIP" - C:\Programme\QIP\qip.exe
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} "DeviceVM Url Search Hook" - "DeviceVM Inc." - C:\WINDOWS\system32\dvmurl.dll
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10c.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Hama Wireless LAN Utility.lnk" - "Hama GmbH & Co KG" - C:\Programme\Hama\Common\RaUI.exe  (Shortcut exists | File exists)
"MSI US54SE II Wireless Client Utility.lnk" - "MSI Technology GmbH" - C:\Programme\MSI\US54SE II\Installer\WINXP\MCU.exe  (Shortcut exists | File exists)
"REALTEK RTL8187B Wireless LAN Utility.lnk" - "Realtek Semiconductor Corp." - C:\Programme\Realtek\RTL8187B Wireless LAN Utility\RtWLan.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Legendkiller\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"EPSON SX210 Series" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFDE.EXE /FU "C:\DOKUME~1\LEGEND~1\LOKALE~1\Temp\E_S1E.tmp" /EF "HKCU"
"GAINWARD" - "Gainward Co." - C:\Programme\EXPERTool\TBPanel.exe /A
"RGSC" - "Take-Two Interactive Software, Inc." - C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"DivXUpdate" - ? - "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"EPSON SX210 Series 32MonitorBE" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\E_FLBFDE.DLL

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"ES lite Service for program management." (ES lite Service) - ? - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE  (File found, but it contains no detailed information)
"getPlus(R) Helper" (getPlusHelper) - "NOS Microsystems Ltd." - C:\Programme\NOS\bin\getPlus_Helper.dll
"ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Antwort

Themen zu Internet Explorer öffnet sich von selbst
adobe, antivir, antivir guard, avira, browseui preloader, desktop, einstellungen, explorer, firefox, gainward, hijack, hkus\s-1-5-18, installation, internet, internet explorer, malware, mozilla, mp3, msiexec, problem, realtek, rundll, software, system, temp, von selbst, werbung, windows, windows xp, wireless lan, öffnet



Ähnliche Themen: Internet Explorer öffnet sich von selbst


  1. Internet Explorer öffnet sich von selbst
    Plagegeister aller Art und deren Bekämpfung - 24.06.2015 (11)
  2. Internet explorer öffnet sich von selbst
    Log-Analyse und Auswertung - 14.07.2013 (1)
  3. Internet Explorer öffnet sich von selbst
    Plagegeister aller Art und deren Bekämpfung - 18.02.2011 (1)
  4. Internet explorer öffnet sich von selbst
    Plagegeister aller Art und deren Bekämpfung - 14.01.2011 (3)
  5. Internet Explorer öffnet sich selbst
    Plagegeister aller Art und deren Bekämpfung - 23.08.2010 (8)
  6. Internet Explorer öffnet sich von selbst :(
    Plagegeister aller Art und deren Bekämpfung - 06.07.2010 (7)
  7. Internet Explorer öffnet sich von selbst!
    Log-Analyse und Auswertung - 27.05.2010 (11)
  8. Internet explorer öffnet sich von selbst
    Plagegeister aller Art und deren Bekämpfung - 01.05.2010 (3)
  9. Internet Explorer öffnet sich von selbst
    Log-Analyse und Auswertung - 26.04.2010 (5)
  10. Internet Explorer öffnet sich von selbst
    Plagegeister aller Art und deren Bekämpfung - 09.04.2010 (12)
  11. Internet Explorer öffnet sich von selbst!
    Plagegeister aller Art und deren Bekämpfung - 26.03.2010 (3)
  12. Internet Explorer öffnet sich von selbst
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (2)
  13. Internet Explorer öffnet sich von selbst
    Log-Analyse und Auswertung - 13.01.2010 (1)
  14. Internet Explorer öffnet sich von selbst
    Log-Analyse und Auswertung - 01.07.2009 (2)
  15. Internet Explorer öffnet sich von selbst!!
    Log-Analyse und Auswertung - 29.12.2008 (1)
  16. Internet Explorer öffnet sich von selbst !
    Log-Analyse und Auswertung - 12.06.2006 (1)
  17. Internet-Explorer-öffnet-sich-selbst
    Log-Analyse und Auswertung - 06.02.2006 (2)

Zum Thema Internet Explorer öffnet sich von selbst - Hallo, ich habe seit gestern das Problem, dass sich in regelmäßigen Abständen Fenster vom IE selbstständig öffnen und dort irgendwelche Werbung angezeigt wird. Nun habe ich mal Antivir drüber laufen - Internet Explorer öffnet sich von selbst...
Archiv
Du betrachtest: Internet Explorer öffnet sich von selbst auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.