|
Plagegeister aller Art und deren Bekämpfung: Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox abWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.07.2010, 18:21 | #1 |
| Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab Hey habe seit gestern das Problem, dass google sporadisch an falsche Adressen weiter leitet, dort wird dann eine "Fake" windows security Warnung ausgegeben, manchmal wird auch versucht über Java etwas zu updaten. Habe nun HJT und Mbam drüber laufen lassen. HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 19:12:57, on 13.07.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17055) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\TrueImageHome\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Rainlendar2\Rainlendar2.exe C:\Programme\Spb Backup\SpbBackupSync.exe C:\PROGRA~1\MICROS~1\rapimgr.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\GameTracker\GSInGameService.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Media Player\wmplayer.exe C:\WINDOWS\system32\divxsm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Dokumente und Einstellunne Dagen\###\Eigeteien\001 - New Downloads\HiJackThis204(2).exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1715567821-1547161642-1801674531-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres') O4 - HKUS\S-1-5-21-1715567821-1547161642-1801674531-1004\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'postgres') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: Spb Backup Sync.lnk = C:\Programme\Spb Backup\SpbBackupSync.exe O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~1\INetRepl.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control Class) - hxxp://www.vexcast.com/download/vexcast.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: GS In-Game Service - ClanServers Hosting LLC - C:\Programme\GameTracker\GSInGameService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PostgreSQL Database Server 8.2 (pgsql-8.2) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.2\bin\pg_ctl.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 8951 bytes Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4052 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 13.07.2010 19:14:19 mbam-log-2010-07-13 (19-14-19).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 120849 Laufzeit: 4 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Vielleicht könnt ihr mir ja dabei helfen. Danke im vorraus. |
13.07.2010, 20:04 | #2 |
| Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab Kurzer Nachtrag, die userinit.exe kommt jedes Mal neu, wenn ich Mbam laufen lasse, lässt sich also anscheinend nicht löschen.
__________________Danke |
13.07.2010, 20:19 | #3 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox abZitat:
__________________ |
13.07.2010, 21:35 | #4 |
| Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab Asche auf mein Haupt Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4309 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 13.07.2010 22:34:54 mbam-log-2010-07-13 (22-34-54).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 253425 Laufzeit: 56 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
13.07.2010, 22:14 | #5 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox abZitat:
Lies einfach mal hier, ich denke dann sollte es etwas klarer werden: personal firewalls ? Wiki ? ubuntuusers.de NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de microsoft.public.de.security.heimanwender FAQ Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar? mach nach der Deinstallations von Sygate bitte Logs mit OTL und poste sie: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten |
14.07.2010, 00:11 | #6 |
| Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab Ok Danke erstmal für die schnelle Antwort und die sachliche Kritik, jetzt wollte ich die files hier posten, aber jedes Mal wird die Verbindung zum Server unterbrochen ? Geändert von leckoe (14.07.2010 um 00:40 Uhr) |
14.07.2010, 00:34 | #7 |
| Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab Noch ein Versuch: Mehr bekomme ich rein, kann jemand einem helfen, der aufm Schlauch steht ? Code:
ATTFilter OTL Extras logfile created on: 14.07.2010 00:39:45 - Run 1 OTL by OldTimer - Version 3.2.9.0 Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 80,00% Memory free 5,00 Gb Paging File | 4,00 Gb Available in Paging File | 88,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 916,86 Gb Total Space | 775,69 Gb Free Space | 84,60% Space Free | Partition Type: NTFS Drive D: | 465,75 Gb Total Space | 30,10 Gb Free Space | 6,46% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Drive R: | 31,86 Mb Total Space | 31,86 Mb Free Space | 100,00% Space Free | Partition Type: FAT Computer Name: ***-17D682D87 Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [SCHLECKER Foto Digital Service] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service.exe" "%1" () Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft) Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft) Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "5353:TCP" = 5353:TCP:*:Enabled:Adobe CSI CS4 "26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- File not found "C:\Programme\Anno 1701\Anno1701.exe" = C:\Programme\Anno 1701\Anno1701.exe:*:Disabled:Anno 1701 -- (Related Designs Software GmbH) "C:\Programme\Zoo Tycoon 2\zt.exe" = C:\Programme\Zoo Tycoon 2\zt.exe:*:Enabled:Zoo Tycoon 2 Executable -- (Microsoft Corporation) "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" = C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4 -- (Adobe Systems Incorporated) "C:\Programme\TeamViewer\Version4\TeamViewer.exe" = C:\Programme\TeamViewer\Version4\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application -- (TeamViewer GmbH) "C:\Dokumente und Einstellungen\***\Eigene Dateien\TeamSpeak-Spam\Spamer.exe" = C:\Dokumente und Einstellungen\***\Eigene Dateien\TeamSpeak-Spam\Spamer.exe:*:Enabled:Spamer -- () "C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation) "C:\Programme\ANNO 1404\tools\Anno4Web.exe" = C:\Programme\ANNO 1404\tools\Anno4Web.exe:*:Disabled:Anno4Web -- () "C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.) "C:\Programme\PointPoker\jre\bin\javaw.exe" = C:\Programme\PointPoker\jre\bin\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary -- (Sun Microsystems, Inc.) "C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard) "C:\Programme\SopCast\SopCast.exe" = C:\Programme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application -- (www.sopcast.com) "C:\Programme\SopCast\adv\SopAdver.exe" = C:\Programme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver -- (www.sopcast.com) "C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation) "C:\Programme\Worms 4 Mayhem\WORMS 4 MAYHEM.EXE" = C:\Programme\Worms 4 Mayhem\WORMS 4 MAYHEM.EXE:*:Enabled:Worms 4 Mayhem -- File not found "C:\Programme\Worms World Party\wwp.exe" = C:\Programme\Worms World Party\wwp.exe:*:Enabled:Worms World Party -- File not found "C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\001 - usenext\wizard\Worms World Party By Gervino (PC)\Worms World Party.exe" = C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\001 - usenext\wizard\Worms World Party By Gervino (PC)\Worms World Party.exe:*:Enabled:Worms World Party -- File not found "C:\Programme\Worms World Party\wwp_game.exe" = C:\Programme\Worms World Party\wwp_game.exe:*:Enabled:Worms World Party -- File not found "C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\OpenLieroX_0.57_rc1.win32\OpenLieroX\OpenLieroX.exe" = C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\OpenLieroX_0.57_rc1.win32\OpenLieroX\OpenLieroX.exe:*:Enabled:OpenLieroX -- File not found "C:\Programme\Valve\hlds.exe" = C:\Programme\Valve\hlds.exe:*:Enabled:HLDS Launcher -- (Valve) "C:\Programme\Valve\hl.exe" = C:\Programme\Valve\hl.exe:*:Enabled:Half-Life Launcher -- (Valve) "C:\Programme\TeamViewer\Version5\TeamViewer.exe" = C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH) "C:\Programme\TVUPlayer\TVUPlayer.exe" = C:\Programme\TVUPlayer\TVUPlayer.exe:*:Enabled:TVUPlayer Component -- File not found "C:\Programme\Football Manager 2010\fm.exe" = C:\Programme\Football Manager 2010\fm.exe:*:Enabled:Football Manager 2010 -- (Sports Interactive) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404 "{05308C4E-7285-4066-BAE3-6B50DA6ED755}" = Adobe Update Manager CS4 "{098727E1-775A-4450-B573-3F441F1CA243}" = kuler "{098A2A49-7CF3-4F08-A38D-FB879117152A}" = Adobe Color NA Extra Settings CS4 "{0D6013AB-A0C7-41DC-973C-E93129C9A29F}" = Adobe Color JA Extra Settings CS4 "{0D67A4E4-5BE0-4C9A-8AD8-AB552B433F23}" = Adobe Setup "{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1}" = Adobe Color EU Recommended Settings CS4 "{0F723FC1-7606-4867-866C-CE80AD292DAF}" = Adobe CSI CS4 "{0F7C2E47-089E-4d23-B9F7-39BE00100776}" = Toolbox "{132C89C5-3B67-48A9-BFF4-B530B044522D}" = Multi Teamspeak 2.33.77 "{1618734A-3957-4ADD-8199-F973763109A8}" = Adobe Anchor Service CS4 "{16E6D2C1-7C90-4309-8EC4-D2212690AAA4}" = AdobeColorCommonSetRGB "{1B14B0C3-2D60-477C-A1FE-B88E60948854}" = OpenOffice.org 2.4 "{1C4551A6-4743-4093-91E4-1477CD655043}" = NVIDIA PhysX "{1C52A42B-32D4-49E6-994B-8373E4718049}" = O&O MediaRecovery "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{1F701DBD-1660-4108-B10A-FB435EA63BF0}" = PostgreSQL 8.2 "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 20 "{294EF51E-1453-4F42-8792-77DBFB47D0EC}" = Crazy Machines - Neue Herausforderungen "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{35D94F92-1D3A-43C5-8605-EA268B1A7BD9}" = PDF Settings CS4 "{37F6190F-8A86-4B19-86A3-5A59BEA62823}" = O&O UnErase "{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}" = Adobe XMP Panels CS4 "{3D2C9DE6-9ADE-4252-A241-E43723B0CE02}" = Adobe Color - Photoshop Specific CS4 "{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404 "{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF}" = Adobe WinSoft Linguistics Plugin "{42DE940E-8037-4266-9FBF-5A3AEDA39E96}" = Holdem Manager "{4761EB82-E8BD-45A4-B19B-586FA9D1D7E6}" = Camtasia Studio 6 "{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}" = Adobe Service Manager Extension "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{534802E0-761E-47F4-BD27-061BC8F976AE}" = O&O SafeErase "{63C24A08-70F3-4C8E-B9FB-9F21A903801D}" = Adobe Color Video Profiles CS CS4 "{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}" = Adobe Photoshop CS4 Support "{67ED38A3-4882-448B-B44D-3428AB00D7D5}" = Acronis*True*Image*Home "{68243FF8-83CA-466B-B2B8-9F99DA5479C4}" = AdobeColorCommonSetCMYK "{687FEF8A-8597-40b4-832C-297EA3F35817}" = BufferChm "{6D0C6BE4-F674-43D2-96BC-3509345108C9}_is1" = PokerStove version 1.23 "{702BF99A-95AE-4E67-A813-2D8BA7A020C2}" = TableNinjaFT "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{80533B67-C407-485D-8B5D-63BB8ED9D878}" = Scan "{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}" = Adobe Type Support CS4 "{83877DB1-8B77-45BC-AB43-2BAC22E093E0}" = Adobe Bridge CS4 "{842B4B72-9E8F-4962-B3C1-1C422A5C4434}" = Suite Shared Configuration CS4 "{8A85DEAD-7C1F-4368-881C-72AC74CB2E91}" = UnloadSupport "{907B4640-266B-4A21-92FB-CD1A86CD0F63}" = RollerCoaster Tycoon® 3 "{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU "{931AB7EA-3656-4BB7-864D-022B09E3DD67}" = Adobe Linguistics CS4 "{94D398EB-D2FD-4FD1-B8C4-592635E8A191}" = Adobe CMaps CS4 "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9ABFB92D-93DA-49EE-8ABF-F8195DE45CA9}" = Counter-Strike 1.6 "{A2433A63-5F5D-40E5-B529-9123C2B3E734}" = Anno 1701 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch "{B29AD377-CC12-490A-A480-1452337C618D}" = Connect "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494}" = Adobe Photoshop CS4 "{BB4E33EC-8181-4685-96F7-8554293DEC6A}" = Adobe Output Module "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C1A80F67-656F-4DF3-A6C4-DE18A47477C5}_is1" = ICQ Away Reader 1.4 "{C52E3EC1-048C-45E1-8D53-10B0C6509683}" = Adobe Default Language CS4 "{c6922d7f-c698-4d9e-9671-8b3de04d1511}" = DJ_AIO_03_F2200_Software_Min "{CC75AB5C-2110-4A7F-AF52-708680D22FE8}" = Photoshop Camera Raw "{CCB9B81A-167F-4832-B305-D2A0430840B3}" = WebReg "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1 "{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31}" = Full Tilt Poker "{D77D43B5-ED55-426b-B67B-E21F804F6102}" = HP Deskjet F2200 All-In-One Driver Software 10.0 Rel .3 "{db18dc72-cd20-4801-be82-f5d2caeec4d7}" = DJ_AIO_03_F2200_Software "{E4848436-0345-47E2-B648-8B522FCDA623}" = Adobe Photoshop CS4 "{EA926717-CE5A-4CB4-AB21-9E6E9565A458}" = RCT3 Soaked "{F0E64E2E-3A60-40D8-A55D-92F6831875DA}" = Adobe Search for Help "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}" = 32 Bit HP CIO Components Installer "{F8EF2B3F-C345-4F20-8FE4-791A20333CD5}" = Adobe ExtendScript Toolkit CS4 "{F93C84A6-0DC6-42AF-89FA-776F7C377353}" = Adobe PDF Library Files CS4 "{F93D7C85-D246-40CA-B4D7-5D7B9F73C7AF}_is1" = Sprengmeister 1.3.11 "{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}" = Adobe Fonts All "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 "Adobe_faf656ef605427ee2f42989c3ad31b8" = Adobe Photoshop CS4 "Ashampoo Burning Studio 9_is1" = Ashampoo Burning Studio 9.03 "Ask Toolbar_is1" = Ask Toolbar "Audacity_is1" = Audacity 1.2.6 "AutoHotkey" = AutoHotkey 1.0.48.03 "AV Voice Changer Software DIAMOND 6.0" = AV Voice Changer Software DIAMOND 6.0 "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "Betfred Poker" = Betfred Poker "Cardroom2" = Cardroom2 "CCleaner" = CCleaner "Cheat Engine 5.5_is1" = Cheat Engine 5.5 "EVEREST Home Edition_is1" = EVEREST Home Edition v2.20 "Football Manager 2010" = Football Manager 2010 "Free YouTube to Mp3 Converter_is1" = Free YouTube to Mp3 Converter version 3.2 "GameTracker Lite" = GameTracker Lite "ICQToolbar" = ICQ Toolbar "ImgBurn" = ImgBurn "Internet Scrabble Club_is1" = WordBiz version 1.8 "JPG to PDF Converter" = JPG to PDF Converter 1.0 "KeePass Password Safe_is1" = KeePass Password Safe 1.16 "KeyTweak" = KeyTweak - Keyboard Remapper (remove only) "KLiteCodecPack_is1" = K-Lite Codec Pack 3.8.5 Full "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "ManyCam" = ManyCam 2.4 (remove only) "Media Player - Codec Pack" = Media Player Codec Pack 3.8.0 "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.5.10)" = Mozilla Firefox (3.5.10) "Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24) "mp3splt-gtk" = mp3splt-gtk "NoLimits Coasters full" = Achterbahn-Simulator 2009 (entfernen) "NVIDIA Drivers" = NVIDIA Drivers "Ongame BetPot 1.23_is1" = Ongame BetPot 1.23 "Ongame BetPot 1.25_is1" = Ongame BetPot 1.25 "Ongame BetPot 1.29_is1" = Ongame BetPot 1.29 Geändert von leckoe (14.07.2010 um 00:53 Uhr) |
15.07.2010, 00:55 | #8 |
| Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox abCode:
ATTFilter "PartyPoker" = PartyPoker "Peter's Casino for Windows CE" = Peter's Casino for Windows CE "PokerStars" = PokerStars "Rainlendar2" = Rainlendar2 (remove only) "SCHLECKER Foto Digital Service" = SCHLECKER Foto Digital Service "ShockwaveFlash" = Adobe Flash Player 9 ActiveX "SopCast" = SopCast 3.2.4 "Spb Backup" = Spb Backup "Spb Backup_is1" = Spb Backup 2.0 "Spb Mobile Shell" = Spb Mobile Shell "Spb Time" = Spb Time "SpeedFan" = SpeedFan (remove only) "SPEEDO Aquabeat Playlist EditorV1.28" = SPEEDO Aquabeat Playlist Editor "Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2 "TeamSpeak 3 Client" = TeamSpeak 3 Client "TeamViewer 4" = TeamViewer 4 "TeamViewer 5" = TeamViewer 5 "The Wonderful Icon" = The Wonderful Icon "Tower Gaming_is1" = Tower Gaming "Tropico3" = Tropico 3 1.00 "TrueCrypt" = TrueCrypt "Uninstall_is1" = Uninstall 1.0.0.1 "UseNeXT_is1" = UseNeXT "VLC media player" = VLC media player 1.0.3 "Winamp" = Winamp "WinRAR archiver" = WinRAR "WUV30" = Windows Update Agent 3.0 "Yahoo! Widget Engine" = Yahoo! Widgets "YInstHelper" = Yahoo! Install Manager "Zoo Tycoon 2" = Zoo Tycoon 2 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Move Media Player" = Move Media Player "Poker Evolution Equilab" = Poker Evolution Equilab "SpadeEye" = SpadeEye "uTorrent" = µTorrent ========== Last 10 Event Log Errors ========== Code:
ATTFilter TL logfile created on: 14.07.2010 00:39:45 - Run 1 OTL by OldTimer - Version 3.2.9.0 Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 80,00% Memory free 5,00 Gb Paging File | 4,00 Gb Available in Paging File | 88,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 916,86 Gb Total Space | 775,69 Gb Free Space | 84,60% Space Free | Partition Type: NTFS Drive D: | 465,75 Gb Total Space | 30,10 Gb Free Space | 6,46% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Drive R: | 31,86 Mb Total Space | 31,86 Mb Free Space | 100,00% Space Free | Partition Type: FAT Computer Name: ***-17D682D87 Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe () PRC - C:\Programme\GameTracker\GSInGameService.exe (ClanServers Hosting LLC) PRC - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe (Acronis) PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis) PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis) PRC - C:\Programme\TrueImageHome\TrueImageMonitor.exe (Acronis) PRC - C:\Programme\Rainlendar2\Rainlendar2.exe () PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) PRC - C:\Programme\PostgreSQL\8.2\bin\postgres.exe (PostgreSQL Global Development Group) PRC - C:\Programme\PostgreSQL\8.2\bin\pg_ctl.exe (PostgreSQL Global Development Group) PRC - C:\Programme\Spb Backup\SpbBackupSync.exe () PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe () SRV - (GS In-Game Service) -- C:\Programme\GameTracker\GSInGameService.exe (ClanServers Hosting LLC) SRV - (afcdpsrv) -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe (Acronis) SRV - (AcrSch2Svc) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis) SRV - (vvdsvc) -- C:\WINDOWS\system32\nagasoft\vjocx.dll (NanJing Nagasoft Co, LTD.) SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.) SRV - (ASKUpgrade) -- C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe () SRV - (pgsql-8.2) -- C:\Programme\PostgreSQL\8.2\bin\pg_ctl.exe (PostgreSQL Global Development Group) ========== Driver Services (SafeList) ========== DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\System32\drivers\ALCXWDM.SYS File not found DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (afcdp) -- C:\WINDOWS\system32\drivers\afcdp.sys (Acronis) DRV - (tdrpman258) Acronis Try&Decide and Restore Points filter (build 258) -- C:\WINDOWS\system32\DRIVERS\tdrpm258.sys (Acronis) DRV - (timounter) -- C:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis) DRV - (snapman) -- C:\WINDOWS\system32\DRIVERS\snapman.sys (Acronis) DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys () DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys () DRV - (truecrypt) -- C:\WINDOWS\system32\drivers\truecrypt.sys (TrueCrypt Foundation) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (Ambfilt) -- C:\WINDOWS\system32\drivers\Ambfilt.sys (Creative) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation) DRV - (ManyCam) -- C:\WINDOWS\system32\drivers\ManyCam.sys (ManyCam LLC.) DRV - (speedfan) -- C:\WINDOWS\system32\speedfan.sys (Windows (R) 2000 DDK provider) DRV - (Monfilt) -- C:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.) DRV - (RT61) Linksys Wireless-G PCI Adapter Driver(RT61) -- C:\WINDOWS\system32\drivers\rt61.sys (Ralink Technology Inc.) DRV - (RT2500) -- C:\WINDOWS\system32\drivers\RT2500.sys (Ralink Technology Inc.) DRV - (BCM42RLY) -- C:\WINDOWS\system32\bcm42rly.sys (Broadcom Corporation) DRV - (RRamdisk) -- C:\WINDOWS\system32\DRIVERS\rramdisk.sys (gavotte) DRV - (GTNDIS5) -- C:\WINDOWS\system32\GTNDIS5.sys (Printing Communications Assoc., Inc. (PCAUSA)) DRV - (giveio) -- C:\WINDOWS\system32\giveio.sys () Code:
ATTFilter ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu" FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.1 FF - prefs.js..extensions.enabledItems: autopager@mozilla.org:0.6.1.22 FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.3 FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.10 FF - prefs.js..extensions.enabledItems: dvscontextmenuy@dvdvideosoft.com:1.0 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - HKLM\software\mozilla\Mozilla Firefox 3.5.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.06.28 21:10:16 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.13 10:54:00 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.03.29 04:01:08 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.05.28 21:12:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2010.07.13 18:30:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions [2010.01.07 03:11:56 | 000,000,000 | ---D | M] (IE Tab) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9} [2010.02.19 03:08:51 | 000,000,000 | ---D | M] (Live HTTP Headers) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a} [2010.06.25 04:58:58 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2010.07.10 13:16:04 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.06.11 00:01:33 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8} [2010.07.09 01:40:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\autopager@mozilla.org [2010.07.12 03:25:52 | 000,000,958 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\searchplugins\icqplugin.xml [2010.07.13 18:11:56 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.07.13 10:54:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2007.03.10 01:16:44 | 000,189,496 | ---- | M] (Yahoo! Inc.) -- C:\Programme\Mozilla Firefox\plugins\npyaxmpb.dll [2009.06.30 21:54:11 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2009.06.30 21:54:11 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2009.06.30 21:54:11 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2009.09.10 20:02:41 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2009.06.30 21:54:11 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.05.30 23:36:17 | 000,000,853 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 activate.adobe.com O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com) O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis) O4 - HKLM..\Run: [AdobeCS4ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\TrueImageHome\TrueImageMonitor.exe (Acronis) O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) O4 - HKCU..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe () O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Spb Backup Sync.lnk = C:\Programme\Spb Backup\SpbBackupSync.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Neuer Schlüssel #1: = HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer O8 - Extra context menu item: Save YouTube Video as MP3 - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll (DVSTeam) O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe () O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe () O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Programme\Yahoo!\Common\Yinsthelper.dll (Installation Support) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} hxxp://www.vexcast.com/download/vexcast.cab (VodClient Control Class) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.0.43.17 217.0.43.49 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O27 - HKLM IFEO\userinit.exe: Debugger - monavideo.exe () O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.05.28 20:37:54 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.07.13 10:54:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun [2010.07.13 10:54:13 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2010.07.13 10:53:59 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.07.13 10:53:59 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.07.13 10:53:59 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.07.13 10:53:59 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.07.13 04:11:59 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [2010.07.11 08:33:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2010.07.11 05:07:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2010.07.11 04:38:26 | 000,000,000 | ---D | C] -- C:\Programme\SpeedFan [2010.07.11 04:07:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\cyelthure [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [16 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.07.14 00:38:19 | 001,042,248 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.07.14 00:38:19 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.07.14 00:38:19 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.07.14 00:38:19 | 000,080,104 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.07.14 00:38:19 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.07.14 00:35:00 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.07.14 00:34:02 | 000,229,488 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2010.07.14 00:33:56 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.07.14 00:33:55 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.07.14 00:32:52 | 011,272,192 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT [2010.07.14 00:32:52 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini [2010.07.14 00:29:02 | 000,002,241 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2010.07.13 17:57:29 | 000,193,536 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.13 04:13:12 | 000,008,274 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\1414561456.reg [2010.07.13 00:23:08 | 000,002,271 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HoldemManager.lnk [2010.07.11 04:38:26 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\SpeedFan.lnk [2010.07.11 04:38:26 | 000,000,045 | ---- | M] () -- C:\WINDOWS\System32\initdebug.nfo [2010.07.06 19:24:58 | 000,013,391 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\amt.odt [2010.06.22 04:22:30 | 000,011,008 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Tarif_änderung.odt [2010.06.21 23:47:11 | 000,000,156 | ---- | M] () -- C:\WINDOWS\Twunk001.MTX [2010.06.21 23:47:11 | 000,000,004 | ---- | M] () -- C:\WINDOWS\Twain001.Mtx [2010.06.15 09:02:18 | 000,000,379 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung mit 0001 - BIBI FOTOS.lnk [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [16 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.07.13 04:13:06 | 000,008,274 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\1414561456.reg [2010.07.11 04:38:26 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\SpeedFan.lnk [2010.07.11 04:38:24 | 000,000,045 | ---- | C] () -- C:\WINDOWS\System32\initdebug.nfo [2010.07.04 15:32:02 | 000,013,391 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\amt.odt [2010.06.22 04:21:06 | 000,011,008 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Tarif_änderung.odt [2010.05.14 00:46:59 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI [2010.02.21 06:54:27 | 001,970,176 | ---- | C] () -- C:\WINDOWS\System32\d3dx9.dll [2009.12.18 03:50:43 | 001,053,056 | ---- | C] () -- C:\WINDOWS\System32\drivers\CAMTHWDM.sys [2009.11.24 17:08:02 | 000,001,497 | ---- | C] () -- C:\WINDOWS\PartyGrabber.ini [2009.08.27 21:04:44 | 000,557,003 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll [2009.08.27 21:04:32 | 000,811,835 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll [2009.08.27 21:03:52 | 004,456,201 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll [2009.08.25 20:07:36 | 000,328,334 | ---- | C] () -- C:\WINDOWS\System32\ff_kernelDeint.dll [2009.08.25 19:38:04 | 000,425,040 | ---- | C] () -- C:\WINDOWS\System32\TomsMoComp_ff.dll [2009.08.25 18:56:56 | 000,829,781 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2009.08.25 18:37:02 | 000,146,098 | ---- | C] () -- C:\WINDOWS\System32\libmpeg2_ff.dll [2009.06.12 04:14:10 | 000,001,035 | ---- | C] () -- C:\WINDOWS\3dpokerbandit.INI [2009.06.12 04:12:33 | 000,000,004 | ---- | C] () -- C:\WINDOWS\wintov10.ini [2009.06.12 04:11:49 | 000,000,969 | ---- | C] () -- C:\WINDOWS\Poker_GF.INI [2009.06.02 19:15:44 | 000,113,152 | ---- | C] () -- C:\WINDOWS\System32\ff_unrar.dll [2009.06.02 19:15:18 | 000,146,944 | ---- | C] () -- C:\WINDOWS\System32\ff_tremor.dll [2009.06.02 19:15:04 | 000,183,296 | ---- | C] () -- C:\WINDOWS\System32\ff_samplerate.dll [2009.06.02 19:14:56 | 000,178,688 | ---- | C] () -- C:\WINDOWS\System32\ff_libmad.dll [2009.06.02 19:14:30 | 000,486,400 | ---- | C] () -- C:\WINDOWS\System32\ff_libfaad2.dll [2009.06.02 19:13:58 | 000,257,024 | ---- | C] () -- C:\WINDOWS\System32\ff_libdts.dll [2009.06.02 19:13:50 | 000,142,848 | ---- | C] () -- C:\WINDOWS\System32\ff_liba52.dll [2009.06.02 19:11:26 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll [2009.06.02 19:11:16 | 000,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2009.05.30 13:32:39 | 000,197,120 | ---- | C] () -- C:\WINDOWS\patchw32.dll [2009.05.29 18:02:09 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.INI [2009.05.29 15:51:49 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2009.05.29 15:51:49 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2009.05.29 15:33:10 | 000,721,904 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2009.05.29 03:47:31 | 000,164,352 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2009.05.29 02:53:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\HMHud.INI [2009.05.28 20:52:05 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\GTW32N50.dll [2009.05.28 20:33:58 | 000,394,752 | ---- | C] () -- C:\WINDOWS\System32\cygwinb19.dll [2009.05.01 00:31:06 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2009.05.01 00:31:06 | 001,507,328 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2009.05.01 00:31:06 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2009.05.01 00:31:06 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2009.01.11 00:17:32 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\ts.dll [2009.01.11 00:16:56 | 000,148,480 | ---- | C] () -- C:\WINDOWS\System32\mkx.dll [2009.01.11 00:16:50 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\avi.dll [2009.01.11 00:16:14 | 000,141,312 | ---- | C] () -- C:\WINDOWS\System32\mp4.dll [2009.01.11 00:15:54 | 000,120,832 | ---- | C] () -- C:\WINDOWS\System32\ogm.dll [2009.01.11 00:15:44 | 000,159,744 | ---- | C] () -- C:\WINDOWS\System32\mmfinfo.dll [2009.01.11 00:15:32 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\avss.dll [2009.01.11 00:15:28 | 000,246,784 | ---- | C] () -- C:\WINDOWS\System32\dxr.dll [2009.01.11 00:15:12 | 000,097,280 | ---- | C] () -- C:\WINDOWS\System32\avs.dll [2009.01.11 00:14:08 | 000,079,360 | ---- | C] () -- C:\WINDOWS\System32\mkzlib.dll [2009.01.11 00:14:06 | 000,023,552 | ---- | C] () -- C:\WINDOWS\System32\mkunicode.dll [2008.12.04 00:11:50 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest [2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll [2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll [2008.06.20 09:55:48 | 000,693,792 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll [2007.10.13 11:30:20 | 000,000,137 | ---- | C] () -- C:\WINDOWS\System32\Registration.ini [2007.07.10 19:10:12 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest [1996.04.03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys < End of report > |
15.07.2010, 09:12 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O27 - HKLM IFEO\userinit.exe: Debugger - monavideo.exe () :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
15.07.2010, 17:28 | #10 |
| Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab Nochmal danke für die schnelle Hilfe ! Code:
ATTFilter All processes killed ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\ deleted successfully. File monavideo.exe not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Homer ->Temp folder emptied: 2942077786 bytes ->Temporary Internet Files folder emptied: 24215334 bytes ->Java cache emptied: 1776745 bytes ->FireFox cache emptied: 38627724 bytes ->Flash cache emptied: 15551 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 6093288 bytes ->Flash cache emptied: 2004 bytes User: postgres ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2352202 bytes %systemroot%\System32 .tmp files removed: 17147783 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 6379438 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 2.898,00 mb OTL by OldTimer - Version 3.2.9.0 log created on 07152010_182330 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
15.07.2010, 18:28 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
15.07.2010, 19:19 | #12 |
| Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox abCode:
ATTFilter ComboFix 10-07-15.01 - Homer 15.07.2010 20:09:28.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3326.2937 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Homer\Desktop\cofi.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\11478.exe c:\windows\system32\15724.exe c:\windows\system32\18467.exe c:\windows\system32\19169.exe c:\windows\system32\26500.exe c:\windows\system32\6334.exe Infizierte Kopie von c:\windows\system32\drivers\imapi.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack :p wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2010-06-15 bis 2010-07-15 )))))))))))))))))))))))))))))) . 2010-07-15 16:23 . 2010-07-15 16:23 -------- d-----w- C:\_OTL 2010-07-13 08:54 . 2010-07-13 08:54 503808 ----a-w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\msvcp71.dll 2010-07-13 08:54 . 2010-07-13 08:54 499712 ----a-w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\jmc.dll 2010-07-13 08:54 . 2010-07-13 08:54 348160 ----a-w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\msvcr71.dll 2010-07-13 08:54 . 2010-07-13 08:54 61440 ----a-w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-594fe5bf-n\decora-sse.dll 2010-07-13 08:54 . 2010-07-13 08:54 12800 ----a-w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-594fe5bf-n\decora-d3d.dll 2010-07-13 08:54 . 2010-07-13 08:54 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-07-13 08:53 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll 2010-07-11 21:23 . 2010-07-11 21:23 335872 ----a-r- c:\dokumente und einstellungen\Homer\Anwendungsdaten\Microsoft\Installer\{37F6190F-8A86-4B19-86A3-5A59BEA62823}\oo_unerase_9C3BE5C3A3C646DABE40B79DE57BC3BB.exe 2010-07-11 21:23 . 2010-07-11 21:23 335872 ----a-r- c:\dokumente und einstellungen\Homer\Anwendungsdaten\Microsoft\Installer\{37F6190F-8A86-4B19-86A3-5A59BEA62823}\ARPPRODUCTICON.exe 2010-07-11 02:38 . 2010-07-12 22:25 -------- d-----w- c:\programme\SpeedFan 2010-07-11 02:07 . 2010-07-12 20:50 -------- d-----w- c:\dokumente und einstellungen\Homer\Lokale Einstellungen\Anwendungsdaten\cyelthure . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-07-15 18:13 . 2004-08-04 12:00 80104 ----a-w- c:\windows\system32\perfc007.dat 2010-07-15 18:13 . 2004-08-04 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat 2010-07-15 18:08 . 2010-01-15 03:48 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\GameTracker 2010-07-15 17:48 . 2009-09-13 00:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-07-15 03:31 . 2009-05-29 00:30 -------- d-----w- c:\programme\Mozilla Thunderbird 2010-07-15 02:48 . 2010-01-04 21:53 -------- d-----w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\vlc 2010-07-15 02:29 . 2009-12-02 04:54 -------- d-----w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\Skype 2010-07-14 07:30 . 2009-05-29 01:19 -------- d-----w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\UseNeXT 2010-07-13 17:09 . 2010-03-24 23:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-07-13 08:53 . 2009-11-30 22:39 -------- d-----w- c:\programme\Java 2010-07-11 21:23 . 2010-01-28 17:21 -------- d-----w- c:\programme\OO Software 2010-07-06 17:20 . 2009-05-29 00:14 1 ----a-w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2010-07-06 17:20 . 2009-05-29 00:14 -------- d-----w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\OpenOffice.org2 2010-07-05 15:25 . 2010-01-04 21:54 -------- d-----w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\dvdcss 2010-06-23 03:59 . 2009-05-28 23:58 -------- d-----w- c:\programme\TowerGaming 2010-06-16 17:33 . 2009-06-02 03:07 -------- d-----w- c:\programme\Full Tilt Poker 2010-06-10 22:02 . 2009-05-29 15:58 -------- d-----w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\Winamp 2010-06-03 17:07 . 2009-05-28 22:07 -------- d-----w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\teamspeak2 2010-05-27 16:49 . 2009-05-28 22:11 -------- d-----w- c:\dokumente und einstellungen\Homer\Anwendungsdaten\skypePM 2010-05-17 21:58 . 2009-05-28 23:36 -------- d-----w- c:\programme\Holdem Manager 2010-05-13 21:11 . 2010-05-13 21:11 16 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\qvjsge.dat 2010-05-13 18:58 . 2010-05-13 18:58 16 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qvjsge.dat 2010-05-04 17:14 . 2008-04-23 04:16 832512 ----a-w- c:\windows\system32\wininet.dll 2010-05-04 17:14 . 2008-06-20 07:57 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-05-04 17:14 . 2008-06-20 07:56 17408 ----a-w- c:\windows\system32\corpol.dll 2010-05-02 08:05 . 2008-04-14 05:23 1851392 ----a-w- c:\windows\system32\win32k.sys 2010-04-29 13:39 . 2010-03-24 23:23 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-29 13:39 . 2010-03-24 23:23 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-25 22:27 . 2009-05-28 20:44 19624 ----a-w- c:\dokumente und einstellungen\Homer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-04-20 05:29 . 2008-04-14 05:50 285696 ----a-w- c:\windows\system32\atmfd.dll . ------- Sigcheck ------- [-] 2008-06-20 . B4D6D344EACDA356D4AAAC7757955F0C . 407040 . . [5.1.2600.5582] . . c:\windows\system32\netlogon.dll [-] 2008-06-20 07:56 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088] "Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2009-08-22 5148672] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] "nwiz"="nwiz.exe" [2009-04-30 1657376] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272] "RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600] "AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] "TrueImageMonitor.exe"="c:\programme\TrueImageHome\TrueImageMonitor.exe" [2009-10-31 5140952] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2009-10-31 362032] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "nltide_3"="advpack.dll" [2010-05-04 124928] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Spb Backup Sync.lnk - c:\programme\Spb Backup\SpbBackupSync.exe [2009-9-2 389120] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe] "Debugger"=winzhpack.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2008-04-14 05:52 15360 ----a-w- c:\windows\system32\ctfmon.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Anno 1701\\Anno1701.exe"= "c:\\Programme\\Zoo Tycoon 2\\zt.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"= "c:\\Dokumente und Einstellungen\\Homer\\Eigene Dateien\\TeamSpeak-Spam\\Spamer.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\ANNO 1404\\tools\\Anno4Web.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\PointPoker\\jre\\bin\\javaw.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\SopCast\\SopCast.exe"= "c:\\Programme\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Valve\\hlds.exe"= "c:\\Programme\\Valve\\hl.exe"= "c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"= "c:\\Programme\\Football Manager 2010\\fm.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 RRamdisk;Ramdisk Driver;c:\windows\system32\drivers\rramdisk.sys [29.05.2009 02:55 10368] R0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\drivers\tdrpm258.sys [21.11.2009 01:42 911680] R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [21.11.2009 01:43 2480048] R2 GS In-Game Service;GS In-Game Service;c:\programme\GameTracker\GSInGameService.exe [15.01.2010 05:48 1643872] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [16.04.2010 19:26 246520] R2 pgsql-8.2;PostgreSQL Database Server 8.2;c:\programme\PostgreSQL\8.2\bin\pg_ctl.exe runservice -w -N "pgsql-8.2" -D "c:\programme\PostgreSQL\8.2\data\" --> c:\programme\PostgreSQL\8.2\bin\pg_ctl.exe runservice -w -N pgsql-8.2 [?] R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [21.11.2009 01:43 160288] R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14.01.2008 12:06 21632] S2 ASKUpgrade;ASKUpgrade;c:\programme\AskBarDis\bar\bin\ASKUpgrade.exe [22.07.2009 04:45 234888] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [28.05.2009 23:53 1684736] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.05.2009 15:33 721904] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 vvdsvc REG_MULTI_SZ vvdsvc . . ------- Zusätzlicher Suchlauf ------- . IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm FF - ProfilePath - c:\dokumente und einstellungen\Homer\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\ FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu FF - prefs.js: browser.startup.homepage - www.google.de FF - component: c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\FFContextMenuY\components\FFContextMenu.dll FF - plugin: c:\dokumente und einstellungen\Homer\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npyaxmpb.dll FF - plugin: c:\windows\system32\C2MP\npdivx32.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-07-15 20:15 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Cryptography\RNG*] "Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d, bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\ "Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d, bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\ "Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d, bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\ "Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d, bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\ "Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d, bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\ "Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d, bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\ "Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d, bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\ "Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d, bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\ [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System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eit der Fertigstellung: 2010-07-15 20:16:55 ComboFix-quarantined-files.txt 2010-07-15 18:16 Vor Suchlauf: 12 Verzeichnis(se), 834.401.988.608 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 834.400.751.616 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - E72FA7D040F56BE6FCCF06DCB853BE88 |
15.07.2010, 19:39 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Folder:: c:\dokumente und einstellungen\Homer\Lokale Einstellungen\Anwendungsdaten\cyelthure File:: c:\dokumente und einstellungen\LocalService\Anwendungsdaten\qvjsge.dat c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qvjsge.dat c:\windows\system32\winzhpack.exe Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe] "Debugger"=- 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
15.07.2010, 20:34 | #14 |
| Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab Hey, nachdem ich das gemacht habe, kam der reboot und der hintegrundbildschirm, ohne die ganzen Programme auf dem Desktop, nach ca. 1 Minute kommt dann der Startbildschirm für Benutzerkonten und wenn ich mich darüber anmelden will, kommt die Meldung: Einstellungen werden gespeichert, abmelden" und ich bin wieder auf dem Startbildschirm für Benutzerkonten. Also ich komme jetzt garnicht mehr an den Rechner dran. Kann ich da noch was machen ? |
15.07.2010, 21:05 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab Wahrscheinlich ein verbogener Registrywert... Hier ein Workaround über ne Live-CD, musst Du mit nem funktionieren Rechner erstellen. PE Builder (Bart's Preinstalled Environment (BartPE) und eine bootable live windows CD erstellen => Bart's Preinstalled Environment (BartPE) bootable live windows CD/DVD nach Fertigstellung der CD den Rechner von dieser booten. Sobald die Oberfläche da ist, auf den vertrauten Windows-Button (heisst aber "UBCD 4Win") links unten klicken und unter "Programs" -> "Registry Tools" -> dort den "Registry Editor PE v0.2b" aufrufen ! Zu diesem diesen Pfad navigieren: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows NT\CurrentVersion\Winlogon Unter Winlogon den Eintrag "Userinit" prüfen bzw. Pfad zur Userinit.exe ändern ! Der Eintrag--> Userinit hat normalerweise diesen Wert: "C:\WINDOWS\system32\userinit.exe," <-- ohne " (das Komma am Ende ist kein Schreibfehler) Falls es was anderes stehen hat, dann raus damit !
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab |
adobe, antivir, antivir guard, ask toolbar, avg, avira, bho, desktop, email, firefox, google, hijack, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, malwarebytes' anti-malware, mozilla, mp3, plug-in, problem, rundll, security, software, system, warnung, windows, windows security, windows xp |