|
Ungewollten Popups nach angeblicher Windows Warnug Hallo zusammen, ich habe immer noch Ärger mit sich dauernt öffnenden PoP Ups, trotz ausführlicher Reihnigunsmaßnahmen sowohl im Abgesicherten Modus als auch im Normalen Modus. Wie es dazu kam : vor ein paar Tagen bekam ich ein Warnmeldung auf den Desktop, die sich als Fake herrausstellte. Sie hat sich als Microsoft Warnmeldung getarnt und auf eine Spyware Bedrohung aufmerksam gemacht. Man sollte dann auf Spyware-Secure.c*m einen onlinescann machen. Das kam mir schon irgenwie merkwürdig vor und ich habe das Ganze dann abgebrochen, doch wie sich bei meinen Recherchen herrausstellte wohl ein Fehler. Nun zu den schon ergriffenen Maßnahmen: Mehr als ausführliche Reinigungen mit : Spybot Search and Destroy, Adaware SE, Ewido Security Suite, Regseeker und Clean Prog, sowie XP Clean, das ganze im abgesicherten Modus, bzw. im Clean Prog, Regseeker und XP Clean im normalen Modus. dabei habe ich dann schon, eine Prefix BHO und den TR/Dropper eleminiert, doch irgendwie schein das nicht zu reichen! :teufel2: Die Progies finden jedenfalls nichts mehr und die Cleaner sind auch schon hundert mal durchgelaufen und meine Weißheiten am Ende. Es öffnen sich immernoch Popups von den unterschiedlichsten Seiten in einem 2 Explorer Fenster, nach kurzer Zeit! (IE 7) Im Explorer habe ich schon unter Extras, Erweiter, Inhalt, Inhaltsratgeber Maßnahmen ergriffen, diese Seiten nicht mehr anzeigen zu lassen, doch es offnen sich immer noch mit vorliebe Seiten wie : h**p://em.pc-on-internet.com/?* und ein riesen Schwanz von Zeichen und Zahlen, die ich jetzt nicht alle aufschreiben wollte! zu guter letzt noch der Log File von Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:48:38, on 24.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ScanSoft\OmniPage15.0\Opware15.exe C:\WINDOWS\system32\CmWatch.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ScanSoft\OmniPage15.0\OpAgent.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\dokumente und einstellungen\m***** r\lokale einstellungen\anwendungsdaten\okwgg.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Corel\WordPerfect Office 2000\Register\Remind32.exe C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\Programme\Corel\WordPerfect Office 2000\programs\ccwin9.exe C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\System32\svchost.exe L:\Spywarekillen\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.welt.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - C:\PROGRA~1\LANGEN~1.0TE\Engine\mte\StdAlone\T1IE.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [Opware15] "C:\Programme\ScanSoft\OmniPage15.0\Opware15.exe" O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe" O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [OpAgent] "C:\Programme\ScanSoft\OmniPage15.0\OpAgent.exe" /agent O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [okwgg] c:\dokumente und einstellungen\m*****r\lokale einstellungen\anwendungsdaten\okwgg.exe okwgg O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Corel Registration.lnk = C:\Programme\Corel\WordPerfect Office 2000\Register\Remind32.exe O4 - Global Startup: CorelCENTRAL 9.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\ccwin9.exe O4 - Global Startup: CorelCENTRAL-Benachrichtigungsfunktionen.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 3.0) - res://C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /500 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CAE22C43-95EC-47AA-8BAF-1B06C2BCCFCA} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CAE22C43-95EC-47AA-8BAF-1B06C2BCCFCA} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207998990421 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 12980 bytes Wer kann mir hier helfen? Schon einmal Danke im vorraus mr28meli |
Kann mir jemad bitte helfen die Popups sind schon recht nervig! Oder reicht es den Explorer einfach nur neu zu installieren ? Danke Grüße mr28meli |
Hallo mr28meli und http://www.mysmilie.de/generator/ablage/156/257.png Dateien Online überprüfen lassen:
Code: C:\dokumente und einstellungen\m***** r\lokale einstellungen\anwendungsdaten\okwgg.exe
Malwarebytes' Anti-Malware
|
Hallo Sunny,recht vielen Dank für deine Antwort,ich habe nach der okwgg.exe gegoogelt und bin aber nicht wirklich fündig geworden, so habe ich mir gedacht, die Datei + die dazugehörigen .dat und .ini Dateien im Abgesicherten Modus zu löschen. Anschließend habe ich mit Regseeker, alles gelöscht, was er noch zu der Datei finden konnte und mit ClearProg dann den Müll raus gebracht. Wunderbar, nun ist wieder ruhiges Surfen angesagt. Danke für den Tipp mr28meli P.S. Die ganzen Anti Spyware- und Virensacanns sind auf dies Datei nicht aufmerksam geworden. Das muss schon echt ein überler Brocken gewesen sein! Nochmals Danke |
Ich brauche den Report von Malwarebytes und ein neues Hijacklog, zumal ich nicht denke das schon alles entfernt wurde. ;) außerdem: ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) |
Hmmm, ok werd ich dann gleich mal machen, allerdings habe ich MalewareBytes vor der entfernung nicht mehr durchlaufen lassen! ich werd jetzt gleich erst mal denLogfile von Hijackthis posten und dann den Combofix mal vertraut machen und die Schritte abarbeiten. Grüße |
So hier vorab noch der Logfile: Logfile of Trend Micro HijackThis v2.0.2 [edit] Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 Danke. :) Sunny [/edit] ------------------------------------ nun werd ich mich an den combofix begeben. |
ok, mach ich der combifix ist fertig! befor ich den logflie poste, brauchst du den von Hijack this noch mal ? sry ich hab da wohl einpaar zu machende Änderungen übsehen! Noch eine frage vorab, combofix hat nach dem scan, den Rechner wohl runter gefahren, bzw, alle Programme wieder gestartet, auch die Antivieren und Antispyware Progs, jetzt bekomme ich von Spyware S&D die Meldung: Hat festgestellt, das ein wichtiger Reg Eintrag geändert wurde Kategorie: System Startup userentry Änderung: Wertgelöscht Eintrag: okwgg Alte Datei: C:/Dokumente Einstellungen/ m*****r/lo.... (mehr sehe ich leider nicht ) und dann Erlauben oder Verweiger ? Ich hab da noch nichts gemacht ! und ewas später dann war der Logfile erst fertig von Combofix Grüße mr28meli |
So hier ist der Logfile von Combofix: ComboFix 08-07-26.1 - M*****R 2008-07-27 14:45:24.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.526 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\M***** R\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\M******R\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\FTPx.dll C:\WINDOWS\system32\MSBII.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-06-27 bis 2008-07-27 )))))))))))))))))))))))))))))) . 2008-07-27 14:25 . 2008-07-27 14:25 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-07-27 14:25 . 2008-07-27 14:25 <DIR> d-------- C:\WINDOWS\EHome 2008-07-27 14:25 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\000001_.tmp 2008-07-27 14:06 . 2008-07-27 14:06 <DIR> d-------- C:\Programme\CCleaner 2008-07-26 20:08 . 2008-07-26 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM 2008-07-24 19:18 . 2008-07-24 19:18 <DIR> d--hs---- C:\found.000 2008-07-24 13:33 . 2008-07-24 13:33 2,688 --a------ C:\WINDOWS\system32\settings.aaw 2008-07-24 13:33 . 2008-07-24 13:33 752 --a------ C:\WINDOWS\system32\history.aaw 2008-07-24 13:26 . 2008-07-24 13:26 <DIR> d-------- C:\Programme\ClearProg 2008-07-24 13:11 . 2008-07-24 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\M******R\Anwendungsdaten\Grisoft 2008-07-24 13:11 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-07-24 13:10 . 2008-07-24 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-07-24 13:07 . 2008-07-24 13:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-07-23 18:52 . 2008-07-25 19:03 <DIR> d-------- C:\Programme\XPcleanv5 2008-07-23 18:43 . 2008-07-23 18:43 <DIR> d-------- C:\Programme\Camtech 2008-07-23 18:43 . 2001-09-03 07:52 766 --a------ C:\WINDOWS\win98Logo.ico 2008-07-23 18:18 . 2008-07-23 18:31 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-07-22 12:58 . 2008-07-22 12:58 61,678 --a------ C:\WINDOWS\PFP90JPR.{PB 2008-07-22 12:58 . 2008-07-22 12:58 12,358 --a------ C:\WINDOWS\PFP90JCM.{PB 2008-07-17 13:58 . 2008-07-17 13:58 0 --a------ C:\WINDOWS\qpw.INI 2008-07-16 19:48 . 2008-07-16 19:48 <DIR> d-------- C:\Programme\Langenscheidt T1 5.0 Testversion 2008-07-16 19:26 . 2008-07-25 18:46 52 --a------ C:\WINDOWS\system32\mapisvc.inf 2008-07-16 19:25 . 2008-07-16 19:25 <DIR> d-------- C:\Programme\Borland 2008-07-16 18:42 . 2008-07-16 18:42 <DIR> d-------- C:\Programme\WordToys 2008-07-16 18:42 . 2003-04-23 14:03 159,744 --a------ C:\WINDOWS\system32\CNewMenu6.dll 2008-07-16 18:42 . 2002-05-20 13:22 5,184 --a------ C:\WINDOWS\system32\ShLink.tlb 2008-07-16 18:20 . 2008-07-16 18:20 <DIR> d-------- C:\Programme\Periodensystem der Elemente 2008-07-16 18:19 . 2008-07-16 18:19 <DIR> d-------- C:\Programme\Paragon 2008-07-11 21:33 . 2008-07-11 21:33 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-07-11 21:33 . 2008-07-11 21:33 1,409 --a------ C:\WINDOWS\QTFont.for 2008-07-11 15:49 . 2008-07-11 15:49 <DIR> d-------- C:\Programme\ShiftN 2008-07-08 22:50 . 2008-07-08 22:50 <DIR> d-------- C:\WINDOWS\$SQLUninstallSQL2000-KB948110-v8.00.2050-x86-ENU$ 2008-07-07 14:51 . 2008-07-07 14:51 <DIR> d-------- C:\Programme\Nero 2008-07-07 14:51 . 2008-07-07 14:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero 2008-07-03 15:40 . 2008-07-03 15:40 <DIR> d-------- C:\Programme\Avery Dennison 2008-07-03 15:40 . 2008-07-03 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avery . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-27 12:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-07-26 16:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-07-25 17:12 --------- d-----w C:\Programme\Magic Mahjongg 3D 2008-07-25 16:46 --------- d-----w C:\Programme\Corel 2008-07-25 11:49 --------- d-----w C:\Programme\Ahead 2008-07-24 19:57 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-24 19:57 --------- d-----w C:\Programme\Google 2008-07-24 11:07 --------- d-----w C:\Programme\Lavasoft 2008-07-24 11:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-07-23 10:37 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-07-21 15:53 --------- d-----w C:\Programme\Munnin 2008-07-19 11:38 --------- d-----w C:\Programme\Xilisoft 2008-07-18 11:33 --------- d-----w C:\Dokumente und Einstellungen\M*****R\Anwendungsdaten\Corel 2008-07-12 14:59 --------- d-----w C:\Programme\Punch! 2008-07-07 12:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead 2008-07-04 10:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared 2008-07-04 10:58 --------- d-----w C:\Dokumente und Einstellungen\M*****R\Anwendungsdaten\Teleca 2008-06-27 21:18 --------- d-----w C:\Dokumente und Einstellungen\M*****R\Anwendungsdaten\ZoomBrowser EX 2008-06-26 18:41 --------- d-----w C:\Programme\3D Mühle 2008-06-24 16:15 --------- d-----w C:\Programme\MEINHAUSPLANER 2008-06-24 16:15 --------- d-----w C:\Programme\Gemeinsame Dateien\BAUSET 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-19 18:36 --------- d-----w C:\Programme\49305_3D_Haus-Design_Studio_Comfort 2008-06-19 18:22 414,819,031 ----a-w C:\Programme\49305_3D_Haus-Design_Studio_Comfort.zip 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-03 14:16 --------- d-----w C:\Programme\FreePDF_XP 2008-06-02 09:52 --------- d-----w C:\Dokumente und Einstellungen\M******R\Anwendungsdaten\MSNInstaller 2008-05-29 18:45 --------- d-----w C:\Programme\Yahoo! 2008-05-28 08:27 --------- d-----w C:\Programme\Microsoft SQL Server Compact Edition 2008-05-28 08:20 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-05-28 08:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-05-27 18:06 --------- d-----w C:\Dokumente und Einstellungen\Manfred R\Anwendungsdaten\dvdcss 2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-01-24 13:18 7,467,056 ----a-w C:\Programme\spybotsd15.exe 2007-08-07 20:33 1,239,066 ----a-w C:\Programme\WINISO53.EXE 2006-11-14 21:52 170 ---ha-w C:\Dokumente und Einstellungen\M*****R\hpothb07.dat 2004-09-18 12:28 20,480 ----a-w C:\WINDOWS\inf\WtUninst.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360] "OpAgent"="C:\Programme\ScanSoft\OmniPage15.0\OpAgent.exe" [2005-09-26 18:27 155648] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-29 19:41 149040] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-21 06:09 7561216] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-06-21 06:09 86016] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-30 00:14 155648] "Opware15"="C:\Programme\ScanSoft\OmniPage15.0\Opware15.exe" [2005-09-26 18:21 69632] "PDF3 Registry Controller"="C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe" [2005-08-25 10:33 106496] "CmCardRun"="C:\WINDOWS\system32\CmWatch.exe" [2003-09-16 17:50 229376] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 13:35 266497] "HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 15:54 241664] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 00:26 406016] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "NBKeyScan"="C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe" [2007-05-24 17:38 1226288] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-13 12:41 282624] "!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312] "RTHDCPL"="RTHDCPL.EXE" [2005-05-25 17:37 14477312 C:\WINDOWS\RTHDCPL.EXE] "nwiz"="nwiz.exe" [2006-06-21 06:09 1519616 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\eurowin\\FOCUS-MONEY\\MAXTAX.exe"= "C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"= "C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"= "C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"= "C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"= "C:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe"= "C:\\Programme\\Langenscheidt T1 5.0 Testversion\\Engine\\mte\\bin\\tmengine.exe"= "C:\\Programme\\Langenscheidt T1 5.0 Testversion\\Engine\\mte\\bin\\lexAPI.exe"= "C:\\Programme\\Langenscheidt T1 5.0 Testversion\\Engine\\mte\\StdAlone\\MT_Alone.exe"= "C:\\Programme\\Langenscheidt T1 5.0 Testversion\\Engine\\mte\\bin\\engine.exe"= "C:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\OFFICE11\\EXCEL.EXE"= R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 10:13] R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 12:46] R3 UMSSSTOR;C-Media Storage;C:\WINDOWS\system32\DRIVERS\UMSS.SYS [2004-07-13 12:40] S3 PciCon;PciCon;D:\PciCon.sys [] S3 s716bus;Sony Ericsson Device 716 driver (WDM);C:\WINDOWS\system32\DRIVERS\s716bus.sys [2007-04-04 12:43] S3 s716mdfl;Sony Ericsson Device 716 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s716mdfl.sys [2007-04-04 12:43] S3 s716mdm;Sony Ericsson Device 716 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s716mdm.sys [2007-04-04 12:43] S3 s716mgmt;Sony Ericsson Device 716 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s716mgmt.sys [2007-04-04 12:43] S3 s716nd5;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (NDIS);C:\WINDOWS\system32\DRIVERS\s716nd5.sys [2007-04-04 12:43] S3 s716obex;Sony Ericsson Device 716 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s716obex.sys [2007-04-04 12:43] S3 s716unic;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (WDM);C:\WINDOWS\system32\DRIVERS\s716unic.sys [2007-04-04 12:43] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9abf8f9e-2ed5-11db-831a-806d6172696f}] \shell\play\Command - "C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:3 /device:AudioCD "%L" . . ------- Zus„tzlicher Scan ------- . R0 -: HKCU-Main,Start Page = h****p://**w.welt.de/ R0 -: HKCU-Main,SearchMigratedDefaultURL = h****p://***w.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 O8 -: &eBay Search - C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 -: &Windows Live Search O8 -: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 -: Add to Windows &Live Favorites O8 -: Convert link target to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 -: Convert link target to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 -: Convert selected links to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 -: Convert selected links to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 -: Convert selection to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 -: Convert selection to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 -: Convert to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 -: Convert to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 -: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 -: PDF in Word öffnen (PDF Converter 3.0) - C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /500 ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h***p://**w.gmer.net Rootkit scan 2008-07-27 14:49:54 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\MDM.EXE C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\HP\hpcoretech\comp\hpdarc.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-27 14:56:23 - PC wurde neu gestartet [M*****R] ComboFix-quarantined-files.txt 2008-07-27 12:56:18 Pre-Run: 11 Verzeichnis(se), 87,432,527,872 Bytes frei Post-Run: 17 Verzeichnis(se), 87,406,383,104 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons 216 --- E O F --- 2008-07-27 09:34:30 -------- mr28meli |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board