Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Updates & Google spinnt (https://www.trojaner-board.de/70015-updates-google-spinnt.html)

amztaff 14.02.2009 19:36

Updates & Google spinnt
 
Hallo,

ich hab bereits im Board nach einer passenden Lösung gesucht und bin bei meinem Fall nicht wirklich klug draus geworden :heulen:.

Seid einiger Zeit kann ich unter Windows keine Updates mehr laufen lassen (z.B. Antivir, Spybot - aber Windows Update geht). Außerdem komm ich über Google im Firefox auf versch. Werbeseiten (was ja schonmal gepostet wurde).

Danke für Hilfe

Hier mein HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:32, on 14.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft Private Folder\PrfldSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Wlan-Karte\utility.exe
C:\Programme\Hamachi\hamachi.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\OpenOffice.org 3\program\swriter.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yodl.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://images.rapidshare.com/software/rapidmanager/RapidShareManager.application
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: TBSB03968 - {AA61DE26-FA67-4575-9033-918671094293} - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O2 - BHO: Bho Class - {AB37CD3D-DC1D-46b2-ADCA-3CDC80FD2AD6} - C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Meinungsstudie\PanelApp\PanelApp_0806.2008.0725.1159.dll
O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdhgb.exe] C:\WINDOWS\system32\kdhgb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Startup: HDDlife.lnk = C:\Programme\HDDlife 3\HDDlifePro.exe
O4 - Global Startup: Belkin 802.11g Wireless PCI Card Configuration Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Rip YouTube File - {38E51477-DDB4-4aed-9D61-D0C193E10749} - C:\Programme\SoundTaxi\YouTubeRipper.dll
O9 - Extra 'Tools' menuitem: Rip YouTube file embedded in this page - {38E51477-DDB4-4aed-9D61-D0C193E10749} - C:\Programme\SoundTaxi\YouTubeRipper.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1054E09A-9638-45DB-B1E4-594E9CCA5F85}: NameServer = 85.255.114.56,85.255.112.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8B911F7-8EE4-4E96-9B50-490D076A7EDC}: NameServer = 85.255.114.56,85.255.112.111
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder\PrfldSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6087 bytes

Russenaisko 14.02.2009 19:43

Hallo amztaff,
Überprüf doch bitte mal ob du deine festplatte(n) mit einem linksklick öffnen kannst.
MfG Russenaisko

amztaff 14.02.2009 19:53

Ja aber nur mit Doppelklick

Sunny 14.02.2009 19:56

Zitat:

Zitat von amztaff (Beitrag 413196)
Ja aber nur mit Doppelklick

Festplatten, Arbeitsplatz etc werden immer (sofern nicht anders eingestellt) mit Doppelklick geöffnet. ;)

Bitte abarbeiten:




CCleaner





Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
http://saved.im/ndc5njj4d2lr/entfernen.png
(nach dem scannen auf den Button klicken und Funde löschen lassen!)



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Russenaisko 14.02.2009 20:04

Hmm gut. Die zwei ip´s gefallen mir überhaupt nicht.
Und so gehst du vor:
Lad dir threatfire von pc tools runter (noch nicht instalieren).
http://www.threatfire.com/de/

Setz eine hacken bei hijack this bei folgenden einträgen rein (noch nicht fixen):

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://images.rapidshare.com/software/rapidmanager/RapidShareManager.application

O17 - HKLM\System\CCS\Services\Tcpip\..\{1054E09A-9638-45DB-B1E4-594E9CCA5F85}: NameServer = 85.255.114.56,85.255.112.111

O17 - HKLM\System\CCS\Services\Tcpip\..\{B8B911F7-8EE4-4E96-9B50-490D076A7EDC}: NameServer = 85.255.114.56,85.255.112.111

Jetzt schließt du alle internet Browser und KAPST DEINE INTERNETVERBINDUNG. Nun klick auf fix checked.
Instalier Threatfire und führe einen Vollscann aus. Führ ein vollscann mit allen virenscannern durch die du zuzeit auf dem pc hast. Wenn alle durchgelaufen sind und die Bedrohung gelöscht wurden kannst du dich wieder an "netz hängen".
Sonst noch Fragen?

Russenaisko

amztaff 14.02.2009 20:22

Hab erstmal die Tipps von GC ausgeführt bis auf AntiMaleware weil das nur mit update funktioniert welches bei mir nicht funktioniert. Hier das Ergebnis von combofix:

ComboFix 09-02-12.03 - Fabian 2009-02-14 20:11:29.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.511.217 [GMT 1:00]
ausgeführt von:: E:\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\resycled
c:\windows\system32\AutoRun.inf
D:\resycled
E:\resycled
F:\resycled

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-14 bis 2009-02-14 ))))))))))))))))))))))))))))))
.

2009-02-14 20:05 . 2009-02-14 20:05 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-14 20:05 . 2009-02-14 20:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-14 20:01 . 2009-02-14 20:01 <DIR> d-------- c:\programme\CCleaner
2009-02-14 19:23 . 2009-02-14 19:23 <DIR> d-------- c:\programme\Trend Micro
2009-02-13 15:55 . 2009-02-13 15:55 <DIR> d-------- c:\programme\Audiograbber
2009-02-13 15:55 . 2009-02-13 15:55 <DIR> d-------- c:\dokumente und einstellungen\Fabian\Anwendungsdaten\Toolbars
2009-02-13 15:55 . 2009-02-13 15:55 <DIR> d-------- c:\dokumente und einstellungen\Fabian\Anwendungsdaten\Desktopicon
2009-02-10 19:25 . 2009-02-10 19:25 <DIR> d-------- c:\dokumente und einstellungen\Fabian\Anwendungsdaten\ArcSoft
2009-02-10 19:24 . 2009-02-10 19:24 <DIR> d-------- c:\programme\Gemeinsame Dateien\element5 Shared
2009-02-10 19:24 . 2009-02-10 19:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\element5
2009-02-10 19:23 . 2003-09-19 17:45 21,248 --a------ c:\windows\system32\drivers\pfc.sys
2009-02-10 19:22 . 2009-02-10 20:05 <DIR> d-------- c:\programme\ArcSoft
2009-02-10 19:22 . 1995-07-31 13:44 212,480 --a------ c:\windows\PCDLIB32.DLL
2009-02-08 20:05 . 2009-02-11 11:38 <DIR> d-------- c:\programme\Gemeinsame Dateien\BinarySense
2009-02-08 20:05 . 2009-02-08 20:05 <DIR> d-------- c:\dokumente und einstellungen\Fabian\Anwendungsdaten\BinarySense
2009-02-08 20:05 . 2009-02-10 23:09 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-02-03 14:37 . 2009-02-03 14:37 <DIR> d-------- c:\programme\PHP Coder
2009-01-30 18:02 . 2009-01-30 18:02 <DIR> d-------- c:\programme\Aufräumtool
2009-01-28 20:18 . 2001-10-19 14:40 1,683,792 --a------ c:\windows\system32\wmvcore2.dll
2009-01-28 20:18 . 2001-10-19 14:40 665,424 --a------ c:\windows\system32\wmv8dmoe.dll
2009-01-28 20:18 . 2001-10-19 14:39 572,752 --a------ c:\windows\system32\wmvdmoe.dll
2009-01-28 20:18 . 2001-10-19 14:40 438,608 --a------ c:\windows\system32\wmv8dmod.dll
2009-01-28 20:18 . 2001-10-19 02:05 285,184 --a------ c:\windows\system32\wmidx2.ocx
2009-01-28 20:18 . 2009-01-28 20:18 156,910 --a------ c:\windows\WMSysPr8.prx
2009-01-28 20:16 . 2009-01-28 20:17 <DIR> d-------- c:\programme\coolpro2
2009-01-28 19:59 . 2009-01-28 19:59 <DIR> d-------- c:\programme\Gemeinsame Dateien\SWiSHzone.com
2009-01-28 19:59 . 2004-03-29 15:23 90,112 --a------ c:\windows\unvise32.exe
2009-01-28 19:58 . 2009-01-28 20:08 <DIR> d-------- c:\programme\SWiSH Max2
2009-01-25 19:52 . 2009-01-25 19:52 <DIR> d-------- c:\programme\Avira
2009-01-25 19:52 . 2009-01-25 19:52 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-21 20:52 . 2009-02-05 18:47 <DIR> d-------- c:\dokumente und einstellungen\Fabian\Anwendungsdaten\VSO
2009-01-21 20:51 . 2009-01-21 20:51 <DIR> d-------- c:\programme\VSO
2009-01-21 18:34 . 2009-01-21 18:34 <DIR> d-------- c:\dokumente und einstellungen\Fabian\Anwendungsdaten\OpenOffice.org
2009-01-21 18:32 . 2009-01-21 18:32 <DIR> d-------- c:\programme\OpenOffice.org 3
2009-01-21 18:32 . 2009-01-21 18:32 <DIR> d-------- c:\programme\JRE
2009-01-21 18:19 . 2009-01-21 18:25 <DIR> d-------- c:\programme\Microsoft Office2
2009-01-21 18:19 . 2009-01-21 18:19 <DIR> dr-h----- C:\MSOCache
2009-01-20 13:52 . 2009-01-20 13:52 <DIR> d-------- c:\programme\Gemeinsame Dateien\xing shared
2009-01-20 13:52 . 2009-01-20 13:52 <DIR> d-------- c:\programme\Gemeinsame Dateien\Real
2009-01-20 13:52 . 2009-01-20 13:52 <DIR> d-------- C:\Program Files
2009-01-18 22:01 . 2009-01-18 22:01 <DIR> d-------- c:\programme\Xilisoft
2009-01-18 22:01 . 2008-05-06 07:01 45,056 --a------ c:\windows\system32\WNASPI32.DLL
2009-01-18 22:01 . 2008-05-06 07:01 16,512 --a------ c:\windows\system32\drivers\ASPI32.SYS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-14 19:04 --------- d-----w c:\programme\Firefox
2009-02-14 17:35 --------- d-----w c:\dokumente und einstellungen\Fabian\Anwendungsdaten\Hamachi
2009-02-12 22:36 --------- d-----w c:\programme\TurboPlot
2009-02-11 13:39 --------- d-----w c:\programme\FreeMind
2009-02-10 18:22 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-03 18:10 --------- d-----w c:\dokumente und einstellungen\Fabian\Anwendungsdaten\FileZilla
2009-01-25 15:34 --------- d-----w c:\programme\MediaCoder iPhone Edition
2009-01-21 17:31 --------- d-----w c:\programme\OpenOffice.org 2.4
2009-01-21 17:27 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-01-21 17:26 --------- d-----w c:\dokumente und einstellungen\Fabian\Anwendungsdaten\OpenOffice.org2
2009-01-20 12:52 499,712 ----a-w c:\windows\system32\msvcp71.dll
2009-01-20 12:52 348,160 ----a-w c:\windows\system32\msvcr71.dll
2009-01-18 21:07 --------- d-----w c:\dokumente und einstellungen\Fabian\Anwendungsdaten\dvdcss
2009-01-08 22:31 --------- d-----w c:\programme\FLV Player
2009-01-02 18:09 --------- d-----w c:\programme\WindSolutions
2009-01-02 18:09 --------- d-----w c:\dokumente und einstellungen\Fabian\Anwendungsdaten\CopyTransPhoto
2009-01-02 18:09 --------- d-----w c:\dokumente und einstellungen\Fabian\Anwendungsdaten\CopyTransControlCenter
2009-01-02 18:09 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CopyTransControlCenter
2008-12-27 16:43 --------- d-----w c:\dokumente und einstellungen\Monja\Anwendungsdaten\Hamachi
2008-12-27 16:06 --------- d-----w c:\programme\Rockstar Games
2008-12-27 16:06 --------- d-----w c:\programme\directx
2008-12-20 09:08 --------- d-----w c:\programme\Hobbyist Software
2008-12-18 21:48 --------- d-----w c:\programme\Microsoft Games
2008-12-18 15:15 471,040 ----a-w c:\windows\dog3.scr
2008-12-18 15:15 12,288 ----a-w c:\windows\impborl.dll
2008-08-17 20:47 304,481 ----a-w c:\dokumente und einstellungen\Fabian\Anwendungsdaten\mdbu.bin
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA61DE26-FA67-4575-9033-918671094293}]
2008-08-14 14:57 2484224 --a------ c:\dokumente und einstellungen\Fabian\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\Fabian\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-01-20 185872]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Fabian\Startmen\Programme\Autostart\
hamachi.lnk - c:\programme\Hamachi\hamachi.exe [2008-08-03 625952]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Belkin 802.11g Wireless PCI Card Configuration Utility.lnk - c:\programme\Wlan-Karte\utility.exe [2008-04-29 327765]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=c:\windows\pss\Bluetooth Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Fabian^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\Fabian\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Fabian^Startmenü^Programme^Autostart^OpenOffice.org 2.4.lnk]
path=c:\dokumente und einstellungen\Fabian\Startmenü\Programme\Autostart\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\windows\system32

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 13:00 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 10:39 486856 c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-11-20 13:20 290088 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NielsenOnline]
--a------ 2007-08-28 17:06 45056 c:\programme\NetRatingsNetSight\NetSight\NielsenOnline.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 00:41 8523776 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 00:41 81920 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PanelApp]
--a------ 2007-01-24 11:57 31232 c:\dokumente und einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\Meinungsstudie\PanelApp\PanelApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 14:09 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 03:27 144784 c:\programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayBackup]
--a------ 2006-02-07 02:42 316416 c:\programme\TrayBackup\traybackup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2004-06-29 08:06 88363 c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
--a------ 2004-07-20 17:18 90112 c:\windows\Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 00:41 1626112 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Verknüpfung mit der High Definition Audio-Eigenschaftenseite]
--------- 2004-03-17 15:10 61952 c:\windows\system32\Hdaudpropshortcut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CyberLink Media Library Service"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)
"TapiSrv"=3 (0x3)
"SoundMovieServer"=3 (0x3)
"PanelSvc"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"iPod Service"=3 (0x3)
"Bonjour Service"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\Java\\jre1.6.0_06\\launch4j-tmp\\aTunes.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\update.exe"=

R1 nnrnstdi;nnrnstdi;c:\windows\system32\drivers\nnrnstdi.sys [2008-10-08 14336]
R1 tvtool;tvtool;c:\programme\TVTool\TVTOOL.SYS [1996-04-03 5248]
R2 Prvflder;Prvflder;c:\windows\system32\drivers\prvflder.sys [2006-04-21 70912]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2008-04-29 1287296]
R3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\progra~1\WLAN-K~1\DNINDIS5.SYS [2008-04-29 17149]
R3 km_filter;km_filter;c:\windows\system32\drivers\km_filter.sys [2008-10-08 8832]
R3 MovRVDrv32;MovRVDrv32;c:\windows\system32\drivers\MovRVDrv32.sys [2008-06-07 3768]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2008-04-29 17408]
S3 HDJCtrl;Hercules DJ Control MP3 Service;c:\windows\system32\drivers\hdjctrl.sys [2008-05-13 11008]
S3 HDJMidi;Hercules DJ Console MIDI;c:\windows\system32\drivers\HDJMidi.sys [2008-05-13 39296]
S3 UltraMonMirror;UltraMonMirror;c:\windows\system32\DRIVERS\UltraMonMirror.sys --> c:\windows\system32\DRIVERS\UltraMonMirror.sys [?]
S4 PanelSvc;PanelSvc;c:\programme\Meinungsstudie\PanelApp\PanelSvc.exe [2007-11-09 77312]
S4 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [2008-06-07 184320]
.
Inhalt des "geplante Tasks" Ordners

2009-01-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-02-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-839522115-790525478-725345543-1006.job
- c:\dokumente und einstellungen\Monja\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 18:12]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-kdhgb - c:\windows\system32\kdhgb.exe
MSConfigStartUp-Dino - c:\programme\ScreenMates\dinosm.exe
MSConfigStartUp-GrooveMonitor - f:\programme\Microsoft Office\Office12\GrooveMonitor.exe
MSConfigStartUp-Keyboard Status - c:\progra~1\Medion\KeyStat\KeyStat.exe
MSConfigStartUp-WinampAgent - c:\programme\Winamp\winampa.exe
MSConfigStartUp-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de
uInternet Connection Wizard,ShellNext = hxxp://images.rapidshare.com/software/rapidmanager/RapidShareManager.application
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - f:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\a9arls6n.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - prefs.js: keyword.URL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - component: c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Meinungsstudie\PanelApp\ff\components\FFoxAddinStub.dll
FF - component: c:\programme\Firefox\components\nsgkff30_meter1.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-14 20:13:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-14 20:14:38
ComboFix-quarantined-files.txt 2009-02-14 19:14:29

Vor Suchlauf: 15 Verzeichnis(se), 18.240.061.440 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 19,059,568,640 Bytes frei

252 --- E O F --- 2009-02-05 13:32:37

Sunny 14.02.2009 20:26

Funktioniert den MBAM überhaupt nicht?
Mal abgesehen vom Update, kannst du einen Scan durchführen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:49 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129