|
Steam Account wurde gehijacked Hallöchen alle, leider habe ich eben gemerkt, dass mein Steam Account gehacked wurde und anscheinend hat derjenige auch versucht meinen PayPal Account zu hijacken...Glücklicherweise ist der inaktiv und veraltet. Derjenige hat entsprechend direkt die Mailadresse geändert, so dass ich mir mein PW nicht zuschicken kann. Bin derzeit total machtlos und wende mich natürlich gleich an den Steam Support. Bevor ich denen aber irgendwelche persönlichen Infos per Mail schicke, will ich den Trojaner/Keylogger aufspüren. Kann sich jemand mal meine Log-Datei anschauen und mir sagen ob da was nicht stimmt? Die Zeile wo Anti-Keylogger steht ist btw. ein Tool welches ich mir gerade zum Schutz runtergeladen habe... Wäre für jed Hilfe dankbar...Bin gerade echt verzweifelt ;( Viele Grüße Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:41:23, on 21.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\BySoft FreeRAM\FreeRAM.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\WINDOWS\system32\akl_svc.exe C:\Programme\Anti-keylogger\Anti-keylogger.exe C:\Dokumente und Einstellungen\Name\Desktop\RootkitRevealer.exe C:\DOKUME~1\Name\LOKALE~1\Temp\Z.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.domain.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.domain.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = w*w.domain.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = w*w.domain.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.domain.de O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file) O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [Anti-keylogger] C:\Programme\Anti-keylogger\Anti-keylogger.exe /autorun O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Programme\BySoft FreeRAM\FreeRAM.exe O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKCU\..\Run: [Steam] "g:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212707096718 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - https://ssl.integralis.de/dana-cached/setup/JuniperSetupSP1.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{80804A73-D5BC-4B5A-87ED-7017331F9D88}: NameServer = 213.191.74.18 62.109.123.196 O17 - HKLM\System\CS1\Services\Tcpip\..\{80804A73-D5BC-4B5A-87ED-7017331F9D88}: NameServer = 213.191.74.18 62.109.123.196 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Anti-keylogger Service (akl_svc) - Unknown owner - C:\WINDOWS\system32\akl_svc.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: Z - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Name\LOKALE~1\Temp\Z.exe -- End of file - 8329 bytes |
Hallo Chevy Malwarebytes und SuperAntiSpyware downloaden und nach Anleitung verwenden Vollständiger Scan mit deinem AntiVir Programm Deaktivier dein AntiVir Programm Dein System Online Scannen lassen bei F-Secure Unbedingt mit IE ins netz gehen Active X erlauben Auf Vollständigen Scan umstellen Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern Alle 4 Berichte posten Bei Problemen bitte stoppen und das Problem so genau wie möglich schildern |
Hi Gentlman, besten Dank für deine Hilfe schonmal. Ich habe anbei die Logs von meinem AVG Antivirus, SUPERAntispy und vom Malwarebytes. Es wurden einige Tracking Cookies gefunden und vermeindliche Trojaner in der Antikeylogger Software...Welche ich aber erst installiert habe, nachdem ich gehijacked wurde... Das Anti-Malware Tool hat entsprechend auch zwei Trojaner gefunden...welche ich in quarantäne geschickt habe. Kann das Hijacking durch eine der oben genannten Probleme entstanden sein? Ich hoffe das das jetzt nicht mehr so schnell passiert... VG, Chevy ----------- Logs: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1792 Windows 5.1.2600 Service Pack 3 22.02.2009 12:33:39 mbam-log-2009-02-22 (12-33-34).txt Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|) Durchsuchte Objekte: 143192 Laufzeit: 31 minute(s), 44 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\Gamers.IRC\bin\dll\dmu.dll (Trojan.Bot) -> No action taken. C:\Programme\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> No action taken. -------- "Scan ""Scan whole computer"" was finished." "Spyware";"4";"4";"0" "Folders selected for scanning:";"Scan whole computer" "Scan started:";"Samstag, 21. Februar 2009, 21:03:01" "Scan finished:";"Samstag, 21. Februar 2009, 21:46:37 (43 minute(s) 36 second(s))" "Total object scanned:";"358502" "User who launched the scan:";"Name" "Spyware" "File";"Infection";"Result" "C:\Dokumente und Einstellungen\Name\Desktop\keyloggerdetector.zip";"Potentially harmful program Hook.BG";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Desktop\keyloggerdetector.zip:\keyloggerdetector.msi";"Potentially harmful program Hook.BG";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Desktop\keyloggerdetector.zip:\keyloggerdetector.msi:\disk1.cab";"Potentially harmful program Hook.BG";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Desktop\keyloggerdetector.zip:\keyloggerdetector.msi:\disk1.cab:\spy.exe";"Potentially harmful program Hook.BG";"Moved to Virus Vault" "Warnings" "File";"Infection";"Result" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite";"Found Tracking cookie.Ivwbox";"Healed" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\ad.yieldmanager.com.539b0606";"Found Tracking cookie.Yieldmanager";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\ad.yieldmanager.com.830b6f08";"Found Tracking cookie.Yieldmanager";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\ad.yieldmanager.com.b68f2b7b";"Found Tracking cookie.Yieldmanager";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\ad.yieldmanager.com.8a47878";"Found Tracking cookie.Yieldmanager";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\ad.yieldmanager.com.c982816c";"Found Tracking cookie.Yieldmanager";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\ad.yieldmanager.com.ff92306";"Found Tracking cookie.Yieldmanager";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\adtech.de.a9245469";"Found Tracking cookie.Adtech";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\atdmt.com.b3e33b5f";"Found Tracking cookie.Atdmt";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\TName\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\doubleclick.net.bf396750";"Found Tracking cookie.Doubleclick";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\ivwbox.de.41d82fe2";"Found Tracking cookie.Ivwbox";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\statse.webtrendslive.com.b4ca7df0";"Found Tracking cookie.Webtrendslive";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\tfag.de.312f8dd0";"Found Tracking cookie.Tfag";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\tradedoubler.com.adc507fa";"Found Tracking cookie.Tradedoubler";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\tradedoubler.com.dc3c9994";"Found Tracking cookie.Tradedoubler";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\tradedoubler.com.ba12c0e9";"Found Tracking cookie.Tradedoubler";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\tradedoubler.com.eab0972e";"Found Tracking cookie.Tradedoubler";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\qf9nclyb.default\cookies.sqlite:\tradedoubler.com.f4648305";"Found Tracking cookie.Tradedoubler";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@2o7[1].txt";"Found Tracking cookie.2o7";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@2o7[1].txt:\2o7.net.1913101d";"Found Tracking cookie.2o7";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@2o7[1].txt:\2o7.net.404851f2";"Found Tracking cookie.2o7";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@2o7[1].txt:\2o7.net.484dbb69";"Found Tracking cookie.2o7";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@2o7[1].txt:\2o7.net.5f900e";"Found Tracking cookie.2o7";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@2o7[1].txt:\2o7.net.9687645e";"Found Tracking cookie.2o7";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@ad.yieldmanager[2].txt";"Found Tracking cookie.Yieldmanager";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Namead.yieldmanager[2].txt:\ad.yieldmanager.com.539b0606";"Found Tracking cookie.Yieldmanager";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@ad.yieldmanager[2].txt:\ad.yieldmanager.com.557bf2b0";"Found Tracking cookie.Yieldmanager";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adbrite[1].txt";"Found Tracking cookie.Adbrite";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adbrite[1].txt:\adbrite.com.44f92a69";"Found Tracking cookie.Adbrite";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Nameadbrite[1].txt:\adbrite.com.557c9f74";"Found Tracking cookie.Adbrite";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adbrite[1].txt:\adbrite.com.71beeff9";"Found Tracking cookie.Adbrite";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adbrite[1].txt:\adbrite.com.d5e309c2";"Found Tracking cookie.Adbrite";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adopt.euroclick[2].txt";"Found Tracking cookie.Euroclick";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adopt.euroclick[2].txt:\adopt.euroclick.com.17044b51";"Found Tracking cookie.Euroclick";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adopt.euroclick[2].txt:\adopt.euroclick.com.6d7740f7";"Found Tracking cookie.Euroclick";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adopt.euroclick[2].txt:\adopt.euroclick.com.891542da";"Found Tracking cookie.Euroclick";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adopt.euroclick[2].txt:\adopt.euroclick.com.8b1bd7bc";"Found Tracking cookie.Euroclick";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adopt.euroclick[2].txt:\adopt.euroclick.com.fb764ef7";"Found Tracking cookie.Euroclick";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adopt.euroclick[2].txt:\adopt.euroclick.com.ffe11db7";"Found Tracking cookie.Euroclick";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adtech[1].txt";"Found Tracking cookie.Adtech";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@adtech[1].txt:\adtech.de.a9245469";"Found Tracking cookie.Adtech";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@atdmt[2].txt";"Found Tracking cookie.Atdmt";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@atdmt[2].txt:\atdmt.com.b3e33b5f";"Found Tracking cookie.Atdmt";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@bs.serving-sys[2].txt";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@bs.serving-sys[2].txt:\bs.serving-sys.com.5bf1f00f";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@doubleclick[1].txt";"Found Tracking cookie.Doubleclick";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@doubleclick[1].txt:\doubleclick.net.bf396750";"Found Tracking cookie.Doubleclick";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@ivwbox[2].txt";"Found Tracking cookie.Ivwbox";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@ivwbox[2].txt:\ivwbox.de.41d82fe2";"Found Tracking cookie.Ivwbox";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@komtrack[2].txt";"Found Tracking cookie.Komtrack";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@komtrack[2].txt:\komtrack.com.284487cf";"Found Tracking cookie.Komtrack";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@komtrack[2].txt:\komtrack.com.d503c904";"Found Tracking cookie.Komtrack";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@m.webtrends[1].txt";"Found Tracking cookie.Webtrends";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@m.webtrends[1].txt:\m.webtrends.com.b4ca7df0";"Found Tracking cookie.Webtrends";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@mediaplex[2].txt";"Found Tracking cookie.Mediaplex";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@mediaplex[2].txt:\mediaplex.com.dc30fb3c";"Found Tracking cookie.Mediaplex";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@mediaplex[2].txt:\mediaplex.com.f652b123";"Found Tracking cookie.Mediaplex";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@msnportal.112.2o7[1].txt";"Found Tracking cookie.2o7";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@msnportal.112.2o7[1].txt:\msnportal.112.2o7.net.7225be6f";"Found Tracking cookie.2o7";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@overture[1].txt";"Found Tracking cookie.Overture";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@overture[1].txt:\overture.com.8e32a996";"Found Tracking cookie.Overture";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@serving-sys[1].txt";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@serving-sys[1].txt:\serving-sys.com.255d6f2f";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@serving-sys[1].txt:\serving-sys.com.400f83f";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@serving-sys[1].txt:\serving-sys.com.4b416ef8";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@serving-sys[1].txt:\serving-sys.com.606c3d3b";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@serving-sys[1].txt:\serving-sys.com.6a1cf9e8";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@serving-sys[1].txt:\serving-sys.com.c9034af6";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@statse.webtrendslive[1].txt";"Found Tracking cookie.Webtrendslive";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@statse.webtrendslive[1].txt:\statse.webtrendslive.com.b4ca7df0";"Found Tracking cookie.Webtrendslive";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@tradedoubler[2].txt";"Found Tracking cookie.Tradedoubler";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Nametradedoubler[2].txt:\tradedoubler.com.ba12c0e9";"Found Tracking cookie.Tradedoubler";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\CookiesName@tradedoubler[2].txt:\tradedoubler.com.dc3c9994";"Found Tracking cookie.Tradedoubler";"Moved to Virus Vault" "C:\Dokumente und Einstellungen\Name\Cookies\Name@tradedoubler[2].txt:\tradedoubler.com.eab0972e";"Found Tracking cookie.Tradedoubler";"Moved to Virus Vault" ---------- SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 02/22/2009 at 01:26 PM Application Version : 4.25.1012 Core Rules Database Version : 3769 Trace Rules Database Version: 1729 Scan type : Complete Scan Total Scan Time : 00:49:20 Memory items scanned : 466 Memory threats detected : 0 Registry items scanned : 5617 Registry threats detected : 0 File items scanned : 76826 File threats detected : 1 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Tim\Cookies\tim@doubleclick[2].txt |
Hy Lasse bitte MalwareBytes noch einmal laufen un klicke am Ende des Scann auf Ausgewähltes Bereinigen und File nochmal posten ;) Start-->Ausführen-->cleanmgr(reinschreiben)-->ok Häckchen bei-->Übertragbare Datein;Temporäre Internetdatein;Papierkörb;Temporäre Datein--->OK Start-->ausführen--->%temp%-->ok Damit löscht du die Temporären Datein in C:\Dokumente..... Verwendete Temps können nicht gelöscht werden Nun bitte den Papierkorb leeren Lasse bitte dein Eintrag aus der Code Box bei www.virustotal.com hochladen und Poste mir das Ergebniss Code: C:\DOKUME~1\Name\LOKALE~1\Temp\Z.exe |
Hi Gentlman, Festplatten habe ich bereinigt, und die Temporären Dateien in C:\Dok... habe ich ebenfalls per Hand gelöscht...2 Dateien sind noch über... Die Z.exe konnte ich leider nirgends finden...Aber interessanterweise ist sie auch nicht mehr bei Hijackthis, wenn ich den Scan nochmal laufen lasse. Ansonsten habei ch Malwarebyte nochmal durchlaufen lassen und es wird nichts mehr erkannt. Da brauch ich die Log Datei auch nicht nochmal posten, oder? =) Ich denke/hoffe das jetzt wirkli8ch alles entfernt ist... Ich danke Dir scohnmal vielmals für deine Hilfe! Gruß, Chevy |
Naja die z.exe befand sich auch in Temp Ordner Kann sein das es sich nicht händisch entfernen lässt ;) Ne fertig noch lange nicht Poste mir bitte ein neues HJT |
Hi, das gehört zusammen: Code: C:\Dokumente und Einstellungen\Name\Desktop\RootkitRevealer.exeCode: C:\Programme\Mozilla Firefox\firefox.exe |
Danke KarlKarl :daumenhoc Rootkitrevealer hab ich auch noch nicht machen lassen ;) |
Nabend, danke Karl,dass ich nich im Netz sein darf, wenn der Rootkitrevealer läuft, dass wusste ich natürlich nicht =) Im Temp Order war noch irgendwie ne VCD, mit nem komischen Titel Namens: Perflib_Perfdata_df8 Danke auf ein neues und Gruß, Chevy -------- Anbei das neue HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:38:01, on 24.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\BySoft FreeRAM\FreeRAM.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.domain.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.domain.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = w*w.domain.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = w*w.domain.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.domain.de O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file) O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Programme\BySoft FreeRAM\FreeRAM.exe O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKCU\..\Run: [Steam] "g:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - w*w.domain.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - w*w.domain.de O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - w*w.domain.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - w*w.domain.de O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - w*w.domain.de O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - w*w.domain.de O17 - HKLM\System\CCS\Services\Tcpip\..\{80804A73-D5BC-4B5A-87ED-7017331F9D88}: NameServer = 213.191.74.18 62.109.123.196 O17 - HKLM\System\CS1\Services\Tcpip\..\{80804A73-D5BC-4B5A-87ED-7017331F9D88}: NameServer = 213.191.74.18 62.109.123.196 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 8356 bytes |
Hallo Logfile sieht sauber aus Bitte lösche deine Quarantäne-Ordner-->bei AVG geht das unter Empty Vault Scannen wir mal durch ob noch etwas gefunden wird ausser Cookies Deaktivier dein AntiVir Programm Dein System Online Scannen lassen bei F-Secure Unbedingt mit IE ins netz gehen Active X erlauben Auf Vollständigen Scan umstellen Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation Drücke auf Jetzt Scannen! Eine Registrierung ist nicht erforderlich! Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop. Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt. Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Online-Viren-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen Dank an Jig Saw |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board