Trojaner-Board - Firefox leitet auf fremde Seiten um

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Firefox leitet auf fremde Seiten um (https://www.trojaner-board.de/72954-firefox-leitet-fremde-seiten-um.html)

Zitat:

Zitat von john.doe (Beitrag 434797)

:( Dann versuchen wir es anders. Poste bitte ein aktuelles HJT-Log. Anschliessend diese beiden Scanner laufenlassen und Log posten:

Ok, HJT-Log folgt. Malware's Anti-Malware möchte ja meistens neu starten, den Neustart dann durchführen und danach den anderen Scan machen?

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:21:47, on 08.05.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\DirectX Extensions\DXDebugService.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\TortoiseSVN\bin\TSVNCache.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\winsys2.exe

C:\WINDOWS\system32\rundll32.exe

F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\RTHDCPL.EXE

G:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Microsoft ActiveSync\wcescomm.exe

C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\Programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe

F:\spiele\ncsoft\launcher\NCLauncher.exe

C:\Programme\Electronic Arts\EADM\Core.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\HijackThis\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: (no name) - {C2BA40A1-74F3-42BD-F434-12345A2C8953} - (no file)

O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - G:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O4 - HKLM\..\Run: [Norton] C:\Programme\ASUS\WLAN Card Utilities\NorExec.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "G:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe" -inv:bootrun

O4 - HKCU\..\Run: [PlayNC Launcher] F:\spiele\ncsoft\launcher\NCLauncher.exe /Minimized

O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: ChkDisk.lnk = ?

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: Append to existing PDF - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://G:\Programme\Adobe\Acrobat 
 

8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://G:\Programme\Adobe\Acrobat 
 

8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://G:\Programme\Adobe\Acrobat 
 

8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://G:\Programme\Adobe\Acrobat 
 

8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://G:\Programme\Adobe\Acrobat 
 

8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://G:\Programme\Adobe\Acrobat 
 

8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - 
 

http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198742957078

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{89E18BB3-1B35-4F74-A3A0-41BC2D168F0C}: NameServer = 192.168.2.1

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop 
 

Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe

O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue 
 

CS3\Server\bin\VersionCueCS3.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition 
 

Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition 
 

Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device 
 

Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet 
 

Publisher\FNPLicensingService.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA 
 

Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA 
 

Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame 
 

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA 
 

Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: TVersityMediaServer - Unknown owner - F:\Programme\Media Server\MediaServer.exe
 

--

End of file - 12247 bytes

Zitat:

den Neustart dann durchführen und danach den anderen Scan machen?

Ja, unbedingt, sonst werden die Schädlinge nicht gelöscht.

ciao, andreas

Ok, da bin ich wieder^^ die Scans haben ein wenig gedauert und zwischendurch hab ich dann auch mal geschlafen^^.

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2067

Windows 5.1.2600 Service Pack 2
 

09.05.2009 00:00:02

mbam-log-2009-05-09 (00-00-02).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|)

Durchsuchte Objekte: 843580

Laufzeit: 1 hour(s), 30 minute(s), 24 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 1

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 3

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 7
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

C:\WINDOWS\Temp\msb.dll (Worm.Autorun) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Worm.Autorun) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> 
 

Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\autochk.dll (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\config\systemprofile\protect.dll (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\msb.dll (Worm.Autorun) -> Delete on reboot.

C:\Dokumente und Einstellungen\*MeinName*\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\LocalService\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 05/09/2009 at 04:11 AM
 

Application Version : 4.26.1002
 

Core Rules Database Version : 3885

Trace Rules Database Version: 1833
 

Scan type       : Complete Scan

Total Scan Time : 04:06:25
 

Memory items scanned      : 518

Memory threats detected   : 0

Registry items scanned    : 7198

Registry threats detected : 7

File items scanned        : 705431

File threats detected     : 10
 

Trojan.Agent/Gen-FakeAlert

        [] C:\WINDOWS\TEMP\N7P2RO5D5C.EXE

        C:\WINDOWS\TEMP\N7P2RO5D5C.EXE

        [uidenhiufgsduiazghs] C:\WINDOWS\TEMP\N7P2RO5D5C.EXE

        [] C:\WINDOWS\TEMP\N7P2RO5D5C.EXE

        [uidenhiufgsduiazghs] C:\WINDOWS\TEMP\N7P2RO5D5C.EXE

        C:\WINDOWS\TEMP\SFSDFDF.EXE
 

NavExcel/NavHelper BHO

        HKU\S-1-5-21-1275210071-117609710-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}
 

Rootkit.Agent/Gen-Rustock

        HKLM\system\controlset001\services\ovfsthtpqllhtkapfakytpxnjytkyfdcdoynmr

        C:\WINDOWS\SYSTEM32\DRIVERS\OVFSTHGKLWQKMBIRXODSMRIIQDOYJFYENPALUN.SYS

        HKLM\system\controlset002\services\ovfsthtpqllhtkapfakytpxnjytkyfdcdoynmr
 

Rogue.FakeAlert/Wallpaper

        C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\31ODA0IL\WARNING[1].GIF
 

Trojan.Unknown Origin

        C:\WINDOWS\SYSTEM32\OVFSTHQYLBIYNEOPIWMCJSLEGBQYSEHFAYYCNL.DLL

        C:\WINDOWS\SYSTEM32\OVFSTHUBOMMBCTDSBEMYJIJLNJJKGXEDXTVOMH.DLL
 

Trojan.Dropper/UserInit-Fake

        C:\WINDOWS\SYSTEM32\USERINIT.EXE

        C:\WINDOWS\Prefetch\USERINIT.EXE-0743FDA9.pf
 

Trace.Known Threat Sources

        C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\13R98J8Y\winlogon[1].htm

        C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A24MEWES\loads[1].htm

Erstelle eine neue Text-Datei auf deinem Desktop, kopiere den kompletten Text aus der Box hinein:

Code:

set path="%SystemRoot%\system32;%SystemRoot%"

combofix.exe

Speichere die Datei (Dateityp: Alle Dateien) mit dem Namen DoppelklickeMir.bat ab und starte sie mit Doppelklick. Poste anschliessend das Log von ComboFix.

ciao, andreas

Beim Starten kommt die blaue DOS Konsole und nach einiger Zeit erscheint ein Fenster in dem Combofix fragt, ob es sich updaten darf. Darf es oder ist das nur ein Trick irgendeiner Malware?

Paranoid: Raketenmann

Er muss sogar, das passt schon und wenn er dich fragt, ob die Systemwiederherstellungskonsole installiert werden soll, dann klickst du auf ja.

ciao, andreas

Hier das Log von Combofix.exe

Code:

ComboFix 09-05-11.01 - *MeinName* 10.05.2009  3:41.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.3071.2485 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\*MeinName*\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: combofix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

FW: ActiveArmor Firewall *enabled*

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\LocalService\protect.dll

c:\dokumente und einstellungen\*MeinName*\protect.dll

C:\test.txt

c:\windows\pi.exe

c:\windows\system32\ARAudioCDGrabber2.dll

c:\windows\system32\ARAudioPlayer2.dll

c:\windows\system32\ARAudioTransform2.dll

c:\windows\system32\autochk.dll

c:\windows\system32\config\systemprofile\protect.dll

c:\windows\system32\ivuzaner.ini

c:\windows\system32\lmn_setup.exe

c:\windows\system32\ovfsthguejkdltoqvfxbciqsqevriqwbfgxtai.dat

c:\windows\system32\ovfsthrdnsljwclejxboxrvermgeygowcxhcur.dat

c:\windows\system32\ovfsthujwddddphslxylobtqewnormynmotsnv.dll

c:\windows\system32\uniq.tll

c:\windows\system32\win32hlp.cnf
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-04-10 bis 2009-05-10  ))))))))))))))))))))))))))))))

.
 

2009-05-08 17:29 . 2009-05-08 17:29        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2009-05-08 17:29 . 2009-05-08 17:29        --------        d-----w        c:\programme\SUPERAntiSpyware

2009-05-08 17:29 . 2009-05-08 17:29        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\SUPERAntiSpyware.com

2009-05-08 16:41 . 2009-05-08 16:41        --------        d-----w        C:\cf

2009-05-08 15:57 . 2009-05-08 15:58        --------        d-----w        C:\rsit

2009-05-03 11:13 . 2009-05-03 11:13        61440        ----a-w        c:\windows\system32\drivers\mcfmfli.sys

2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--r        c:\dokumente und einstellungen\Administrator\Anwendungsdaten

2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Druckumgebung

2009-05-03 09:30 . 2005-01-23 06:12        --------        d-----w        c:\dokumente und einstellungen\Administrator\Favoriten

2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen

2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Netzwerkumgebung

2009-05-03 09:30 . 2005-01-23 06:12        --------        d-----r        c:\dokumente und einstellungen\Administrator\Startmenü

2009-05-03 09:30 . 2005-01-22 23:19        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Vorlagen

2009-05-03 09:30 . 2009-05-03 09:30        --------        d-----w        c:\dokumente und einstellungen\Administrator

2009-05-02 09:17 . 2009-05-02 09:17        --------        d-----w        c:\programme\CCleaner

2009-05-02 07:17 . 2009-05-02 07:17        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Malwarebytes

2009-05-02 07:17 . 2009-04-06 13:32        15504        ----a-w        c:\windows\system32\drivers\mbam.sys

2009-05-02 07:17 . 2009-04-06 13:32        38496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys

2009-05-02 07:17 . 2009-05-02 07:17        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-05-02 07:17 . 2009-05-02 07:17        --------        d-----w        c:\programme\Malwarebytes' Anti-Malware

2009-04-19 12:14 . 2009-04-19 15:12        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\.gnubg

2009-04-14 16:53 . 2009-04-14 16:55        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Braid

2009-04-10 11:57 . 2009-04-10 11:57        --------        d-----w        c:\programme\iPod

2009-04-10 11:57 . 2009-04-10 11:57        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

2009-04-10 11:57 . 2009-04-10 11:57        --------        d-----w        c:\programme\iTunes
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-08 17:28 . 2007-12-30 13:20        --------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2009-04-21 17:33 . 2004-08-04 12:00        97860        ----a-w        c:\windows\system32\perfc007.dat

2009-04-21 17:33 . 2004-08-04 12:00        490430        ----a-w        c:\windows\system32\perfh007.dat

2009-04-21 17:33 . 2006-01-04 15:17        --------        d-----w        c:\programme\Microsoft ActiveSync

2009-04-10 11:57 . 2007-12-15 07:37        --------        d-----w        c:\programme\Gemeinsame Dateien\Apple

2009-03-24 11:34 . 2005-01-23 08:33        --------        d-----w        c:\programme\NVIDIA Corporation

2009-03-24 11:19 . 2007-12-30 13:20        --------        d-----w        c:\programme\AGEIA Technologies

2009-03-19 14:32 . 2008-01-29 10:01        23400        ----a-w        c:\windows\system32\drivers\GEARAspiWDM.sys

2009-03-18 19:07 . 2005-12-30 10:28        --------        d-----w        c:\programme\QuickTime

2009-03-18 18:58 . 2008-04-12 15:10        --------        d-----w        c:\programme\Safari

2009-03-18 18:57 . 2008-07-12 11:41        --------        d-----w        c:\programme\Bonjour

2009-03-14 09:58 . 2005-12-06 14:07        413696        ----a-w        c:\windows\system32\wrap_oal.dll

2009-03-14 09:58 . 2005-12-06 14:07        110592        ----a-w        c:\windows\system32\OpenAL32.dll

2009-03-07 09:46 . 2009-03-07 09:46        1340416        ----a-w        c:\windows\system32\ISTWL.dll

2009-03-06 14:44 . 2004-08-04 12:00        286208        ----a-w        c:\windows\system32\pdh.dll

2009-03-05 22:59 . 2009-03-18 19:03        1900544        ----a-w        c:\windows\system32\usbaaplrc.dll

2009-03-05 22:59 . 2007-12-15 07:38        36864        ----a-w        c:\windows\system32\drivers\usbaapl.sys

2009-03-03 00:03 . 2004-08-04 12:00        826368        ----a-w        c:\windows\system32\wininet.dll

2009-02-22 14:34 . 2005-01-23 21:21        27128        ----a-w        c:\dokumente und einstellungen\*MeinName*\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-02-20 16:49 . 2004-08-04 12:00        78336        ----a-w        c:\windows\system32\ieencode.dll

2009-02-10 17:37 . 2008-09-08 16:36        6114        ----a-w        c:\windows\system32\ealregsnapshot1.reg

2009-02-09 14:14 . 2004-08-04 12:00        1846400        ----a-w        c:\windows\system32\win32k.sys

2009-02-09 11:47 . 2004-08-04 00:50        2018304        ----a-w        c:\windows\system32\ntkrnlpa.exe

2009-02-09 11:47 . 2004-08-04 12:00        2138624        ----a-w        c:\windows\system32\ntoskrnl.exe

2009-02-09 10:18 . 2004-08-04 12:00        731136        ----a-w        c:\windows\system32\lsasrv.dll

2009-02-09 10:18 . 2004-08-04 12:00        677888        ----a-w        c:\windows\system32\advapi32.dll

2009-02-09 10:18 . 2004-08-04 12:00        399360        ----a-w        c:\windows\system32\rpcss.dll

2009-02-09 10:18 . 2004-08-04 12:00        740352        ----a-w        c:\windows\system32\ntdll.dll

2009-02-09 10:04 . 2004-08-04 12:00        111104        ----a-w        c:\windows\system32\services.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]

@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"

[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]

2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]

@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"

[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]

2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]

@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"

[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]

2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]

@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"

[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]

2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]

@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"

[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]

2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]

@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"

[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]

2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]

@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"

[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]

2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2005-08-05 1200128]

"LDM"="c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-24 67128]

"Octoshape Streaming Services"="c:\programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe" [2006-02-13 214648]

"PlayNC Launcher"="f:\spiele\ncsoft\launcher\NCLauncher.exe" [2009-04-19 38136]

"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [2009-02-06 3325952]

"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-04-28 1830128]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]

"SW20"="c:\windows\system32\sw20.exe" [2006-12-15 208896]

"SW24"="c:\windows\system32\sw24.exe" [2006-12-15 69632]

"WinSys2"="c:\windows\system32\winsys2.exe" [2006-12-15 217088]

"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 77824]

"avgnt"="f:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]

"Acrobat Assistant 8.0"="g:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]

"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-05 177472]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-12 86016]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-04-02 342312]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2004-12-10 49152]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-11-12 1630208]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-04 110592]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-05 16380416]
 

c:\dokumente und einstellungen\*MeinName*\Startmen\Programme\Autostart\

ChkDisk.lnk - c:\windows\system32\rundll32.exe  [2004-8-4 33792]
 

c:\dokumente und einstellungen\*MeinName*\Startmen\Programme\Autostart\

ChkDisk.lnk - c:\windows\system32\rundll32.exe  [2004-8-4 33792]
 

c:\dokumente und einstellungen\*MeinName*\Startmen\Programme\Autostart\

ChkDisk.lnk - c:\windows\system32\rundll32.exe  [2004-8-4 33792]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-2-24 67128]

Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2006-9-7 434176]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSetActiveDesktop"= 1 (0x1)

"NoActiveDesktopChanges"= 1 (0x1)
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-12-22 10:05        356352        ----a-w        c:\programme\SUPERAntiSpyware\SASWINLO.dll
 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32

"wave1"= serwvdrv.dll
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=

"f:\\Spiele\\Valve\\Steam\\Steam.exe"=

"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\counter-strike source\\hl2.exe"=

"c:\\Programme\\Sony\\Station\\Launchpad\\LaunchPad.exe"=

"c:\\Program Files\\WS_FTP Pro\\ftp95pro.exe"=

"c:\\Programme\\BitTorrent\\btdownloadgui.exe"=

"c:\\Programme\\Java\\jdk1.5.0_05\\bin\\java.exe"=

"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\half-life 2\\hl2.exe"=

"f:\\Spiele\\Gamespy\\Aphex.exe"=

"c:\\WINDOWS\\system32\\javaw.exe"=

"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Dokumente und Einstellungen\\*MeinName*\\Eigene Dateien\\Xfire\\Xfire.exe"=

"f:\\Programme\\Firefox\\firefox.exe"=

"f:\\Programme\\Trillian\\trillian.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_23-7\\MusicMiner_23-7\\MusicMiner_23-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_24-7\\MusicMiner_24-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_25-7b\\MusicMiner_25-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_26-7\\MusicMiner_26-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_28-7\\MusicMiner_28-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_03-8\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_08-8v2\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_13-8\\MusicMiner_13-8\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_13-8v2\\MusicMiner_13-8v2\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_15-8\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_23-8\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=

"e:\\Projekte\\EMP3\\MusicMiner_28-8\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=

"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\dark messiah multiplayer open beta\\mm.exe"=

"e:\\Projekte\\battleworlds\\work\\programm\\current\\battleworld.exe"=

"f:\\Spiele\\World of Warcraft\\BackgroundDownloader.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"c:\\Programme\\Octoshape Streaming Services\\*MeinName*\\OctoshapeClient.exe"=

"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\team fortress 2\\hl2.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"e:\\Projekte\\kAGE\\build\\debug\\kAGE.exe"=

"e:\\Projekte\\kAGE\\build\\release\\kAGE.exe"=

"g:\\Spiele\\Mass Effect\\Binaries\\MassEffect.exe"=

"g:\\Spiele\\Mass Effect\\MassEffectLauncher.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=

"g:\\Spiele\\Demos\\Sacred2\\system\\s2gs.exe"=

"g:\\Spiele\\Demos\\Sacred2\\system\\sacred2.exe"=

"f:\\Programme\\Media Server\\MediaServer.exe"=

"g:\\bout_release\\kAGE.exe"=

"f:\\Spiele\\World of Warcraft\\Launcher.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"f:\\Spiele\\Valve\\Steam\\SteamApps\\common\\tom clancy's h.a.w.x - demo\\HAWX.exe"=

"f:\\Programme\\Curse\\CurseClient.exe"=

"g:\\Spiele\\Battleforge\\Bootstrapper.exe"=

"g:\\Spiele\\Battleforge\\BattleForge.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"f:\\Programme\\Skype\\Skype.exe"=

"f:\\Spiele\\Valve\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)

"2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server

"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server

"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
 

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [28.04.2009 11:33 9968]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [28.04.2009 11:33 72944]

R2 AccWLSvc;AccSys WiFi Server;c:\programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [27.07.2005 08:47 180224]

R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [28.04.2009 11:33 7408]

S2 VPCAppSv;Virtual PC Application Services;c:\windows\system32\drivers\VPCAppSv.sys [21.05.2002 03:31 10374]

S3 accwldrv;AccSys WiFi Protokoll;c:\windows\system32\drivers\accwldrv.sys [27.07.2005 08:47 12032]

S3 ASNDIS5;ASNDIS5 Protocol Driver;c:\windows\system32\ASNDIS5.sys [26.07.2005 16:24 16269]

S3 Asymddayqnss;Asymddayqnss; [x]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [18.08.2005 01:00 7168]

S3 ISNDPM00;ISNDPM00;c:\windows\system32\ISNDPM.sys [07.01.2005 13:55 4525]

S3 Slnt7554;USB Soft Modem Driver;c:\windows\system32\drivers\slnt7554.sys [31.03.2005 19:01 129535]

S3 W8100PCI;ASUS 802.11b/g Driver for Windows XP;c:\windows\system32\drivers\mrv8k51.sys [26.07.2005 16:16 256512]

S4 msvsmon80;Visual Studio 2005 Remote Debugger;f:\programme\VS2005beta\Common7\IDE\Remote Debugger\x86\msvsmon.exe [02.12.2006 06:28 2805000]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\setup.exe

.

Inhalt des "geplante Tasks" Ordners
 

2009-05-08 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

mWindow Title = Arcor AG & Co. KG

uInternet Settings,ProxyServer = 192.168.1.1:80

uInternet Settings,ProxyOverride = *.local

IE: &ICQ Toolbar Search - f:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

IE: Append to existing PDF - g:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert link target to Adobe PDF - g:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - g:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - g:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - g:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - g:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - g:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - g:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

LSP: %SYSTEMROOT%\system32\nvappfilter.dll

TCP: {89E18BB3-1B35-4F74-A3A0-41BC2D168F0C} = 192.168.2.1

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

FF - ProfilePath - c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Mozilla\Firefox\Profiles\0zd0f0cg.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de

FF - component: c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Mozilla\Firefox\Profiles\0zd0f0cg.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll

FF - plugin: c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Mozilla\Firefox\Profiles\0zd0f0cg.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll

FF - plugin: c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll

FF - plugin: c:\programme\Microsoft Research\HDView for Firefox\nphdview.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\NPGml.dll

FF - plugin: c:\programme\Octoshape Streaming Services\*MeinName*\octoprogram-L03-NMS0810164_SUA_000\npoctoshape.dll

FF - plugin: f:\programme\Acrobat\Reader\browser\nppdf32.dll

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-10 03:45

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

Combofix-log, Teil 2

Code:

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]

"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1275210071-117609710-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{09403AD0-6556-52FE-11A6-DDDF9124206B}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

"iaegmfdgghdhgnbbeo"=hex:6a,61,69,6c,62,6a,62,62,65,6d,6a,62,6a,6a,66,69,66,61,

   6a,63,00,e4

"haofcdadikcbddhg"=hex:6a,61,69,6c,62,6a,62,62,65,6d,6a,62,6a,6a,66,69,66,61,

   6a,63,00,00
 

[HKEY_USERS\S-1-5-21-1275210071-117609710-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:15,9d,3b,77,09,fe,9c,42,ba,19,50,f6,dd,75,14,87,21,c0,d6,e7,13,50,fd,

   1e,c4,c2,1e,ee,bc,fe,9f,ab,75,01,97,d1,80,ec,54,f9,2c,1a,21,dc,a2,84,f8,9f,\

"??"=hex:cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b,19,52,fe,22
 

[HKEY_USERS\S-1-5-21-1275210071-117609710-839522115-1004\Software\SecuROM\License information*]

"datasecu"=hex:41,c3,77,1e,54,94,c4,e0,f1,ba,ba,42,b4,9d,e1,fa,31,0f,7e,9a,1b,

   e9,cc,2d,fc,11,d5,1a,73,0c,54,b9,2c,1f,78,21,75,ed,75,76,c3,17,32,0f,02,5f,\

"rkeysecu"=hex:44,1a,f8,aa,64,b5,78,7b,3e,81,40,de,27,d5,5d,79
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{09403AD0-6556-52FE-11A6-DDDF9124206B}\InProcServer32*]

"jakgepnlcodiambnmhhi"=hex:6a,61,69,6c,62,6a,62,62,65,6d,6a,62,6a,6a,66,69,66,

   61,6a,63,00,00

"iakgkpdkdnmopkmbfm"=hex:6a,61,69,6c,62,6a,62,62,65,6d,6a,62,6a,6a,66,69,66,61,

   6a,63,00,00

"cbkgfobllmlkichedgogmeeipaameojobcmfnk"=hex:63,62,6c,6c,66,6a,6e,63,6c,67,65,

   6c,67,62,66,66,67,6c,6f,70,65,6e,6e,61,6e,68,6f,6a,6f,6c,62,67,6c,70,63,63,\
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{0A2C6EC6-E1BC-9BF5-B3F7D282645EFB0F}\{C08E0694-C5E1-48EE-3ACF6A24AC2BF796}\{A9549B8D-B7EF-15E1-4BD44DC35FFCD192}*]

"526BA65ZPQS4U365YNAELLJ5XA1"=hex:01,00,01,00,00,00,00,00,50,bd,9f,8a,7e,a0,d0,

   fa,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{3782D402-1413-2B4D-D5B93EB7648B29D4}\{9536055C-1E13-65AB-BABDBD84391B7DD3}\{70487E18-04C4-4686-6F59FE851A688CA9}*]

"526BA65ZPQS4U365YNAELLJ5XA1"=hex:01,00,01,00,00,00,00,00,50,bd,9f,8a,7e,a0,d0,

   fa,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EC36979A-271C-CB21-250CD586E00814A2}\{8EF4E408-9A98-28EF-CDFA1ACBF6ED5141}\{501B0FF8-8336-4915-6C99805756A8837E}*]

"526BA65ZPQS4U365YNAELLJ5XA1"=hex:01,00,01,00,00,00,00,00,50,bd,9f,8a,7e,a0,d0,

   fa,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(744)

c:\programme\SUPERAntiSpyware\SASWINLO.dll
 

- - - - - - - > 'lsass.exe'(800)

c:\windows\system32\nvappfilter.dll
 

- - - - - - - > 'explorer.exe'(3380)

c:\programme\Logitech\SetPoint\GameHook.dll

c:\programme\Logitech\SetPoint\lgscroll.dll

c:\windows\system32\MSVCP71.dll

c:\programme\TortoiseSVN\bin\tortoisesvn.dll

c:\programme\TortoiseSVN\bin\libdb43.dll

c:\programme\TortoiseSVN\bin\intl3_svn.dll

c:\programme\TortoiseCVS\TrtseShl.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\nvappfilter.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

f:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\DirectX Extensions\DXDebugService.exe

c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe

c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

c:\windows\system32\wscntfy.exe

c:\programme\TortoiseSVN\bin\TSVNCache.exe

c:\progra~1\MI3AA1~1\rapimgr.exe

c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

c:\programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

c:\programme\iPod\bin\iPodService.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-05-10  3:55 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-05-10 01:55
 

Vor Suchlauf: 4.771.880.960 Bytes frei

Nach Suchlauf: 4.926.279.680 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer
 

382        --- E O F ---        2009-04-19 18:45

1.) Deinstalliere:

Adobe Reader 6.0.1
Apple Software Update
BitTorrent 4.0.4
Bonjour
ICQ Toolbar
J2SE Development Kit 5.0 Update 5
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 4
J2SE Runtime Environment 5.0 Update 5
Java 2 Platform, Enterprise Edition 1.4 SDK
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) SE Runtime Environment 6 Update 1
Skype 3.1
Skype Plugin Manager

Ich staune doch immer wieder darüber, wieviele Leute die Adobe Master Collection haben. Doch ich war schlau, ich habe mir auch über Torrent folgende Datei besorgt:

Code:

Datei Adobe_CS4_Master_Collection___key empfangen 2009.05.11 19:17:19 (CET)

Status:    Beendet 

Ergebnis: 4/40 (10%) 

 Filter 

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.0.0.101        2009.05.11        Backdoor.Win32.SdBot!IK

AhnLab-V3        5.0.0.2        2009.05.11        -

AntiVir        7.9.0.166        2009.05.11        -

Antiy-AVL        2.0.3.1        2009.05.11        -

Authentium        5.1.2.4        2009.05.11        -

Avast        4.8.1335.0        2009.05.10        -

AVG        8.5.0.327        2009.05.11        -

BitDefender        7.2        2009.05.11        -

CAT-QuickHeal        10.00        2009.05.09        -

ClamAV        0.94.1        2009.05.11        -

Comodo        1157        2009.05.08        -

DrWeb        5.0.0.12182        2009.05.11        -

eSafe        7.0.17.0        2009.05.10        Suspicious File

eTrust-Vet        31.6.6500        2009.05.11        -

F-Prot        4.4.4.56        2009.05.11        -

F-Secure        8.0.14470.0        2009.05.11        -

Fortinet        3.117.0.0        2009.05.11        -

GData        19        2009.05.11        -

Ikarus        T3.1.1.49.0        2009.05.11        Backdoor.Win32.SdBot

K7AntiVirus        7.10.732        2009.05.11        -

Kaspersky        7.0.0.125        2009.05.11        -

McAfee        5612        2009.05.11        -

McAfee+Artemis        5612        2009.05.11        -

McAfee-GW-Edition        6.7.6        2009.05.11        -

Microsoft        1.4602        2009.05.11        -

NOD32        4065        2009.05.11        -

Norman        6.01.05        2009.05.11        -

nProtect        2009.1.8.0        2009.05.11        -

Panda        10.0.0.14        2009.05.11        -

PCTools        4.4.2.0        2009.05.07        -

Prevx        3.0        2009.05.11        Medium Risk Malware

Rising        21.29.04.00        2009.05.11        -

Sophos        4.41.0        2009.05.11        -

Sunbelt        3.2.1858.2        2009.05.09        -

Symantec        1.4.4.12        2009.05.11        -

TheHacker        6.3.4.1.324        2009.05.09        -

TrendMicro        8.950.0.1092        2009.05.11        -

VBA32        3.12.10.4        2009.05.11        -

ViRobot        2009.5.11.1729        2009.05.11        -

VirusBuster        4.6.5.0        2009.05.11        -

weitere Informationen

File size: 1084172 bytes

MD5...: bce06884ac6f40853a081843a614021a

SHA1..: 44fc18957484b78d6a7fbf0f6a86dcd3e29ef2a7

SHA256: b2535c1e15e799dc0e029fa5cbf6c3b6102f080c540234562276c43e0d43a2a1

SHA512: 10390d55ab7d2a5f855c4c5563ed41910e51bdd8c3e0c1a72042300324d44318

bda8e4d9625b2fafeb5dd9100068f6b7fe3f8a901e671ab474b0292c901efcc6

ssdeep: 24576:/N14NF7dluuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuu0uuuuuuuuuuuuuuu

uuuuuA:lkZluuuuuuuuuuuuuuuuuuuuuuuuuuux

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

TrID..: File type identification

InstallShield setup (37.5%)

UPX compressed Win32 Executable (26.6%)

Win32 EXE Yoda's Crypter (23.1%)

Win32 Executable Generic (7.4%)

Win16/32 Executable Delphi generic (1.8%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0xc6240

timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x88000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x89000 0x3e000 0x3d600 7.93 69eeabdd4b891b75baec96a36331ea7c

.rsrc 0xc7000 0x15000 0x15000 5.75 f79cf21f5c2486c43514a1214b005019
 

( 9 imports ) 

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess

> advapi32.dll: RegCloseKey

> comctl32.dll: ImageList_Add

> gdi32.dll: SaveDC

> ole32.dll: OleDraw

> oleaut32.dll: VariantCopy

> shell32.dll: ShellExecuteA

> user32.dll: GetDC

> version.dll: VerQueryValueA
 

( 0 exports ) 

PDFiD.: -

RDS...: NSRL Reference Data Set

-

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=EE2414160CAC3D228B3A1086D9FDA5005943278E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=EE2414160CAC3D228B3A1086D9FDA5005943278E</a>

packers (Kaspersky): PE_Patch.UPX, UPX

packers (F-Prot): UPX

Nur seitdem ich die gestartet habe, benimmt sich mein Computer so komisch. ;)

2.) Installiere (Toolbars immer abwählen, Haken weg):

3.) Poste ein aktuelles HJT-Log.

4.) Ich warte noch immer auf die PN mit dem Downloadlink.

ciao, andreas

Zitat:

Zitat von john.doe (Beitrag 435208)

Downloaddetails: Windows XP Service Pack 3

Beim Schritt "Aktuelle Konfiguration wird untersucht" taucht ein "Service Pack 3 Setup-Fehler" auf:
Die Datei c:\windows\apppatch\drvmain.sdb ist geöffnet oder wird von einer anderen Anwendung verwendet. Wiederholen oder Abbrechen.
Allerdings sind an sich keine Anwendungen offen (nur einige im Systemtray laufen). Ich hab allerdings nach den ganzen Deinstalls nicht neugestartet :S.
Abbrechen, neustarten, nochmal versuchen?
Oder habt ihr eine Idee, welches Programm das sein könnte?

Gruß
Philipp

Ich habe nur kurz recherchiert, aber vll könnte das hier helfen:
SP2 - Error drvmain.sdb is open - Windows Update
Dort steht, alle Netzwerkverbindungen trennen.

ciao, andreas

Hatte nach einiger Recherche jetzt einfach mal neu gestartet *duck*, wollte dann meinen Post editieren und dann deine Antwort gesehen *doppelduck*.
Jetzt installiert er....

Gruß
Raketenmann

Hauptsache geht. :)

Alter Adminspruch: Ein Reboot tut immer gut. :D

ciao, andreas

Zitat:

Zitat von john.doe (Beitrag 435263)

Alter Adminspruch: Ein Reboot tut immer gut. :D

Ist auch unter Programmieren nicht unbekannt ;-) "Rebuild all" wirkt da auch oft Wunder...
Aktuelles HJT:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:07:56, on 10.05.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\DirectX Extensions\DXDebugService.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\TortoiseSVN\bin\TSVNCache.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\winsys2.exe

C:\WINDOWS\system32\rundll32.exe

F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\RTHDCPL.EXE

G:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Microsoft ActiveSync\wcescomm.exe

C:\Programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe

F:\spiele\ncsoft\launcher\NCLauncher.exe

C:\Programme\Electronic Arts\EADM\Core.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\msiexec.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\HijackThis\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - G:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "G:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe" -inv:bootrun

O4 - HKCU\..\Run: [PlayNC Launcher] F:\spiele\ncsoft\launcher\NCLauncher.exe /Minimized

O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')

O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')

O4 - Startup: ChkDisk.lnk = ?

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Append to existing PDF - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198742957078

O17 - HKLM\System\CCS\Services\Tcpip\..\{89E18BB3-1B35-4F74-A3A0-41BC2D168F0C}: NameServer = 192.168.2.1

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe

O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: TVersityMediaServer - Unknown owner - F:\Programme\Media Server\MediaServer.exe
 

--

End of file - 11448 bytes

Schönes HJT-Log, nur die Zeit gefällt mir nicht. :)

Da bin ich knallhart, ich möchte ein aktuelles. ;)

ciao, andreas

p.s.: Klick nochmal auf Editieren, sonst sage ich allen, dass du Heino heißt. :)