drain_bamage | 28.06.2008 15:13 | System Error! Bitte um Hilfe Guten Tag! Hier nun ein eigener Thread zu meinem Problem.
Ich habe seit gestern Abend das Problem mit ziemlich nerviger Spyware, die immer dann aufpopt wenn ich einen Ordner öffne. Das Pop-up sagt folgendes: Some dangerous trojan horses detected your system! ... Habe hier schon recht viel zu diesem speziellen Befall gelesen, habe auch bereits Anti-Malware, Smitfraudfix und HJT laufen gelassen, aber das Problem besteht immer noch.
Hier erstmal der HJT Log: Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08:28, on 28.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
E:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\Malwarebytes' Anti-Malware\mbam.exe
E:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Perfect Insanity\Desktop\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.daemon-search.com/startpage
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WinView plugin - {8AE578E0-6DF5-41E0-869F-F65A32D2F6BD} - C:\WINDOWS\system32\xmlview.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - E:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 6206 bytes Habe hierbei noch nichts gefixed, wollte da auf die Meinung von euch warten, bevor ich irgendetwas verändere.
Dazu hier der Smitfraudfix Log, nachdem ich bereits gesäubert habe: Code:
SmitFraudFix v2.328
Scan done at 15:24:23,50, 28.06.2008
Run from C:\Dokumente und Einstellungen\XXX\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6605BFF1-96B0-4071-A674-1BB457F383BD}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6605BFF1-96B0-4071-A674-1BB457F383BD}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6605BFF1-96B0-4071-A674-1BB457F383BD}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End Wenn nötig schreibe ich auch noch den Anti-Malware Log mitdazu.
Hoffe auf baldige Hilfe, denn das Pop-Up nervt gewaltig :/
Update1: So, hier erstmal der Anti-Malware Log, combofix log folgt bald: Code:
Malwarebytes' Anti-Malware 1.18
Datenbank Version: 897
14:47:48 28.06.2008
mbam-log-6-28-2008 (14-47-48).txt
Scan Art: Komplett Scan (C:\|E:\|J:\|)
Objekte gescannt: 212547
Scan Dauer: 45 minute(s), 16 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{4937d5d1-2039-409a-bd83-fec9b39b2356} (Trojan.FakeAlert) -> Quarantined and deleted
successfully.
HKEY_CLASSES_ROOT\Interface\{caf9d798-c659-4b9b-8e19-ee27c3d04ee7} (Trojan.FakeAlert) -> Quarantined and deleted
successfully.
HKEY_CLASSES_ROOT\Typelib\{15c7d7ad-a87a-4c0d-9d8b-637fcd3488ef} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\XXX\Desktop\Nero 6.6.0.3\NeroVision.Express.v3.1.0.14.Keygen-ORiON\Keygen.exe (Trojan.Agent)
-> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\XXX\Lokale
Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\jmtmxk36.default\Cache\4499FF9Fd01 (Rogue.Installer) -> Quarantined
and deleted successfully.
E:\Programme\Neoact\Carom3D\cwebpage.dll (Adware.NewWeb) -> Quarantined and deleted successfully.
E:\Programme\XMoto\sqlite3.dll (Rogue.Multiple) -> Quarantined and deleted successfully. Update2: So, habe jetzt Combofix durchlaufen lassen. Komischerweise habe ich jetzt den Internet Explorer auf meinem Desktop? Ich benutze seit jeher Firefox bzw. Opera, deshalb frag ich mich wo der jetzt herkommt.
Aber hier erstmal der Log von Combofix: Code:
ComboFix 08-06-20.4 - Perfect Insanity 2008-06-28 16:36:32.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1599 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
J:\Autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-28 ))))))))))))))))))))))))))))))
.
2008-06-28 15:19 . 2008-06-28 15:24 2,788 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-28 13:34 . 2008-06-28 13:34 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-06-28 13:34 . 2008-06-28 13:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-28 13:34 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-28 13:34 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-27 19:04 . 2008-06-27 19:04 26,624 --a------ C:\WINDOWS\system32\xmlview.dll
2008-06-27 19:02 . 2008-06-27 19:02 <DIR> d-------- C:\VideoOutput
2008-06-27 18:36 . 2008-06-27 18:36 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Ashampoo
2008-06-27 18:35 . 2008-06-27 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-06-27 17:17 . 2008-06-27 17:17 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-27 17:17 . 2008-06-27 17:17 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-18 20:03 . 2008-06-18 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\SPORE Creature Creator
2008-06-18 13:48 . 2008-06-27 13:22 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-06-11 18:11 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 18:11 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-08 00:28 . 2008-06-08 00:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters
2008-06-07 20:42 . 2008-06-07 20:42 <DIR> d-------- C:\Programme\OpenAL
2008-06-07 20:42 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-06-07 20:42 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-06-07 20:42 . 2008-04-28 15:53 805,400 -ra------ C:\WINDOWS\system32\tmpF01.tmp
2008-06-07 20:42 . 2008-04-28 15:53 805,400 -ra------ C:\WINDOWS\system32\tmpF00.tmp
2008-06-07 20:42 . 2008-03-05 16:03 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
2008-06-07 20:42 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-06-07 20:42 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-06-07 20:42 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-27 21:07 --------- d-----w C:\Programme\ESET
2008-06-27 16:37 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype
2008-06-27 14:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-06-27 14:01 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\skypePM
2008-06-27 11:22 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-18 08:41 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\dvdcss
2008-06-07 18:42 444,952 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-07 18:42 109,080 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-05-23 14:40 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Talkback
2008-05-23 14:24 --------- d-----w C:\Programme\SEC
2008-05-18 12:05 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\teamspeak2
2008-05-14 20:53 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\OpenOffice.org2
2008-05-11 20:16 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-05-10 13:34 21,840 ----a-w C:\WINDOWS\system32\SIntfNT.dll
2008-05-10 13:34 17,212 ----a-w C:\WINDOWS\system32\SIntf32.dll
2008-05-10 13:34 12,067 ----a-w C:\WINDOWS\system32\SIntf16.dll
2008-05-10 12:49 2,829 ----a-w C:\WINDOWS\DIIUnin.pif
2008-05-10 12:49 102,400 ----a-w C:\WINDOWS\DIIUnin.exe
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-02 20:41 --------- d-----w C:\Programme\Unity
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-16 19:41 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-04-08 12:31 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-04-08 12:31 266,240 ------w C:\WINDOWS\Setup1.exe
2008-02-16 17:19 1 ----a-w C:\Dokumente und Einstellungen\XXX\SI.bin
2008-01-09 16:35 22,328 ----a-w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\PnkBstrK.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-12-13 18:49 1185120 --a------ C:\Programme\Winamp Toolbar\winamptb.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8AE578E0-6DF5-41E0-869F-F65A32D2F6BD}]
2008-06-27 19:04 26624 --a------ C:\WINDOWS\system32\xmlview.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-12-13 18:49 1185120]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-12-13 18:49 1185120]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 15:20 81920]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"Creative MediaSource Go"="C:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe" [2005-12-12 10:36 143360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-05-25 08:07 1953792]
"nod32kui"="C:\Programme\Eset\nod32kui.exe" [2008-01-07 18:48 949376]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"Adobe Reader Speed Launcher"="E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048]
"CTHelper"="CTHELPER.EXE" [2006-12-12 11:46 19456 C:\WINDOWS\system32\CtHelper.exe]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-12-12 11:46 20480 C:\WINDOWS\system32\Ctxfihlp.exe]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe"
"DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
"Steam"="e:\progra~1\valve\steam\steam.exe" -silent
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"AdobeUpdater"=C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="E:\iTunes\iTunesHelper.exe"
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
"JMB36X IDE Setup"=C:\WINDOWS\RaidTool\xInsIDE.exe
"Gainward"=C:\Programme\Vtune\TBPanel.exe /A
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"E:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"E:\\iTunes\\iTunes.exe"=
"E:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"E:\\Programme\\Codemasters\\GRID\\GRID.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys [2006-12-19 09:36]
S3 Razerlow;Razer Copperhead Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys [2005-08-12 11:11]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-11 18:08]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-27 15:55:54 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- E:\Programme\TuneUp Utilities 2008\OneClick.exe
"2008-05-22 11:15:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 16:38:10
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTHelper = CTHELPER.EXE?
CTxfiHlp = CTXFIHLP.EXE?
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySQL]
"ImagePath"="\"E:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"E:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programme\Eset\pr_imon.dll
.
Zeit der Fertigstellung: 2008-06-28 16:38:41
ComboFix-quarantined-files.txt 2008-06-28 14:38:25
10 Verzeichnis(se), 25,509,146,624 Bytes frei
12 Verzeichnis(se), 25,512,415,232 Bytes frei
178 --- E O F --- 2008-06-20 21:09:11 |