|
Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update) Hallo.. Nach dem Hochfahren des Computers öffnet sich seit neustem Mozilla Firefox mit folgender Webseite: http://update.windowssettings.org/2/update.php Mozilla warnt dann mit "Web Betrug" Phishing Seite etc.... Woran liegt das? Was ist zu tun? Tausend Dank für eure Hilfe! Lieben Gruss, Sonja |
Hallo und :hallo: Acker diese Punkte für weitere Analysen ab: 1.) Poste ein Hijackthis Logfile. 2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
Vielen Dank für deine Hilfe, werde das jetzt alles ausführen. Zu meinen Problem mit der Seite ist folgendes hinzu gekommen: http://www.trojaner-board.de/58807-explorer-exe-konnte-nicht-gefunden-werden-trojaner.html Hier nochmal der Logfile: Logfile of Trend Micro HiJackThis v2.0.2 Scan saved at 21:31:07, on 29.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe C:\WINDOWS\system32\AvidSDMService.exe C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Digidesign\Drivers\MMERefresh.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\lxcicoms.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sony\VAIO Event Service\VESMgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\PROGRA~1\MICROS~3\Office\OUTLOOK.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\Programme\Trend Micro\HijackThis\hijackthis.exe C:\PROGRA~1\MICROS~3\Office\WINWORD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.club-vaio.com/ R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin .dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe O4 - HKLM\..\Run: [VAIO Update 3] "C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" /Stationary O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe" O4 - HKLM\..\Run: [Biomenu] "C:\Programme\Protector Suite QL\menusw.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Programme\Digidesign\Drivers\MMERefresh.exe O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItim e.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon. exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Sccs] C:\Dokumente und Einstellungen\sonja\sccs.exe O4 - HKLM\..\Run: [Css] C:\Dokumente und Einstellungen\sonja\css.exe O4 - HKLM\..\Run: [ppxcs] C:\Dokumente und Einstellungen\sonja\ppxcs.exe O4 - HKLM\..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Norton Save and Restore 2.0] "C:\Programme\Norton Save and Restore\Agent\VProTray.exe" O4 - HKLM\..\Run: [lxcimon.exe] "C:\Programme\Lexmark 7300 Series\lxcimon.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 7300 Series\ezprint.exe" O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f O4 - HKLM\..\RunOnce: [*Restore] C:\WINDOWS\system32\restore\rstrui.exe -i O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SWR3RauchFrei] "C:\Programme\RauchFrei\RauchFrei.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.v bs" O4 - HKCU\..\RunOnce: [TSClientAXDisabler] cmd.exe /C "%systemroot%\Installer\TSClientMsiTrans\tscdsbl.b at" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.com O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Drivers\MMERefresh.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Desktop Manager 5.7.801.1629 (GoogleDesktopManager-010108-205858) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe O23 - Service: Norton Save and Restore - Symantec Corporation - C:\Programme\Norton Save and Restore\Agent\VProSvc.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 12805 bytes |
hey root.. also das mbr tool hab ich runtergeladen, wenn ich es über den taskmanager öffne, geht kurz ein fenster auf ( eine art dos modus) was gleich wieder verschwindet. das wars dann. mehr geht da nicht. mmh? blacklight hat nichts gefunden. malwarebytes läuft noch.. oh mann..ich dreh noch durch.. immer son mist, wenn man es am wenigsten braucht.. danke für deine hilfe.. sonja |
mbr.exe ist ein command-line-tool. Hätte ich eigentlich erwähnen müssen, nachdem Du es ausgeführt hast, speichert es automatisch eine Logdatei. Wahrscheinlich bei Dir aufm Desktop (mbr.log). Poste die Logfiles mit Codetags umschlossen! |
Malwarebytes' Anti-Malware 1.19 Datenbank Version: 901 Windows 5.1.2600 Service Pack 2 23:44:33 29.08.2008 mbam-log-8-29-2008 (23-44-25).txt Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 124823 Scan Dauer: 52 minute(s), 39 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Security.Hijack) -> No action taken. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\dllcache\explorer.ex_ (Heuristics.Reserved.Word.Exploit) -> No action taken. C:\WINDOWS\explorer.ex_ (Heuristics.Reserved.Word.Exploit) -> No action taken. C:\Dokumente und Einstellungen\sonja\Desktop\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken. |
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
Krass, vielen Tausend Dank. Keine Ahnung wie stabil das ganze nun ist, aber die Sache mit dem Comofix hats in sich. Alles wieder da. Super.. vielen lieben Dank. Du hast mir echt das Wochenende gerettet. Dachte schon, ich muss alles neu aufsetzen, was ein Problem wäre, weil ich unterwegs bin und die ganze Software natürlich nicht dabei hab.. muss ich nun irgendwas wieder einstellen? systemwiederherstellung oder so? was ist mit den funden von malwarebyte..muss ich die löschen oder hat combofix schon klar schiff gemacht? krass ist, dass nun jeder mist, den ich mal über msconfig aus dem systemstart gelöscht habe (msn und realplayer zeugs..) nun wieder automatisch beim hochfahren am start ist.. kann ich das wieder alles deaktivieren? und gibt es noch was, dass ich machen muss, damit mein baby nun wieder stabil läuft? anbei das logfile von combofix: ComboFix 08-08-29.01 - sonja 2008-08-30 0:03:31.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1456 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\sonja\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\Microsoft Common C:\WINDOWS\system32\tmp82.tmp C:\WINDOWS\system32\vsdatant.sys C:\WINDOWS\system32\x64 . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_VSDATANT -------\Service_vsdatant ((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-29 )))))))))))))))))))))))))))))) . 2008-08-29 23:58 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-29 22:45 . 2008-08-29 22:45 <DIR> d-------- C:\Programme\CCleaner 2008-08-29 21:56 . 2008-08-29 23:27 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak 2008-08-29 20:05 . 2008-08-29 21:04 <DIR> d-------- C:\WINDOWS\system32\de 2008-08-29 20:05 . 2008-08-29 21:04 <DIR> d-------- C:\WINDOWS\system32\bits 2008-08-29 19:18 . 2004-08-04 00:57 252,928 --a------ C:\WINDOWS\system32\dllcache\ctmasetp.dll 2008-08-29 19:17 . 2001-08-18 04:53 119,296 --a------ C:\WINDOWS\system32\dllcache\camext30.dll 2008-08-29 19:17 . 2004-08-03 23:00 8,192 --a------ C:\WINDOWS\system32\dllcache\changer.sys 2008-08-29 19:16 . 2004-08-04 00:58 18,432 --a------ C:\WINDOWS\system32\dllcache\bdaplgin.ax 2008-08-29 19:16 . 2004-08-03 23:10 13,696 --a------ C:\WINDOWS\system32\dllcache\avcstrm.sys 2008-08-29 19:16 . 2004-08-03 23:10 11,776 --a------ C:\WINDOWS\system32\dllcache\bdasup.sys 2008-08-29 19:15 . 2007-02-28 18:06 2,184,448 --a------ C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2008-08-29 19:15 . 2004-08-03 23:00 12,288 --a------ C:\WINDOWS\system32\dllcache\4mmdat.sys 2008-08-29 16:40 . 2004-08-04 14:00 847,360 --a------ C:\WINDOWS\system32\dllcache\inetmgr.dll 2008-08-29 16:39 . 2004-08-04 14:00 19,456 --a------ C:\WINDOWS\system32\dllcache\agt0804.dll 2008-08-29 16:38 . 2004-08-04 14:00 19,456 --a------ C:\WINDOWS\system32\dllcache\agt0412.dll 2008-08-29 16:38 . 2004-08-04 14:00 19,456 --a------ C:\WINDOWS\system32\dllcache\agt040d.dll 2008-08-29 16:38 . 2004-08-04 14:00 19,456 --a------ C:\WINDOWS\system32\dllcache\agt0401.dll 2008-08-29 16:37 . 2004-08-04 14:00 334,848 --a------ C:\WINDOWS\system32\dllcache\aqueue.dll 2008-08-29 16:37 . 2004-08-04 14:00 218,112 --a------ C:\WINDOWS\system32\dllcache\c_g18030.dll 2008-08-29 16:30 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\003059_.tmp 2008-08-29 16:27 . 2007-10-25 18:42 8,501,248 --a------ C:\WINDOWS\system32\dllcache\shell32.dll 2008-08-28 21:00 . 2008-04-14 05:42 1,033,728 --a------ C:\WINDOWS\explorer.ex_ 2008-08-28 20:59 . 2008-04-14 05:42 1,033,728 --a--c--- C:\WINDOWS\system32\dllcache\explorer.ex_ 2008-08-27 18:48 . 2001-08-18 04:55 99,865 --a--c--- C:\WINDOWS\system32\dllcache\xlog.exe 2008-08-27 18:48 . 2001-08-18 04:55 27,648 --a--c--- C:\WINDOWS\system32\dllcache\xrxftplt.exe 2008-08-27 18:48 . 2001-08-18 04:54 23,040 --a--c--- C:\WINDOWS\system32\dllcache\xrxwbtmp.dll 2008-08-27 18:48 . 2001-08-18 04:55 4,608 --a--c--- C:\WINDOWS\system32\dllcache\xrxflnch.exe 2008-08-27 18:47 . 2004-08-04 14:00 28,288 --a--c--- C:\WINDOWS\system32\dllcache\xjis.nls 2008-08-27 18:47 . 2004-08-03 22:29 19,455 --a--c--- C:\WINDOWS\system32\dllcache\wvchntxx.sys 2008-08-27 18:47 . 2001-08-17 12:11 16,970 --a--c--- C:\WINDOWS\system32\dllcache\xem336n5.sys 2008-08-27 18:47 . 2004-08-03 22:29 12,063 --a--c--- C:\WINDOWS\system32\dllcache\wsiintxx.sys 2008-08-27 18:44 . 2001-08-17 13:28 701,386 --a--c--- C:\WINDOWS\system32\dllcache\wdhaalba.sys 2008-08-27 18:43 . 2001-08-17 13:28 687,999 --a--c--- C:\WINDOWS\system32\dllcache\usrwdxjs.sys 2008-08-27 18:43 . 2001-08-17 13:28 604,253 --a--c--- C:\WINDOWS\system32\dllcache\vmodem.sys 2008-08-27 18:43 . 2004-08-04 14:00 426,041 --a------ C:\WINDOWS\system32\dllcache\voicepad.dll 2008-08-27 18:43 . 2001-08-17 13:28 397,502 --a--c--- C:\WINDOWS\system32\dllcache\vpctcom.sys 2008-08-27 18:43 . 2001-08-17 12:14 249,402 --a--c--- C:\WINDOWS\system32\dllcache\vinwm.sys 2008-08-27 18:43 . 2004-08-04 14:00 86,073 --a------ C:\WINDOWS\system32\dllcache\voicesub.dll 2008-08-27 18:43 . 2001-08-17 13:49 24,576 --a--c--- C:\WINDOWS\system32\dllcache\viairda.sys 2008-08-27 18:42 . 2001-08-17 13:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys 2008-08-27 18:42 . 2001-08-17 13:28 794,399 --a--c--- C:\WINDOWS\system32\dllcache\usr1806v.sys 2008-08-27 18:42 . 2001-08-17 13:28 793,598 --a--c--- C:\WINDOWS\system32\dllcache\usr1806.sys 2008-08-27 18:42 . 2001-08-17 13:28 765,884 --a--c--- C:\WINDOWS\system32\dllcache\usrti.sys 2008-08-27 18:42 . 2001-08-17 13:28 224,802 --a--c--- C:\WINDOWS\system32\dllcache\usr1807a.sys 2008-08-27 18:42 . 2001-08-17 13:28 113,762 --a--c--- C:\WINDOWS\system32\dllcache\usrpda.sys 2008-08-27 18:42 . 2004-08-04 14:00 76,288 --a------ C:\WINDOWS\system32\dllcache\uniime.dll 2008-08-27 18:42 . 2004-08-04 14:00 65,024 --a------ C:\WINDOWS\system32\dllcache\unicdime.ime 2008-08-27 18:42 . 2004-08-04 00:43 32,384 --a--c--- C:\WINDOWS\system32\dllcache\usb101et.sys 2008-08-27 18:42 . 2001-08-17 13:28 7,556 --a--c--- C:\WINDOWS\system32\dllcache\usroslba.sys 2008-08-27 18:40 . 2004-08-04 14:00 571,392 --a------ C:\WINDOWS\system32\dllcache\tintlgnt.ime 2008-08-27 18:39 . 2004-08-04 14:00 185,344 --a--c--- C:\WINDOWS\system32\dllcache\thawbrkr.dll 2008-08-27 18:38 . 2001-08-18 04:18 287,232 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys 2008-08-27 18:37 . 2001-08-18 04:52 147,200 --a--c--- C:\WINDOWS\system32\dllcache\smidispb.dll 2008-08-27 18:36 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys 2008-08-27 18:35 . 2001-08-18 04:52 386,560 --a--c--- C:\WINDOWS\system32\dllcache\sgiul50.dll 2008-08-27 18:35 . 2001-08-18 04:35 161,888 --a--c--- C:\WINDOWS\system32\dllcache\sgsmusb.sys 2008-08-27 18:35 . 2001-08-17 12:51 98,080 --a--c--- C:\WINDOWS\system32\dllcache\sgiulnt5.sys 2008-08-27 18:35 . 2001-08-17 12:19 36,480 --a--c--- C:\WINDOWS\system32\dllcache\sfmanm.sys 2008-08-27 18:35 . 2001-08-18 04:54 26,112 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_seos.dll 2008-08-27 18:35 . 2001-07-21 14:29 18,400 --a--c--- C:\WINDOWS\system32\dllcache\sgsmld.sys 2008-08-27 18:35 . 2001-08-18 04:34 18,176 --a--c--- C:\WINDOWS\system32\dllcache\sermouse.sys 2008-08-27 18:35 . 2001-08-18 04:34 7,040 --a--c--- C:\WINDOWS\system32\dllcache\serscan.sys 2008-08-27 18:35 . 2001-08-17 13:53 6,912 --a--c--- C:\WINDOWS\system32\dllcache\seaddsmc.sys 2008-08-27 18:33 . 2001-08-18 04:33 715,242 --a--c--- C:\WINDOWS\system32\dllcache\r2mdmkxx.sys 2008-08-27 18:32 . 2001-08-18 04:33 899,658 --a--c--- C:\WINDOWS\system32\dllcache\r2mdkxga.sys 2008-08-27 18:31 . 2004-08-04 14:00 482,304 --a------ C:\WINDOWS\system32\dllcache\pintlgnt.ime 2008-08-27 18:30 . 2004-08-03 22:29 1,897,408 --a--c--- C:\WINDOWS\system32\dllcache\nv4_mini.sys 2008-08-27 18:29 . 2004-08-04 00:49 132,695 --a--c--- C:\WINDOWS\system32\dllcache\netwlan5.sys 2008-08-27 18:28 . 2004-08-04 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex 2008-08-27 18:27 . 2001-08-17 14:02 35,200 --a--c--- C:\WINDOWS\system32\dllcache\msgame.sys 2008-08-27 18:27 . 2001-08-17 13:52 17,280 --a--c--- C:\WINDOWS\system32\dllcache\mraid35x.sys 2008-08-27 18:27 . 2001-08-17 13:48 6,016 --a--c--- C:\WINDOWS\system32\dllcache\msfsio.sys 2008-08-27 18:25 . 2004-08-04 14:00 1,158,818 --a--c--- C:\WINDOWS\system32\dllcache\korwbrkr.lex 2008-08-27 18:24 . 2004-08-04 14:00 716,856 --a------ C:\WINDOWS\system32\dllcache\imjpcus.dll 2008-08-27 18:23 . 2004-08-04 14:00 13,463,552 --a------ C:\WINDOWS\system32\dllcache\hwxjpn.dll 2008-08-27 18:22 . 2004-08-04 14:00 10,096,640 --a--c--- C:\WINDOWS\system32\dllcache\hwxcht.dll 2008-08-27 18:21 . 2001-08-18 04:52 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll 2008-08-27 18:20 . 2001-08-17 12:15 455,680 --a--c--- C:\WINDOWS\system32\dllcache\fus2base.sys 2008-08-27 18:19 . 2001-08-18 04:30 634,198 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys 2008-08-27 18:18 . 2001-08-17 12:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys 2008-08-27 18:17 . 2008-04-13 22:13 480,256 --a--c--- C:\WINDOWS\system32\dllcache\cintsetp.exe 2008-08-27 18:16 . 2004-08-04 14:00 1,677,824 --a--c--- C:\WINDOWS\system32\dllcache\chsbrkr.dll 2008-08-27 18:15 . 2001-08-17 13:28 871,388 --a--c--- C:\WINDOWS\system32\dllcache\bcmdm.sys 2008-08-27 18:14 . 2001-08-17 12:19 747,392 --a--c--- C:\WINDOWS\system32\dllcache\adm8830.sys 2008-08-27 18:13 . 2001-08-17 13:28 762,780 --a--c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys 2008-08-27 18:13 . 2001-08-18 04:52 689,216 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvs.dll 2008-08-27 18:13 . 2001-08-17 12:48 148,352 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvsm.sys 2008-08-27 18:13 . 2001-08-17 14:06 11,264 --a--c--- C:\WINDOWS\system32\dllcache\1394vdbg.sys 2008-08-27 18:13 . 2004-08-04 14:00 7,168 --a--c--- C:\WINDOWS\system32\dllcache\wamregps.dll 2008-08-27 18:12 . 2004-08-04 14:00 172,032 --a--c--- C:\WINDOWS\system32\dllcache\iisui.dll 2008-08-27 18:12 . 2004-08-04 14:00 96,768 --a--c--- C:\WINDOWS\system32\dllcache\certmap.ocx 2008-08-27 18:12 . 2001-08-18 04:52 66,048 --a--c--- C:\WINDOWS\system32\dllcache\s3legacy.dll 2008-08-27 18:12 . 2004-08-04 14:00 19,968 --a--c--- C:\WINDOWS\system32\dllcache\inetsloc.dll 2008-08-27 18:12 . 2004-08-04 14:00 15,360 --a--c--- C:\WINDOWS\system32\dllcache\iisreset.exe 2008-08-27 18:12 . 2004-08-04 14:00 7,680 --a--c--- C:\WINDOWS\system32\dllcache\inetmgr.exe 2008-08-27 18:12 . 2004-08-04 14:00 6,144 --a--c--- C:\WINDOWS\system32\dllcache\ftpsapi2.dll 2008-08-27 18:12 . 2004-08-04 14:00 5,632 --a--c--- C:\WINDOWS\system32\dllcache\iisrstap.dll 2008-08-27 18:05 . 2008-08-27 18:05 <DIR> d--h----- C:\WINDOWS\PIF 2008-08-27 17:22 . 2008-08-27 17:22 <DIR> d-------- C:\Programme\Panda Security 2008-08-27 17:22 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-08-22 14:54 . 2008-08-22 14:59 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-08-21 20:21 . 2008-08-21 20:21 <DIR> d-------- C:\Programme\MagicISO 2008-08-20 19:48 . 2008-08-20 19:49 <DIR> d-------- C:\WINDOWS\usb-audio.deMaya44 2008-08-20 19:47 . 2007-09-06 03:29 325,344 --------- C:\WINDOWS\system32\drivers\Maya44.sys 2008-08-20 19:47 . 2007-09-06 03:29 23,360 --------- C:\WINDOWS\system32\drivers\pgusbmm3.sys 2008-08-20 19:34 . 2008-08-20 20:38 <DIR> d-------- C:\Programme\Native Instruments . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-29 22:12 8,867,872 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-08-29 22:10 6,441,798 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2008-08-29 22:07 105,872 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-08-29 21:58 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware 2008-08-29 21:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-08-29 10:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-08-28 22:07 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\skypePM 2008-08-28 21:59 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\Skype 2008-08-22 14:01 --------- d-----w C:\Programme\Lx_cats 2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys 2008-08-16 15:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-08-13 10:15 781,824 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp 2008-07-30 20:31 --------- d-----w C:\Programme\RauchFrei 2008-07-19 18:40 --------- d-----w C:\Programme\SUPERAntiSpyware 2008-07-19 18:40 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\SUPERAntiSpyware.com 2008-07-13 17:00 --------- d-----w C:\Programme\gs 2008-07-13 17:00 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\WordToPDF 2008-07-13 16:41 --------- d-----w C:\Programme\Ghostgum 2008-07-13 16:39 --------- d-----w C:\Programme\WordToPDF 2008-07-10 16:07 --------- d-----w C:\Programme\Google 2008-07-03 16:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-07-02 22:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2008-07-02 22:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-29 10:55 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\Malwarebytes 2008-06-29 10:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-28 17:54 20,239,647 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_06_28_19_43_42_full.dmp.zip 2008-06-28 17:43 3,027,456 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp 2008-06-28 17:43 1,760,256 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp 2008-06-28 17:06 15,544 ----a-w C:\WINDOWS\system32\drivers\sbhr.sys 2008-06-28 17:04 --------- d-----w C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\Sunbelt Software 2008-06-28 17:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software 2008-06-28 17:03 --------- d-----w C:\Programme\Sunbelt Software 2008-06-05 22:45 1,669,120 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp 2008-05-31 10:36 1,662,976 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp 2008-04-08 20:43 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-08 12:06 94208] "SWR3RauchFrei"="C:\Programme\RauchFrei\RauchFrei.exe" [2004-04-07 01:02 895488] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:37 21898024] "MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208] "SetDefaultMIDI"="MIDIDef.exe" [2005-04-22 05:27 73728 C:\WINDOWS\MIDIDEF.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2007-02-14 12:05 172032] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-03-30 04:13 138008] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-03-30 04:13 162584] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-03-30 04:13 138008] "AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2007-05-15 08:41 53248] "ISBMgr.exe"="C:\Programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 14:12 32768] "VAIO Update 3"="C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" [2007-05-31 09:32 551032] "SonyPowerCfg"="C:\Programme\Sony\VAIO Power Management\SPMgr.exe" [2007-07-30 20:29 217088] "Biomenu"="C:\Programme\Protector Suite QL\menusw.exe" [2006-02-22 20:02 1094144] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 22:51 266497] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648] "CTAPR2"="C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 17:39 57344] "VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 18:50 180224] "DigidesignMMERefresh"="C:\Programme\Digidesign\Drivers\MMERefresh.exe" [2006-02-15 01:31 61440] "LXCICATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2006-11-21 19:27 106496] "WrtMon.exe"="C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 09:35 20480] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-13 02:37 185896] "SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-12-11 11:56 286720] "SearchSettings"="C:\Programme\Search Settings\SearchSettings.exe" [2008-02-06 17:47 1036640] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352] "Norton Save and Restore 2.0"="C:\Programme\Norton Save and Restore\Agent\VProTray.exe" [2007-10-05 13:33 2041184] "lxcimon.exe"="C:\Programme\Lexmark 7300 Series\lxcimon.exe" [2007-02-02 04:14 205744] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 13:10 267048] "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-01-28 13:22 29744] "EzPrint"="C:\Programme\Lexmark 7300 Series\ezprint.exe" [2007-02-02 04:15 103344] "AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2008-01-09 18:20 455680] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "SPIRun"="SPIRun.dll" [2006-11-29 12:35 8704 C:\WINDOWS\system32\SPIRun.dll] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] "DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-08-24 03:18 437160] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus] 2006-02-22 20:03 39936 C:\WINDOWS\system32\fusstub.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon] 2006-12-28 16:54 73728 C:\WINDOWS\system32\VESWinlogon.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.DVSD"= miroDV2avi.dll "vidc.AVRn"= AvidAVICodec.dll "MIDI2"= diomidi.dll "wave2"= Digi32.dll "vidc.XVID"= xvid.dll "vidc.MPG4"= vp31vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\WINDOWS\\system32\\lxcicoms.exe"= "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxcipswx.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "135:TCP"= 135:TCP:TCP Port 135 "5000:TCP"= 5000:TCP:TCP Port 5000 "5001:TCP"= 5001:TCP:TCP Port 5001 "5002:TCP"= 5002:TCP:TCP Port 5002 "5003:TCP"= 5003:TCP:TCP Port 5003 "5004:TCP"= 5004:TCP:TCP Port 5004 "5005:TCP"= 5005:TCP:TCP Port 5005 "5006:TCP"= 5006:TCP:TCP Port 5006 "5007:TCP"= 5007:TCP:TCP Port 5007 "5008:TCP"= 5008:TCP:TCP Port 5008 "5009:TCP"= 5009:TCP:TCP Port 5009 "5010:TCP"= 5010:TCP:TCP Port 5010 "5011:TCP"= 5011:TCP:TCP Port 5011 "5012:TCP"= 5012:TCP:TCP Port 5012 "5013:TCP"= 5013:TCP:TCP Port 5013 "5014:TCP"= 5014:TCP:TCP Port 5014 "5015:TCP"= 5015:TCP:TCP Port 5015 "5016:TCP"= 5016:TCP:TCP Port 5016 "5017:TCP"= 5017:TCP:TCP Port 5017 "5018:TCP"= 5018:TCP:TCP Port 5018 "5019:TCP"= 5019:TCP:TCP Port 5019 "5020:TCP"= 5020:TCP:TCP Port 5020 R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24] R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-06-28 19:06] R0 shpf;Sony HDD Protection Filter Driver;C:\WINDOWS\system32\DRIVERS\shpf.sys [2007-03-19 04:40] R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2007-09-26 11:53] R2 BcmSqlStartupSvc;SQL Server-Startdienst für Business Contact Manager;C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [2008-01-16 09:51] R2 FdRedir;FdRedir;C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys [2006-02-22 20:05] R2 FileDisk2;FileDisk Protector Kernel Driver;C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys [2006-02-22 20:05] R2 lxci_device;lxci_device;C:\WINDOWS\system32\lxcicoms.exe [2007-02-02 04:13] R2 SentEmul;SentEmul;C:\WINDOWS\system32\DRIVERS\sentemul.sys [2006-05-14 01:49] R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2007-02-14 12:07] R3 Norton Save and Restore;Norton Save and Restore;C:\Programme\Norton Save and Restore\Agent\VProSvc.exe [2007-10-05 13:33] R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys [] R3 ti21sony;ti21sony;C:\WINDOWS\system32\drivers\ti21sony.sys [2007-03-13 23:33] S3 GoogleDesktopManager-010108-205858;Google Desktop Manager 5.7.801.1629;C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-01-28 13:22] S3 IO;IO;A:\IO.SYS [] S3 MAYA44;usb-audio.de driver for Maya44;C:\WINDOWS\system32\Drivers\Maya44.sys [2007-09-06 03:29] S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2007-02-10 05:29] S3 pgusbmme;usb-audio.de MME-Adapter;C:\WINDOWS\system32\drivers\pgusbmm3.sys [2007-09-06 03:29] S3 SonyImgF;Sony Image Conversion Filter Driver;C:\WINDOWS\system32\DRIVERS\SonyImgF.sys [2007-04-05 03:03] S3 t3;SB Xtreme Audio Notebook;C:\WINDOWS\system32\drivers\t3.sys [2007-06-19 07:38] S3 t3filt;t3filt;C:\WINDOWS\system32\drivers\t3filt.sys [2007-08-20 07:35] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0db3fe53-386e-11dd-a7ea-001cbf5abbb5}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe \Shell\Explore\command - H:\system.exe \Shell\Open\command - H:\system.exe *Newly Created Service* - SBAPIFS . Inhalt des "geplante Tasks" Ordners 2008-08-20 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) HKLM-Run-Sccs - C:\Dokumente und Einstellungen\sonja\sccs.exe HKLM-Run-Css - C:\Dokumente und Einstellungen\sonja\css.exe HKLM-Run-ppxcs - C:\Dokumente und Einstellungen\sonja\ppxcs.exe HKLM-Run-osCheck - C:\Programme\Norton Internet Security\osCheck.exe HKLM-Run-NWEReboot - (no file) Notify-dimsntfy - (no file) |
. ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\sonja\Anwendungsdaten\Mozilla\Firefox\Profiles\01m6uep6.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ig?ct=1056757711 FF -: plugin - C:\Programme\Google\Google Updater\2.2.1273.1045\npCIDetect12.dll FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2008-08-30 00:09:07 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\AvidSDMService.exe C:\WINDOWS\system32\CTSVCCDA.EXE C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Sony\VAIO Event Service\VESMgr.exe C:\WINDOWS\system32\igfxext.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Apoint2K\ApntEx.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe C:\Programme\Real\RealPlayer\realplay.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-30 0:19:22 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-29 22:19:16 Pre-Run: 13 Verzeichnis(se), 33,891,610,624 Bytes frei Post-Run: 16 Verzeichnis(se), 33,802,412,032 Bytes frei 360 --- E O F --- 2008-08-28 22:47:10 |
Hi, am Rande bemerkt: Bitte die Finger von Combofix lassen. Das ist heute schon der zweite Rechner, den ich zu sehen bekomme, auf dem Combofix Zonealarm killt. Ich halte zwar Zonealarm für Blödsinn, der auch noch Spyware installiert, weswegen mich diese Aktion von Combofix schon erheitert, aber man sollte einer ordentlichen Deinstallation den Vorzug geben. Karl |
hallo karl, hallo root.. ist ja nun schon passiert und hat immerhin das problem (augenscheinlich) gelöst. malwareb hat aber trotzdem noch einen kaputten oder infizierten exlorer gefunden. was nun? was genau ist mit zonealarm passiert? ich dachte immer das ist n gutes programm.. mmh.. gibts bessere alternativen um zu kontrollieren, welches programm ins netz geht? Code: |
hey root.. sorry, hab das mit dem #code nicht gecheckt. nächstes mal.. das mit dem listing funktioniert irgendwie nicht. doppelklick auf die cmd datei, da öffnet sich der texteditor, aber passiert nichts weiter. also zumindest ist diese textdatei so klein, dass ich nicht glaube, dass du das meinst.. Code: |
Wenn Du die listing8.cmd doppellickst, öffnet sich dan nur der von Dir gepostete Inhalt? So sollte das eigentlich nicht sein. Hast Du denn per Rechtsklick die Datei auf Deinen Desktop heruntergladen? |
Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\WINDOWS\system32\drivers\pavboot.sys |
Code: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:42 Uhr. |
Copyright ©2000-2024, Trojaner-Board