Trojaner-Board - Probleme mit Tr. Dropper Gen und werbepopups

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Probleme mit Tr. Dropper Gen und werbepopups (https://www.trojaner-board.de/71122-probleme-tr-dropper-gen-werbepopups.html)

fördecat

17.03.2009 15:37

Probleme mit Tr. Dropper Gen und werbepopups

Hallo,

ich habe massive Probleme mit immer wieder aufpoppenden werbefenstern und Avira AV Personal findet Tr. Dropper Gen, ausserdem findet sich im systemstart eine mysteriöse Datei namens qccqmgc.exe ( die findet sich mit windows-suche in: in c:\dokumente und einstellungen\computername\lokale einstellungen\anwendungsdaten als qccqmgc.exe und in c:\windows\ prefetch als QCCQMGC.EXE-2720B9A5.pf) ich bin absoluter Laie auf dem Gebiet und benötige dringende, geduldige Hilfe!

der AV fand dieses:

Code:

C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Lokale Einstellungen\Anwendungsdaten\uuoycms.exe

    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a272fcb.qua' verschoben!

das Log von Hijackthis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:52:11, on 11.03.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\MSN Messenger\usnsvc.exe

c:\dokumente und einstellungen\danny.danny-46475eb1c\lokale einstellungen\anwendungsdaten\qccqmgc.exe

C:\Programme\MSN Messenger\msnmsgr.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\MSN Messenger\livecall.exe

C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bb-talk.de/forum

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://shop.antivir-pe.de/

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll

O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [qccqmgc] "c:\dokumente und einstellungen\danny.danny-46475eb1c\lokale einstellungen\anwendungsdaten\qccqmgc.exe" qccqmgc

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe -p

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Windows Live Messenger.lnk = C:\Programme\MSN Messenger\msnmsgr.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.meinvz.net/photouploader/ImageUploader5.cab?nocache=1213610972

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
 

--

End of file - 6980 bytes

vorab vielen dank für jedwede Hilfe!

Angel21

17.03.2009 15:46

Bitte lasse mal Malwarebytes durchlaufen und lasse mal

Zitat:

c:\dokumente und einstellungen\danny.danny-46475eb1c\lokale einstellungen\anwendungsdaten\qccqmgc.exe

bei Virustotal uploaden. Auch beide Logs posten, auch wenn kein Ergebnis gefunden worden ist.

Chris4You

17.03.2009 15:47

Hi,

- Dopplepost, folge den Anweisungen von Angel-
Achtung alle Tools runterladen, istallieren und ggf. updaten, Beschreibung ausdrucken und dann offline gehen und die Bereinigung durchführen...
(Das ist notwendig, da teilweise aus dem Internet nachgeladen wird, d.h. der ein wird gelöscht, dafür ist schon ein neuer da... ;o( )

Bitte das hier abfakeln:
http://www.trojaner-board.de/30411-a...-von-zlob.html

Danach noch MAM:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Und ein RSIT-Log:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris & out

fördecat

17.03.2009 19:35

Zitat:

Zitat von Angel21 (Beitrag 421892)

Bitte lasse mal Malwarebytes durchlaufen und lasse mal bei Virustotal uploaden. Auch beide Logs posten, auch wenn kein Ergebnis gefunden worden ist.

bedankt für die schnelle antwort, hier folgen die logs, malwarebytes habe ich, wie auch ccleaner, bereits vor ein paar tagen nach hiesigen anleitungen ausgeführt, dies poste ich hier jetzt mit, lasse mwb jetzt erneut scannen, log folgt gleich...

Virustotal:

Code:

 Datei qccqmgc.exe empfangen 2009.03.17 19:19:48 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 6/39 (15.39%)

Laden der Serverinformationen...

Ihre Datei wartet momentan auf Position: 2.

Geschätzte Startzeit ist zwischen 44 und 63 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen.

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt.

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Datei existiert nicht oder dessen Lebensdauer wurde überschritten

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:         

        

Antivirus         Version         letzte aktualisierung         Ergebnis

a-squared        4.0.0.101        2009.03.17        -

AhnLab-V3        5.0.0.2        2009.03.17        -

AntiVir        7.9.0.116        2009.03.17        -

Authentium        5.1.0.4        2009.03.17        W32/Skintrim.1!Generic

Avast        4.8.1335.0        2009.03.17        -

AVG        8.0.0.237        2009.03.17        -

BitDefender        7.2        2009.03.17        -

CAT-QuickHeal        10.00        2009.03.17        -

ClamAV        0.94.1        2009.03.17        -

Comodo        1062        2009.03.17        -

DrWeb        4.44.0.09170        2009.03.17        -

eSafe        7.0.17.0        2009.03.17        -

eTrust-Vet        31.6.6388        2009.03.09        -

F-Prot        4.4.4.56        2009.03.16        W32/Skintrim.1!Generic

F-Secure        8.0.14470.0        2009.03.17        -

Fortinet        3.117.0.0        2009.03.17        -

GData        19        2009.03.17        -

Ikarus        T3.1.1.45.0        2009.03.17        -

K7AntiVirus        7.10.674        2009.03.17        -

Kaspersky        7.0.0.125        2009.03.17        -

McAfee        5555        2009.03.16        -

McAfee+Artemis        5555        2009.03.16        -

McAfee-GW-Edition        6.7.6        2009.03.17        Trojan.LooksLike.Dropper

Microsoft        1.4405        2009.03.17        Trojan:Win32/Skintrim.gen!D

NOD32        3943        2009.03.17        -

Norman        6.00.06        2009.03.17        -

nProtect        2009.1.8.0        2009.03.17        -

Panda        10.0.0.10        2009.03.17        Suspicious file

PCTools        4.4.2.0        2009.03.17        -

Prevx1        V2        2009.03.17        High Risk Fraudulent Security Program

Rising        21.21.12.00        2009.03.17        -

Sophos        4.39.0        2009.03.17        -

Sunbelt        3.2.1858.2        2009.03.17        -

Symantec        1.4.4.12        2009.03.17        -

TheHacker        6.3.3.0.283        2009.03.16        -

TrendMicro        8.700.0.1004        2009.03.17        -

VBA32        3.12.10.1        2009.03.16        -

ViRobot        2009.3.17.1652        2009.03.17        -

VirusBuster        4.6.5.0        2009.03.17        -

weitere Informationen

File size: 212992 bytes

MD5...: f29b086477743a1476d454de8ea247c5

SHA1..: be5319e2f3f2961381350ef1fd7396777388d47f

SHA256: 8912b1d59bd0445404f54e793da583c73dfa75dc7784dc924bd4f21f4004a10f

SHA512: 389b3ab3b09163296af4d6c24671e13e927f19dac7dac676c8d8d22e0abdaa21

896ff4560d9fffbf9f9abf599afa3384f9211d32d0e72751be5bb0eb4ae3c887

ssdeep: 6144:LXdcxeJ5U68+/fjeVl40jZtjCbvRpK2T54DM+226:LXdQ2rt2j+zu2l48

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x14c0

timedatestamp.....: 0x45fd5068 (Sun Mar 18 14:44:56 2007)

machinetype.......: 0x14c (I386)
 

( 2 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x30dde 0x31000 7.42 1086b193bb7125a0ff5115ba6cf29640

.rdata 0x32000 0x14fe 0x2000 4.20 cfe9f4b1ee7d3071dd41d621e336a75c
 

( 11 imports )

> SHELL32.dll: ExtractIconExW, DragQueryPoint, DragFinish, SHFileOperationW, SHGetSpecialFolderPathW, SHAddToRecentDocs, Shell_NotifyIconA, SHGetPathFromIDListA, SHGetSpecialFolderPathA

> OLEAUT32.dll: -, -, -

> COMCTL32.dll: ImageList_EndDrag, ImageList_GetIcon, ImageList_DragLeave, ImageList_SetDragCursorImage

> GDI32.dll: SelectObject, GetGlyphOutlineW, ExcludeClipRect, SetTextAlign, EnumFontsW, GetCurrentPositionEx, GetCurrentObject, UpdateColors, CreateEnhMetaFileW, ArcTo, SetBrushOrgEx, SetTextCharacterExtra, SelectClipPath, EnumFontFamiliesExW, ExtFloodFill

> VERSION.dll: GetFileVersionInfoA

> ADVAPI32.dll: SetNamedSecurityInfoA, RegFlushKey, ImpersonateLoggedOnUser, IsTextUnicode, DuplicateTokenEx, SetSecurityInfo, RegSetKeySecurity, GetNamedSecurityInfoA, SetSecurityDescriptorOwner, RegOpenKeyA, ImpersonateSelf, AddAccessDeniedAce, CryptReleaseContext, LookupPrivilegeDisplayNameA, RegCreateKeyA, CryptDecrypt, EqualSid, CryptVerifySignatureW, RegGetKeySecurity, RegQueryValueExA, LockServiceDatabase, AccessCheckAndAuditAlarmW, CryptSetProvParam, SetServiceStatus, RegEnumKeyA, RegisterServiceCtrlHandlerA, StartServiceA, PrivilegeCheck, LookupAccountSidA, DeregisterEventSource, NotifyBootConfigStatus, OpenServiceW, MakeAbsoluteSD, SetSecurityDescriptorGroup, ClearEventLogW, RegSetValueExA, IsValidSid, InitializeAcl, OpenSCManagerA, AllocateAndInitializeSid, LookupAccountNameA, NotifyChangeEventLog, CryptDeriveKey

> KERNEL32.dll: FillConsoleOutputCharacterA, GetConsoleMode, GetSystemInfo, GetStringTypeExW, SizeofResource, PeekConsoleInputW, VirtualAllocEx, WritePrivateProfileStringW, LoadResource, GetCurrentProcessId, FormatMessageA, LoadLibraryExW, SetSystemTime, CreateDirectoryExA, GetDateFormatA, CreateFileW, ExitProcess, VirtualAlloc, GetCommandLineA, FindFirstFileExW, GenerateConsoleCtrlEvent, lstrcmpiW, LocalReAlloc, PurgeComm, FlushConsoleInputBuffer, GetProfileIntA, TryEnterCriticalSection, OpenSemaphoreW, EnumDateFormatsW, EnumResourceNamesA, ExpandEnvironmentStringsW, SetCurrentDirectoryA, GetBinaryTypeW, SetFileTime, ClearCommBreak, GetDiskFreeSpaceExA, WriteFile, FatalAppExitA, OutputDebugStringA, CreateDirectoryW, GetSystemTime, WritePrivateProfileStringA, GetDriveTypeA, SetConsoleCursorPosition, SetNamedPipeHandleState

> WS2_32.dll: WSAEnumNetworkEvents, -, -, -, -, WSASocketW, WSALookupServiceBeginA, WSAHtons, WSARecv, -, -, -, WSAAccept, WSANtohs, WSARecvFrom, -, WSAEnumProtocolsW

> ole32.dll: OleQueryLinkFromData, StgCreateStorageEx, OleRegGetUserType

> USER32.dll: SendMessageTimeoutW, ClientToScreen, FindWindowExW, InsertMenuItemW, WinHelpA, SetWindowsHookW, NotifyWinEvent, OemToCharA, MsgWaitForMultipleObjectsEx, SetMenuItemBitmaps, UnloadKeyboardLayout, PostThreadMessageW, SetPropA, InvalidateRgn, DestroyMenu, GetMessageTime, GetSysColorBrush, GetLastActivePopup, OpenWindowStationA, GetKeyboardLayoutList, ChildWindowFromPointEx, CreateWindowExW, ScreenToClient, IsChild, RegisterWindowMessageA, SubtractRect, GetScrollRange, ChangeMenuW, EnumDisplaySettingsW, GetUpdateRgn

> MSVCRT.dll: _itow, _sopen, wcscmp, _stricoll, _mbsnbcnt, mbtowc, _spawnv, vwprintf, iswspace, wcstombs, isxdigit, _wchdir, calloc, remove, _wcsnset, _mbsinc, system, wcstok, strcoll, fgets, _spawnvp, _ultoa, wcslen
 

( 0 exports )

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=DCECDC4000999F33405C03B2B295900026DD5818' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=DCECDC4000999F33405C03B2B295900026DD5818</a>

malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1836

Windows 5.1.2600 Service Pack 2
 

11.03.2009 19:48:19

mbam-log-2009-03-11 (19-48-19).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 194896

Laufzeit: 1 hour(s), 31 minute(s), 59 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 16

Infizierte Registrierungswerte: 2

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 4

Infizierte Dateien: 12
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\AppID\{36dbc179-a19f-48f2-b16a-6a3e19b42a87} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{36dbc179-a19f-48f2-b16a-6a3e19b42a87} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{25f97eb4-1c02-45ba-ba0c-e67aace64d4a} (Adware.ToolBar) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36dbc179-a19f-48f2-b16a-6a3e19b42a87} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\IGB (Rogue.Residue) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{25f97eb4-1c02-45ba-ba0c-e67aace64d4a} (Adware.ToolBar) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

C:\Programme\InternetGameBox (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\favoris (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Desktop\PLAY_MP3.exe (Adware.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{A5CD423F-B102-4C67-A1C1-BE5B2D9D2A76}\RP253\A0019896.dll (Adware.Hotbar) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\language (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\AttenteOff.html (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\AttenteOn.html (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\configv2_en.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\configv2_es.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\configv2_fr.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\favoris\defaultv2.swf (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\skins\skinv2.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\form.txt (Malware.Trace) -> Quarantined and deleted successfully.

weiter mache ich also dann gleich nach den anweisungen von Chris4you...

Angel21

17.03.2009 19:48

Paar schlechte und eine gute Nachricht, welche möchtest du zuerst hören? :)

Erstmal die schlechten...
1: Du hast Massig viel drauf an Adware
2: der Trojaner Dropper macht mir massig Sorgen
3: du hast kein SP 3 drauf - schäme dich! ;)
4: das wird wohl eine etwas härtere Prozedur werden.

nun zu der guten Nachricht....
1: sei froh, dass es nicht noch schlimmer gekommen ist und du dich an uns gewendet hast. Vielleicht aber nur Vielleicht können wir einer Neuinstallation aus dem Wege gehen, mal sehen wie es aussieht mit den Dingen, die du nun befolgen wirst, was Chris dir angeraten hat.

Zitat:

c:\dokumente und einstellungen\danny.danny-46475eb1c\lokale einstellungen\anwendungsdaten\qccqmgc.exe

Den Eintrag würde ich fixen und die dazugehörigen Dinge löschen.
Bitte alle Logfiles posten.

Zudem würde ich noch gerne, dass du Superantispyware laufen lässt.

fördecat

17.03.2009 21:14

Zitat:

Zitat von Angel21 (Beitrag 422003)

Den Eintrag fixen, wie, bzw. womit mach ich das?

john.doe

17.03.2009 21:30

Nun jage den Leuten doch keine Angst ein, mein Engel. Das ist alles nur Adware, völlig harmlos.

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Doppelklicke auf navilog1.exe
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

ciao, andreas

fördecat

17.03.2009 21:53

hier erstmal das aktuelle mwb log:

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1836

Windows 5.1.2600 Service Pack 2
 

17.03.2009 21:36:20

mbam-log-2009-03-17 (21-36-20).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 154208

Laufzeit: 1 hour(s), 48 minute(s), 55 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\System Volume Information\_restore{7B8F353F-7A51-4F6C-A948-A897F094A91F}\RP1034\A0082117.exe (Adware.Agent) -> Quarantined and deleted successfully.

bin nun etwas verwirrt, nächster schritt nun smitfraudfix oder navilog?

john.doe

17.03.2009 21:56

Navilog. Bei MbAM muss du noch mit Klick auf "Ausgewählte Entfernen" löschen.

ciao, andreas

fördecat

17.03.2009 22:02

Zitat:

Zitat von john.doe (Beitrag 422090)

Navilog. Bei MbAM muss du noch mit Klick auf "Ausgewählte Entfernen" löschen.

ciao, andreas

ok thx! dann mach ich jetzt mit navilog weiter, hatte falsches log vom mwb gepostet, sry! ist nun korrigiert und die gefundenen objekte entfernt.

fördecat

17.03.2009 22:10

Logfile vom navilog:

Code:

Search Navipromo version 3.7.6 began on 17.03.2009 at 22:05:56,12
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!
 

Fix running from C:\Programme\navilog1
 

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO
 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2

X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 2300+ )

BIOS : Default System BIOS

USER : Danny ( Administrator )

BOOT : Normal boot
 

Antivirus : Avira AntiVir PersonalEdition Classic  6.38.1.97

 (Activated)
 
 

C:\ (Local Disk) - NTFS - Total:37 Go (Free:23 Go)

D:\ (Local Disk) - FAT32 - Total:18 Go (Free:4 Go)

E:\ (Local Disk) - NTFS - Total:0 Go (Free:0 Go)

F:\ (CD or DVD)

G:\ (CD or DVD)

I:\ (CD or DVD)

K:\ (CD or DVD)
 
 

Search done in normal mode
 
 

*** Search folders in "C:\WINDOWS" ***
 
 

*** Search folders in "C:\Programme" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" ***
 

...\InternetGameBox found !
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\startm~1\progra~1" *** 
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\WINDOWS\system32" *
 

* Scan in "C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\lokale~1\anwend~1" * 
 

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***

!! Following keys are not certainly all infected !!
 
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"qccqmgc"="\"c:\\dokumente und einstellungen\\danny.danny-46475eb1c\\lokale einstellungen\\anwendungsdaten\\qccqmgc.exe\" qccqmgc"
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\WINDOWS\system32" :
 
 

* In "C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\lokale~1\anwend~1" : 
 

qccqmgc.exe found !

qccqmgc.dat found !

qccqmgc_nav.dat found !

qccqmgc_navps.dat found !
 

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : 
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search others known folders and files :
 
 
 

*** Search completed on 17.03.2009 at 22:09:07,09 ***

john.doe

17.03.2009 22:11

Gleich nochmal laufenlassen, diesmal mit Option 2 und Log posten.

ciao, andreas

fördecat

17.03.2009 22:26

so, mit option 2 durchgeführt, es erfolgte autom. neustart und suche, log:

Code:

Navipromo Removal version 3.7.6 started on 17.03.2009 at 22:14:16,29
 

Fix running from C:\Programme\navilog1
 

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO
 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2

X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 2300+ )

BIOS : Default System BIOS

USER : Danny ( Administrator )

BOOT : Normal boot
 

Antivirus : Avira AntiVir PersonalEdition Classic  6.38.1.97

 (Activated)
 
 

C:\ (Local Disk) - NTFS - Total:37 Go (Free:23 Go)

D:\ (Local Disk) - FAT32 - Total:18 Go (Free:4 Go)

E:\ (Local Disk) - NTFS - Total:0 Go (Free:0 Go)

F:\ (CD or DVD)

G:\ (CD or DVD)

I:\ (CD or DVD)

K:\ (CD or DVD)
 
 

Automatic removal 

with Catchme and GNS results
 
 

Cleanning stage done on Reboot
 

 

*** fsbl1.txt not found ***

(Check that Catchme found nothing in Search Mode)

 
 

*** Deleting with Backups GenericNaviSearch results ***
 

* Deletion in "C:\WINDOWS\System32" *
 
 

* Deletion in "C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\lokale~1\anwend~1" * 
 
 

* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 
 
 

*** Deleting folders in "C:\WINDOWS" ***
 
 

*** Deleting folders in "C:\Programme" ***
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" ***
 

...\InternetGamebox ...deleting... 

...\InternetGamebox deleted ! 
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" ***
 
 

*** Deleting folders in "c:\dokume~1\alluse~1.win\anwend~1" ***
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\anwend~1" *** 
 
 

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\lokale~1\anwend~1" *** 
 
 

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\startm~1\progra~1" *** 
 
 
 

*** Deleting files ***
 
 

*** Deleting temporary files ***
 

Cleaning of C:\WINDOWS\Temp done !

Cleaning of C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\lokale~1\Temp done !
 

*** Complementary Search ***

(Search specific files)
 

1)Deletion with backups new Instant Access files:
 

2)Heuristic search and deletion with backups :
 
 

* In "C:\WINDOWS\system32" *
 
 

C:\WINDOWS\prefetch\qccqmgc*.pf found ! 

Copy C:\WINDOWS\prefetch\qccqmgc*.pf done !

C:\WINDOWS\prefetch\qccqmgc*.pf deleted !
 
 

* In "C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\lokale~1\anwend~1" * 
 
 

qccqmgc.exe found ! 

Copy qccqmgc.exe done !

qccqmgc.exe deleted !
 

qccqmgc.dat found ! 

Copy qccqmgc.dat done !

qccqmgc.dat deleted !
 

qccqmgc_nav.dat found ! 

Copy qccqmgc_nav.dat done !

qccqmgc_nav.dat deleted !
 

qccqmgc_navps.dat found ! 

Copy qccqmgc_navps.dat done !

qccqmgc_navps.dat deleted !
 
 

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 
 
 
 

*** Copy Registry to Safebackup folder ***
 

Backing up Registry done !
 

*** Cleaning Registry ***
 

Registry cleaned
 
 

*** Certificates ***
 

Egroup Certificate not found !

Electronic-Group Certificate not found !

Montorgueil Certificate not found !

OOO-Favorit Certificate not found !

Sunny-Day-Design-Ltd Certificate not found !
 

*** Search others known folders and files ***
 
 
 

*** Cleaning stage complete on 17.03.2009 at 22:22:51,60 ***

john.doe

17.03.2009 22:28

Kommt noch Werbung?

ciao, andreas

fördecat

17.03.2009 22:33

werbung kommt bis jetzt keine ...

frage, was mach mit dem tr.dropper gen? oder hing der auch damit zusammen?

john.doe

17.03.2009 22:34

Zitat:

frage, was mach mit dem tr.dropper gen?

Der wurde gerade gekillt. Es sollten keine Meldungen mehr kommen. Poste bitte ein aktuelles HJT-Log.

ciao, andreas

fördecat

17.03.2009 22:38

Zitat:

Zitat von john.doe (Beitrag 422112)

Der wurde gerade gekillt. Es sollten keine Meldungen mehr kommen. Poste bitte ein aktuelles HJT-Log.

ciao, andreas

ah o.k., hier das aktuelle hjt log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:38:57, on 17.03.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\MSN Messenger\usnsvc.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bb-talk.de/forum

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://shop.antivir-pe.de/

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll (file missing)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll (file missing)

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Windows Live Messenger.lnk = C:\Programme\MSN Messenger\msnmsgr.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.meinvz.net/photouploader/ImageUploader5.cab?nocache=1213610972

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
 

--

End of file - 6896 bytes

john.doe

17.03.2009 22:45

1.) Starte HJT => Do a system scan only => Markiere:

Code:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://shop.antivir-pe.de/

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll (file missing)

O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll (file missing)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab

=> Fix checked

2.) http://www.trojaner-board.de/51871-a...tispyware.html laufenlassen und Log posten. (Ohne abgesicherten Modus!)

3.) Neustart

4.) Aktuelles HJT-Log posten.

ciao, andreas

p.s.: Ich sehe gerade, dass die Liste der installierten Programme fehlt. Klicke in meiner Signatur auf "Für alle Neuen" und arbeite den Punkt 2d ab.

fördecat

18.03.2009 01:08

hier das log von superantispyware:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 03/18/2009 at 01:02 AM
 

Application Version : 4.25.1014
 

Core Rules Database Version : 3801

Trace Rules Database Version: 1756
 

Scan type       : Complete Scan

Total Scan Time : 01:59:01
 

Memory items scanned      : 438

Memory threats detected   : 0

Registry items scanned    : 5653

Registry threats detected : 23

File items scanned        : 76879

File threats detected     : 49
 

NavExcel/NavHelper Adware Toolbar and Browser Helper Object

        HKLM\Software\Classes\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}

        HKCR\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}

        HKCR\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}

        HKCR\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}\InprocServer32

        HKCR\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}\InprocServer32#ThreadingModel

        HKCR\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}\ProgID

        HKCR\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}\Programmable

        HKCR\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}\TypeLib

        HKCR\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}\VersionIndependentProgID

        HKCR\NavExcelBar.NavExcelBarObj.1

        HKCR\NavExcelBar.NavExcelBarObj

        HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}

        C:\PROGRAMME\NAVEXCEL SEARCH TOOLBAR\NAVEXCELBAR.DLL

        HKU\S-1-5-21-1547161642-1390067357-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5AA06644-BC46-4220-A460-47A6EB47C96D}
 

NavExcel/NavHelper BHO

        HKLM\Software\Classes\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}

        HKU\S-1-5-21-1547161642-1390067357-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}

        HKCR\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}

        HKCR\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}#AppID

        HKCR\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}\InprocServer32

        HKCR\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}\InprocServer32#ThreadingModel

        HKCR\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}\ProgID

        HKCR\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}\Programmable

        HKCR\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}\TypeLib

        HKCR\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}\VersionIndependentProgID
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@serving-sys[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@stat.onestat[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@weborama[3].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@advertising[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@www.matureporndump[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@cz5.clickzs[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@doubleclick[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@bs.serving-sys[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@ads.heias[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@www.etracker[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@pornandxxx[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@tto2.traffictrack[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@adultfriendfinder[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@apmebf[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@komtrack[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@www.ptporntv[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@indextools[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@tracking.mlsat02[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@traffictrack[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@a6.adserver01[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@de.sitestat[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@xiti[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@media.brandreachsys[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@112.2o7[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@2o7[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@tradedoubler[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@webmasterplan[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@adserver.boobfrog[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@ptporntv[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@statse.webtrendslive[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@livesex[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@statcounter[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@www.zanox-affiliate[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@atdmt[3].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@adfarm1.adition[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@euros4click[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@ad.zanox[2].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@adtech[1].txt

        C:\Dokumente und Einstellungen\Danny.DANNY-46475EB1C\Cookies\danny@adserving.favorit-network[1].txt
 

Adware.Vundo/Variant-MSFake

        C:\PROGRAMME\NAVILOG1\REG.EXE
 

RelevantKnowledge Spyware Component

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5CD423F-B102-4C67-A1C1-BE5B2D9D2A76}\RP235\A0018765.EXE
 

Trojan.NewDotNet-Installer

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5CD423F-B102-4C67-A1C1-BE5B2D9D2A76}\RP218\A0017093.DLL

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5CD423F-B102-4C67-A1C1-BE5B2D9D2A76}\RP231\A0018560.DLL

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5CD423F-B102-4C67-A1C1-BE5B2D9D2A76}\RP231\A0018565.DLL
 

Trojan.NewDotNet

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5CD423F-B102-4C67-A1C1-BE5B2D9D2A76}\RP231\A0018553.EXE

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5CD423F-B102-4C67-A1C1-BE5B2D9D2A76}\RP231\A0018554.EXE
 

Unclassified.Unknown Origin/System

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5CD423F-B102-4C67-A1C1-BE5B2D9D2A76}\RP253\A0019893.EXE

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5CD423F-B102-4C67-A1C1-BE5B2D9D2A76}\RP253\A0019900.EXE

mache jetzt neustart und arbeite den rest der anweisung ab...

fördecat

18.03.2009 01:23

aktuelles hjt log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:23:35, on 18.03.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\MSN Messenger\usnsvc.exe

C:\PROGRA~1\MOZILLA FIREFOX\FIREFOX.EXE

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bb-talk.de/forum

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Windows Live Messenger.lnk = C:\Programme\MSN Messenger\msnmsgr.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.meinvz.net/photouploader/ImageUploader5.cab?nocache=1213610972

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
 

--

End of file - 6146 bytes

fördecat

18.03.2009 01:27

und die hjt - liste der install. programme:

Code:

3DJongg

Adobe Flash Player 10 Plugin

Adobe Flash Player ActiveX

Adobe Reader 8.1.3 - Deutsch

AmazingMahjongg3D

AVI2MPEG

Avira AntiVir Personal - Free Antivirus

Bejeweled 2 Deluxe

CCleaner (remove only)

CloneCD

CloneDVD2

C-Media 3D Audio

DivX Codec

DivX Converter

DivX Player

EasyCleaner

Feeding Frenzy

FileZilla Client 3.1.1.1

FlashFXP v3

Google Earth

HijackThis 2.0.2

Hotfix for Windows Media Format 11 SDK (KB929399)

Hotfix for Windows XP (KB915865)

Hotfix for Windows XP (KB926239)

Hotfix für Windows Internet Explorer 7 (KB947864)

Hotfix für Windows Media Player 11 (KB939683)

Hotfix für Windows XP (KB914440)

Hotfix für Windows XP (KB952287)

IE7Pro

IncrediMail JunkFilter Plus

IncrediMail Xe

IrfanView (remove only)

Java(TM) 6 Update 11

Java(TM) SE Runtime Environment 6 Update 1

Mahjongg

MahjonggDeluxe

Mah-Jongger

Malwarebytes' Anti-Malware

MDMahjongg

Messenger Plus! 3 & Sponsor

Messenger Plus! Live & Sponsor (CiD)

Microsoft .NET Framework 2.0 Language Pack - DEU

Microsoft .NET Framework 2.0 Service Pack 1

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Office XP Professional mit FrontPage

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket

Mozilla Firefox (3.0.7)

MSN

Navilog1 3.7.6

Nero 7 Premium

NVIDIA Drivers

PaperPort

PDF reDirect (remove only)

Photoland-RS

QuickTime

Shareaza 2.4.0.0

Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)

Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)

Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)

Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)

Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)

Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)

Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)

Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)

Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)

Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)

Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)

Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)

Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)

Sicherheitsupdate für Windows Media Player (KB911564)

Sicherheitsupdate für Windows Media Player (KB952069)

Sicherheitsupdate für Windows Media Player 10 (KB917734)

Sicherheitsupdate für Windows Media Player 11 (KB936782)

Sicherheitsupdate für Windows Media Player 11 (KB954154)

Sicherheitsupdate für Windows Media Player 6.4 (KB925398)

Sicherheitsupdate für Windows XP (KB890046)

Sicherheitsupdate für Windows XP (KB893756)

Sicherheitsupdate für Windows XP (KB896358)

Sicherheitsupdate für Windows XP (KB896422)

Sicherheitsupdate für Windows XP (KB896423)

Sicherheitsupdate für Windows XP (KB896424)

Sicherheitsupdate für Windows XP (KB896428)

Sicherheitsupdate für Windows XP (KB899587)

Sicherheitsupdate für Windows XP (KB899589)

Sicherheitsupdate für Windows XP (KB899591)

Sicherheitsupdate für Windows XP (KB900725)

Sicherheitsupdate für Windows XP (KB901017)

Sicherheitsupdate für Windows XP (KB901214)

Sicherheitsupdate für Windows XP (KB902400)

Sicherheitsupdate für Windows XP (KB904706)

Sicherheitsupdate für Windows XP (KB905414)

Sicherheitsupdate für Windows XP (KB905749)

Sicherheitsupdate für Windows XP (KB908519)

Sicherheitsupdate für Windows XP (KB911562)

Sicherheitsupdate für Windows XP (KB911567)

Sicherheitsupdate für Windows XP (KB911927)

Sicherheitsupdate für Windows XP (KB912812)

Sicherheitsupdate für Windows XP (KB912919)

Sicherheitsupdate für Windows XP (KB913446)

Sicherheitsupdate für Windows XP (KB913580)

Sicherheitsupdate für Windows XP (KB914388)

Sicherheitsupdate für Windows XP (KB914389)

Sicherheitsupdate für Windows XP (KB916281)

Sicherheitsupdate für Windows XP (KB917159)

Sicherheitsupdate für Windows XP (KB917344)

Sicherheitsupdate für Windows XP (KB917422)

Sicherheitsupdate für Windows XP (KB917953)

Sicherheitsupdate für Windows XP (KB918118)

Sicherheitsupdate für Windows XP (KB918439)

Sicherheitsupdate für Windows XP (KB918899)

Sicherheitsupdate für Windows XP (KB919007)

Sicherheitsupdate für Windows XP (KB920213)

Sicherheitsupdate für Windows XP (KB920214)

Sicherheitsupdate für Windows XP (KB920670)

Sicherheitsupdate für Windows XP (KB920683)

Sicherheitsupdate für Windows XP (KB920685)

Sicherheitsupdate für Windows XP (KB921398)

Sicherheitsupdate für Windows XP (KB921503)

Sicherheitsupdate für Windows XP (KB921883)

Sicherheitsupdate für Windows XP (KB922616)

Sicherheitsupdate für Windows XP (KB922819)

Sicherheitsupdate für Windows XP (KB923191)

Sicherheitsupdate für Windows XP (KB923414)

Sicherheitsupdate für Windows XP (KB923689)

Sicherheitsupdate für Windows XP (KB923694)

Sicherheitsupdate für Windows XP (KB923980)

Sicherheitsupdate für Windows XP (KB924191)

Sicherheitsupdate für Windows XP (KB924270)

Sicherheitsupdate für Windows XP (KB924496)

Sicherheitsupdate für Windows XP (KB924667)

Sicherheitsupdate für Windows XP (KB925454)

Sicherheitsupdate für Windows XP (KB925486)

Sicherheitsupdate für Windows XP (KB925902)

Sicherheitsupdate für Windows XP (KB926255)

Sicherheitsupdate für Windows XP (KB926436)

Sicherheitsupdate für Windows XP (KB927779)

Sicherheitsupdate für Windows XP (KB927802)

Sicherheitsupdate für Windows XP (KB928090)

Sicherheitsupdate für Windows XP (KB928255)

Sicherheitsupdate für Windows XP (KB928843)

Sicherheitsupdate für Windows XP (KB929123)

Sicherheitsupdate für Windows XP (KB930178)

Sicherheitsupdate für Windows XP (KB931261)

Sicherheitsupdate für Windows XP (KB931784)

Sicherheitsupdate für Windows XP (KB932168)

Sicherheitsupdate für Windows XP (KB933729)

Sicherheitsupdate für Windows XP (KB935839)

Sicherheitsupdate für Windows XP (KB935840)

Sicherheitsupdate für Windows XP (KB936021)

Sicherheitsupdate für Windows XP (KB937894)

Sicherheitsupdate für Windows XP (KB938464)

Sicherheitsupdate für Windows XP (KB938829)

Sicherheitsupdate für Windows XP (KB941202)

Sicherheitsupdate für Windows XP (KB941568)

Sicherheitsupdate für Windows XP (KB941569)

Sicherheitsupdate für Windows XP (KB941644)

Sicherheitsupdate für Windows XP (KB941693)

Sicherheitsupdate für Windows XP (KB943055)

Sicherheitsupdate für Windows XP (KB943460)

Sicherheitsupdate für Windows XP (KB943485)

Sicherheitsupdate für Windows XP (KB944653)

Sicherheitsupdate für Windows XP (KB945553)

Sicherheitsupdate für Windows XP (KB946026)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB948590)

Sicherheitsupdate für Windows XP (KB948881)

Sicherheitsupdate für Windows XP (KB950749)

Sicherheitsupdate für Windows XP (KB950760)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951066)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB951698)

Sicherheitsupdate für Windows XP (KB951748)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB953839)

Sicherheitsupdate für Windows XP (KB954211)

Sicherheitsupdate für Windows XP (KB954600)

Sicherheitsupdate für Windows XP (KB955069)

Sicherheitsupdate für Windows XP (KB956391)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956803)

Sicherheitsupdate für Windows XP (KB956841)

Sicherheitsupdate für Windows XP (KB957095)

Sicherheitsupdate für Windows XP (KB957097)

Sicherheitsupdate für Windows XP (KB958644)

Sicherheitsupdate für Windows XP (KB958687)

Super Mahjong

SUPERAntiSpyware Free Edition

Update für Windows XP (KB894391)

Update für Windows XP (KB898461)

Update für Windows XP (KB900485)

Update für Windows XP (KB904942)

Update für Windows XP (KB908531)

Update für Windows XP (KB910437)

Update für Windows XP (KB911280)

Update für Windows XP (KB916595)

Update für Windows XP (KB920342)

Update für Windows XP (KB920872)

Update für Windows XP (KB922582)

Update für Windows XP (KB925876)

Update für Windows XP (KB927891)

Update für Windows XP (KB930916)

Update für Windows XP (KB931836)

Update für Windows XP (KB932823-v3)

Update für Windows XP (KB933360)

Update für Windows XP (KB938828)

Update für Windows XP (KB942763)

Update für Windows XP (KB951072-v2)

Update für Windows XP (KB955839)

VIA Integrated Setup Wizard

Windows Installer 3.1 (KB893803)

Windows Internet Explorer 7

Windows Live Messenger

Windows Live Sign-in Assistant

Windows Media Format 11 runtime

Windows Media Format 11 runtime

Windows Media Format SDK Hotfix - KB891122

Windows Media Player 11

Windows Media Player 11

Windows XP-Hotfix - KB873339

Windows XP-Hotfix - KB885250

Windows XP-Hotfix - KB885835

Windows XP-Hotfix - KB885836

Windows XP-Hotfix - KB885884

Windows XP-Hotfix - KB886185

Windows XP-Hotfix - KB887472

Windows XP-Hotfix - KB887742

Windows XP-Hotfix - KB888113

Windows XP-Hotfix - KB888302

Windows XP-Hotfix - KB890859

Windows XP-Hotfix - KB891781

WinRAR Archivierer

Yiola 1.0

john.doe

18.03.2009 16:12

Moin,

da hätte ich gleich ein paar Fragen:

a) Du hast da 4 verschiedene MSN-Messenger, welchen nutzt du eigentlich?
b) Warum ist IE7Pro installiert? Du scheinst mit Firefox zu surfen.
c) Du hast 2 FTP-Programme, welches nutzt du?

Mit denen beiden hast du dir die Schädlinge übrigens freiwillig installiert:

Zitat:

Messenger Plus! 3 & Sponsor
Messenger Plus! Live & Sponsor (CiD)

Die "Sponsoren" zaubern Werbefenster herbei.

Zitat:

Shareaza 2.4.0.0

Darüber werden Schädlinge verbreitet, das möchte ich nicht mehr sehen.

Zitat:

Yiola 1.0

Na endlich mal eine Frau, die den Rechner sinnvoll nutzt. :D *scnr, duck und wech*

ciao, andreas

fördecat

18.03.2009 16:18

Hi, :o

soll ich das also alles deinstallieren? und was ist sonst noch zu tun?

nachtrag:

zum ie7pro: meine schwester hatte anfangs probs mit dem firefox zurechtzukommen, daher war sie noch öfter mit ie unterwegs

zu den div. msn, das war wohl echt bisserl "gedankenlos" ... :-)

der filezilla fliegt gleich runter...

john.doe

18.03.2009 16:31

1.) Wenn du schon am Deinstallieren bist, dann entferne noch:

Adobe Reader 8.1.3 - Deutsch
Messenger Plus! 3 & Sponsor
Messenger Plus! Live & Sponsor (CiD)
MSN
Navilog1 3.7.6
Shareaza 2.4.0.0
SUPERAntiSpyware Free Edition

2.) Entferne alte Javaversionen mit Javara

3.) Installiere (Toolbars immer abwählen, Haken weg):

4.) Besuche mit dem MSIE folgende Adresse und führe alle Updates durch.

5.) Poste ein letztes HJT-Log.

ciao, andreas

fördecat

19.03.2009 08:12

so, alles abgearbeitet, hier das finale hjt-log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:04:30, on 19.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\PROGRA~1\INCRED~1\bin\IncMail.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bb-talk.de/forum

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.meinvz.net/photouploader/ImageUploader5.cab?nocache=1213610972

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
 

--

End of file - 5629 bytes

john.doe

19.03.2009 16:33

1.) Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten?

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

3.) Alle Programme, die wir eingesetzt haben, deinstallieren/löschen. Behalten kannst du MalwareBytes.

ciao, andreas

Alle Zeitangaben in WEZ +1. Es ist jetzt 01:04 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131