Redirect auf Pornoseiten, Wurm ?? Hilfe !! Hi ! Hier mein Dilema: Internet Explorer verlinkt mich zu Porno seiten bei ganz bestimmten Webseiten, bei denen ich 100 % weiss das sie voll funktionieren und diesen Inhalt nicht bieten. Da der Browser nicht nur alleine betroffen ist ( Mozilla ebenfalls ) wird es wohl ein Wurm sein. Nach der URL eingabe versucht er zu der betroffenen Seite zu surfen kurz bevor alles vollständig geladen ist sieht man das er eine ganz andere IP ansteuert redirect to http://69.50.190.131/?to=dname&from=in! ... ich habe mit mehrern Viren- und Malwarescannern (incl. Spybot) keine infizierten oder verdächtigen Dateien finden können. Ich habe mir das Programm Hijackthis runtergeladen und gescannt nur kann ich mit der Log Datei des Scans nicht viel anfangen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:20:21, on 30.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SkyTel.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\TPSBattM.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\WINDOWS\system32\00THotkey.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\system32\thpsrv.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\PROGRA~1\eScan\consctl.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ThpSrv.exe C:\Programme\TOSHIBA\TME3\Tmesrv31.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\TFNF5.exe C:\Programme\TOSHIBA\TME3\TMEEJME.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\WINDOWS\system32\igfxext.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Andreas Piefke\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\f rit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a 141\fritzbox-usb-fernanschluss.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Palm\Palm.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\eScan\VISTA\avpmapp.exe C:\PROGRA~1\eScan\Vista\escanmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\eScan\EScanWin.Exe C:\PROGRA~1\eScan\mwavscan.com C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe O4 - HKLM\..\Run: [ThpSrv] thpsrv /logon O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\Andreas Piefke\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\f rit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a 141\AVMAutoStart.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/...x/qtplugin.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photoup...che=1221433104 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photoup...che=20071219-1 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photoup...che=1216549754 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file:///D:/CD-ROM/CDViewer/CdViewer.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: Microsoft .NET Framework v1.1.4322 Update (NetFxUpdate_v1.1.4322) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfx update.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TOSHIBA Festplattenschutz (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 9451 bytes kann da einer von Euch was mit anfangen und mir helfen ? wäre Euch sehr dankbar... Gruß |
Hallo keeponrockin und :hallo: Zuerst solltest du dies zur Kenntnis nehmen: Dein System ist kompromitiert und zwar vermutlich von einem Trojan.DNSChanger mit entsprechendem Rootkit. Erklärung Rootkit: Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Erst diese Tarnung fällt, ist der Virus verwundbar... Dein gesamter Datenverkehr wird auf einen anderen Server umgeleitet, vermutlich um dich auszuspionieren. Da dieser mit deinen Anfragen nix anzufangen weiss, schickt er dich immer wieder auf andere, deinen Anfragen wahrscheinlichere, entsprechende, Webseiten, ODER auf Webseiten um entsprechende Schadware nachzuladen. Kann es sein, dass du einen Videocodec geladen hast, der dir bis zu 40% mehr Performance versprochen hat? DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte: Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst. Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden..... Code: Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!! Lies dir die Anweisungen zu MalwareBytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus. Checken wir das Ganze erst mal von Anfang an. Da es sich vermutlich um einen DNS Changer handelt, müssen wir zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor: Code: Geh bitte auf START In die Netzwerkkontrolle gelangst du so Code: - Windows-Taste + “R” drücken drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften. Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen? Dein System sollte die DNS eigentlich automatisch beziehen. Falls dort Nummern eingetragen sind, poste sie hier.... Punkt 1. Bitte deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar.. Für Vista Punkt 2. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Für Vista User Punkt 3. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Punkt 4. Aktiviere MBR.exe Lass es laufen und poste das Logfile hier. Punkt 5. Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen Gehts immer noch nicht, gehe zu Punkt 6. Punkt 5. Wieder zurück zu deiner Internetverbindung: Stelle den Eintrag DNS automatisch beziehen wieder her, falls dies nicht mittlerweile wieder auf automatisch steht.. Punkt 6. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Falls es nicht läuft: Auch hier verhindern einige Viren, dass Gmer laufen kann. Benenne die exe dann einfach in Huppala.exe um Weiteres kommt dann nach diesem Logfile von mir..... |
Vielen vielen Dank für Deine Hilfe. Ich habe alles wie angegeben durchgeführt, GMER hat angeschlagen und mich auf Rootkit activity hingewiesen. ---- Services - GMER 1.0.15 ---- Service system32\drivers\TDSSserv.sys (*** hidden *** ) Dieser Abschnitt aus dem log ist rot. Wenn ich den kompletten log posten will dann bekomm ich diese Meldung hier: Der Text, den Sie eingegeben haben, besteht aus 856001 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen. hier die restlichen logs: Punkt 4 device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Punkt 5 Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1904 Windows 5.1.2600 Service Pack 2 02.04.2009 16:30:17 mbam-log-2009-04-02 (16-30-17).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 192466 Laufzeit: 1 hour(s), 23 minute(s), 50 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-04-02 17:06:06 Windows 5.1.2600 Service Pack 2 vielen Dank schon Mal !!! |
Hier der Rest der noch danach kommt am Ende des Log- Files. ---- Services - GMER 1.0.15 ---- Service system32\drivers\TDSSserv.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys ---- EOF - GMER 1.0.15 ---- |
Hallo So wird das leider ichts. ich brauche das komplette Logfile von Gmer Bitte lade es zu dem filehoster hoch wie in meinem ersten Post beschrieben.... Ich muss alles sehen.... |
http://www.file-upload.net/download-1564482/Postingliste.doc.html |
Zitat:
|
:taenzer: super ! |
Na bitte, da haben wir ja was wir brauchen. Öffne jetzt das Programm Avenger. Du siehst jetzt ein weißen Scriptfeld. http://www.Redwulf.de/AV.jpg Kopiere jetzt den Inhalt der Codebox mit Strg +C Code: Drivers to delete: Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst. Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken.. Selten, aber möglich bootet Windows in einen Bluescreen. Auch dann kein Grund zur Sorge. Nach Abschluß dieser Sache bekommst du ein Logfile angezeigt. Poste es bitte hier. Zu diesem Zeitpunkt ist auch möglich, dass sich Avira mit Virenfunden meldet. Lasse diese Viren dann LÖSCHEN, anschließend löscht du die Quarantäne. Anschließend wirst du das Programm Blacklight ausführen. Reporte das Ergebnis hier. Weiter geht es dann wieder mit MalwareBytes. Auch hier lässt du eventuelle Funde komplett löschen. Quarantäne ebenfalls. Poste das Ergebnis hier. Jetzt setzt du nochmals CCleaner ein und zeigst mir ein dann ein frisches Hijack this Log. Dann gehts ans Aufräumen.... |
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSserv.sys" not found! Deletion of driver "TDSSserv.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\drivers\TDSSserv.sys" not found! Deletion of file "C:\WINDOWS\system32\drivers\TDSSserv.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. den Rest mach ich gleich noch ... |
Mir ist gerade ein Fehler beim kopieren unterlaufen. Ich weiss jetzt nicht ob du diesen Eintrag Code: Registry keys to delete: Poste dann das Logfile hier |
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSserv.sys" not found! Deletion of driver "TDSSserv.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\drivers\TDSSserv.sys" not found! Deletion of file "C:\WINDOWS\system32\drivers\TDSSserv.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "HKLM\SYSTEM\ControlSet001\Services\TDSSserv" not found! Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\TDSSserv" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKLM\SYSTEM\ControlSet003\Services\TDSSserv" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Puhhh, hammern doch erwischt... Jetzt nochmal mit MalwareBytes ( Updates nicht vergessen ) und dann CCleaner. Bei Funden alles löschen und dann nochmals ein frisches Hijack this, bitte |
Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1935 Windows 5.1.2600 Service Pack 2 03.04.2009 05:47:22 mbam-log-2009-04-03 (05-47-22).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 194293 Laufzeit: 1 hour(s), 22 minute(s), 49 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 05:52:11, on 03.04.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\PROGRA~1\eScan\consctl.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ThpSrv.exe C:\Programme\TOSHIBA\TME3\Tmesrv31.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\SkyTel.EXE C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\WINDOWS\system32\TPSBattM.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\00THotkey.exe C:\WINDOWS\system32\thpsrv.exe C:\WINDOWS\system32\TFNF5.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\Programme\Apoint2K\Apntex.exe C:\Programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe C:\WINDOWS\system32\igfxext.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe C:\PROGRA~1\eScan\VISTA\avpmapp.exe C:\PROGRA~1\eScan\Vista\escanmon.exe C:\Dokumente und Einstellungen\Michael Sand\Anwendungsdaten\U3\34116109D100065C\LaunchPad.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe O4 - HKLM\..\Run: [ThpSrv] thpsrv /logon O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill O4 - HKLM\..\Run: [RegKillTray] "C:\Programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\Michael \Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1221433104 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file:///D:/CD-ROM/CDViewer/CdViewer.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TOSHIBA Festplattenschutz (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 9462 bytes |
Etwas ist noch nicht richtig gelaufen. Ich möchte dich daher nochmals bitten, noch einmal Gmer laufen zu lassen. Es scheint, als wäre etwas übrig geblieben. Ich muss, leider, nochmal ein Gmer Log sehen.... |
was mir auffällt ist dass ich nicht mehr weitergeleitet werde, aber irgendwas ist da immer noch ... danke nochmals bis hierhin. hier der link vom 2. GMER Durchlauf ... http://www.file-upload.net/download-1565620/gmer_2.log.html |
Hallo, lasse Avenger mit folgendem Skript laufen und poste das Log: Code: Drivers to delete: Danach: Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "TDSSserv" deleted successfully. Registry key "HKLM\SYSTEM\ControlSet003\Services\TDSSserv" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
http://www.file-upload.net/download-1571068/Gmer_06_04_2009.log.html |
halo habe versucht alle Programme auszuschalten, geht aber irgendwie nicht ... ComboFix 09-04-04.01 - Michael Sand 2009-04-06 20:01:16.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1434 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) AV: eScan Anti-Virus (AV) Edition für Windows *On-access scanning enabled* (Updated) FW: Norton Internet Worm Protection *disabled* * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\regedit.com c:\windows\system32\mpg4c32.dll c:\windows\system32\taskmgr.com c:\windows\system32\test . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV ((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 )))))))))))))))))))))))))))))) . 2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes 2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod 2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-04-05 16:52 . 2009-04-05 16:52 <DIR> d-------- c:\programme\Bonjour 2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime 2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple 2009-04-05 16:50 . 2009-04-05 16:50 <DIR> d-------- c:\programme\Apple Software Update 2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll 2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys 2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll 2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll 2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax 2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx 2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm 2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm 2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm 2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll 2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm 2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes 2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache 2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner 2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro 2009-03-28 02:34 . 2009-04-06 20:07 5,533,728 --ahs---- c:\windows\system32\drivers\fidbox.dat 2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll 2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll 2009-03-28 02:34 . 2009-04-06 20:05 75,140 --ahs---- c:\windows\system32\drivers\fidbox.idx 2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe 2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest 2009-03-27 06:52 . 2009-04-06 09:30 33 --a------ c:\windows\escan.dbf 2009-03-27 01:33 . 2009-03-27 01:33 20 --a------ c:\windows\WIN.PRO 2009-03-27 01:31 . 2009-04-06 20:07 189,472 --ahs---- c:\windows\system32\drivers\fidbox2.dat 2009-03-27 01:31 . 2009-04-06 20:05 18,764 --ahs---- c:\windows\system32\drivers\fidbox2.idx 2009-03-27 01:11 . 2009-03-27 01:11 <DIR> d-------- C:\PUB 2009-03-27 01:11 . 2009-03-30 13:32 0 --a------ C:\23990098.$$$ 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg 2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM 2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM 2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg 2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins 2009-03-27 01:09 . 2009-04-06 20:07 <DIR> d-------- c:\programme\eScan 2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE 2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache 2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8 2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat 2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5 2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui 2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui 2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui 2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3 2009-04-03 03:14 --------- d-----w c:\programme\SPSS 2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2 2009-03-25 14:06 --------- d-----w c:\programme\Palm 2009-03-18 22:34 --------- d-----w c:\programme\ICQ6 2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin 2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software 2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-02-26 12:49 --------- d-----w c:\programme\TuneUp Utilities 2009 2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat 2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThpSrv"="thpsrv" [X] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182] "00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952] "MailScan Dispatcher"="c:\progra~1\eScan\LAUNCH.EXE" [2008-07-16 204800] "RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056] "RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312] "SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe] "000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe] "AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe] "TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe] "TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux8"= c:\windows\system32\..\qjqea.uwe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 "TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe "CTFMON.EXE"=c:\windows\system32\ctfmon.exe "MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "CFSServ.exe"=CFSServ.exe -NoClient "DLA"=c:\windows\System32\DLA\DLACTRLW.EXE "TPSODDCtl"=TPSODDCtl.exe "StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto "igfxhkcmd"=c:\windows\system32\hkcmd.exe "TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe "ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "igfxtray"=c:\windows\system32\igfxtray.exe "igfxpers"=c:\windows\system32\igfxpers.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" "CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon "TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service "OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "NDSTray.exe"=NDSTray.exe "TOSDCR"=TOSDCR.EXE "TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe "TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min "eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\Palm\\HOTSYNC.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\StubInstaller.exe"= "c:\\Programme\\LimeWire\\LimeWire.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\DNA\\btdna.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Programme\\Java\\jre1.5.0_06\\bin\\javaw.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"= "c:\\PROGRA~1\\eScan\\TRAYICOS.EXE"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\PROGRA~1\\eScan\\LICENSE.EXE"= "c:\\PROGRA~1\\eScan\\MAILADM.EXE"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384] R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888] R2 eScan-trayicos;eScan Server-Updater;c:\progra~1\eScan\TRAYSSER.EXE [2009-03-27 78848] R2 eScan Monitor Service;eScan Monitor Service;c:\progra~1\eScan\VISTA\avpmapp.exe [2009-03-27 598016] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784] R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-02-26 603904] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864] R3 ProcObsrves;Process Creation Monitor;c:\progra~1\eScan\ProcObsrves.sys [2009-03-27 5632] R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400] S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}] \Shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . Inhalt des "geplante Tasks" Ordners 2009-04-06 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 20:07] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 LSP: c:\programme\FRITZ!DSL\\sarah.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-06 20:08:12 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Toshiba\ConfigFree\CFSvcs.exe c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\progra~1\eScan\CONSCTL.EXE c:\windows\system32\ThpSrv.exe c:\progra~1\eScan\TRAYICOS.EXE c:\programme\Toshiba\TME3\TMEEJME.exe c:\windows\system32\ThpSrv.exe c:\windows\system32\TPSBattM.exe c:\windows\system32\igfxext.exe c:\windows\system32\igfxsrvc.exe c:\programme\Apoint2K\ApntEx.exe c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe c:\programme\iPod\bin\iPodService.exe c:\progra~1\eScan\Vista\SCANNINGPROCESS.EXE . ************************************************************************** . Zeit der Fertigstellung: 2009-04-06 20:13:58 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-04-06 18:13:55 Vor Suchlauf: 7.198.806.016 Bytes frei Nach Suchlauf: 7,136,534,528 Bytes frei 291 --- E O F --- 2009-03-18 06:13:36 |
Solange ich noch das Log lese (und dabei einen Herzinfarkt nach dem anderen bekomme :(), klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Liste unter Punkt 2 ab. Deinstalliere vorab:
|
oh so schlimm ? ... hm, also Tune Up, eScan und Spybot hab ich deinstalliert, die anderen Programm finde ich gar nicht. Zumindest kann ich die in Windows unter Software nicht finden ... soll ich trotzdem die Liste unter Punkt 2 abarbeiten ? Danke, M. |
Zitat:
ciao, andreas |
Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1945 Windows 5.1.2600 Service Pack 2 06.04.2009 21:57:07 mbam-log-2009-04-06 (21-57-07).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 193401 Laufzeit: 1 hour(s), 10 minute(s), 24 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:59:26, on 06.04.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\SkyTel.EXE C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\system32\ThpSrv.exe C:\Programme\TOSHIBA\TME3\Tmesrv31.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\TOSHIBA\TME3\TMEEJME.EXE C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\00THotkey.exe C:\WINDOWS\system32\thpsrv.exe C:\WINDOWS\system32\TFNF5.exe C:\Programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe C:\WINDOWS\system32\TPSBattM.exe C:\WINDOWS\system32\igfxext.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Apoint2K\Apntex.exe C:\Dokumente und Einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Palm\Palm.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe O4 - HKLM\..\Run: [ThpSrv] thpsrv /logon O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill O4 - HKLM\..\Run: [RegKillTray] "C:\Programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1221433104 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file:///D:/CD-ROM/CDViewer/CdViewer.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TOSHIBA Festplattenschutz (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe -- End of file - 9035 bytes |
Adobe Flash Player 10 ActiveX Adobe Flash Player Plugin Adobe Photoshop 5.0 Limited Edition Adobe Reader 7.0.5 Language Support Adobe Reader 7.0.9 - Deutsch ALPS Touch Pad Driver Apple Mobile Device Support Apple Software Update ArcSoft PhotoStudio 5.5 Audiograbber 1.83 SE Avira AntiVir Personal - Free Antivirus AVM FRITZ!Box Dokumentation AVM FRITZ!Box Druckeranschluss AVM FRITZ!DSL AVS Media Player 3.1 AVS Update Manager 1.0 AVS4YOU Software Navigator 1.3 BlackBerry Desktop Software 4.6 BlackBerry Desktop Software 4.6 Bluetooth Stack for Windows by Toshiba Bonjour Canon MP Navigator EX 1.0 Canon Utilities Solution Menu CanoScan LiDE 90 CCleaner (remove only) CD/DVD Drive Acoustic Silencer CodecInstaller 2.10.1 Compatibility Pack for the 2007 Office system Corel Painter IX CorelDRAW Graphics Suite X3 DE Documents To Go DVD Region Killer EndNote X Volume License Edition e-Wörterbücher Feurio! CD-Writer ffdshow [rev 2135] [2008-09-21] FontNav Fotosizer 1.16 gBurner Google Earth High Definition Audio Driver Package - KB888111 HijackThis 2.0.2 Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix for Windows XP (KB915865) Hotfix for Windows XP (KB926239) Hotfix für Windows Internet Explorer 7 (KB947864) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB893357) Hotfix für Windows XP (KB894871) Hotfix für Windows XP (KB896243) Hotfix für Windows XP (KB896256) Hotfix für Windows XP (KB910728) Hotfix für Windows XP (KB914440) Hotfix für Windows XP (KB935448) Hotfix für Windows XP (KB952287) hp LaserJet 1010 Series ICQ6.5 Image Resizer Powertoy for Windows XP InfraRecorder Intel(R) Graphics Media Accelerator Driver Intel(R) PRO Network Connections Drivers Intel(R) PROSet/Wireless Software InterVideo WinDVD Creator 2 InterVideo WinDVD for TOSHIBA ISI ResearchSoft - Export Helper IsoBuster 2.3 iTunes J2SE Runtime Environment 5.0 Update 6 Java(TM) 6 Update 5 Java(TM) 6 Update 7 LimeWire 4.18.3 Macromedia Flash Player MagicDisc 2.7.105 Malwarebytes' Anti-Malware mCore mDrWiFi MedCalc mHelp Microsoft .NET Framework 2.0 Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 3.0 Microsoft .NET Framework 3.0 Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 German Language Pack Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office OneNote 2003 Microsoft Office XP Professional mit FrontPage Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Visual C++ 2005 Redistributable mIWA mLogView mMHouse Mozilla Firefox (3.0.8) mPfMgr mPfWiz mProSafe MSXML 4.0 SP2 (KB927978) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MSXML 6 Service Pack 2 (KB954459) mWlsSafe mXML mZConfig OpenOffice.org 2.0 Palm Desktop PDFCreator QuickTime RealPlayer Realtek High Definition Audio Driver ScanSoft OmniPage SE 4 SD Secure Module Security Update for CAPICOM (KB931906) Security Update for CAPICOM (KB931906) Sicherheitsupdate für Step by Step Interactive Training (KB898458) Sicherheitsupdate für Step by Step Interactive Training (KB923723) Sicherheitsupdate für Windows Internet Explorer 7 (KB928090) Sicherheitsupdate für Windows Internet Explorer 7 (KB929969) Sicherheitsupdate für Windows Internet Explorer 7 (KB931768) Sicherheitsupdate für Windows Internet Explorer 7 (KB933566) Sicherheitsupdate für Windows Internet Explorer 7 (KB937143) Sicherheitsupdate für Windows Internet Explorer 7 (KB938127) Sicherheitsupdate für Windows Internet Explorer 7 (KB939653) Sicherheitsupdate für Windows Internet Explorer 7 (KB942615) Sicherheitsupdate für Windows Internet Explorer 7 (KB944533) Sicherheitsupdate für Windows Internet Explorer 7 (KB950759) Sicherheitsupdate für Windows Internet Explorer 7 (KB953838) Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Media Player (KB911564) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player 10 (KB917734) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows Media Player 6.4 (KB925398) Sicherheitsupdate für Windows XP (KB890046) Sicherheitsupdate für Windows XP (KB893066) Sicherheitsupdate für Windows XP (KB893756) Sicherheitsupdate für Windows XP (KB896358) Sicherheitsupdate für Windows XP (KB896422) Sicherheitsupdate für Windows XP (KB896423) Sicherheitsupdate für Windows XP (KB896424) Sicherheitsupdate für Windows XP (KB896428) Sicherheitsupdate für Windows XP (KB899587) Sicherheitsupdate für Windows XP (KB899588) Sicherheitsupdate für Windows XP (KB899589) Sicherheitsupdate für Windows XP (KB899591) Sicherheitsupdate für Windows XP (KB900725) Sicherheitsupdate für Windows XP (KB901017) Sicherheitsupdate für Windows XP (KB901190) Sicherheitsupdate für Windows XP (KB901214) Sicherheitsupdate für Windows XP (KB902400) Sicherheitsupdate für Windows XP (KB904706) Sicherheitsupdate für Windows XP (KB905414) Sicherheitsupdate für Windows XP (KB905749) Sicherheitsupdate für Windows XP (KB905915) Sicherheitsupdate für Windows XP (KB908519) Sicherheitsupdate für Windows XP (KB911562) Sicherheitsupdate für Windows XP (KB911567) Sicherheitsupdate für Windows XP (KB911927) Sicherheitsupdate für Windows XP (KB912919) Sicherheitsupdate für Windows XP (KB913580) Sicherheitsupdate für Windows XP (KB914388) Sicherheitsupdate für Windows XP (KB914389) Sicherheitsupdate für Windows XP (KB917344) Sicherheitsupdate für Windows XP (KB917422) Sicherheitsupdate für Windows XP (KB917953) Sicherheitsupdate für Windows XP (KB918118) Sicherheitsupdate für Windows XP (KB918439) Sicherheitsupdate für Windows XP (KB918899) Sicherheitsupdate für Windows XP (KB919007) Sicherheitsupdate für Windows XP (KB920213) Sicherheitsupdate für Windows XP (KB920214) Sicherheitsupdate für Windows XP (KB920670) Sicherheitsupdate für Windows XP (KB920683) Sicherheitsupdate für Windows XP (KB920685) Sicherheitsupdate für Windows XP (KB921398) Sicherheitsupdate für Windows XP (KB921503) Sicherheitsupdate für Windows XP (KB921883) Sicherheitsupdate für Windows XP (KB922616) Sicherheitsupdate für Windows XP (KB922760) Sicherheitsupdate für Windows XP (KB922819) Sicherheitsupdate für Windows XP (KB923191) Sicherheitsupdate für Windows XP (KB923414) Sicherheitsupdate für Windows XP (KB923689) Sicherheitsupdate für Windows XP (KB923694) Sicherheitsupdate für Windows XP (KB923980) Sicherheitsupdate für Windows XP (KB924191) Sicherheitsupdate für Windows XP (KB924270) Sicherheitsupdate für Windows XP (KB924496) Sicherheitsupdate für Windows XP (KB924667) Sicherheitsupdate für Windows XP (KB925454) Sicherheitsupdate für Windows XP (KB925486) Sicherheitsupdate für Windows XP (KB925902) Sicherheitsupdate für Windows XP (KB926255) Sicherheitsupdate für Windows XP (KB926436) Sicherheitsupdate für Windows XP (KB927779) Sicherheitsupdate für Windows XP (KB927802) Sicherheitsupdate für Windows XP (KB928255) Sicherheitsupdate für Windows XP (KB928843) Sicherheitsupdate für Windows XP (KB929123) Sicherheitsupdate für Windows XP (KB930178) Sicherheitsupdate für Windows XP (KB931261) Sicherheitsupdate für Windows XP (KB931784) Sicherheitsupdate für Windows XP (KB932168) Sicherheitsupdate für Windows XP (KB933729) Sicherheitsupdate für Windows XP (KB935839) Sicherheitsupdate für Windows XP (KB935840) Sicherheitsupdate für Windows XP (KB936021) Sicherheitsupdate für Windows XP (KB937894) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB938829) Sicherheitsupdate für Windows XP (KB941202) Sicherheitsupdate für Windows XP (KB941568) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB941644) Sicherheitsupdate für Windows XP (KB941693) Sicherheitsupdate für Windows XP (KB943055) Sicherheitsupdate für Windows XP (KB943460) Sicherheitsupdate für Windows XP (KB943485) Sicherheitsupdate für Windows XP (KB944653) Sicherheitsupdate für Windows XP (KB945553) Sicherheitsupdate für Windows XP (KB946026) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB948590) Sicherheitsupdate für Windows XP (KB948881) Sicherheitsupdate für Windows XP (KB950749) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) Sonic DLA Sonic RecordNow! SPSS 11.5.1 für Windows TOSHIBA Assist TOSHIBA Benutzerhandbücher TOSHIBA ConfigFree TOSHIBA Controls TOSHIBA Dienstprogramme TOSHIBA HDD Protection TOSHIBA Hotkey Utility für Anzeigegeräte TOSHIBA Mobile Extension3 für Windows XP V3.80.00.XP TOSHIBA Passwort-Utility TOSHIBA PC-Diagnose-Tool TOSHIBA Power Saver TOSHIBA SD Memory Boot Utility TOSHIBA SD-Speicherkarten-Formatierung TOSHIBA Sicherheits-Assistent TOSHIBA Software Modem TOSHIBA Touchpad Ein/Aus Utility V2.05.01 TOSHIBA Utility zum Bildschirmwechsel TOSHIBA Zoom-Dienstprogramm UMTS USB Modem Manager Update für Windows XP (KB894391) Update für Windows XP (KB898461) Update für Windows XP (KB900485) Update für Windows XP (KB904942) Update für Windows XP (KB908531) Update für Windows XP (KB910437) Update für Windows XP (KB911280) Update für Windows XP (KB912945) Update für Windows XP (KB916595) Update für Windows XP (KB920872) Update für Windows XP (KB922582) Update für Windows XP (KB925720) Update für Windows XP (KB927891) Update für Windows XP (KB929338) Update für Windows XP (KB930916) Update für Windows XP (KB931836) Update für Windows XP (KB932823-v3) Update für Windows XP (KB933360) Update für Windows XP (KB936357) Update für Windows XP (KB938828) Update für Windows XP (KB942763) Update für Windows XP (KB951072-v2) Update für Windows XP (KB955839) Update für Windows XP (KB967715) Update Manager VBA VLC media player 0.9.2 VoiceOver Kit WD Diagnostics Wichtiges Update für Windows Media Player 11 (KB959772) Winamp (remove only) Windows Communication Foundation Windows Imaging Component Windows Installer 3.1 (KB893803) Windows Internet Explorer 8 Windows Live Anmelde-Assistent Windows Live installer Windows Live Messenger Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Player 11 Windows Media Player 11 Windows Presentation Foundation Windows Presentation Foundation Language Pack (DEU) Windows Workflow Foundation Windows Workflow Foundation DE Language Pack Windows XP-Hotfix - KB873339 Windows XP-Hotfix - KB885250 Windows XP-Hotfix - KB885835 Windows XP-Hotfix - KB885836 Windows XP-Hotfix - KB885855 Windows XP-Hotfix - KB885884 Windows XP-Hotfix - KB886185 Windows XP-Hotfix - KB887472 Windows XP-Hotfix - KB888113 Windows XP-Hotfix - KB888302 Windows XP-Hotfix - KB888622 Windows XP-Hotfix - KB889673 Windows XP-Hotfix - KB890175 Windows XP-Hotfix - KB890859 Windows XP-Hotfix - KB891781 Windows XP-Hotfix - KB893056 Windows XP-Hotfix - KB895200 WinRAR WinZip Wireless Hotkey XML Paper Specification Shared Components Language Pack 1.0 Xvid 1.1.3 final uninstall |
Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: c:\windows\qjqea.uwe ciao, andreas |
Datei qjqea.uwe empfangen 2009.04.06 22:49:21 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/40 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 49 und 70 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.04.06 - AhnLab-V3 5.0.0.2 2009.04.06 - AntiVir 7.9.0.138 2009.04.06 - Antiy-AVL 2.0.3.1 2009.04.06 - Authentium 5.1.2.4 2009.04.06 - Avast 4.8.1335.0 2009.04.06 - AVG 8.5.0.285 2009.04.06 - BitDefender 7.2 2009.04.06 - CAT-QuickHeal 10.00 2009.04.06 - ClamAV 0.94.1 2009.04.06 - Comodo 1101 2009.04.06 - DrWeb 4.44.0.09170 2009.04.06 - eSafe 7.0.17.0 2009.04.06 - eTrust-Vet 31.6.6435 2009.04.03 - F-Prot 4.4.4.56 2009.04.05 - F-Secure 8.0.14470.0 2009.04.06 - Fortinet 3.117.0.0 2009.04.06 - GData 19 2009.04.06 - Ikarus T3.1.1.49.0 2009.04.06 - K7AntiVirus 7.10.694 2009.04.06 - Kaspersky 7.0.0.125 2009.04.06 - McAfee 5576 2009.04.06 - McAfee+Artemis 5576 2009.04.06 - McAfee-GW-Edition 6.7.6 2009.04.06 - Microsoft 1.4502 2009.04.06 - NOD32 3990 2009.04.06 - Norman 6.00.06 2009.04.06 - nProtect 2009.1.8.0 2009.04.06 - Panda 10.0.0.14 2009.04.06 - PCTools 4.4.2.0 2009.04.06 - Prevx1 V2 2009.04.06 - Rising 21.23.41.00 2009.04.03 - Sophos 4.40.0 2009.04.06 - Sunbelt 3.2.1858.2 2009.04.06 - Symantec 1.4.4.12 2009.04.06 - TheHacker 6.3.4.0.303 2009.04.06 - TrendMicro 8.700.0.1004 2009.04.06 - VBA32 3.12.10.2 2009.04.06 - ViRobot 2009.4.6.1680 2009.04.06 - VirusBuster 4.6.5.0 2009.04.06 - weitere Informationen File size: 1024 bytes MD5...: f048f160bdd2d6d84b1af78c60088946 SHA1..: cd997af8f9481872ae7c2117453ea95b566cb86b SHA256: 4e9406dfe5d6f545d0ac2ce954c389422480218a0426d4c3744c6916d094bad3 SHA512: 0c92c35f10353e4d1b94fbd5f5513e40641736b37927987722a128ed986acf7a b38c765793cd4a98b8378298644e28f1f73c51cafc3f970101d7356765f30b74 ssdeep: 3:5dlX:Dl PEiD..: - TrID..: File type identification Memo File Apollo Database Engine (35.3%) Lumena CEL bitmap (25.3%) Corel Photo Paint (16.4%) VXD Driver (12.4%) Sybase iAnywhere database files (7.6%) PEInfo: - RDS...: NSRL Reference Data Set - |
1.) Lade die Datei c:\windows\qjqea.uwe bei einem Filehoster (z.B. www.materialordner.de) hoch und schicke mir den Link als PN zu. Lösche sie anschliessend. 2.) Deinstalliere:
3.) Installiere (Toolbars immer abwählen, Haken weg):
4.) Erstelle ein aktuelles Log mit ComboFix und poste es. ciao, andreas |
http://www.materialordner.de/f1kYAD9cHe5EeWvczXlmYY8V8WaaCg.html |
Welche Dateigröße wird dir angezeigt, wenn du die Datei im Windowsexplorer anzeigen lässt? ciao, andreas |
1 kb gruß und vielen Dank für Deine Hilfe !!! Michael |
ne frage bin habe keine anung wie mach ich mein eigenen eintrag habe nemlich ein problem! |
also meine mein eigenes thema wo ich hilfe bzw. Antworten bekomme! |
@Computers Um welches Problem geht es denn? ciao, andreas |
ComboFix 09-04-04.01 - Michael Sand 2009-04-06 23:41:57.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1447 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) FW: Norton Internet Worm Protection *disabled* * Resident AV is active Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 )))))))))))))))))))))))))))))) . 2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer 2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll 2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\programme\AskBarDis 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit 2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software 2009-04-06 20:32 . 2009-04-06 20:32 <DIR> d-------- c:\windows\LastGood 2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP 2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes 2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod 2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime 2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple 2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll 2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys 2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll 2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll 2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax 2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx 2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm 2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm 2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm 2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll 2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm 2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes 2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache 2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner 2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro 2009-03-28 02:34 . 2009-04-06 23:45 6,092,832 --a------ c:\windows\system32\drivers\fidbox.dat 2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll 2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll 2009-03-28 02:34 . 2009-04-06 20:05 75,140 --------- c:\windows\system32\drivers\fidbox.idx 2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe 2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest 2009-03-27 01:31 . 2009-04-06 23:44 238,368 --a------ c:\windows\system32\drivers\fidbox2.dat 2009-03-27 01:31 . 2009-04-06 20:05 18,764 --------- c:\windows\system32\drivers\fidbox2.idx 2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB 2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$ 2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg 2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM 2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM 2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg 2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins 2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE 2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll 2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll 2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll 2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL 2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL 2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe 2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe 2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll 2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe 2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE 2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache 2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8 2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat 2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5 2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui 2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui 2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui 2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-06 21:36 --------- d-----w c:\programme\Java 2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3 2009-04-03 03:14 --------- d-----w c:\programme\SPSS 2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2 2009-03-25 14:06 --------- d-----w c:\programme\Palm 2009-03-18 22:34 --------- d-----w c:\programme\ICQ6 2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin 2009-03-08 03:34 914,944 ----a-w c:\windows\system32\wininet.dll 2009-03-08 03:34 43,008 ----a-w c:\windows\system32\licmgr10.dll 2009-03-08 03:33 420,352 ----a-w c:\windows\system32\vbscript.dll 2009-03-08 03:33 18,944 ----a-w c:\windows\system32\corpol.dll 2009-03-08 03:32 72,704 ----a-w c:\windows\system32\admparse.dll 2009-03-08 03:32 71,680 ----a-w c:\windows\system32\iesetup.dll 2009-03-08 03:31 48,128 ----a-w c:\windows\system32\mshtmler.dll 2009-03-08 03:31 45,568 ----a-w c:\windows\system32\mshta.exe 2009-03-08 03:31 34,816 ----a-w c:\windows\system32\imgutil.dll 2009-03-08 03:22 156,160 ----a-w c:\windows\system32\msls31.dll 2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software 2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys 2009-01-07 17:20 265,720 ----a-w c:\windows\system32\msdbg2.dll 2009-01-07 17:20 26,144 ----a-w c:\windows\system32\spupdsvc.exe 2009-01-07 17:20 26,112 ----a-w c:\windows\system32\idndl.dll 2009-01-07 17:20 24,576 ----a-w c:\windows\system32\nlsdl.dll 2009-01-07 17:20 23,552 ----a-w c:\windows\system32\normaliz.dll 2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat 2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 ))))))))))))))))))))))))))))))))))))))))) . + 2008-02-04 16:34:00 194,320 ----a-w c:\windows\LastGood\system32\DRIVERS\klif.sys - 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe - 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe - 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:37:05 16,384 ----atw c:\windows\temp\Perflib_Perfdata_180.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] 2008-11-18 12:58 333192 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThpSrv"="thpsrv" [X] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182] "00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952] "RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056] "RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888] "SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe] "000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe] "AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe] "TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe] "TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux8"= c:\windows\system32\..\qjqea.uwe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 "TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe "CTFMON.EXE"=c:\windows\system32\ctfmon.exe "MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "CFSServ.exe"=CFSServ.exe -NoClient "DLA"=c:\windows\System32\DLA\DLACTRLW.EXE "TPSODDCtl"=TPSODDCtl.exe "StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto "igfxhkcmd"=c:\windows\system32\hkcmd.exe "TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe "ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "igfxtray"=c:\windows\system32\igfxtray.exe "igfxpers"=c:\windows\system32\igfxpers.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" "CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon "TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service "OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "NDSTray.exe"=NDSTray.exe "TOSDCR"=TOSDCR.EXE "TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe "TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min "eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\Palm\\HOTSYNC.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\StubInstaller.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\DNA\\btdna.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384] R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864] R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400] S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - JAVAQUICKSTARTERSERVICE *NewlyCreated* - WMIAPSRV *Deregistered* - ProcObsrves [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}] \Shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 LSP: c:\programme\FRITZ!DSL\\sarah.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-06 23:45:01 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-04-06 23:46:49 ComboFix-quarantined-files.txt 2009-04-06 21:46:47 ComboFix2.txt 2009-04-06 18:14:01 Vor Suchlauf: 7.187.730.432 Bytes frei Nach Suchlauf: 7,262,691,328 Bytes frei 288 --- E O F --- 2009-03-18 06:13:36 |
wobei Avira im Hintegrund lief und er eine Datei gefunden hat die verdächtig ist. AV-test.txt enthält Code des Eica Test Signature Virus Eicar-Test-Signature - Malware Siehe auch Kurzfassung Vollständig Statistik Wie würden Sie diese Information bewerten? Wertlos Hervorragend Name: Eicar-Test-Signature Art: Testdatei In freier Wildbahn: Nein Gemeldete Infektionen: Niedrig Verbreitungspotenzial: Niedrig Schadenspotenzial: Niedrig Statische Datei: Ja Dateigröße: 68 Bytes MD5 Prüfsumme: 44d88612fea8a8f36de82e1278abb02 Wichtige Information Der Zweck dieses Programms ist es Antivirensoftware zu testen und um eine korrekte Installation sicherzustellen. Das Programm selbst ist daher kein Virus. Der Name dieses Testprogramms kommt von der EICAR (European Institute for Computer Anti-Virus Research) Organisation. Weitere Informationen sind auf deren Webseite www.eicar.com verfügbar. Bitte beachten Sie, dass das EICAR Testprogramm größer als 68 Bytes sein könnte. Die korrekte Dateigröße ist jedoch 68 Bytes und Funktionstests sollten nur damit durchgeführt werden. General Aliases: • Symantec: EICAR Test String • Mcafee: EICAR test file • Kaspersky: EICAR-Test-File • TrendMicro: Eicar_test_file • F-Secure: EICAR-Test-File • Sophos: EICAR-AV-Test • Panda: EICAR-AV-TEST-FILE • Eset: EICAR_test_file • Bitdefender: EICAR-Test-File Weitere Details finden Sie hier . Beschreibung erstellt von Oliver Auerbach am Tue, 13 Dec 2005 15:20 (GMT+1) ich hab die Datei in Quarantäne gepackt |
so hab jetzt nach dem ganzen löschen und installieren noch mal einen Neustart gemacht und nochmal einen neuen Combofix: ComboFix 09-04-04.01 - Michael Sand 2009-04-07 0:00:10.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1509 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) FW: Norton Internet Worm Protection *disabled* Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 )))))))))))))))))))))))))))))) . 2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer 2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll 2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\programme\AskBarDis 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit 2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software 2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP 2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes 2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod 2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime 2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple 2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll 2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys 2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll 2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll 2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax 2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx 2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm 2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm 2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm 2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll 2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm 2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes 2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache 2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner 2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro 2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll 2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll 2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe 2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest 2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB 2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$ 2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg 2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM 2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM 2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg 2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins 2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE 2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll 2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll 2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll 2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL 2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL 2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe 2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe 2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll 2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe 2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE 2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache 2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8 2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat 2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5 2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui 2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui 2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui 2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-06 21:36 --------- d-----w c:\programme\Java 2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3 2009-04-03 03:14 --------- d-----w c:\programme\SPSS 2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2 2009-03-25 14:06 --------- d-----w c:\programme\Palm 2009-03-18 22:34 --------- d-----w c:\programme\ICQ6 2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin 2009-03-08 03:34 914,944 ----a-w c:\windows\system32\wininet.dll 2009-03-08 03:34 43,008 ----a-w c:\windows\system32\licmgr10.dll 2009-03-08 03:33 420,352 ----a-w c:\windows\system32\vbscript.dll 2009-03-08 03:33 18,944 ----a-w c:\windows\system32\corpol.dll 2009-03-08 03:32 72,704 ----a-w c:\windows\system32\admparse.dll 2009-03-08 03:32 71,680 ----a-w c:\windows\system32\iesetup.dll 2009-03-08 03:31 48,128 ----a-w c:\windows\system32\mshtmler.dll 2009-03-08 03:31 45,568 ----a-w c:\windows\system32\mshta.exe 2009-03-08 03:31 34,816 ----a-w c:\windows\system32\imgutil.dll 2009-03-08 03:22 156,160 ----a-w c:\windows\system32\msls31.dll 2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software 2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys 2009-01-07 17:20 265,720 ----a-w c:\windows\system32\msdbg2.dll 2009-01-07 17:20 26,144 ----a-w c:\windows\system32\spupdsvc.exe 2009-01-07 17:20 26,112 ----a-w c:\windows\system32\idndl.dll 2009-01-07 17:20 24,576 ----a-w c:\windows\system32\nlsdl.dll 2009-01-07 17:20 23,552 ----a-w c:\windows\system32\normaliz.dll 2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat 2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe - 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe - 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:55:37 16,384 ----atw c:\windows\temp\Perflib_Perfdata_578.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] 2008-11-18 12:58 333192 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThpSrv"="thpsrv" [X] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182] "00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952] "RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056] "RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888] "SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe] "000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe] "AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe] "TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe] "TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux8"= c:\windows\system32\..\qjqea.uwe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 "TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe "CTFMON.EXE"=c:\windows\system32\ctfmon.exe "MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "CFSServ.exe"=CFSServ.exe -NoClient "DLA"=c:\windows\System32\DLA\DLACTRLW.EXE "TPSODDCtl"=TPSODDCtl.exe "StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto "igfxhkcmd"=c:\windows\system32\hkcmd.exe "TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe "ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "igfxtray"=c:\windows\system32\igfxtray.exe "igfxpers"=c:\windows\system32\igfxpers.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" "CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon "TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service "OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "NDSTray.exe"=NDSTray.exe "TOSDCR"=TOSDCR.EXE "TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe "TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min "eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\Palm\\HOTSYNC.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\StubInstaller.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\DNA\\btdna.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384] R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864] R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400] S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - MESSENGER [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}] \Shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 LSP: c:\programme\FRITZ!DSL\\sarah.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-07 00:02:47 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-04-07 0:04:20 ComboFix-quarantined-files.txt 2009-04-06 22:04:19 ComboFix2.txt 2009-04-06 21:46:51 ComboFix3.txt 2009-04-06 18:14:01 Vor Suchlauf: 7.292.051.456 Bytes frei Nach Suchlauf: 7,269,343,232 Bytes frei 284 --- E O F --- 2009-03-18 06:13:36 |
Zitat:
EICAR-Testdatei ? Wikipedia 1.) Download und Ausführung des Norton-Entfernungsprogramms 2.) Was hab ich nochmal geschrieben? Zitat:
Danach deinstallierst du die Ask-/Foxit-Toolbar. 3.) Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
was bist Du eigentlich für ne Hammer Maschine ?!??? ... danke. FoxIt hat es selber installiert ... wirklich !!! dann werd ich das mal alles machen. gruss m |
ComboFix 09-04-04.01 - Michael Sand 2009-04-07 0:40:21.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1500 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael Sand\Desktop\cfscript.txt AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt * Resident AV is active Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 )))))))))))))))))))))))))))))) . 2009-04-07 00:26 . 2009-04-07 00:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller 2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer 2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll 2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit 2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software 2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP 2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes 2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod 2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime 2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple 2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll 2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys 2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll 2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll 2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax 2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx 2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm 2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm 2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm 2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll 2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm 2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes 2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache 2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner 2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro 2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll 2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll 2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe 2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest 2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB 2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$ 2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg 2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM 2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM 2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg 2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins 2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE 2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll 2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll 2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll 2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL 2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL 2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe 2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe 2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll 2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe 2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE 2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache 2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8 2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat 2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5 2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui 2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui 2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui 2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-06 21:36 --------- d-----w c:\programme\Java 2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3 2009-04-03 03:14 --------- d-----w c:\programme\SPSS 2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2 2009-03-25 14:06 --------- d-----w c:\programme\Palm 2009-03-18 22:34 --------- d-----w c:\programme\ICQ6 2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin 2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software 2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat 2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe - 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe - 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 22:45:42 16,384 ----atw c:\windows\temp\Perflib_Perfdata_458.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThpSrv"="thpsrv" [X] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182] "00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952] "RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056] "RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888] "SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe] "000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe] "AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe] "TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe] "TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux8"= c:\windows\system32\..\qjqea.uwe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 "TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe "CTFMON.EXE"=c:\windows\system32\ctfmon.exe "MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "CFSServ.exe"=CFSServ.exe -NoClient "DLA"=c:\windows\System32\DLA\DLACTRLW.EXE "TPSODDCtl"=TPSODDCtl.exe "StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto "igfxhkcmd"=c:\windows\system32\hkcmd.exe "TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe "ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "igfxtray"=c:\windows\system32\igfxtray.exe "igfxpers"=c:\windows\system32\igfxpers.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" "CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon "TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service "OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "NDSTray.exe"=NDSTray.exe "TOSDCR"=TOSDCR.EXE "TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe "TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min "eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\Palm\\HOTSYNC.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\StubInstaller.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\DNA\\btdna.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384] R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864] R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400] S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}] \Shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 LSP: c:\programme\FRITZ!DSL\\sarah.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-07 00:46:51 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Toshiba\ConfigFree\CFSvcs.exe c:\windows\system32\ThpSrv.exe c:\windows\system32\TPSBattM.exe c:\windows\system32\igfxext.exe c:\windows\system32\igfxsrvc.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Apoint2K\ApntEx.exe c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\ThpSrv.exe c:\programme\Toshiba\TME3\TMEEJME.exe c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-04-07 0:53:01 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-04-06 22:52:58 ComboFix2.txt 2009-04-06 22:04:21 ComboFix3.txt 2009-04-06 21:46:51 ComboFix4.txt 2009-04-06 18:14:01 Vor Suchlauf: 7.214.071.808 Bytes frei Nach Suchlauf: 7,231,037,440 Bytes frei 285 --- E O F --- 2009-03-18 06:13:36 |
Irgendetwas hat da nicht funktioniert. Lösche die cfscript.txt und erstelle sie nocheinmal. Deinstalliere Escan. Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
ComboFix 09-04-04.01 - Michael Sand 2009-04-07 18:13:15.5 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1467 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael Sand\Desktop\cfscript.txt AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-03-07 bis 2009-04-07 )))))))))))))))))))))))))))))) . 2009-04-07 00:26 . 2009-04-07 00:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller 2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer 2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll 2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit 2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software 2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP 2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes 2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod 2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime 2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple 2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll 2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys 2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll 2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll 2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax 2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx 2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm 2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm 2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm 2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll 2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm 2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes 2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache 2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner 2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro 2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll 2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll 2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe 2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest 2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB 2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$ 2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg 2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM 2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM 2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg 2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins 2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE 2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll 2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll 2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll 2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL 2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL 2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe 2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe 2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll 2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe 2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE 2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache 2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8 2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat 2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5 2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui 2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui 2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui 2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-07 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-04-06 21:36 --------- d-----w c:\programme\Java 2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3 2009-04-03 03:14 --------- d-----w c:\programme\SPSS 2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2 2009-03-25 14:06 --------- d-----w c:\programme\Palm 2009-03-18 22:34 --------- d-----w c:\programme\ICQ6 2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin 2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software 2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat 2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe - 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe - 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe + 2009-04-07 16:18:22 16,384 ----atw c:\windows\temp\Perflib_Perfdata_430.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThpSrv"="thpsrv" [X] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182] "00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952] "RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056] "RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888] "SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe] "000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe] "AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe] "TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe] "TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux8"= c:\windows\system32\..\qjqea.uwe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 "TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe "CTFMON.EXE"=c:\windows\system32\ctfmon.exe "MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "CFSServ.exe"=CFSServ.exe -NoClient "DLA"=c:\windows\System32\DLA\DLACTRLW.EXE "TPSODDCtl"=TPSODDCtl.exe "StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto "igfxhkcmd"=c:\windows\system32\hkcmd.exe "TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe "ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "igfxtray"=c:\windows\system32\igfxtray.exe "igfxpers"=c:\windows\system32\igfxpers.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" "CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon "TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service "OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "NDSTray.exe"=NDSTray.exe "TOSDCR"=TOSDCR.EXE "TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe "TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min "eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\Palm\\HOTSYNC.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\StubInstaller.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\DNA\\btdna.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384] R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864] R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400] S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}] \Shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 LSP: c:\programme\FRITZ!DSL\\sarah.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-07 18:19:35 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Toshiba\ConfigFree\CFSvcs.exe c:\windows\system32\TPSBattM.exe c:\windows\system32\ThpSrv.exe c:\windows\system32\igfxext.exe c:\windows\system32\igfxsrvc.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Apoint2K\ApntEx.exe c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\ThpSrv.exe c:\programme\Toshiba\TME3\TMEEJME.exe c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe c:\programme\iPod\bin\iPodService.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-04-07 18:25:33 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-04-07 16:25:31 ComboFix2.txt 2009-04-06 22:53:02 ComboFix3.txt 2009-04-06 22:04:21 ComboFix4.txt 2009-04-06 21:46:51 ComboFix5.txt 2009-04-07 16:12:21 Vor Suchlauf: 7.155.499.008 Bytes frei Nach Suchlauf: 7,263,866,880 Bytes frei 285 --- E O F --- 2009-03-18 06:13:36 |
hi ! zwei Sachen: 1) wenn ich das Script im Editor in eine txt datei packe geht die Formatierung verloren, sprich der gesamte Text ist in einer Zeile. Ist das ok ? 2) ich kann die Textdatei nur mit der linken Maustaste auf das Combofix Icon ziehen, nach dem Combofix gelaufen ist ist die Datei nicht mehr auf dem Desktop ?! richtig ? danke, gruss... M |
Zitat:
Zitat:
ciao, andreas |
so glaube diesmal hat es geklappt, zumindest hat Combofix diesmal angezeigt es hätte was gelöscht ... bin ich jetzt wieder clean ? :party: ComboFix 09-04-04.01 - Michael Sand 2009-04-07 18:43:46.6 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1519 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael Sand\Desktop\cfscript.txt AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! FILE :: C:\23990098.$$$ C:\bootini.ins c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT c:\windows\R.COM c:\windows\REGBK00.ZIP c:\windows\system32\contfilt.dll c:\windows\system32\drivers\fidbox.dat c:\windows\system32\drivers\fidbox.idx c:\windows\system32\drivers\fidbox2.dat c:\windows\system32\drivers\fidbox2.idx c:\windows\system32\mwnsp.dll c:\windows\system32\mwtsp.dll c:\windows\system32\T.COM c:\windows\winsbak.reg c:\windows\winsbak2.reg . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\23990098.$$$ C:\bootini.ins c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Resident.log c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\ProcCache.sbc c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudAntivirus.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudAntivirus1.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Program Statistics\ProgramStatistics.tudb c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\Adobe Reader - Schnellstart.lnk c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\Dataviz Messenger.lnk c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\Microsoft Office.lnk c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\WinZip Quick Pick.lnk c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000020.rcb c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000021.rcb c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000022.rcb c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000023.rcb c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000024.rcb c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Dashboard\IntegratorStates.bin c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte\MagicDisc.lnk c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\PreviousEntries.dat c:\programme\Spybot - Search & Destroy c:\programme\Spybot - Search & Destroy\advcheck.dll c:\programme\Spybot - Search & Destroy\TeaTimer.exe c:\windows\R.COM c:\windows\REGBK00.ZIP c:\windows\system32\contfilt.dll c:\windows\system32\FLCSS.EXE c:\windows\system32\mwnsp.dll c:\windows\system32\mwtsp.dll c:\windows\system32\T.COM c:\windows\winsbak.reg c:\windows\winsbak2.reg . ((((((((((((((((((((((( Dateien erstellt von 2009-03-07 bis 2009-04-07 )))))))))))))))))))))))))))))) . 2009-04-07 00:26 . 2009-04-07 00:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller 2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer 2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll 2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit 2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software 2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes 2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod 2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime 2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple 2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll 2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys 2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU 2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll 2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll 2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax 2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx 2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm 2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm 2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm 2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll 2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm 2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes 2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache 2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner 2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro 2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll 2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll 2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe 2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest 2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB 2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten 2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente 2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL 2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL 2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe 2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe 2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll 2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll 2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe 2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE 2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache 2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8 2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat 2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5 2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui 2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui 2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui 2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-07 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-04-06 21:36 --------- d-----w c:\programme\Java 2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3 2009-04-03 03:14 --------- d-----w c:\programme\SPSS 2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2 2009-03-25 14:06 --------- d-----w c:\programme\Palm 2009-03-18 22:34 --------- d-----w c:\programme\ICQ6 2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin 2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat 2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} ---- 2009-04-05 16:54 3686 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\DIFxInstallLog.txt 2009-02-04 13:56 75112 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\DifXInstall32.exe 2009-01-27 09:19 7919 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\gearaspiwdmx86.cat 2009-01-15 12:19 23848 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\x86\GEARAspiWDM.sys 2009-01-15 11:24 2763 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\GEARAspiWDM.inf 2008-04-17 12:12 107368 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\x86\GEARAspi.dll 2006-11-02 06:21 319456 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\DIFxAPI.dll ---- Directory of c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} ---- 2009-02-26 14:49 17217024 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}\{FB68628E-8FB9-41C2-BA55-D129249EE2AF}.msi ---- Directory of C:\PUB ---- ((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe - 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe + 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe - 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe + 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe + 2009-04-07 16:47:47 16,384 ----atw c:\windows\temp\Perflib_Perfdata_220.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182] "00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952] "RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056] "RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152] "SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe] "000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe] "AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe] "TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe] "TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\Palm\\HOTSYNC.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\StubInstaller.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"= "c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384] R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864] R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400] S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 LSP: c:\programme\FRITZ!DSL\\sarah.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754 DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-07 18:48:36 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Toshiba\ConfigFree\CFSvcs.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\igfxext.exe c:\windows\system32\igfxsrvc.exe c:\windows\system32\TPSBattM.exe c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE c:\programme\Apoint2K\ApntEx.exe c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\ThpSrv.exe c:\programme\Toshiba\TME3\TMEEJME.exe c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-04-07 18:53:32 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-04-07 16:53:29 ComboFix2.txt 2009-04-07 16:25:35 ComboFix3.txt 2009-04-06 22:53:02 ComboFix4.txt 2009-04-06 22:04:21 ComboFix5.txt 2009-04-07 16:43:19 Vor Suchlauf: 7.243.988.992 Bytes frei Nach Suchlauf: 7,226,265,600 Bytes frei 282 --- E O F --- 2009-03-18 06:13:36 |
Zitat:
1.) Start => Ausführen => combofix /u => OK 2.) http://www.trojaner-board.de/51871-a...tispyware.html Punkt 1-3 der Anleitung abarbeiten. 3.) Kaspersky Online Scan Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.
ciao, andreas |
SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 04/07/2009 at 10:28 PM Application Version : 4.26.1000 Core Rules Database Version : 3833 Trace Rules Database Version: 1789 Scan type : Complete Scan Total Scan Time : 01:14:47 Memory items scanned : 568 Memory threats detected : 0 Registry items scanned : 6481 Registry threats detected : 0 File items scanned : 104371 File threats detected : 24 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@adfarm1.adition[2].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@imrworldwide[2].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@zbox.zanox[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@mediaplex[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@realmedia[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@tradedoubler[2].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@c7.zedo[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad2.doublepimp[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@hitbox[2].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@revsci[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad.zanox[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@advertising[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@server.iad.liveperson[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@zedo[2].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@adtech[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ehg-christiandior.hitbox[2].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@server.iad.liveperson[5].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad.71i[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ads.planetactive[2].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@doubleclick[2].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@adserver.71i[2].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@atdmt[3].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ads.heias[1].txt C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad.yieldmanager[1].txt |
SuperAntiSpyware gleich wieder deinstallieren. ciao, andreas |
-------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7 REPORT Wednesday, April 8, 2009 Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600) Kaspersky Online Scanner 7 version: 7.0.25.0 Program database last update: Tuesday, April 07, 2009 23:01:41 Records in database: 2021744 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: C:\ D:\ E:\ H:\ J:\ Scan statistics: Files scanned: 110062 Threat name: 0 Infected objects: 0 Suspicious objects: 0 Duration of the scan: 01:56:05 No malware has been detected. The scan area is clean. The selected area was scanned. |
Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten? Ansonsten würde ich sagen, du bist entlassen. Klicke auf die letzten beiden Links in meiner Signatur und sorge dafür, dass sowas nicht nochmal passiert. :) ciao, andreas |
also ich merke überhaupt gar nichts mehr. War dass jetzt die .uwe Datei ? War das n Wurm ? Virus ? ... dann werde ich mal die beiden letzten Punkte noch durcharbeiten. Vielen vielen Dank, habt Ihr irgendwie so ne Art Kaffeekasse ? |
ach ja nochwas ... muss ich jetzt alle Passwörter / Kraditkarten / online banking Daten etc. wechseln ? Der letzte Link funktioniert, der vorletzte nicht. |
Zitat:
Zitat:
Rootkit.TDss.Gen Backdoor.Win32.TDSS.s - a-squared Malware Beschreibung perComp-Verlag GmbH - IT-Security Lösungen Zitat:
Zitat:
Zitat:
ciao, andreas |
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:07 Uhr. |
Copyright ©2000-2024, Trojaner-Board