|
bloodhound.expoit.196 & O4 Startups von internetseiten hallo norton hat bei mir im leerlaufscann bloodhound.expoit.196 gefunden. ich habe danach einen systemscann gemacht, norton hat aber nichts gefunden... also wie bekomm ich den weg? Außerdem öffnet sich bei mir bei jedem systemstart mein internetbrowser mit mehreren exemplaren der gleichen seite... hab auch schon versucht die seiten-startups mit hijackthis zu fixen, aber es geht nicht weg! :headbang: für hilfe wäre ich sehr dankbar |
sry hab tippfehler in titel und text... es heisst bloodhound.exploit.196 und nicht bloodhound.expoit.196 |
Hallo und :hallo: Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Liste unter Punkt 2 ab. ciao, andreas |
das hab ich doch alles so gemacht... :confused: |
Nein, eben nicht. Du sollst die Logs posten und zwar genau drei Stück, das Log von HJT, die Uninstallliste von HJT und das Log von MalwareBytes. ciao, andreas |
ähhmm tschuldige, aber was ist die unistalliste von hijackthis und wie krieg ich die? :confused: |
1.) Du klickst auf den Link "Für alle Neuen" in meiner Signatur. 2.) Du bewegst den Rollbalken etwas nach unten bis eine 2 kommt. 3.) Dort findest du vier Buchstaben a, b, c und d. Wenn du die alle abgearbeitet hast und alle erforderlichen Logs gepostet hast, dann geht es weiter. ciao, andreas |
ich hab das malwarebytes jetzt installiert, und wollte es auch starten, aer geht nicht... |
außerdem kam grad die meldung, dass mein norton aus ist... habs versucht wieder zu starten, geht aber nicht. ich kann auch nicht mehr auf meine festplatte zugreifen... also über arbeitsplatz und dann doppelklick auf c :confused: |
GMER - Rootkit Detection
ciao, andreas |
okay hab den scan begonnen... mir is aufgefallen, dass mein icq sich nich einloggen kann: "verbindung zum http-tunnel konnte nicht hergestellt werden" und mein skype und steam gehen auch nicht... außerdem kann momentan nur opera ein verbindung zum inet herstellen, firefox oder iexplorer nicht... |
also hier der logfile von HJT unistall manager: Adobe Flash Player 10 Plugin Adobe Flash Player ActiveX Adobe Reader 9.1 - Deutsch Age of Chivalry AGEIA PhysX v7.09.13 Alien Horde Apple Mobile Device Support Apple Software Update Audacity 1.2.6 Battle Painters Bonjour Brother MFL-Pro Suite CCleaner (remove only) ClearProg 1.5.0 Final Company of Heroes Singleplayer Demo Counter-Strike: Source Counter-Strike: Source Crysis(R) D.I.P.R.I.P. Warm Up Dawn Of War Dawn of War - Dark Crusade Dawn of War - Tyranid Mod v0.45DC Dawn Of War - Winter Assault Denizens of the Warp Mod Der Brockhaus multimedial Diablo II DivX Codec DivX Converter DivX Player DivX Plus DirectShow Filters DivX Web Player EA Download Manager Empire: Total War Demo EPSON PhotoQuicker3.2 EPSON-Drucker-Software Eternal Silence F.E.A.R. 2 SP Demo Far Cry FEAR FEARCombat Firebird SQL Server - MAGIX Edition FreeSpace 2 Frets On Fire Garry's Mod Google Earth Google SketchUp 6 Google SketchUp 6 Google Updater Half-Life 2 Half-Life 2: Episode One Half-Life 2: Episode Two Half-Life 2: Lost Coast Heroes HijackThis 2.0.2 Hitman Blood Money Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix for Windows Media Player 10 (KB903157) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB942288-v3) Hotfix für Windows XP (KB952287) ICQ Toolbar ICQ6.5 IL-2 Sturmovik 1946 IL-2 Sturmovik Series Ultimate Edition Impulse Impulse Insurgency Insurgency: Modern Infantry Combat IPIX ActiveX Viewer IPIX Netscape Plugin Viewer IPIX Viewer iTunes Java(TM) 6 Update 11 Java(TM) 6 Update 7 Killing Floor 2.5 LevelR Lexmark Software deinstallieren LiveUpdate (Symantec Corporation) LiveUpdate (Symantec Corporation) MAGIX Foto Manager 2007 4.2.0.42 (D) MAGIX Goya burnR 2.3.1.3 (D) MAGIX Music Maker 2008 silver 13.0.1.10 (D) MAGIX Music Maker Hip Hop Edition 2 4.0.0.10 (D) MAGIX Music Manager 2007 8.2.0.54 (D) MAGIX Online Druck Service 2.3.2.0 (D) Malwarebytes' Anti-Malware Mare Nostrum Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft Age of Empires II Microsoft Age of Empires II: The Conquerors Expansion Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office Standard Edition 2003 Microsoft StarLancer Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Visual C++ 2005 Redistributable Mozilla Firefox (3.0.8) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) Nero 7 Essentials neroxml Norton Internet Security NVIDIA Drivers Oblivion Oblivion - BTmod 2.20 Oblivion - Construction Set OpenAL Opera 9.64 oZone3D.Net FurMark v1.4.0 Paint.NET v3.36 PaperPort PCGH Oblivion-Tuner Peggle Extreme Portal Project Valkyrie (Remove Only) Project Valkyrie (Remove Only) Projekt W - Phase 1 (1.2) ProtectDisc Driver, Version 11 PunkBuster Services QuickTime Realtek High Definition Audio Driver Red Orchestra rnl alpha4_full S.T.A.L.K.E.R. - Shadow of Chernobyl [v1.0006] Sacred Sacred Underworld Security Update für Microsoft .NET Framework 2.0 (KB928365) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player 10 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB950759) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953838) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956390) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958215) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960714) Sicherheitsupdate für Windows XP (KB960715) Sins of a Solar Empire Sins of a Solar Empire Skype™ 3.8 Sony Ericsson SS1018 driver v3.5.3.0 Sony Ericsson Themes Creator 3.32 Source SDK Base Source SDK Base - Orange Box Source Violence Patch 1.5 BETA SPORE™ SPORE™ Süß & Schrecklich Ergänzungs-Pack Spring 0.77b5 Spybot - Search & Destroy Star Wars Empire at War Star Wars Empire at War Forces of Corruption Stargate EaW Beta 3 StargateTC2 Steam Steel Legion DC 1.0.0 Steiners Advanced Units Mod 3.0 Reloaded SUPER © Version 2008.bld.33 (Sep 2, 2008) Switch Uninstall Synergy System Requirements Lab Team Fortress 2 TeamSpeak 2 RC2 Text-To-Speech-Runtime The Babylon Project v3.4b Tipard Mod Converter Mate Tom Clancy's H.A.W.X Demo TortoiseSVN 1.6.0.15855 (32 bit) TrackMania Nations Forever UEAW v3.2.2 UEAW v4 Uninstall trueSpace7.6 Universe Sandbox Unreal Anthology Unreal Tournament 3 (LG) Update für Windows Internet Explorer 8 (KB968220) Update für Windows XP (KB942763) Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Update für Windows XP (KB967715) Update Rollup 2 für Windows XP Media Center Edition 2005 VC80CRTRedist - 8.0.50727.762 VDrift (remove only) Version 3.1 VideoLAN VLC media player 0.8.6i War Leaders - Clash of Nations Warzone 2100 WavePad Sound Editor Wichtiges Update für Windows Media Player 11 (KB959772) Windows Home Server-Connector Windows Internet Explorer 8 Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Player 11 Windows Media Player 11 Windows XP Media Center Edition 2005 KB925766 Windows XP Service Pack 3 WinRAR World of Goo Demo X3 Reunion Xfire (remove only) Zombie Panic! Source |
Dann der vom Sytemscan HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:43:55, on 6.4.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Home Server\WHSConnector.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\TortoiseSVN\bin\TSVNCache.exe C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Electronic Arts\EADM\Core.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Lexmark\ErrorApp\LMab1err.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Windows Home Server\WHSTrayApp.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Opera\opera.exe C:\Programme\Windows Media Player\wmplayer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: BrowserHelper Class - {9A065C65-4EE7-4DDD-9918-F129089A894A} - C:\Programme\Windows Home Server\WHSDeskBands.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll O3 - Toolbar: Home Server Banner - {D73E76A3-F902-45BD-8FC8-95AE8E014671} - C:\Programme\Windows Home Server\WHSDeskBands.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [LMab1err] C:\Programme\Lexmark\ErrorApp\LMab1err.exe O4 - HKCU\..\Run: [InstallProgram] C:\Dokumente und Einstellungen\Robin\Desktop\setup_246_509_.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Kopie (10) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (11) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (12) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (13) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (14) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (15) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (16) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (17) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (18) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (19) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (2) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (20) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (21) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (22) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (23) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (24) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (25) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (26) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (27) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (28) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (29) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (3) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (30) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (31) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (32) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (33) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (34) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (35) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (36) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (37) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (38) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (39) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (4) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (40) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (41) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (42) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (43) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (44) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (45) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (46) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (47) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (48) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (49) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (5) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (50) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (51) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (52) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (6) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (7) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (8) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie (9) von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie von Kopie von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: Kopie von VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Startup: VIDEO.XNXX.COM = Longer Flash Porn Videos (FREE).URL O4 - Global Startup: E_SPSU01.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SPSU01.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O4 - Global Startup: Windows Home Server.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220609340140 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: lmab_device - - C:\WINDOWS\system32\LMabcoms.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O24 - Desktop Component 1: Google - http://www.google.de/ -- End of file - 15150 bytes |
un der von Gmer Rootkit: GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-04-06 20:34:27 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT 894D3228 ZwAlertResumeThread SSDT 88D49698 ZwAlertThread SSDT 88DE4F40 ZwAllocateVirtualMemory SSDT 88DC45E8 ZwAssignProcessToJobObject SSDT 88E17470 ZwConnectPort SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xB7041040] SSDT 88339A80 ZwCreateMutant SSDT 88B81AB8 ZwCreateSymbolicLinkObject SSDT 88D8A1C8 ZwCreateThread SSDT 88E00C00 ZwDebugActiveProcess SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xB70412C0] SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xB7041820] SSDT 88DFD6F8 ZwDuplicateObject SSDT sphm.sys ZwEnumerateKey [0xF74F5CA2] SSDT sphm.sys ZwEnumerateValueKey [0xF74F6030] SSDT 88DE4620 ZwFreeVirtualMemory SSDT 88DE7C00 ZwImpersonateAnonymousToken SSDT 88DA6130 ZwImpersonateThread SSDT 89519DE0 ZwLoadDriver SSDT 88DE4488 ZwMapViewOfSection SSDT 894E4310 ZwOpenEvent SSDT sphm.sys ZwOpenKey [0xF74D70C0] SSDT 88DFDA58 ZwOpenProcess SSDT 89467838 ZwOpenProcessToken SSDT 88DDE3E0 ZwOpenSection SSDT 88DFD888 ZwOpenThread SSDT 882B66B0 ZwProtectVirtualMemory SSDT sphm.sys ZwQueryKey [0xF74F6108] SSDT sphm.sys ZwQueryValueKey [0xF74F5F88] SSDT 88D2C350 ZwResumeThread SSDT 8956F370 ZwSetContextThread SSDT 88DC5CA8 ZwSetInformationProcess SSDT 88DCB5E8 ZwSetSystemInformation SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xB7041A70] SSDT 88E005E8 ZwSuspendProcess SSDT 88D58C70 ZwSuspendThread SSDT 89A04E08 ZwTerminateProcess SSDT 88DDB460 ZwTerminateThread SSDT 89569090 ZwUnmapViewOfSection SSDT 88DE4AF0 ZwWriteVirtualMemory INT 0x63 ? 8991AF00 INT 0x63 ? 8991AF00 INT 0x83 ? 89B9FBF8 INT 0x83 ? 89B9FBF8 INT 0x83 ? 8991AF00 INT 0x83 ? 8991AF00 INT 0x83 ? 89B9FBF8 INT 0x84 ? 8991AF00 INT 0xA4 ? 8991AF00 INT 0xB4 ? 89B9FBF8 INT 0xB4 ? 89B9FBF8 INT 0xB4 ? 89B9FBF8 INT 0xB4 ? 89B9FBF8 INT 0xB4 ? 8991AF00 INT 0xB4 ? 89B9FBF8 Code 89521C50 ZwFlushInstructionCache Code 89552096 IofCallDriver Code 899B6C56 IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!IofCallDriver 804E13A7 5 Bytes JMP 8955209B .text ntoskrnl.exe!IofCompleteRequest 804E17BD 5 Bytes JMP 899B6C5B .text ntoskrnl.exe!ZwYieldExecution + C2 804E48FC 4 Bytes CALL 44D72546 .text ntoskrnl.exe!ZwYieldExecution + 436 804E4C70 4 Bytes CALL 67D7292A .text ntoskrnl.exe!ZwYieldExecution + 46A 804E4CA4 8 Bytes CALL F0D72CAE PAGE ntoskrnl.exe!ZwFlushInstructionCache 80587BFB 5 Bytes JMP 89521C54 ? sphm.sys Das System kann die angegebene Datei nicht finden. ! ? SYMEFA.SYS Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B99828AC 5 Bytes JMP 8991A4E0 ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89BA22D8 IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7508C4C] sphm.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7508CA0] sphm.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74D8040] sphm.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74D813C] sphm.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74D80BE] sphm.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74D87FC] sphm.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74D86D2] sphm.sys IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8991A5E0 IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F74E8048] sphm.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 89B9E1F8 AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) Device \Driver\usbuhci \Device\USBPDO-0 8993A1F8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 89C101F8 Device \Driver\dmio \Device\DmControl\DmConfig 89C101F8 Device \Driver\dmio \Device\DmControl\DmPnP 89C101F8 Device \Driver\dmio \Device\DmControl\DmInfo 89C101F8 Device \Driver\usbuhci \Device\USBPDO-1 8993A1F8 Device \Driver\usbehci \Device\USBPDO-2 898F31F8 Device \Driver\usbuhci \Device\USBPDO-3 8993A1F8 Device \Driver\PCI_PNP3988 \Device\00000054 sphm.sys Device \Driver\PCI_PNP3988 \Device\00000054 sphm.sys Device \Driver\usbuhci \Device\USBPDO-4 8993A1F8 AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) Device \Driver\usbuhci \Device\USBPDO-5 8993A1F8 Device \Driver\usbuhci \Device\USBPDO-6 8993A1F8 Device \Driver\Ftdisk \Device\HarddiskVolume1 89BA01F8 Device \Driver\usbehci \Device\USBPDO-7 898F31F8 Device \Driver\Cdrom \Device\CdRom0 898AC500 Device \Driver\NetBT \Device\NetBT_Tcpip_{E70C0BB0-894E-4E8B-A792-A2F40BB7530F} 88C661F8 Device \Driver\Cdrom \Device\CdRom1 898AC500 Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-12 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort2 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-7 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort4 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort5 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\sptd \Device\4000993988 sphm.sys Device \Driver\NetBT \Device\NetBt_Wins_Export 88C661F8 Device \Driver\NetBT \Device\NetbiosSmb 88C661F8 AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) Device \Driver\usbuhci \Device\USBFDO-0 8993A1F8 Device \Driver\usbuhci \Device\USBFDO-1 8993A1F8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 88CB51F8 Device \Driver\usbehci \Device\USBFDO-2 898F31F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 88CB51F8 Device \Driver\usbuhci \Device\USBFDO-3 8993A1F8 Device \Driver\usbuhci \Device\USBFDO-4 8993A1F8 Device \Driver\Ftdisk \Device\FtControl 89BA01F8 Device \Driver\usbuhci \Device\USBFDO-5 8993A1F8 Device \Driver\usbuhci \Device\USBFDO-6 8993A1F8 Device \Driver\usbehci \Device\USBFDO-7 898F31F8 Device \Driver\a6ws7kvd \Device\Scsi\a6ws7kvd1Port6Path0Target0Lun0 8989D500 Device \Driver\a6ws7kvd \Device\Scsi\a6ws7kvd1Port6Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\a6ws7kvd \Device\Scsi\a6ws7kvd1 8989D500 Device \Driver\a6ws7kvd \Device\Scsi\a6ws7kvd1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \FileSystem\Cdfs \Cdfs 88092500 ---- Modules - GMER 1.0.15 ---- Module \systemroot\system32\drivers\gaopdxqbouxfmltqpxurqhrhotsuwntyqjnkrg.sys (*** hidden *** ) BA92F000-BA93C000 (53248 bytes) ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\gaopdxqbouxfmltqpxurqhrhotsuwntyqjnkrg.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxqbouxfmltqpxurqhrhotsuwntyqjnkrg.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxqbouxfmltqpxurqhrhotsuwntyqjnkrg.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxiftiqlmqlbylowyktqdjhsrkojyilbpp.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x96 0x43 0x76 0xEF ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x48 0x74 0x15 0x12 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x09 0xB0 0xB7 0x44 ... Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxqbouxfmltqpxurqhrhotsuwntyqjnkrg.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxqbouxfmltqpxurqhrhotsuwntyqjnkrg.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxiftiqlmqlbylowyktqdjhsrkojyilbpp.dll Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x96 0x43 0x76 0xEF ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x48 0x74 0x15 0x12 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x09 0xB0 0xB7 0x44 ... ---- EOF - GMER 1.0.15 ---- |
Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: Drivers to delete:
2.) Poste ein neues Gmer-Log. ciao, andreas |
hab alles nach anleitung gemacht, aber nach dem ersten neustart erschien nur der standard mauscursor und es gab eine meldung, dass lsass.exe nicht ausgeführt werden konnte... hab die meldung weggeklickt und auf enter gedrückt... der pc hat wieder neugestratet und icq, steam & co gingen wieder... norton hat sich auch wieder eingeschaltet :Boogie: und eine meldung zum update der virendefinition gebracht... hab die datei runtergeladen und das update ausgeführt... und hier das logfile von avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "gaopdxserv.sys" found! ImagePath: \systemroot\system32\drivers\gaopdxqbouxfmltqpxurqhrhotsuwntyqjnkrg.sys Start Type: 4 (Disabled) Rootkit scan completed. Driver "gaopdxserv.sys" deleted successfully. Registry key "HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys" deleted successfully. File "C:\WINDOWS\system32\drivers\gaopdxqbouxfmltqpxurqhrhotsuwntyqjnkrg.sys" deleted successfully. File "C:\WINDOWS\system32\gaopdxiftiqlmqlbylowyktqdjhsrkojyilbpp.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
allerdings kann ich auf meine festplatte immer noch nicht einfach mit doppelklick zugreifen, sonder nur über explorer... hab auch immer noch die seiten- start-ups :headbang: |
und hier noch der gmer logfile: http://www.materialordner.de/Yu4bXDYxmdyM7UWqDZ7KBoVaSLHU52XT.html |
1.) Deinstalliere:
2.) Installiere (Toolbars immer abwählen, Haken weg):
3.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
Edit: Das Alter *seufz* |
hab das gemacht... logfile: http://www.materialordner.de/?tmpid=88472f9d2cbe6671d0be6df045c56652 |
Da ist etwas schiefgelaufen, bitte noch einmal hochladen und Link posten. ciao, andreas |
okay hier: http://www.materialordner.de/MFcX0ZxFq58C4Suw05ddh8fCQ37YmHz.html |
Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
hat glaub nicht richtig gefunzt... der log: http://www.materialordner.de/3IP0lCqMlR5vfr46cfi1l2uemWYD2KaU.html |
ich hab mal bei den angaben, wo steht wo die seiten start-up dinger sind geguckt... kann man die nicht einfach so löschen? |
Das englische Programm mag keine deutschen Umlaute. :( Zitat:
1.) Start => Ausführen => combofix /u => OK 2.) http://www.trojaner-board.de/51187-a...i-malware.html 3.) http://www.trojaner-board.de/51871-a...tispyware.html (Punkt 1-3) 4.) Aktuelles HJT-Log posten. ciao, andreas |
sooo hab alles gemacht... hier der log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:04:41, on 9.4.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\LMabcoms.exe C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Home Server\WHSConnector.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe C:\WINDOWS\Explorer.EXE C:\Programme\TortoiseSVN\bin\TSVNCache.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Lexmark\ErrorApp\LMab1err.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Windows Home Server\WHSTrayApp.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Opera\opera.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL O2 - BHO: BrowserHelper Class - {9A065C65-4EE7-4DDD-9918-F129089A894A} - C:\Programme\Windows Home Server\WHSDeskBands.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll O3 - Toolbar: Home Server Banner - {D73E76A3-F902-45BD-8FC8-95AE8E014671} - C:\Programme\Windows Home Server\WHSDeskBands.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent O4 - HKCU\..\Run: [LMab1err] C:\Programme\Lexmark\ErrorApp\LMab1err.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: E_SPSU01.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SPSU01.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O4 - Global Startup: Windows Home Server.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220609340140 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: lmab_device - - C:\WINDOWS\system32\LMabcoms.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O24 - Desktop Component 1: Google - http://www.google.de/ -- End of file - 8673 bytes |
Wo sind die Logs von SASW und MbAM? ciao, andreas |
okay hat ich vergessen... hier mbam: http://www.materialordner.de/G1JyBVbJJs9BeyLcvz2GAGUV1II5O1Bi.html un der SASW: http://www.materialordner.de/xQS406y1S2CMswUkjVp6w75mKSKqIaZ5.html |
1.) Deinstalliere SuperAntiSpyware. 2.) Starte HJT => Do a system scan only => Markiere: Code: R3 - URLSearchHook: (no name) - - (no file)3.) Kaspersky Online Scan Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.
ciao, andreas |
öööhm, seitdem ich das mit hjt gefixt hab, ist rechtsunten in der taskleiste das symbol vom homeserver weg... |
Starte HJT => View the list of backups => Markiere den Eintrag: Code: Global Startup: Windows Home Server.lnk = ?ciao, andreas |
Liste der Anhänge anzeigen (Anzahl: 1) ich glaub der online-scanner hängt hier... |
Schliesse den Tab und rufe die Adresse erneut auf. Sollte es wieder nicht funktionieren, dann: 1.) CureIT Dr.Web
2.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installationciao, andreas |
hab das kaspersky nochmal mit firefox probiert ung ging... scheint alles sauber zu sein... -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7.0 REPORT Sunday, April 12, 2009 Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600) Kaspersky Online Scanner version: 7.0.26.13 Program database last update: Sunday, April 12, 2009 05:23:56 Records in database: 2036368 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: A:\ C:\ D:\ E:\ Scan statistics: Files scanned: 359826 Threat name: 0 Infected objects: 0 Suspicious objects: 0 Duration of the scan: 03:33:52 No malware has been detected. The scan area is clean. The selected area was scanned. |
Zitat:
Frohe Ostern, Andreas |
juhuuu :Boogie: vielen dank! und auch dir frohe Ostern!!!^^ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board