Trojaner-Board
Seite 2 von 7 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows friert ein, Firefox öffnet willkürlich Fenster ( in Flensburg) (https://www.trojaner-board.de/89095-windows-friert-firefox-oeffnet-willkuerlich-fenster-flensburg.html)

SchmerlenOtt 04.08.2010 16:32
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen

SchmerlenOtt 04.08.2010 16:38
Die Extras.txt habe ich bei Anhänge verwalten hochgeladen.
Geht das so?

markusg 04.08.2010 16:44
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

SchmerlenOtt 04.08.2010 16:49
Ich habe die OTL.txt geZIPt, weil die Textdatei etwas mehr als 1MB mit 146 Seiten hat. Geht das so. Oder muss ich die aufteilen in 10 Textdateien?

SchmerlenOtt 04.08.2010 18:21
So, hier nun das CombofixLog:
Combofix Logfile:
Code:
ComboFix 10-08-03.04 - Gerhard Ott 04.08.2010  18:25:45.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2030.1195 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Gerhard Ott\Desktop\ComboFix.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
.
ADS - WINDOWS: deleted 96 bytes in 1 streams.

(((((((((((((((((((((((  Dateien erstellt von 2010-07-04 bis 2010-08-04  ))))))))))))))))))))))))))))))
.

2010-08-04 07:22 . 2010-08-04 07:23        --------        d-----w-        C:\rsit
2010-08-04 07:22 . 2010-08-04 07:23        --------        d-----w-        c:\programme\trend micro
2010-08-02 16:57 . 2010-08-02 16:57        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-08-02 13:53 . 2010-08-02 13:53        1078        ----a-r-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_4ae13d6c.exe
2010-08-02 13:53 . 2010-08-02 13:53        1078        ----a-r-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_2cd672ae.exe
2010-08-02 13:53 . 2010-08-02 13:53        1078        ----a-r-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_294823.exe
2010-08-02 13:53 . 2010-08-02 13:53        1078        ----a-r-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_18be6784.exe
2010-08-02 08:15 . 2010-08-02 08:12        1129120        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\STOPzilla!\vdb\vbcorent.dll
2010-08-02 08:11 . 2010-08-02 08:11        --------        d-----w-        c:\programme\Gemeinsame Dateien\iS3
2010-08-02 08:11 . 2010-08-04 16:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\STOPzilla!
2010-08-01 19:23 . 2010-08-04 10:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-01 14:05 . 2010-08-01 14:05        --------        d-----w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Malwarebytes
2010-08-01 14:04 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-01 14:04 . 2010-08-01 14:04        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-01 14:04 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-01 14:04 . 2010-08-01 14:04        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-01 10:37 . 2010-08-01 10:40        --------        d-----w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\QuickScan
2010-07-31 21:54 . 2010-07-31 21:54        61440        ----a-w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-57e26433-n\decora-sse.dll
2010-07-31 21:54 . 2010-07-31 21:54        503808        ----a-w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4248c4b0-n\msvcp71.dll
2010-07-31 21:54 . 2010-07-31 21:54        499712        ----a-w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4248c4b0-n\jmc.dll
2010-07-31 21:54 . 2010-07-31 21:54        348160        ----a-w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4248c4b0-n\msvcr71.dll
2010-07-31 21:54 . 2010-07-31 21:54        12800        ----a-w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-57e26433-n\decora-d3d.dll
2010-07-31 21:54 . 2010-07-17 03:00        423656        ----a-w-        c:\windows\system32\deployJava1.dll
2010-07-31 20:52 . 2009-11-13 07:31        29512        ----a-w-        c:\windows\system32\TURegOpt.exe
2010-07-31 20:52 . 2009-11-13 07:24        30024        ----a-w-        c:\windows\system32\uxtuneup.dll
2010-07-31 20:52 . 2010-07-31 20:52        --------        d-----w-        c:\programme\TuneUp Utilities 2010
2010-07-31 20:44 . 2010-07-31 20:44        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-07-31 20:44 . 2010-07-31 20:44        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\FileOpen
2010-07-31 20:44 . 2010-07-31 20:44        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-07-31 20:37 . 2010-07-31 20:37        --------        d-----w-        c:\programme\UltraMon
2010-07-31 20:37 . 2010-07-31 20:37        --------        d-----w-        c:\programme\Gemeinsame Dateien\Realtime Soft
2010-07-31 20:37 . 2010-07-31 20:37        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Realtime Soft
2010-07-31 19:49 . 2010-07-31 19:49        --------        d-----w-        c:\windows\system32\wbem\Repository
2010-07-31 19:16 . 2010-07-31 19:16        117813        ----a-w-        c:\windows\system32\AutoPartNt.scr
2010-07-31 19:05 . 2010-07-31 19:05        1036800        ----a-w-        c:\windows\explorer.exe
2010-07-28 19:19 . 2010-07-28 19:19        546256        ----a-r-        c:\windows\system32\SZComp5.dll
2010-07-28 19:19 . 2010-07-28 19:19        447952        ----a-r-        c:\windows\system32\SZBase5.dll
2010-07-28 19:19 . 2010-07-28 19:19        22992        ----a-r-        c:\windows\system32\SZIO5.dll
2010-07-28 19:19 . 2010-07-28 19:19        132560        ----a-r-        c:\windows\system32\IS3HTUI5.dll
2010-07-28 19:19 . 2010-07-28 19:19        99792        ----a-r-        c:\windows\system32\IS3Svc5.dll
2010-07-28 19:19 . 2010-07-28 19:19        99792        ----a-r-        c:\windows\system32\IS3Inet5.dll
2010-07-28 19:19 . 2010-07-28 19:19        67024        ----a-r-        c:\windows\system32\IS3Hks5.dll
2010-07-28 19:19 . 2010-07-28 19:19        398800        ----a-r-        c:\windows\system32\IS3DBA5.dll
2010-07-28 19:19 . 2010-07-28 19:19        28624        ----a-r-        c:\windows\system32\IS3XDat5.dll
2010-07-28 19:19 . 2010-07-28 19:19        738768        ----a-r-        c:\windows\system32\IS3Base5.dll
2010-07-28 19:19 . 2010-07-28 19:19        390608        ----a-r-        c:\windows\system32\IS3UI5.dll
2010-07-28 19:19 . 2010-07-28 19:19        230864        ----a-r-        c:\windows\system32\IS3Win325.dll
2010-07-28 16:11 . 2010-07-28 16:11        --------        d-s---w-        c:\dokumente und einstellungen\NetworkService\Favoriten
2010-07-28 13:28 . 2010-07-28 13:28        --------        d-----w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\BitDefender
2010-07-24 15:53 . 2010-07-24 15:53        --------        d-----w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Map Maker

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-04 16:32 . 2010-08-04 16:18        1112        ----a-w-        c:\windows\system32\drivers\kgpfr2.cfg
2010-08-04 16:25 . 2010-08-04 12:30        1544        ----a-w-        c:\windows\system32\drivers\kgpcpy.cfg
2010-08-04 16:07 . 2008-09-28 12:41        --------        d-----w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Free Download Manager
2010-08-04 15:50 . 2008-04-23 20:58        --------        d-----w-        c:\programme\Mozilla Thunderbird
2010-08-04 12:34 . 2007-10-17 18:15        --------        d-----w-        c:\programme\1pw
2010-08-04 12:29 . 2007-10-18 07:32        --------        d-----w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\WTablet
2010-08-04 09:44 . 2009-02-16 12:33        664        ----a-w-        c:\windows\system32\d3d9caps.dat
2010-08-03 10:56 . 2007-10-18 09:12        --------        d-----w-        c:\programme\DYMO Label
2010-08-03 09:51 . 2007-10-17 20:15        --------        d-----w-        c:\programme\StarMoney 6.0 S-Edition
2010-08-03 09:17 . 2007-10-15 13:08        81984        ----a-w-        c:\windows\system32\bdod.bin
2010-08-02 19:16 . 2007-10-08 09:37        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-08-02 19:08 . 2008-02-12 11:28        --------        d-----w-        c:\programme\Google
2010-08-02 19:08 . 2008-07-14 14:54        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-02 16:57 . 2007-10-24 15:14        --------        d-----w-        c:\programme\Tools
2010-08-02 16:53 . 2008-11-13 20:33        1        ----a-w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-02 16:52 . 2004-08-04 12:00        530748        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-02 16:52 . 2004-08-04 12:00        105570        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-02 16:51 . 2007-11-22 19:09        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-08-02 07:43 . 2007-10-17 18:45        --------        d-----w-        c:\programme\SnagIt
2010-08-01 09:10 . 2010-08-01 09:10        2464713        ----a-w-        c:\dokumente und einstellungen\All Users\SPL3.tmp
2010-08-01 08:59 . 2010-08-01 08:59        2464713        ----a-w-        c:\dokumente und einstellungen\All Users\SPL14.tmp
2010-07-31 21:44 . 2010-07-31 21:44        2464713        ----a-w-        c:\dokumente und einstellungen\All Users\SPL20.tmp
2010-07-31 20:35 . 2007-10-17 14:56        --------        d-----w-        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-07-31 19:16 . 2007-10-28 17:07        2078488        ----a-w-        c:\windows\system32\AutoPartNt.exe
2010-07-31 19:04 . 2010-07-31 19:04        82432        ----a-w-        c:\windows\system32\ws2_32.dll
2010-07-28 19:01 . 2007-10-18 10:10        --------        d-----w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\Lasersoft Imaging
2010-07-28 13:28 . 2009-03-11 15:48        --------        d-----w-        c:\programme\Gemeinsame Dateien\BitDefender
2010-07-25 09:03 . 2010-05-04 18:58        --------        d-----w-        c:\programme\MemoMaster3
2010-06-10 17:39 . 2008-11-26 10:01        --------        d-----w-        c:\dokumente und einstellungen\Gerhard Ott\Anwendungsdaten\MB-Ruler Pro special
2010-06-08 19:46 . 2008-01-07 14:44        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-05-17 16:10 . 2010-05-17 16:10        1583019        ----a-w-        c:\windows\MapCreator 2 Uninstaller.exe
2010-05-12 16:01 . 2010-05-12 16:01        59280        ----a-r-        c:\windows\system32\drivers\SZKGFS.sys
2010-05-10 08:48 . 2007-10-08 10:39        41432        ----a-w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-28 13:35 . 2010-07-28 13:30        65536        ----a-w-        c:\programme\mozilla firefox\components\FFComm.dll
2006-05-03 09:06 . 2008-11-01 14:15        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-11-01 14:15        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2008-11-01 14:15        216064        --sh--r-        c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2010-07-31 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2007-10-17 295606]
UltraMon.lnk - c:\windows\Installer\{B49673F8-7AB6-4A14-8213-C8A7BE370010}\IcoUltraMon.ico [2010-7-31 29310]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\Tools\DSL Manager\DslMgr.exe [2007-11-6 1085440]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"TomTomHOME.exe"="c:\programme\TomTom HOME\TomTom HOME 2\TomTomHOMERunner.exe" -s
"Dexpot"=c:\programme\Tools\Dexpot\dexpot.exe
"SpybotSD TeaTimer"=c:\programme\Tools\Spybot - Search & Destroy\TeaTimer.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"MacLicense"="c:\programme\Conversions Plus\MacLic.exe"
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"lxdfmon.exe"="c:\programme\Lexmark 6500 Series\lxdfmon.exe"
"lxdfamon"="c:\programme\Lexmark 6500 Series\lxdfamon.exe"
"Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
"ISUSPM Startup"=c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"CloneCDTray"="c:\programme\Clones\CloneCD\CloneCDTray.exe" /s
"BitDefender Antiphishing Helper"="c:\programme\BitDefender\BitDefender 2009\IEShow.exe"
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"AcronisTimounterMonitor"=c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe
"BDAgent"="c:\programme\BitDefender\BitDefender 2009\bdagent.exe"
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"TrueImageMonitor.exe"=c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe
"SigmatelSysTrayApp"=sttray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=
"c:\\WINDOWS\\system32\\lxdfcoms.exe"=
"c:\\Programme\\Lexmark 6500 Series\\lxdfamon.exe"=
"c:\\Programme\\Lexmark 6500 Series\\frun.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Programme\\SnagIt\\SnagItEditor.exe"=
"c:\\Programme\\Lexmark 6500 Series\\lxdfmon.exe"=
"c:\\WINDOWS\\system32\\lxdfcfg.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdfpswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdftime.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdfjswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdfwbgw.exe"=
"c:\\Programme\\Lexmark 6500 Series\\Wireless\\lxdfwpss.exe"=
"c:\\Programme\\Tools\\PhraseExpress\\phraseexpress.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung

R0 MacOpen;MacOpen;c:\windows\system32\drivers\MacOpen.sys [24.10.2007 13:00 176715]
R0 szkg5;szkg5;c:\windows\system32\drivers\SZKG.sys [07.12.2009 17:59 61328]
R0 szkgfs;szkgfs;c:\windows\system32\drivers\SZKGFS.sys [12.05.2010 18:01 59280]
R0 tdrpman147;Acronis Try&Decide and Restore Points filter (build 147);c:\windows\system32\drivers\tdrpm147.sys [13.11.2008 19:43 971232]
R1 Mtxparmx;Mtxparmx;c:\windows\system32\drivers\mtxparmx.sys [01.12.2008 17:12 5504]
R2 DPFService;Duden Proof Factory Dienst;c:\programme\Gemeinsame Dateien\DKOO\dpfserv.exe [14.06.2009 14:55 106496]
R2 lxdf_device;lxdf_device;c:\windows\system32\lxdfcoms.exe -service --> c:\windows\system32\lxdfcoms.exe -service [?]
R2 lxdfCATSCustConnectService;lxdfCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdfserv.exe [12.02.2009 17:20 99248]
R2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe [19.09.2008 16:21 1262336]
R2 Matrox.Pdesk.ServicesHost;Matrox.Pdesk.ServicesHost;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe [19.09.2008 16:21 343296]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [18.10.2007 09:32 1373480]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME\TomTom HOME 2\TomTomHOMEService.exe [24.06.2010 16:41 92008]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [13.11.2009 09:28 1021256]
R2 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [14.11.2008 02:11 17184]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [07.05.2007 03:00 53632]
R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [31.07.2010 21:04 111112]
R3 cxbu0wdm;CardMan 3x21;c:\windows\system32\drivers\cxbu0wdm.sys [15.10.2007 14:53 80384]
R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [29.10.2007 13:28 537600]
R3 MTXPAR;MTXPAR;c:\windows\system32\drivers\MTXPARM.sys [01.12.2008 17:12 1485824]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [06.11.2007 17:35 13824]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 07:24 10064]
S0 is3srv;is3srv;c:\windows\system32\drivers\is3srv.sys [07.12.2009 17:59 61328]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate1c9d4c1775a8a2e;Google Update Service (gupdate1c9d4c1775a8a2e);c:\programme\Google\Update\GoogleUpdate.exe [14.05.2009 20:26 133104]
S2 MLPTDR_B;MLPTDR_B;c:\windows\system32\MLPTDR_B.SYS [03.09.2003 06:02 20064]
S3 Arrakis3;BitDefender Arrakis Server;c:\programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [20.01.2009 19:16 172032]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [29.10.2007 13:28 37568]
S3 DOSMEMIO;MEMIO;\??\h:\memio.sys --> h:\MEMIO.SYS [?]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [14.10.2008 13:39 26816]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe --> c:\programme\MAGIX\Common\Database\bin\fbserver.exe [?]
S3 MTXPARH;MTXPARH;c:\windows\system32\drivers\mtxparhm.sys [08.12.2008 15:40 452736]
S3 TDslMgrService;DSL-Manager;c:\programme\Tools\DSL Manager\DslMgrSvc.exe [06.11.2007 17:35 294912]
S3 UltraMonMirror;UltraMonMirror;c:\windows\system32\DRIVERS\UltraMonMirror.sys --> c:\windows\system32\DRIVERS\UltraMonMirror.sys [?]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [31.07.2010 21:04 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S3 X-Rite;X-Rite USB Service;c:\windows\system32\DRIVERS\XrUsb.sys --> c:\windows\system32\DRIVERS\XrUsb.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.09.2008 18:40 717296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM        REG_MULTI_SZ          WINRM
bdx        REG_MULTI_SZ          scan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-08-04 c:\windows\Tasks\Automatische Problemsuche.job
- c:\programme\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-11-13 07:35]

2010-08-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-14 18:26]

2010-08-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-14 18:26]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Datei mit FDM herunterladen - file://c:\programme\Tools\Free Download Manager\dllink.htm
IE: Enqueue in Star Downloader - c:\programme\Tools\Star Downloader\sdieenq.htm
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Leech with Star Downloader - c:\programme\Tools\Star Downloader\leechie.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Videos mit FDM herunterladen - file://c:\programme\Tools\Free Download Manager\dlfvideo.htm
DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - ProfilePath -
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
HKU-Default-RunOnce-3DxAssociateFileExts - c:\programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe
ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-04 18:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(4032)
c:\programme\UltraMon\RTSUltraMonHook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-08-04  18:37:26
ComboFix-quarantined-files.txt  2010-08-04 16:37

Vor Suchlauf: 15 Verzeichnis(se), 232.523.964.416 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 232.507.715.584 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

Current=8 Default=8 Failed=7 LastKnownGood=9 Sets=1,2,3,4,5,6,7,8,9
- - End Of File - - 044DD2121ECEB8C11A9AFD9F95A298B8
--- --- ---

markusg 04.08.2010 19:09
ok, der teatimer könnte malwarebytes scan verfälscht haben, bitte deinstaliere spybot und starte den pc neu, dann nach update den malwarebytes scan wie auf seite 1 beschrieben erneut ausführen, log posten

SchmerlenOtt 04.08.2010 21:02
Hallo markusg,

Spybot habe ich deinstalliert und Malwarebytes' Anti-Malware einen Komplettscan durchführen lassen.

Während des Scans erschien ein Fenster mit der Meldung:
"Generic Host Process for Win32Service hat ein Problem festgestellt und muss beendet werden". Ich habe nur mit Ok bestätigt und keine Sendung veranlasst.

Hier das Ergebnis von Malwarebytes' Anti-Malware:
Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4390

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.08.2010 21:57:15
mbam-log-2010-08-04 (21-57-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 407815
Laufzeit: 1 Stunde(n), 28 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

SchmerlenOtt 04.08.2010 21:05
Sorry, vergaß mitzuteilen, dass ich STOPzilla auch deaktiviert habe, weil dieser Dateien von der Combofix-Installation löschen wollte.

markusg 05.08.2010 12:01
poste einen gmer report
http://www.trojaner-board.de/74908-a...t-scanner.html

SchmerlenOtt 05.08.2010 19:35
Melde mich kurz mal von meinem Netbook: GMER läuft auf dem betroffenen Desktop-PC-System seit heute Mittag/Nachmittag.

Nach Combofix ist das Einfrieren nach dem Start des Desktop offensichtlich verschwunden. Für diese Hilfe schon mal herzlichen Dank!

Was geblieben ist, ist das selbständige Öffnen von Fenstern in Firefox mit dubiosem Inhalt (manchmal ist das Fenster auch einfach leer und die angewählte URL ist "burkinafas*** irgendwas" oder Werbeinhalt.

Wie gesagt, der GMER-Scan (bisher nur auf C) läuft noch.
Ich poste den GMER-Scan sowie er fertig ist.

Vielen Dank für die Hilfe bis hierher.

Herzliche Grüße,
Gerhard "SchmerlenOtto"

markusg 05.08.2010 19:48
c: reicht auch, die andern laufwerke brauchst net

SchmerlenOtt 05.08.2010 20:19
Moin aus Südskandinavien,

"brauchst net" klingt net(t) nach Süddeutschland...
... wie gesagt in Norddeutschland dauert's alles "a bißl" länger, offensichtlich auch der GMER-Scan (der ist jetzt irgendwo in der Registry, soweit ich die Meldungen als Laie interpretieren kann).

Auf jeden Fall finde ich deine Hilfe auf diesem Board schon mal super! Dazu kommt später bestimmt noch was von mir.

Würde mich freuen, wenn der "Rest" auch noch zu "reparieren" wäre.

GMERScanEndeabwartende Grüße,
Gerhard "SchmerlenOtto"

markusg 05.08.2010 20:26
ist die internet verbindung an diesem pc getrennt und alle laufenden programme abgeschalten.
ne um genau zu sein bin ich n "ossi" :-)

SchmerlenOtt 05.08.2010 21:24
Nett, irgendwie bin ich dann auch 'n "Ossi" (meine Eltern stammen aus dem Sudentenland, die über Augs- und Duisburg "'rübergemacht" haben ...
... nun gut, das ist hier nicht das Thema *auch wenn|s die Computerwelt ein bisschen menschlicher macht.

Also> der kranke PC ist definitiv offline, weil ich das CATKabel abgetrennt habe.

SchmerlenOtt 05.08.2010 21:43
Nu`'
seh ich gerade im Augenwinkel, dass GMER einen schwarzen Bildschild liefert und der PC abgestürzt ist. Neustart klappte und ich starte einen neuen GMER Scan. Der hat hat dann Zeit bis morgen früh.
...
Denkste, nun sagt: u47786.exe (der Random Name von GMER) hat ein Problem und muss beendet werden (bla bla Meldung an MS natürlich: nein)

Versuche neuen Download.
Beste Grüße,
Gerhard


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:17 Uhr.
Seite 2 von 7 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131