Trojaner-Board - Werbe Pop up´s durch Trojaner/Viren

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Werbe Pop up´s durch Trojaner/Viren (https://www.trojaner-board.de/90463-werbe-pop-up-s-trojaner-viren.html)

Werbe Pop up´s durch Trojaner/Viren

Hallo,

Ich habe mir Viren eingefangen und habe jetzt eine Werbe - weiterleitung....
Wenn ich bei google was z.B. suche bekomme ich anstatt die Seite die ich gesucht habe, z.B. so eine Seite:

hxxp://weight-loss-diet.com/result.php?Keywords=doubleclick.net+trojaner-board&r=c43c6677c9bfea1e828a8c3273d2d4824fd2d4d9f77e5120fee97ea3b68fa85b7936d470875825722d6af25a23303a5d&Submit=Go

Oder noch andere Seiten

Hier noch ma ein paar
Logdateien von Malwarebytes´Antimalware :

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4550
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

05.09.2010 20:52:39

mbam-log-2010-09-05 (20-52-39).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 2

Laufzeit: 2 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\Ayhan\Desktop\Lupin\Pub\Lupin.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4550
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

05.09.2010 20:54:12

mbam-log-2010-09-05 (20-54-12).txt
 

Art des Suchlaufs: Flash-Scan

Durchsuchte Objekte: 100576

Laufzeit: 1 Minute(n), 3 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 1

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

C:\Dokumente und Einstellungen\Ayhan\Lokale Einstellungen\temp\1B7.tmp (Rootkit.Dropper) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\Ayhan\Lokale Einstellungen\temp\1B7.tmp (Rootkit.Dropper) -> Delete on reboot.

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4550
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

05.09.2010 20:57:55

mbam-log-2010-09-05 (20-57-55).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)

Durchsuchte Objekte: 10009

Laufzeit: 56 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 1

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

C:\Dokumente und Einstellungen\Ayhan\Lokale Einstellungen\temp\1B7.tmp (Rootkit.Dropper) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\Ayhan\Lokale Einstellungen\temp\1B7.tmp (Rootkit.Dropper) -> Delete on reboot.

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4550
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

05.09.2010 21:00:19

mbam-log-2010-09-05 (21-00-19).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 1662

Laufzeit: 7 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 1

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

C:\Dokumente und Einstellungen\Ayhan\Lokale Einstellungen\temp\1B7.tmp (Rootkit.Dropper) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\Ayhan\Lokale Einstellungen\temp\1B7.tmp (Rootkit.Dropper) -> Delete on reboot.

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4550
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

05.09.2010 21:03:16

mbam-log-2010-09-05 (21-03-16).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 78

Laufzeit: 14 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4551
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

05.09.2010 21:17:12

mbam-log-2010-09-05 (21-17-12).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 129186

Laufzeit: 11 Minute(n), 36 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4551
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

05.09.2010 23:46:16

mbam-log-2010-09-05 (23-46-16).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)

Durchsuchte Objekte: 215082

Laufzeit: 1 Stunde(n), 34 Minute(n), 2 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\System Volume Information\_restore{5F635806-0DC5-4258-860D-72743CAC1719}\RP201\A0032343.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.

Hoffentlich könnt ihr mir dabei helfen diesen Übeltäter zu entfernen !
Und noch was ich mache gerade noch einen Vollständigen Suchlauf mit Malwarebytes.. und dann noch einen Vollständigen mit Avira 2010 !

Hi,

nun ja, Ie 6.0 ist nun nicht wirklich modern, oder?
Stelle Avira wie folgt für den Suchlauf ein:
http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

Danach bitte OTL und GMER:
OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Ok bin jetzt dabei !

Edit : das ist die Einstellung von version 9 ! ?
Ich habe aber 10

Hi,

für Avira 10 ähnliche Einstellungen benutzen, wie Makrovirenheuristik an, AHeAD an und auf Stufe hoch etc. Wichtig: Nicht alles gefundene löschen sondern in Quarantäne verschieben lassen, da diese Einstellungen zu Fehlalarmen neigen..

Bitte das OTL-Log und GMER posten...
Aktuell kann sich bereits ein Rootkit auf Deinem Rechner befinden, wenn der Dropper erfolg hatte...

chris

Hier der Avira report :

Code:



Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Dienstag, 7. September 2010  20:37
 

Es wird nach 2788153 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : **

Computername   : **-UWBPIOYXR
 

Versionsinformationen:

BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00

AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35

AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16

LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59

LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36

VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 18:27:49

VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:37:42

VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 15:37:42

VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 10:29:03

VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 11:53:40

VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 11:53:46

VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 11:53:58

VBASE008.VDF   : 7.10.9.166      2048 Bytes  23.07.2010 11:53:58

VBASE009.VDF   : 7.10.9.167      2048 Bytes  23.07.2010 11:53:58

VBASE010.VDF   : 7.10.9.168      2048 Bytes  23.07.2010 11:53:58

VBASE011.VDF   : 7.10.9.169      2048 Bytes  23.07.2010 11:53:58

VBASE012.VDF   : 7.10.9.170      2048 Bytes  23.07.2010 11:53:58

VBASE013.VDF   : 7.10.9.198    157696 Bytes  26.07.2010 11:53:58

VBASE014.VDF   : 7.10.9.255    997888 Bytes  29.07.2010 11:54:01

VBASE015.VDF   : 7.10.10.28    139264 Bytes  02.08.2010 11:54:01

VBASE016.VDF   : 7.10.10.52    127488 Bytes  03.08.2010 11:54:01

VBASE017.VDF   : 7.10.10.84    137728 Bytes  06.08.2010 11:54:02

VBASE018.VDF   : 7.10.10.107   176640 Bytes  09.08.2010 11:54:02

VBASE019.VDF   : 7.10.10.130   132608 Bytes  10.08.2010 11:54:03

VBASE020.VDF   : 7.10.10.158   131072 Bytes  12.08.2010 11:54:03

VBASE021.VDF   : 7.10.10.190   136704 Bytes  16.08.2010 11:54:03

VBASE022.VDF   : 7.10.10.217   118272 Bytes  19.08.2010 11:54:04

VBASE023.VDF   : 7.10.10.246   130048 Bytes  23.08.2010 13:51:21

VBASE024.VDF   : 7.10.11.11    144896 Bytes  25.08.2010 13:31:03

VBASE025.VDF   : 7.10.11.33    135168 Bytes  27.08.2010 12:23:09

VBASE026.VDF   : 7.10.11.52    148992 Bytes  31.08.2010 13:32:43

VBASE027.VDF   : 7.10.11.75    124928 Bytes  03.09.2010 15:36:25

VBASE028.VDF   : 7.10.11.92    137728 Bytes  06.09.2010 17:24:03

VBASE029.VDF   : 7.10.11.93      2048 Bytes  06.09.2010 17:24:03

VBASE030.VDF   : 7.10.11.94      2048 Bytes  06.09.2010 17:24:03

VBASE031.VDF   : 7.10.11.102    94720 Bytes  07.09.2010 17:24:03

Engineversion  : 8.2.4.50  

AEVDF.DLL      : 8.1.2.1       106868 Bytes  23.08.2010 11:54:13

AESCRIPT.DLL   : 8.1.3.44     1364346 Bytes  26.08.2010 13:32:59

AESCN.DLL      : 8.1.6.1       127347 Bytes  23.08.2010 11:54:12

AESBX.DLL      : 8.1.3.1       254324 Bytes  23.08.2010 11:54:13

AERDL.DLL      : 8.1.8.2       614772 Bytes  23.08.2010 11:54:11

AEPACK.DLL     : 8.2.3.5       471412 Bytes  23.08.2010 11:54:11

AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  23.08.2010 11:54:10

AEHEUR.DLL     : 8.1.2.21     2883958 Bytes  03.09.2010 15:36:31

AEHELP.DLL     : 8.1.13.3      242038 Bytes  26.08.2010 13:32:39

AEGEN.DLL      : 8.1.3.20      397684 Bytes  26.08.2010 13:32:38

AEEMU.DLL      : 8.1.2.0       393588 Bytes  23.08.2010 11:54:06

AECORE.DLL     : 8.1.16.2      192887 Bytes  23.08.2010 11:54:06

AEBB.DLL       : 8.1.1.0        53618 Bytes  23.08.2010 11:54:05

AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10

AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07

AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40

AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44

AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49

AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11

AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25

SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53

AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54

NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55

RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08

RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp

Protokollierung.......................: niedrig

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, F:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: mittel

Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
 

Beginn des Suchlaufs: Dienstag, 7. September 2010  20:37
 

Der Suchlauf nach versteckten Objekten wird begonnen.

c:\windows\system32\cc32\webtmr.exe

c:\WINDOWS\system32\cc32\webtmr.exe

    [HINWEIS]   Der Prozess ist nicht sichtbar.

c:\windows\tray\wintmr.exe

c:\WINDOWS\tray\wintmr.exe

    [HINWEIS]   Der Prozess ist nicht sichtbar.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'rsmsink.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'msdtc.exe' - '43' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht

Durchsuche Prozess 'plugin-container.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '36' Modul(e) wurden durchsucht

Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '140' Modul(e) wurden durchsucht

Durchsuche Prozess 'wdfmgr.exe' - '19' Modul(e) wurden durchsucht

Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'nvsvc32.exe' - '35' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'cchservice.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'mbamservice.exe' - '35' Modul(e) wurden durchsucht

Durchsuche Prozess 'GoogleUpdate.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'jqs.exe' - '87' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht

Durchsuche Prozess 'rapimgr.exe' - '44' Modul(e) wurden durchsucht

Durchsuche Prozess 'wcescomm.exe' - '43' Modul(e) wurden durchsucht

Durchsuche Prozess 'DivXUpdate.exe' - '53' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'HPWuSchd2.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '93' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '193' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '52' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '65' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'F:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '1694' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

Beginne mit der Suche in 'F:\'
 
 

Ende des Suchlaufs: Dienstag, 7. September 2010  22:57

Benötigte Zeit:  2:19:17 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   6827 Verzeichnisse wurden überprüft

 465147 Dateien wurden geprüft

      0 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 465147 Dateien ohne Befall

   3898 Archive wurden durchsucht

      0 Warnungen

      0 Hinweise

 361788 Objekte wurden beim Rootkitscan durchsucht

      2 Versteckte Objekte wurden gefunden

ich kann nicht die OTL Logs einfügen kommt seitenfehler !!

EDIT:

Hier die OTL Logs :

[CODE]OTL logfile created on: 08.09.2010 15:13:27 - Run 1
OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\Ayhan\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 55,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 70,00% Paging File free
Paging file location(s): C:\pagefile.sys 672 1344 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 87,89 Gb Total Space | 52,83 Gb Free Space | 60,11% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 144,94 Gb Total Space | 144,79 Gb Free Space | 99,90% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: AYHAN-UWBPIOYXR
Current User Name: Ayhan
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\Ayhan\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (TuneUp Software)
PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - c:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\cc32\webtmr.exe (Salfeld Computer)
PRC - C:\WINDOWS\tray\wintmr.exe (Salfeld Computer)
PRC - C:\WINDOWS\system32\cchservice.exe (Salfeld Computer)

========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\Ayhan\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\wdrvtask.dll (Salfeld Computer)
MOD - C:\WINDOWS\system32\wdrvhook.dll (Salfeld Computer)
MOD - C:\WINDOWS\system32\wsock32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

========== Win32 Services (SafeList) ==========

SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (TuneUp.Defrag) -- C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe (TuneUp Software)
SRV - (TuneUp.UtilitiesSvc) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software)
SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software)
SRV - (ksupmgr) -- C:\WINDOWS\system32\ksupmgr.exe (Salfeld Computer)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (aspnet_state) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe (Microsoft Corporation)
SRV - (WPFFontCache_v0400) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe (Microsoft Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (NetTcpPortSharing) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

========== Driver Services (SafeList) ==========

DRV - (nvport) -- C:\WINDOWS\System32\Drivers\nvport.sys File not found
DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (sptd) -- C:\WINDOWS\system32\drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (TuneUpUtilitiesDrv) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys (TuneUp Software)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (USBModem) -- C:\WINDOWS\system32\drivers\lgusbmodem.sys (LG Electronics Inc.)
DRV - (UsbDiag) -- C:\WINDOWS\system32\drivers\lgusbdiag.sys (LG Electronics Inc.)
DRV - (usbbus) -- C:\WINDOWS\system32\drivers\lgusbbus.sys (LG Electronics Inc.)
DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia)
DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 85.214.25.180:3128

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaultthis.engineName: "softonic-de3 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "softonic-de3 Customized Web Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/firefox"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2
FF - prefs.js..extensions.enabledItems: 5
FF - prefs.js..extensions.enabledItems: 3
FF - prefs.js..extensions.enabledItems: 1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21

FF - HKLM\software\mozilla\Firefox\extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.05.27 19:19:38 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.08.14 21:55:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.05 21:16:05 | 000,000,000 | ---D | M]

[2010.08.06 21:53:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Extensions
[2010.09.07 22:02:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions
[2010.08.06 21:53:55 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.08.14 16:24:25 | 000,000,000 | ---D | M] (iMacros for Firefox) -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}
[2010.08.28 21:33:40 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.08.06 21:58:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions\firefox@tvunetworks.com
[2010.08.06 21:58:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions\illimitux@illimitux.net
[2010.09.07 22:02:49 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.08.20 20:09:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.08.14 19:04:18 | 000,159,744 | ---- | M] (Apple Inc.) -- C:\Programme\Mozilla Firefox\plugins\npqtplugin9.dll
[2010.07.23 02:48:56 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.23 02:48:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.23 02:48:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.23 02:48:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.23 02:48:56 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.09.07 21:00:13 | 000,000,255 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 ad.de.doubleclick.net
O1 - Hosts: 127.0.0.1 hxxp://bbbmississippi.org/
O1 - Hosts: 127.0.0.1 hxxp://weight-loss-diet.com
O1 - Hosts: 127.0.0.1 hxxp://www.bitefight.de/
O1 - Hosts: 127.0.0.1 hxxp://quellsuper.net/
O1 - Hosts: 127.0.0.1 hxxp://adcolo.com/ad/ad.php?hash=15567
O2 - BHO: (HP Print Enhancer) - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\smart web printing\hpswp_printenhancer.dll (Hewlett-Packard Co.)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (HP Smart BHO Class) - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\smart web printing\hpswp_BHO.dll (Hewlett-Packard Co.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe (Salfeld Computer)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [CCWinTray] C:\WINDOWS\tray\wintmr.exe (Salfeld Computer)
O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Privacy present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCommonGroups = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSetTaskbar = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFind = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableClock = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2

Hi,

die versteckten Prozesse gehören zur Kindersicherunge ;o9

Zitat:

c:\windows\system32\cc32\webtmr.exe
c:\WINDOWS\tray\wintmr.exe

Poste noch das GMER-Log, GMER im abgesicherten Modus laufen lassen...

Teile, falls notwendig, die Logs in mehrer Posts auf...

chris
Ps.: Sehe gerade es ist nicht so lange her..
http://www.trojaner-board.de/89829-trojaner-fund.html

Zitat:

Zitat von Chris4You (Beitrag 565671)

Hi,

die versteckten Prozesse gehören zur Kindersicherunge ;o9

Ich kann den Rest irgendwie nicht posten !!!

Soll ich es auf hochladen ?

Hi,

was ist das für ein Proxy:85.214.25.180:3128?
Strato?

Lade die Files hoch (OTL-Log):
File-Upload.net - Ihr kostenloser File Hoster!, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:

:Commands

[emptytemp]

[resethosts]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Zitat:

Zitat von Chris4You (Beitrag 565678)

Hi,

was ist das für ein Proxy:85.214.25.180:3128?
Strato?

Das ist für mein Navi :D

Soll ich jetzt den Fix einfügen, nachdem ich dir die logs geschickt habe ?
Wie überhaupt welche Box die ganz unten ?

Vielen Dank für Antworten !

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\WINDOWS\System32\dllcin64.exe

C:\WINDOWS\System32\dllcin32.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:



:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"AntiVirusOverride" = dword:0x00
 

:Commands

[resethosts]

[emptytemp]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

hier erstmal die Virustotal logs :

Code:

Antivirus          Version          Last Update          Result

AhnLab-V3        2010.09.09.00        2010.09.09        -

AntiVir        8.2.4.50        2010.09.09        -

Antiy-AVL        2.0.3.7        2010.09.09        -

Authentium        5.2.0.5        2010.09.08        -

Avast        4.8.1351.0        2010.09.09        -

Avast5        5.0.594.0        2010.09.09        -

AVG        9.0.0.851        2010.09.09        -

BitDefender        7.2        2010.09.09        -

CAT-QuickHeal        11.00        2010.09.09        -

ClamAV        0.96.2.0-git        2010.09.09        -

Comodo        6023        2010.09.09        -

DrWeb        5.0.2.03300        2010.09.09        -

Emsisoft        5.0.0.37        2010.09.09        -

eSafe        7.0.17.0        2010.09.07        -

eTrust-Vet        36.1.7844        2010.09.09        -

F-Prot        4.6.1.107        2010.09.01        -

F-Secure        9.0.15370.0        2010.09.09        -

Fortinet        4.1.143.0        2010.09.08        -

GData        21        2010.09.09        -

Ikarus        T3.1.1.88.0        2010.09.09        -

Jiangmin        13.0.900        2010.09.09        -

K7AntiVirus        9.63.2470        2010.09.08        -

Kaspersky        7.0.0.125        2010.09.09        -

McAfee        5.400.0.1158        2010.09.09        -

McAfee-GW-Edition        2010.1B        2010.09.09        -

Microsoft        1.6103        2010.09.09        -

NOD32        5436        2010.09.09        -

Norman        6.06.05        2010.09.09        -

nProtect        2010-09-09.03        2010.09.09        -

Panda        10.0.2.7        2010.09.08        -

PCTools        7.0.3.5        2010.09.09        -

Prevx        3.0        2010.09.09        -

Rising        22.64.03.01        2010.09.09        -

Sophos        4.57.0        2010.09.09        -

Sunbelt        6850        2010.09.09        -

SUPERAntiSpyware        4.40.0.1006        2010.09.09        -

Symantec        20101.1.1.7        2010.09.09        -

TheHacker        6.7.0.0.012        2010.09.09        -

TrendMicro        9.120.0.1004        2010.09.09        -

TrendMicro-HouseCall        9.120.0.1004        2010.09.09        -

VBA32        3.12.14.0        2010.09.08        -

ViRobot        2010.9.8.4031        2010.09.09        -

Additional information

Show all

MD5   : 6a85fd41b4b505e7f6dccb19321c1d97

SHA1  : 2e1d795ed209d401b64816415e9c03628bb2124a

SHA256: 14f36fab0beb97a04c3b3afa04a31e690a32efd8ca99bcd17445f5899e84e185

Code:

Antivirus      Version      Last Update      Result

AhnLab-V3    2010.09.09.00    2010.09.09    -

AntiVir    8.2.4.50    2010.09.09    -

Antiy-AVL    2.0.3.7    2010.09.09    -

Authentium    5.2.0.5    2010.09.08    -

Avast    4.8.1351.0    2010.09.09    -

Avast5    5.0.594.0    2010.09.09    -

AVG    9.0.0.851    2010.09.09    -

BitDefender    7.2    2010.09.09    -

CAT-QuickHeal    11.00    2010.09.09    -

ClamAV    0.96.2.0-git    2010.09.09    -

Comodo    6023    2010.09.09    -

DrWeb    5.0.2.03300    2010.09.09    -

Emsisoft    5.0.0.37    2010.09.09    -

eSafe    7.0.17.0    2010.09.07    -

eTrust-Vet    36.1.7844    2010.09.09    -

F-Prot    4.6.1.107    2010.09.01    -

F-Secure    9.0.15370.0    2010.09.09    -

Fortinet    4.1.143.0    2010.09.08    -

GData    21    2010.09.09    -

Ikarus    T3.1.1.88.0    2010.09.09    -

Jiangmin    13.0.900    2010.09.09    -

K7AntiVirus    9.63.2470    2010.09.08    -

Kaspersky    7.0.0.125    2010.09.09    -

McAfee    5.400.0.1158    2010.09.09    -

McAfee-GW-Edition    2010.1B    2010.09.09    -

Microsoft    1.6103    2010.09.09    -

NOD32    5436    2010.09.09    -

Norman    6.06.05    2010.09.09    -

nProtect    2010-09-09.03    2010.09.09    -

Panda    10.0.2.7    2010.09.08    -

PCTools    7.0.3.5    2010.09.09    -

Prevx    3.0    2010.09.09    -

Rising    22.64.03.01    2010.09.09    -

Sophos    4.57.0    2010.09.09    -

Sunbelt    6850    2010.09.09    -

SUPERAntiSpyware    4.40.0.1006    2010.09.09    -

Symantec    20101.1.1.7    2010.09.09    -

TheHacker    6.7.0.0.012    2010.09.09    -

TrendMicro    9.120.0.1004    2010.09.09    -

TrendMicro-HouseCall    9.120.0.1004    2010.09.09    -

VBA32    3.12.14.0    2010.09.08    -

ViRobot    2010.9.8.4031    2010.09.09    -

VirusBuster    12.64.24.0    2010.09.08    -

Additional information

Show all

MD5   : 724998ddf40336e4f17ddc901839e753

SHA1  : 060f84c3efea2cd04e0500ef76a554090c729ba1

SHA256: 01ba482e939996b1ceab7f211dde8071196dadff9e38e058b77ea1f41fef292f

Hier der andere LOG :

Code:

All processes killed

========== REGISTRY ==========

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride" | dword:0x00 /E : value set successfully!

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

[EMPTYTEMP]

 

User: All Users

 

User: **

->Temp folder emptied: 44279772 bytes

->Temporary Internet Files folder emptied: 2471146 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 73097566 bytes

->Flash cache emptied: 7995 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 326702 bytes

->Java cache emptied: 8731 bytes

->Flash cache emptied: 733 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 4599281 bytes

->Flash cache emptied: 959 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1239388 bytes

%systemroot%\System32 .tmp files removed: 2951 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 1026718 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 121,00 mb

 

 

OTL by OldTimer - Version 3.2.11.0 log created on 09092010_132046
 

Files\Folders moved on Reboot...

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\42f82403-7a0181d9 moved successfully.

File\Folder C:\WINDOWS\temp\hsperfdata_SYSTEM\304 not found!
 

Registry entries deleted on Reboot...

Wenn ich DrWeb stoppen will gehe ich auf das viereck und dann müsste es stoppen damit ich es richtig einstellen kann !
Bei mir verschwindet danach das Fenster wieder ??

P.S : Bin immer noch im Abgesichertem Modus (mit Netzwerkverbindung)

EDIT : Geht doch wieder hab den Schutzmodus ausgeschaltet !!

EDIT2: Sche*** als ich DrWeb ausgeführt hatte und er die vollständige suche machte hat sich auf einmal firefox mit so einem komischen link geöffnet... war so ein schwarzer player zu sehn und als ich dies wegklicken wollte hatte sich mein Pc neugestartet :schrei::koch:

Ich glaube das hat irgendwas mit JAVA zu tun

P.S bin wieder im abgesichertem Modus mit netzwerken.

Ich starte gerade DrWeb