Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern (https://www.trojaner-board.de/91368-ungewollte-umleitung-seltsame-internetseiten-google-suchtreffern.html)

rudiru 01.10.2010 19:21
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern
 
Hallo an alle :)


folgendes Problem habe ich seit heute:

Wenn ich Suchtreffer von Google anklicke gelange ich nicht auf die zu erwartende Seite, sondern werde auf seltsame - oft mit Werbung zugemüllte Seiten - umgeleitet. Häufig auch mit kryptische Schriftzeichen gefüllt.

Dieses Problem ist übrigens gleichzeitig mit dem erscheinen der Rogue-Malware "Microsoft Security Essentials Alert" aufgetreten, die ich aber zum Glück durch eine Anleitung im FAQ entfernen konnte (Das Problem ist nicht mehr aufgetreten, und Scans mit MBAM haben nichts mehr angezeigt).

Da ich nicht weiß ob da ein zusammenhang zwischen meinem vorherigen Problem und dem derzeitigen (Google-Problem) besteht, wollte ich das euch mal mitteilen.

Ich habe verschiedene Scans durchgeführt:

- Mbm Log als ich dabei war die Microsoft Security Essentials Alert- Malware zu beseitigen (Ich habe alle dort gezeigten Dateien gelöscht, wenn ich jetzt scanne zeigt er 0 Treffer an).

- Hijackthis Log (Nach dem entfernen der Rogue-Malware durchgeführt).

- OTL Log (Ebenfalls erst nach dem entfernen meines ersten Problems durchgeführt).

Datein als Zip im Anhang, hoffe das geht so ok.



Hoffe ihr könnt was damit anfangen denn ich kanns nicht :)

Danke im Vorraus

Mfg Rudi

markusg 01.10.2010 19:44
• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
MOD - C:\WINDOWS\system32\drwatmac.dll ()

O36 - AppCertDlls: asr_tupn - (C:\WINDOWS\system32\drwatmac.dll) - C:\WINDOWS\system32\drwatmac.dll ()
:FILES
C:\WINDOWS\system32\drwatmac.dll
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten



öffne den arbeitsplatz, dort bitte c:
dann einen rechtsklick auf _OTL
und wähle zu
_OTL.rar oder zip hinzufügen.
dieses archiv lädst du in unseren upload channel.
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html
machst du online banking oder ähnliches?

rudiru 01.10.2010 20:39
Hi und danke schomal für die Antwort

Ich habe die Datei hochgeladen.
Onlinebanking mache ich übrigens nicht an dem PC.

markusg 01.10.2010 20:47
hmm ich sehe kein upload, evtl noch mal versuchen.
da sollte dann stehen, upload erfolgreich.
dann weiter:
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

rudiru 01.10.2010 21:16
Seltsam, da steht nix wie "wurde erfolgreich hochgeladen", da kommt nichts.
Vielleicht liegt es an der größe, es sind 72 Mb.
Ich probiere es nochmal..

Gruß

markusg 02.10.2010 11:17
das geht dann nicht.
nutze mal
File-Upload.net
und sende mir den download link als private nachicht.

rudiru 02.10.2010 13:31
Die Nachricht mit dem Downloadlink des OTL Logs solltest du erhalten haben, hoffe diesmal klappts.

Hier der Combofixlog:
Code:
ComboFix 10-10-01.06 - XXX XXX 02.10.2010  14:12:32.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2979 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX XXX\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Dokumente\Server\admin.txt
c:\dokumente und einstellungen\All Users\Dokumente\Server\server.dat
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\jsdfgs.bat
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\tsMuxeR.exe
c:\windows\system32\BReWErS.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\Thumbs.db
c:\windows\system32\zip32.dll

c:\windows\system32\winlogon.exe . . . ist infiziert!!

c:\windows\explorer.exe . . . ist infiziert!!

.
(((((((((((((((((((((((  Dateien erstellt von 2010-09-02 bis 2010-10-02  ))))))))))))))))))))))))))))))
.

2010-10-01 18:59 . 2010-10-01 18:59    --------    d-----w-    C:\_OTL
2010-10-01 14:43 . 2010-10-01 15:14    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-01 11:50 . 2010-10-01 11:50    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 11:50 . 2010-10-01 11:50    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-30 22:39 . 2010-09-30 22:39    2855    ----a-w-    c:\windows\system32\rundll32.PIF
2010-09-30 22:34 . 2010-09-30 22:35    2855    ----a-w-    c:\windows\system32\rundll.PIF
2010-09-30 21:57 . 2010-09-30 21:57    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}
2010-09-30 21:08 . 2009-11-23 15:37    14856    ----a-w-    c:\windows\system32\drivers\LGVirHid.sys
2010-09-30 21:08 . 2009-07-01 09:51    23432    ----a-w-    c:\windows\system32\drivers\LGPBTDD.sys
2010-09-30 21:08 . 2010-09-30 21:08    --------    d-----w-    c:\programme\Logitech
2010-09-30 19:23 . 2010-09-30 22:03    0    ----a-w-    c:\windows\Nnefujolij.bin
2010-09-30 19:23 . 2010-09-30 21:24    120    ----a-w-    c:\windows\Dweyihirewapan.dat
2010-09-27 20:11 . 2010-09-27 20:11    220    --sh--w-    c:\windows\dwin.sys
2010-09-24 15:43 . 2010-09-24 15:43    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype
2010-09-24 15:43 . 2010-09-24 15:43    --------    d-----r-    c:\programme\Skype
2010-09-20 15:32 . 2010-06-08 16:10    790528    ----a-w-    c:\windows\system32\xvidcore.dll
2010-09-20 15:32 . 2010-06-08 16:10    134144    ----a-w-    c:\windows\system32\xvidvfw.dll
2010-09-20 15:32 . 2004-01-25 16:18    217088    ----a-w-    c:\windows\system32\yv12vfw.dll
2010-09-20 15:32 . 2010-09-14 08:00    108032    ----a-w-    c:\windows\system32\ff_vfw.dll
2010-09-20 15:02 . 2010-09-20 15:02    --------    d-----w-    c:\programme\Gemeinsame Dateien\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\programme\Apple Software Update
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple Computer

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-02 11:53 . 2009-08-07 14:14    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\U3
2010-10-02 11:26 . 2004-08-04 12:00    84516    ----a-w-    c:\windows\system32\perfc007.dat
2010-10-02 11:26 . 2004-08-04 12:00    458806    ----a-w-    c:\windows\system32\perfh007.dat
2010-10-01 15:26 . 2010-01-25 19:26    --------    d-----w-    c:\programme\Java
2010-10-01 13:04 . 2009-10-28 20:56    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Winamp
2010-10-01 13:04 . 2009-09-02 16:38    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Media Player Classic
2010-09-30 22:09 . 2009-08-07 22:45    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Xfire
2010-09-30 21:08 . 2009-12-24 17:41    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2010-09-30 20:38 . 2010-05-31 14:30    --------    d-----w-    c:\programme\DVDVideoSoftTB
2010-09-29 23:21 . 2009-08-09 00:53    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\vlc
2010-09-28 17:59 . 2009-08-20 14:18    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Skype
2010-09-27 18:27 . 2009-09-01 20:57    --------    d-----w-    c:\programme\World of Warcraft Public Test
2010-09-27 18:26 . 2009-08-05 17:18    --------    d-----w-    c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2010-09-27 16:04 . 2009-08-20 14:21    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\skypePM
2010-09-24 15:43 . 2009-08-20 14:17    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-09-12 15:46 . 2009-08-20 16:40    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2010-08-28 09:26 . 2010-05-04 16:44    47360    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44    47360    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Vso
2010-08-24 01:30 . 2010-07-27 20:30    220008    ----a-w-    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-23 00:17 . 2009-08-05 09:00    24040    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-23 00:14 . 2010-03-10 14:42    --------    d-----w-    c:\programme\TuneUp Utilities 2010
2010-08-17 13:17 . 2008-04-14 05:53    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-12 19:26 . 2010-03-10 14:43    30528    ----a-w-    c:\windows\system32\TURegOpt.exe
2010-08-12 19:19 . 2010-08-23 00:14    30016    ----a-w-    c:\windows\system32\uxtuneup.dll
2010-08-06 18:06 . 2010-08-06 18:06    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\AnvSoft
2010-08-05 20:48 . 2009-08-21 23:44    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-07-31 12:47 . 2009-08-04 15:05    413696    ----a-w-    c:\windows\system32\wrap_oal.dll
2010-07-31 12:47 . 2009-08-04 15:05    110592    ----a-w-    c:\windows\system32\OpenAL32.dll
2010-07-22 15:48 . 2008-04-14 05:52    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2009-08-05 07:40    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-18 18:39 . 2009-08-07 14:28    322744    ----a-w-    c:\windows\War3Unin.dat
2010-07-13 20:38 . 2010-07-13 19:58    217180    ----a-w-    c:\windows\system32\nvdrsdb1.bin
2010-07-13 20:38 . 2010-07-13 19:58    1    ----a-w-    c:\windows\system32\nvdrssel.bin
2010-07-13 19:58 . 2010-07-13 19:58    217180    ----a-w-    c:\windows\system32\nvdrsdb0.bin
2010-07-09 19:04 . 2010-07-09 19:04    41872    ----a-w-    c:\windows\system32\xfcodec.dll
.

------- Sigcheck -------

[-] 2008-04-14 . E12CB5D54A2AC8949DD8FF6155EB9A2A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . 64A0C6910942E5DA289D39F7DDA7513B . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\dllcache\ctfmon.exe
[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-09-30 20:38    2735200    ----a-w-    c:\programme\DVDVideoSoftTB\tbDVD0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"Launch LgDeviceAgent"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe" [2010-08-03 358472]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2010-08-03 1809992]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2010-08-03 3649096]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-06-07 13902440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-08-09 24064]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - e:\software\SetPoint\SetPoint.exe [2010-1-5 813584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 10:28    72208    ----a-w-    c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-06-07 15:35    13902440    ----a-w-    c:\windows\system32\nvcpl.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enGB-downloader.exe"=
"e:\\Software\\Xfire\\Xfire.exe"=
"c:\\Dokumente und Einstellungen\\XXX XXX\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\Launcher.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-enGB-ptr-downloader.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"e:\\Software\\Utorrent\\utorrent185.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\World of Warcraft Public Test\\Launcher.exe"=
"e:\\Software\\HoN\\hon.exe"=
"e:\\Software\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.unpacked.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"e:\\Software\\Sacred 2\\system\\s2gs.exe"=
"e:\\Software\\Sacred 2\\system\\sacred2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R2 AVerRemote;AVerRemote;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe [29.08.2009 16:38 352256]
R2 AVerScheduleService;AVerScheduleService;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe [29.08.2009 16:38 405504]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [12.08.2010 21:23 1051968]
R3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\drivers\AVerAF15DMBTH.sys [29.08.2009 16:39 487168]
R3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [23.11.2009 17:37 19720]
R3 LGPBTDD;LGPBTDD.sys Display Driver;c:\windows\system32\drivers\LGPBTDD.sys [30.09.2010 23:08 23432]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25.02.2010 11:18 10064]
S3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [30.09.2010 23:08 14856]
S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]
S3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys --> c:\windows\system32\drivers\nvhda32.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.11.2009 12:37 691696]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.winfuture.de
uInternet Connection Wizard,ShellNext = iexplore
IE: Free YouTube Download - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Save YouTube Video as MP3
FF - ProfilePath - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\zr6thxpl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - plugin: e:\software\DivX\DivX Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - HiddenExtension: XULRunner: {E183EA50-20F4-45C0-96C5-D28A815FEE4F} - c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-02 14:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmiAcpi]
"ImagePath"="system32\DRIVERS\wmiacpi.sy@"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1482476501-1292428093-1417001333-1004\Software\SecuROM\License information*]
"datasecu"=hex:9e,18,ca,ff,e9,88,4e,9d,47,28,44,77,d9,c0,ce,1e,81,9f,ad,60,ca,
  d5,8c,8f,32,f5,21,fc,a7,64,f2,f2,e4,3c,6c,f7,59,90,9d,dc,f3,31,d0,e4,57,9b,\
"rkeysecu"=hex:43,f3,aa,9f,21,6c,4b,dd,45,a2,00,f9,87,61,78,b2
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\windows\system32\dwlgina2.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2010-10-02  14:15:01
ComboFix-quarantined-files.txt  2010-10-02 12:14

Vor Suchlauf: 9 Verzeichnis(se), 35.904.180.224 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 35.928.375.296 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer /TUTag=IOIJTT /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /usepmtimer /TUTag=IOIJTT-BAK

- - End Of File - - 5054A18EA5A30C684AE030F5FC749F90

Gruß

markusg 02.10.2010 14:15
prüfe:
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe
bei
VirusTotal - Free Online Virus, Malware and URL Scanner
falls dateien bereits analysiert, klicke erneut prüfen. poste die links der scan ergebnisse, also wenn dort steht, status beendet.

rudiru 02.10.2010 14:57
Hier die Virustotal Ergebnisse:

hxxp://www.virustotal.com/file-scan/report.html?id=090132da3cf594c6560b7461753b98a36b2ee2dbe14cd57cfc7867803f9f64b5-1286026760


hxxp://www.virustotal.com/file-scan/report.html?id=77833e72871ac47b458cb234bc8a095582ee51e66f117b8260c7bac8f940453b-1286027300

markusg 02.10.2010 15:01
Lade
http://filepony.de/download-defogger/
herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren,
bevor es angewiesen wird.


Start programme zubehör editor, kopiere rein:


Killall::
Mia::
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe

Datei speichern unter, typ alle, ort dort wo sich combofix.exe befindet.
name cfscript.txt
ziehe cfscript auf combofix, programm startet, log posten.

rudiru 02.10.2010 15:26
Hier die Logs:

Combofix
Code:
ComboFix 10-10-01.06 - XXX XXX 02.10.2010  16:16:47.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2934 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX XXX\Desktop\cfscript.txt
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\winlogon.exe . . . ist infiziert!!

c:\windows\explorer.exe . . . ist infiziert!!

.
(((((((((((((((((((((((  Dateien erstellt von 2010-09-02 bis 2010-10-02  ))))))))))))))))))))))))))))))
.

2010-10-01 18:59 . 2010-10-01 18:59    --------    d-----w-    C:\_OTL
2010-10-01 14:43 . 2010-10-01 15:14    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-01 11:50 . 2010-10-01 11:50    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 11:50 . 2010-10-01 11:50    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-30 22:39 . 2010-09-30 22:39    2855    ----a-w-    c:\windows\system32\rundll32.PIF
2010-09-30 22:34 . 2010-09-30 22:35    2855    ----a-w-    c:\windows\system32\rundll.PIF
2010-09-30 21:57 . 2010-09-30 21:57    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}
2010-09-30 21:08 . 2009-11-23 15:37    14856    ----a-w-    c:\windows\system32\drivers\LGVirHid.sys
2010-09-30 21:08 . 2009-07-01 09:51    23432    ----a-w-    c:\windows\system32\drivers\LGPBTDD.sys
2010-09-30 21:08 . 2010-09-30 21:08    --------    d-----w-    c:\programme\Logitech
2010-09-30 19:23 . 2010-09-30 22:03    0    ----a-w-    c:\windows\Nnefujolij.bin
2010-09-30 19:23 . 2010-09-30 21:24    120    ----a-w-    c:\windows\Dweyihirewapan.dat
2010-09-27 20:11 . 2010-09-27 20:11    220    --sh--w-    c:\windows\dwin.sys
2010-09-24 15:43 . 2010-09-24 15:43    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype
2010-09-24 15:43 . 2010-09-24 15:43    --------    d-----r-    c:\programme\Skype
2010-09-20 15:32 . 2010-06-08 16:10    790528    ----a-w-    c:\windows\system32\xvidcore.dll
2010-09-20 15:32 . 2010-06-08 16:10    134144    ----a-w-    c:\windows\system32\xvidvfw.dll
2010-09-20 15:32 . 2004-01-25 16:18    217088    ----a-w-    c:\windows\system32\yv12vfw.dll
2010-09-20 15:32 . 2010-09-14 08:00    108032    ----a-w-    c:\windows\system32\ff_vfw.dll
2010-09-20 15:02 . 2010-09-20 15:02    --------    d-----w-    c:\programme\Gemeinsame Dateien\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\programme\Apple Software Update
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple Computer

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-02 14:13 . 2004-08-04 12:00    84516    ----a-w-    c:\windows\system32\perfc007.dat
2010-10-02 14:13 . 2004-08-04 12:00    458806    ----a-w-    c:\windows\system32\perfh007.dat
2010-10-02 11:53 . 2009-08-07 14:14    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\U3
2010-10-01 15:26 . 2010-01-25 19:26    --------    d-----w-    c:\programme\Java
2010-10-01 13:04 . 2009-10-28 20:56    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Winamp
2010-10-01 13:04 . 2009-09-02 16:38    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Media Player Classic
2010-09-30 22:09 . 2009-08-07 22:45    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Xfire
2010-09-30 21:08 . 2009-12-24 17:41    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2010-09-30 20:38 . 2010-05-31 14:30    --------    d-----w-    c:\programme\DVDVideoSoftTB
2010-09-29 23:21 . 2009-08-09 00:53    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\vlc
2010-09-28 17:59 . 2009-08-20 14:18    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Skype
2010-09-27 18:27 . 2009-09-01 20:57    --------    d-----w-    c:\programme\World of Warcraft Public Test
2010-09-27 18:26 . 2009-08-05 17:18    --------    d-----w-    c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2010-09-27 16:04 . 2009-08-20 14:21    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\skypePM
2010-09-24 15:43 . 2009-08-20 14:17    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-09-12 15:46 . 2009-08-20 16:40    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2010-08-28 09:26 . 2010-05-04 16:44    47360    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44    47360    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Vso
2010-08-24 01:30 . 2010-07-27 20:30    220008    ----a-w-    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-23 00:17 . 2009-08-05 09:00    24040    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-23 00:14 . 2010-03-10 14:42    --------    d-----w-    c:\programme\TuneUp Utilities 2010
2010-08-17 13:17 . 2008-04-14 05:53    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-12 19:26 . 2010-03-10 14:43    30528    ----a-w-    c:\windows\system32\TURegOpt.exe
2010-08-12 19:19 . 2010-08-23 00:14    30016    ----a-w-    c:\windows\system32\uxtuneup.dll
2010-08-06 18:06 . 2010-08-06 18:06    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\AnvSoft
2010-08-05 20:48 . 2009-08-21 23:44    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-07-31 12:47 . 2009-08-04 15:05    413696    ----a-w-    c:\windows\system32\wrap_oal.dll
2010-07-31 12:47 . 2009-08-04 15:05    110592    ----a-w-    c:\windows\system32\OpenAL32.dll
2010-07-22 15:48 . 2008-04-14 05:52    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2009-08-05 07:40    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-18 18:39 . 2009-08-07 14:28    322744    ----a-w-    c:\windows\War3Unin.dat
2010-07-13 20:38 . 2010-07-13 19:58    217180    ----a-w-    c:\windows\system32\nvdrsdb1.bin
2010-07-13 20:38 . 2010-07-13 19:58    1    ----a-w-    c:\windows\system32\nvdrssel.bin
2010-07-13 19:58 . 2010-07-13 19:58    217180    ----a-w-    c:\windows\system32\nvdrsdb0.bin
2010-07-09 19:04 . 2010-07-09 19:04    41872    ----a-w-    c:\windows\system32\xfcodec.dll
.

------- Sigcheck -------

[-] 2008-04-14 . E12CB5D54A2AC8949DD8FF6155EB9A2A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . 64A0C6910942E5DA289D39F7DDA7513B . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\dllcache\ctfmon.exe
[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((((  SnapShot@2010-10-02_12.14.19  )))))))))))))))))))))))))))))))))))))))))
.
- 2004-08-04 12:00 . 2010-10-02 11:26    71138              c:\windows\system32\perfc009.dat
+ 2004-08-04 12:00 . 2010-10-02 14:13    71138              c:\windows\system32\perfc009.dat
+ 2004-08-04 12:00 . 2010-10-02 14:13    440820              c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2010-10-02 11:26    440820              c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-09-30 20:38    2735200    ----a-w-    c:\programme\DVDVideoSoftTB\tbDVD0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"Launch LgDeviceAgent"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe" [2010-08-03 358472]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2010-08-03 1809992]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2010-08-03 3649096]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-06-07 13902440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-08-09 24064]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - e:\software\SetPoint\SetPoint.exe [2010-1-5 813584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 10:28    72208    ----a-w-    c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-06-07 15:35    13902440    ----a-w-    c:\windows\system32\nvcpl.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enGB-downloader.exe"=
"e:\\Software\\Xfire\\Xfire.exe"=
"c:\\Dokumente und Einstellungen\\XXX XXX\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\Launcher.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-enGB-ptr-downloader.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"e:\\Software\\Utorrent\\utorrent185.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\World of Warcraft Public Test\\Launcher.exe"=
"e:\\Software\\HoN\\hon.exe"=
"e:\\Software\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.unpacked.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"e:\\Software\\Sacred 2\\system\\s2gs.exe"=
"e:\\Software\\Sacred 2\\system\\sacred2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R2 AVerRemote;AVerRemote;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe [29.08.2009 16:38 352256]
R2 AVerScheduleService;AVerScheduleService;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe [29.08.2009 16:38 405504]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [12.08.2010 21:23 1051968]
R3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\drivers\AVerAF15DMBTH.sys [29.08.2009 16:39 487168]
R3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [23.11.2009 17:37 19720]
R3 LGPBTDD;LGPBTDD.sys Display Driver;c:\windows\system32\drivers\LGPBTDD.sys [30.09.2010 23:08 23432]
R3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [30.09.2010 23:08 14856]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25.02.2010 11:18 10064]
S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]
S3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys --> c:\windows\system32\drivers\nvhda32.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.11.2009 12:37 691696]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.winfuture.de
uInternet Connection Wizard,ShellNext = iexplore
IE: Free YouTube Download - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Save YouTube Video as MP3
FF - ProfilePath - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\zr6thxpl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - plugin: e:\software\DivX\DivX Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - HiddenExtension: XULRunner: {E183EA50-20F4-45C0-96C5-D28A815FEE4F} - c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-02 16:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmiAcpi]
"ImagePath"="system32\DRIVERS\wmiacpi.sy@"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1482476501-1292428093-1417001333-1004\Software\SecuROM\License information*]
"datasecu"=hex:9e,18,ca,ff,e9,88,4e,9d,47,28,44,77,d9,c0,ce,1e,81,9f,ad,60,ca,
  d5,8c,8f,32,f5,21,fc,a7,64,f2,f2,e4,3c,6c,f7,59,90,9d,dc,f3,31,d0,e4,57,9b,\
"rkeysecu"=hex:43,f3,aa,9f,21,6c,4b,dd,45,a2,00,f9,87,61,78,b2
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(944)
c:\windows\system32\dwlgina2.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3692)
e:\software\SetPoint\GameHook.dll
e:\software\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Logitech\GamePanel Software\Applets\LCDRSS.exe
c:\programme\Logitech\GamePanel Software\Applets\LCDCountdown.exe
c:\programme\Logitech\GamePanel Software\Applets\LCDClock.exe
c:\programme\Logitech\GamePanel Software\Applets\ColorOnly\LCDWebCam.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\programme\McAfee\Common Framework\FrameworkService.exe
c:\programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerHIDReceiver.exe
c:\programme\McAfee\VirusScan Enterprise\Mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\McAfee\Common Framework\naPrdMgr.exe
c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-02  16:22:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-02 14:22
ComboFix2.txt  2010-10-02 12:15

Vor Suchlauf: 10 Verzeichnis(se), 35.925.594.112 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 35.911.122.944 Bytes frei

- - End Of File - - 69AB76E5FBB9D1CE567132CACE8C9B66
Defogger:
Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:07 on 02/10/2010 (XXX XXX)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Already disabled


-=E.O.F=-
Gruß

markusg 02.10.2010 16:05
bitte sichere sicherheitshalber alle daten.

erstelle ein neues otl script.

:OTL
C:\WINDOWS\system32\winlogon.exe|C:\WINDOWS\ServicePackFiles\i386\winlogon.exe /replace
C:\WINDOWS\system32\explorer.exe|C:\WINDOWS\ServicePackFiles\i386\explorer.exe /replace
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

poste das otl slog nach neustart

rudiru 02.10.2010 16:26
OTL Logfile:
Code:
All processes killed
========== OTL ==========
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: XXX XXX
->Flash cache emptied: 456 bytes
 
User: LocalService
 
User: NetworkService
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: XXX XXX
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 16541359 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 16,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 10022010_171903

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Gruß

markusg 02.10.2010 17:07
sorry fehler, neues otl script

:OTL
:FILES
C:\WINDOWS\system32\winlogon.exe|C:\WINDOWS\ServicePackFiles\i386\winlogon.exe /replace
C:\WINDOWS\system32\explorer.exe|C:\WINDOWS\ServicePackFiles\i386\explorer.exe /replace
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

poste das otl log nach neustart

rudiru 02.10.2010 17:38
Neuer OTL Log
HTML-Code:
All processes killed
========== OTL ==========
========== FILES ==========
File C:\WINDOWS\ServicePackFiles\i386\winlogon.exe not found.
File C:\WINDOWS\ServicePackFiles\i386\explorer.exe not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: XXX XXX
->Flash cache emptied: 0 bytes
 
User: LocalService
 
User: NetworkService
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: XXX XXX
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 84339 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 1792 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 10022010_182902

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Gruß


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:42 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131