Trojaner-Board - Google leitet auf andere Seiten weiter!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Google leitet auf andere Seiten weiter! (https://www.trojaner-board.de/95477-google-leitet-andere-seiten.html)

Google leitet auf andere Seiten weiter!

Hallo liebe TB-Gemeinde!

Jetzt hat es auch mich bzw. meinen PC erwischt! Seit ca. zwei Tagen werde ich immer auf andere Seiten weitergeleitet wenn ich irgendwas bei Google suche.

Seiten sind z.B.:
h**p://de.gomeo.de/index.php?keyword=Ufc
h**p://www.bendecho.com/ads.php?aff=22

und so weiter.....

Mit MBAM habe ich vorgestern schon einmal gesucht und auch was gefunden. Habe "alles ausgewählt" und natürlich gelöscht. Leider besteht das Problem weiterhin und deswegen wende ich mich nun an euch!

++++++++++++++++++++

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5703

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.02.2011 19:08:14
mbam-log-2011-02-07 (19-08-10).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 189555
Laufzeit: 8 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

++++++++++++++++++++

Die OTL-Logs sind im Anhang!

Liebe Grüße,

LaLa

bitte öffne malwarebytes und poste logs mit den funden.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5703

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.02.2011 20:09:48
mbam-log-2011-02-07 (20-09-45).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 189556
Laufzeit: 5 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 15
Infizierte Dateien: 108

Infizierte Speicherprozesse:
c:\WINDOWS\system32\MPK\MPK.exe (Refog.Keylogger) -> 1384 -> No action taken.

Infizierte Speichermodule:
c:\WINDOWS\system32\MPK\Mpk.dll (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\sqlite3.dll (Refog.Keylogger) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Refog Software (Refog.Keylogger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Refog.Keylogger) -> Bad: (C:\WINDOWS\system32\MPK\mpk.exe) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Refog.Keylogger) -> Bad: (c:\windows\system32\userinit.exe,C:\WINDOWS\system32\MPK\mpk.exe,) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\1 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\2 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\3 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\4 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\CPDA (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\CPDM (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\refog free keylogger (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Images (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang (Refog.Keylogger) -> No action taken.

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\M0000 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\refog free keylogger.lnk (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\S0000 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\1\D0000 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\1\i40543_6153199074 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\1\i40556_0065428588 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\1\i40557_9721773611 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\1\i40558_8926892708 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\1\i40558_8927037616 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\1\i40563_7734220023 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\1\i40564_6751374769 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\1\i40564_6767217014 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\1\S0000 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\2\D0000 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\2\S0000 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\3\D0000 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\3\S0000 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\4\D0000 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\4\S0000 (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\CPDM\cpfm.bin (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\refog free keylogger\ refog free keylogger im internet.lnk (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\refog free keylogger\jetzt bestellen!.lnk (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\refog free keylogger\rabatt holen!.lnk (Refog.Keylogger) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\MPK\refog free keylogger\refog free keylogger.lnk (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\icon_1.ico (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\lnkmst.exe (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Mpk.dll (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\MPK.exe (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Mpk64.dll (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\MPK64.exe (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\MPKView.exe (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\sqlite3.dll (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\unins000.dat (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\unins000.exe (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\unins000.msg (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\alarms.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\clipboard.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\computer.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\delivery.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\file.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\filters.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\imhelp.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\internet.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\invisible.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\keyboard.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\logging.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\log_size.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\need_update_net.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\password.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\programs.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\screenshot.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\settings_node.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\update.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\English\users_node.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\alarms.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\clipboard.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\computer.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\delivery.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\file.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\filters.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\imhelp.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\internet.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\invisible.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\keyboard.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\logging.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\log_size.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\need_update_net.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\password.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\programs.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\screenshot.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\settings_node.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\update.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\German\users_node.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\alarms.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\clipboard.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\computer.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\delivery.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\filters.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\internet.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\invisible.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\keyboard.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\logging.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\log_size.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\password.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\programs.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\screenshot.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\settings_node.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Help\Spanish\users_node.htm (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Images\vista_hide.bmp (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Images\xp_hide.bmp (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\brazilian.frc (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\brazilian.lng (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\English.frc (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\French.frc (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\French.lng (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\German.frc (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\German.lng (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\Italian.frc (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\Italian.lng (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\Japanese.frc (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\Japanese.lng (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\Polish.lng (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\portuguese.frc (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\Romanian.frc (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\Romanian.lng (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\Russian.frc (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\Spanish.frc (Refog.Keylogger) -> No action taken.
c:\WINDOWS\system32\MPK\Lang\Spanish.lng (Refog.Keylogger) -> No action taken.

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Log ist im Anhang. ComboFix hat am Anfang auch noch gesagt, dass "Norton AntiVirus" läuft und es deswegen zu Problemen kommen kann. Das witzige an der Sache: Ich habe gar kein Norton mehr?! Hatte das früher mal laufen! Im TastManager habe ich auch kein Prozess gefunden der irgendwas mit Norton zu tun hat

LG LaLa

EDIT:
Google leitet immer noch auf falsche Seiten weiter!

lassen wir später mal das norton uninstaller tool laufen.
pc neustart.

Start programme zubehör editor reinkopieren.

Killall::
Folder::
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Biqan
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Lays
mia::
c:\windows\explorer.exe

Datei speichern unter typ alle dateien, ort dort wo sich combofix befindet, name cfscript.txt
ziehe cfscript auf combofix.exe programm startet, log posten.
öffne arbeitsplatz c: qoobox, rechtsklick auf quarantain und mit winrar oder zip packen
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html

Zitat:

Zitat von markusg (Beitrag 617857)

Datei speichern unter typ alle dateien, ort dort wo sich combofix befindet, name cfscript.txt
ziehe cfscript auf combofix.exe programm startet, log posten.

Habe ich genau so gemacht. ComboFix befindet sich auf dem Desktop. Das Programm wurde zwar ausgeführt und hat auch den PC neugestartet, jedoch ist auf dem Desktop keine Log zu finden!

Zitat:

Zitat von markusg (Beitrag 617857)

öffne arbeitsplatz c: qoobox, rechtsklick auf quarantain und mit winrar oder zip packen
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html

Wurde gemacht!

Habe noch einmal das Norton Uninstaller Tool laufen lassen sowie noch einmal das cfscript.txt laufen lassen mit ComboFix. Habe jetzt eine Log bekommen! Das mit dem DateiUpload habe ich natürlich vorhin schon gemacht wie beschrieben!

Hier die Log von ComboFix mittels cfscript.txt:

Code:

ComboFix 11-02-06.02 - Elb 08.02.2011   0:37.2.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1471.992 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Elb\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Elb\Desktop\cfscript.txt

AV: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Elb\Anwendungsdaten\Biqan

c:\dokumente und einstellungen\Elb\Anwendungsdaten\Lays

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\1.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\a.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\b.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\c.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\d.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\e.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\f.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\g.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\h.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\i.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\J.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\k.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\l.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\m.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\mru.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\n.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\o.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\p.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\q.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\r.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\s.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\t.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\u.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\v.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\w.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\x.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\y.xml

c:\dokumente und einstellungen\Elb\Anwendungsdaten\PriceGong\Data\z.xml
 

Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt 
 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt 
 

.

(((((((((((((((((((((((   Dateien erstellt von 2011-01-07 bis 2011-02-07  ))))))))))))))))))))))))))))))

.
 

2011-02-07 01:12 . 2011-02-07 01:12        --------        d-----w-        c:\programme\ESET

2011-02-04 17:37 . 2011-02-04 17:37        --------        d-----w-        c:\dokumente und einstellungen\Elb\Anwendungsdaten\Malwarebytes

2011-02-04 17:37 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-02-04 17:37 . 2011-02-04 17:37        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-02-04 17:37 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-01-29 19:50 . 2011-02-07 23:31        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SweetIM

2011-01-29 19:50 . 2011-01-29 19:50        --------        d-----w-        c:\programme\SweetIM

2011-01-23 20:44 . 2011-01-23 20:51        610859        ----a-w-        c:\windows\RON 2010 GERMAN Uninstaller.exe

2011-01-20 15:28 . 2011-01-20 15:28        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google

2011-01-20 15:23 . 2011-01-20 15:29        --------        d-----w-        c:\dokumente und einstellungen\Elb\Lokale Einstellungen\Anwendungsdaten\Temp

2011-01-20 15:23 . 2011-01-20 15:23        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google

2011-01-17 21:37 . 2011-02-07 23:31        --------        d-----w-        c:\dokumente und einstellungen\Elb\Lokale Einstellungen\Anwendungsdaten\ConduitEngine

2011-01-17 21:37 . 2011-01-17 21:37        --------        d-----w-        c:\programme\ConduitEngine

2011-01-17 21:37 . 2011-01-17 21:37        0        ----a-w-        c:\windows\system32\ConduitEngine.tmp
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-31 13:27 . 2010-12-31 13:27        1409        ----a-w-        c:\windows\QTFont.for

2010-11-18 18:12 . 2004-01-01 19:40        86016        ----a-w-        c:\windows\system32\isign32.dll

2004-07-03 19:09 . 2005-10-26 18:56        140800        -c--a-w-        c:\programme\mozilla firefox\plugins\al2np.dll

.
 

------- Sigcheck -------
 

[-] 2005-01-28 11:44 . 140EF97B64F560FD78643CAE2CDAD838 . 25088 . . [10.0.3790.3802] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll

[-] 2005-01-28 11:44 . 140EF97B64F560FD78643CAE2CDAD838 . 25088 . . [10.0.3790.3802] . . c:\windows\system32\MsPMSNSv.dll

[-] 2005-01-28 11:44 . 140EF97B64F560FD78643CAE2CDAD838 . 25088 . . [10.0.3790.3802] . . c:\windows\system32\dllcache\mspmsnsv.dll

[-] 2004-08-04 07:57 . D68CC4EBF7B03FD770D5962295AD814E . 52736 . . [9.0.1.56] . . c:\windows\ServicePackFiles\i386\mspmsnsv.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-10-18 3908192]

"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2010-10-18 138552]
 

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

2010-10-18 10:26        3908192        ----a-w-        c:\programme\ConduitEngine\ConduitEngine.dll
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

2010-10-18 10:26        3908192        ----a-w-        c:\programme\DVDVideoSoftTB\tbDVD0.dll
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]

2010-10-18 16:28        1485112        ----a-r-        c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-10-18 3908192]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-10-18 1485112]
 

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-10-18 3908192]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-10-18 1485112]
 

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]

"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 24576]

"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]

"SiS Tray"="c:\windows\system32\sistray.EXE" [2003-10-30 667648]

"SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2003-10-30 249856]

"Ad-Watch"="d:\antivir\Lavasoft\Ad-Aware\AAWTray.exe" [2010-12-09 524632]

"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696]

"M-Audio Taskbar Icon"="c:\windows\system32\M-AudioTaskBarIcon.exe" [2009-10-02 643592]

"DigidesignMMERefresh"="d:\programme\Digidesign\Drivers\MMERefresh.exe" [2009-12-18 77824]

"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2010-12-20 111928]

"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]
 

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\

DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]
 

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\

DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]
 

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\

DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]
 

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\

DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk

backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Loader resident.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Photo Loader resident.lnk

backup=c:\windows\pss\Photo Loader resident.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Elb^Startmenü^Programme^Autostart^Adobe Gamma.lnk]

path=c:\dokumente und einstellungen\Elb\Startmenü\Programme\Autostart\Adobe Gamma.lnk

backup=c:\windows\pss\Adobe Gamma.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2007-05-11 01:06        40048        -c--a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]

2004-09-29 06:15        344064        -c--a-w-        c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]

2004-02-03 21:16        401491        -c--a-w-        c:\programme\Microsoft ActiveSync\wcescomm.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

2007-12-13 18:10        1688872        -c--a-w-        c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2008-03-30 08:36        267048        -c--a-w-        f:\itunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jet Detection]

2001-11-28 23:00        28672        -c--a-w-        c:\programme\Creative\SBLive\Program\ADGJDet.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]

2007-12-03 13:21        2213160        -c--a-w-        f:\nero\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2007-03-01 13:57        153136        -c--a-w-        c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2008-03-28 21:37        413696        -c--a-w-        c:\programme\QuickTime\QTTask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

2008-11-01 16:58        1410296        ----a-w-        e:\steam\steam.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2005-06-03 01:52        36975        -c--a-w-        c:\programme\Java\jre1.5.0_04\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue Registry Booster]

2006-04-27 15:29        1761280        -c--a-w-        c:\programme\Uniblue\Registry Booster\RegistryBooster.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]

2000-05-10 23:00        90112        -c----w-        c:\windows\Updreg.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VSS-CAM]

2006-04-27 15:29        1761280        -c--a-w-        c:\programme\Uniblue\Registry Booster\RegistryBooster.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2004-12-20 18:41        33792        -c--a-w-        c:\programme\Winamp\winampa.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINDVDPatch]

2002-07-02 15:56        24576        -c--a-w-        c:\windows\system32\CTHELPER.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"iPodService"=3 (0x3)

"GEARSecurity"=2 (0x2)

"DirectUpdate"=3 (0x3)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"f:\\iTunes\\iTunes.exe"=

"e:\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\Java\\jre1.5.0_04\\launch4j-tmp\\JDownloader.exe"=

"c:\\Programme\\Java\\jre1.5.0_04\\bin\\javaw.exe"=

"i:\\Bundeskanzler 2009-2013\\_start.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"110:TCP"= 110:TCP:svchost

"5353:TCP"= 5353:TCP:Adobe CSI CS4
 

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02.12.2005 13:10 717296]

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16.11.2009 09:03 108792]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [16.11.2009 09:06 96408]

R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [04.01.2008 17:41 110304]

R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [16.11.2009 09:04 735960]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\antivir\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 22:34 1029456]

R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [01.04.2004 16:02 2368]

R3 ramirr;ramirr;c:\windows\system32\drivers\ramirr.sys [01.06.2004 17:10 4864]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [20.01.2011 16:23 136176]

S3 krdpdre;krdpdre;\??\c:\dokume~1\Elb\LOKALE~1\Temp\krdpdre.sys --> c:\dokume~1\Elb\LOKALE~1\Temp\krdpdre.sys [?]

S3 kxwdmdrv;kX WDM Driver Service;c:\windows\system32\drivers\kx.sys --> c:\windows\system32\drivers\kx.sys [?]

S3 M1000Srv;Trek 320R Driver;c:\windows\system32\drivers\M1000KNT.sys [16.06.2006 13:26 276926]

S3 MAUSBFASTTRACK;Service for M-Audio FastTrack;c:\windows\system32\drivers\MAudioFastTrack.sys [02.10.2009 12:53 158344]

S3 RivaTuner;RivaTuner;f:\tuner\RivaTuner.sys [29.10.2002 00:59 2496]

S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]

S3 USBSHGX;SHARP GSM GPRS USB Driver 1.0.0;c:\windows\system32\drivers\usbshgx.sys [05.11.2004 17:52 24080]

S3 wind502u;54Mbps USB Adapter;c:\windows\system32\DRIVERS\wind502u.sys --> c:\windows\system32\DRIVERS\wind502u.sys [?]

S3 XScanPF;XScanPF;\??\c:\dokumente und einstellungen\Elb\Desktop\Hack the Planet\Scanner\X-Scan-v3.3\dat\xpf.sys --> c:\dokumente und einstellungen\Elb\Desktop\Hack the Planet\Scanner\X-Scan-v3.3\dat\xpf.sys [?]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

RpcxSs

.

Inhalt des "geplante Tasks" Ordners
 

2011-02-07 c:\windows\Tasks\1-Klick-Wartung.job

- e:\tuneup utilities 2009\OneClickStarter.exe [2009-07-15 10:07]
 

2011-02-07 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- d:\antivir\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 16:21]
 

2011-02-05 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]
 

2011-02-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-20 15:22]
 

2011-02-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-20 15:22]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050

uDefault_Search_URL = hxxp://ie.search.msn.com

uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7

uInternet Settings,ProxyServer = 127.0.0.1:9666

uInternet Settings,ProxyOverride = local

uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*hxxp://de.search.yahoo.com

IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Elb\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: {{F1BDA53D-5037-470F-8FAF-50CA7EA813EB} - f:\a-video\onlineTV\onlineTV.exe

DPF: Microsoft XML Parser for Java

FF - ProfilePath - c:\dokumente und einstellungen\Elb\Anwendungsdaten\Mozilla\Firefox\Profiles\vrmytqf3.default\

FF - prefs.js: browser.search.selectedEngine - ICQ Search

FF - prefs.js: browser.startup.homepage - about:blank

FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=

FF - Ext: BugMeNot: {987311C6-B504-4aa2-90BF-60CC49808D42} - %profile%\extensions\{987311C6-B504-4aa2-90BF-60CC49808D42}

FF - Ext: Move Media Player: moveplayer@movenetworks.com - %profile%\extensions\moveplayer@movenetworks.com

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

FF - Ext: DownThemAll!: {DDC359D1-844A-42a7-9AA1-88A850A938A8} - %profile%\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}

FF - Ext: Tamper Data: {9c51bd27-6ed8-4000-a2bf-36cb95c0c947} - %profile%\extensions\{9c51bd27-6ed8-4000-a2bf-36cb95c0c947}

FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}

FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

FF - Ext: SweetIM Toolbar for Firefox: {EEE6C361-6118-11DC-9C72-001320C79847} - %profile%\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-02-08 00:48

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1993962763-484763869-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:fa,3a,58,08,f8,29,4e,6e,6d,47,48,52,ae,ee,28,39,9a,ff,be,cf,34,d1,16,

   26,53,6b,4e,ff,d7,b5,fb,d8,d7,c4,4f,a2,01,6c,5f,96,46,12,6f,a8,4a,05,8c,a6,\

"??"=hex:9b,7c,21,c6,cc,cc,c2,6d,74,3b,85,39,14,92,1a,e8
 

[HKEY_USERS\S-1-5-21-1993962763-484763869-839522115-1004\Software\SecuROM\License information*]

"datasecu"=hex:98,11,2c,8f,d7,f0,be,9f,73,d4,06,17,de,74,eb,c1,34,ad,8e,f5,88,

   a8,80,4e,0a,48,40,d8,89,ac,23,f9,c5,54,09,61,73,3e,bd,38,f7,a8,c4,d9,8d,2a,\

"rkeysecu"=hex:e0,52,7a,b8,51,3b,47,f5,e8,cb,e3,83,57,73,46,8a
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]

"5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered"
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]

"AB141C35E9F4BF344B9FC010BB17F68A"=""

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(1696)

c:\programme\Logitech\MouseWare\System\LgWndHk.dll

c:\programme\SweetIM\Messenger\mgAdaptersProxy.dll

c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll

c:\windows\system32\webcheck.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\windows\system32\crypserv.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

f:\nero\Nero\Nero8\Nero BackItUp\NBService.exe

e:\cdburnerxp\NMSAccessU.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\System32\TUProgSt.exe

c:\windows\system32\wdfmgr.exe

c:\windows\System32\wbem\unsecapp.exe

c:\programme\Logitech\MouseWare\system\em_exec.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-02-08  00:56:59 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-02-07 23:56

ComboFix2.txt  2011-02-07 19:56
 

Vor Suchlauf: 659.292.160 Bytes frei

Nach Suchlauf: 678.617.088 Bytes frei
 

Current=6 Default=6 Failed=1 LastKnownGood=7 Sets=1,2,3,4,5,6,7

- - End Of File - - 96173F0F8D4711F0232BCFE8F9B88F01

gibts noch umleitungen?

das mit dem qoobox archiv hat anscheinend nicht geklappt versuchs noch mal.
wenn nicht
File-Upload.net - Ihr kostenloser File Hoster!
dort hochladen, link als private nachicht an mich.

Umleitungen gibts nicht mehr - dafür schon einmal vielen dank!

Ist die Gefahr nun gebannt oder sollte man noch einmal irgend ein Durchlauf machen und eine Log posten?

Lg LaLa

ich warte auf den upload von qoobox. wies geht steht auf seite 1 vorletzter post :-)

Okay, hab das ganze nun hochgeladen auf File-Upload. Link bekommst Du per PN wie du geschrieben hast! :-)

LG LaLa

ok benötige n bissel zeit.

bitte update malwarebytes und mache nen kompletten scan. danke!

Sollte anscheinend gelöst sein, oder? :applaus:

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Datenbank Version: 5717
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

09.02.2011 13:03:20

mbam-log-2011-02-09 (13-03-20).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|I:\|L:\|)

Durchsuchte Objekte: 492490

Laufzeit: 2 Stunde(n), 40 Minute(n), 44 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden).
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Habe CCleaner bereits ausgeführt wie in http://www.trojaner-board.de/51464-a...-ccleaner.html dieser Anleitung, hätte ich das nicht machen sollen? :stirn:

Hier die Liste (nötig = + / unnötig = - / unbekannt = ?)

Code:

+ Ad-Aware        Lavasoft        

- Adobe Audition 3.0        Adobe Systems Incorporated        3.0

- Adobe Dreamweaver CS4        Adobe Systems Incorporated        10.0

+ Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        10.1.102.64

+ Adobe Flash Player ActiveX        Adobe Systems Incorporated        9.0.124.0

+ Adobe InDesign CS        Adobe Systems Incorporated        CS

+ Adobe Photoshop 7.0.1        Adobe Systems, Inc.        7.0

+ Adobe Reader 8.1.0 - Deutsch        Adobe Systems Incorporated        8.1.0

+ Adobe Shockwave Player 11.5        Adobe Systems, Inc.        11.5.2.602

+ Ancient Wars - Sparta        PlayLogic        1.00.0000

? Apple Mobile Device Support        Apple Inc.        1.1.4.7

? Apple Software Update        Apple Inc.        2.1.0.110

? ASIO4ALL        Michael Tippach        2.10 Beta 1

+ ATI - Software Uninstall Utility                6.14.10.1016

+ ATI Control Panel                6.14.10.5125

+ ATI Display Driver                8.541-080923a-069992C-ATI

+ ATI HYDRAVISION                3.25.9006

+ Audacity 1.2.0                

+ AVG Anti-Rootkit Free        GRISOFT        

+ AVIcodec (remove only)                

+ AVS DVD Player version 2.4        Online Media Technologies Ltd.        

? Bonjour        Apple Inc.        1.0.104

+ Bundeskanzler 2009-2013        Eversim        3.00

+ C-Media 3D Audio                

+ C-Media WDM Audio Driver                

+ Call of Duty(R) 4 - Modern Warfare(TM)        Activision        1.5

+ CCleaner        Piriform        3.03

- CDBurnerXP        CDBurnerXP        4.2.7.1893

- Cheat Engine 5.6        Dark Byte        

+ CSI - Tödliche Verschwörung        Ubisoft        1.0.0.0

- Das grosse Sarah Wiener Kochspiel        Villa Hirschberg Online GmbH        

+Digidesign Pro Tools M-Powered Essential 8.0.3        Digidesign, A Division of Avid Technology, Inc.        8.0.3

+ DivX Codec        DivX, Inc.        6.9.1

+ DivX Converter        DivX, Inc.        7.1.0

+ DivX Player        DivX, Inc.        7.2.0

+ DivX Plus Web Player        DivX,Inc.        2.0.0

- DVDVideoSoftTB Toolbar                

+ ESET NOD32 Antivirus        ESET, spol s r. o.        4.0.474.0

+ EVEREST Home Edition v2.20        Lavalys Inc        2.20

+ Fast Track        M-Audio        5.10.00.5128v4

- FIFA 09 Demo        Electronic Arts        1.0.1.1

+ FlashFXP                

? Flatcast 4.15        1 mal 1 Software GmbH        

+ Flyingcode NFO-Viewer 1.0        Flyingcode        

+ Free Audio CD Burner version 1.4.7        DVDVideoSoft Limited.        

+ Free Videos To DVD V 3.2.0        Koyote soft        3.2.0.0

+ Free WMA to MP3 Converter 1.16        Jodix Technologies Ltd.        

+ Free YouTube to MP3 Converter version 3.9.31        DVDVideoSoft Limited.        

+ FUSSBALL MANAGER 09        Electronic Arts        

+ FUSSBALL MANAGER 11        Electronic Arts        

+ Gamers.IRC 4.42                

+ GammonEmpire        LogicEmpire        Dec_14_2009_14_19_04

? Gtk+ Runtime Environment 2.12.9-2                2.12.9-2

- GX30-GX31-GX32 USB-Handset Manager                

+ HijackThis 2.0.2        TrendMicro        2.0.2

- HLSW v1.3.0        Timo Stripf        

+ ICQ6.5        ICQ        6.5

+ ImgBurn        LIGHTNING UK!        2.4.2.0

? Interlok driver setup x32        PACE Anti-Piracy        5.8.13

+ iTunes        Apple Inc.        7.6.2.9

+ J2SE Runtime Environment 5.0 Update 2        Sun Microsystems, Inc.        1.5.0.20

+ J2SE Runtime Environment 5.0 Update 4        Sun Microsystems, Inc.        1.5.0.40

+ Java 2 Runtime Environment, SE v1.4.2_03        Sun Microsystems, Inc.        1.4.2_03

+ Java 2 Runtime Environment, SE v1.4.2_05        Sun Microsystems, Inc.        1.4.2_05

+ Java 2 Runtime Environment, SE v1.4.2_06        Sun Microsystems, Inc.        1.4.2_06

- Jaws PDF Creator                

+ K-Lite Codec Pack 4.1.0 (Full)                4.1.0

+ Logitech MouseWare 9.79.1                

+ M-Audio FastTrack Driver 6.0.2 (x86)        M-Audio        6.0.2

+ Macromedia Flash Player        Macromedia, Inc.        7.0.19.0

+ MacroX 3.1        Uhrzeit.org        3.1

+ Malwarebytes' Anti-Malware        Malwarebytes Corporation        

? Microsoft .NET Framework (German) v1.0.3705                

? Microsoft .NET Framework 1.0 Hotfix (KB928367)                

? Microsoft .NET Framework 1.1                

? Microsoft .NET Framework 2.0 Service Pack 2        Microsoft Corporation        2.2.30729

? Microsoft .NET Framework 3.0 Service Pack 2        Microsoft Corporation        3.2.30729

? Microsoft .NET Framework 3.5 SP1        Microsoft Corporation        

? Microsoft ActiveSync 3.7                

+ Microsoft Excel Viewer 97                

+ Microsoft Flight Simulator X        Microsoft Game Studios        10.0.60905

+ Microsoft FrontPage 2002        Microsoft Corporation        10.0.2701.01

+ Microsoft Office PowerPoint Viewer 2003        Microsoft Corporation        11.0.8305.0

+ Microsoft Office Professional Edition 2003        Microsoft Corporation        11.0.7969.0

? Microsoft Primary Interoperability Assemblies 2005        Microsoft Corporation        8.0.50727.42

? Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053        ? Microsoft Corporation        8.0.50727.4053

? Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        8.0.59193

? Microsoft Web Publishing Wizard 1.53                

+ Microsoft Word 2000        Microsoft Corporation        9.00.2816

? Microsoft WSE 3.0        Microsoft Corporation        3.0.5305.0

? Microsoft XML Parser und SDK        Microsoft Corporation        4.10.9404.0

+ mIRC        mIRC Co. Ltd.        6.35

+ Mozilla (1.6)                

+ Mozilla Firefox (3.6.13)        Mozilla        3.6.13 (de)

? mpegable AVC        dicas digital image coding GmbH        0.10.0

? MSXML 4.0 SP2 (KB927978)        Microsoft Corporation        4.20.9841.0

? MSXML 4.0 SP2 (KB936181)        Microsoft Corporation        4.20.9848.0

? MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        4.20.9870.0

? MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        4.20.9876.0

? MSXML 4.0 SP2 Parser und SDK        Microsoft Corporation        4.20.9818.0

? MSXML 6 Service Pack 2 (KB973686)        Microsoft Corporation        6.20.2003.0

- MyDirtyChristmas 1.00                

+ Nero 8        Nero AG        8.2.87

- Nokia Connectivity Cable Driver        Nokia        6.82.4.0

+ NVIDIA PhysX v8.04.25        NVIDIA Corporation        8.04.25

- O&O UnErase        O&O Software GmbH        1.0.254

- PC Connectivity Solution        Nokia        6.43.8.0

+ Politik Simulator 2 - Rulers of Nations        Eversim        4.16

- Probeversion von World of Warcraft        Blizzard Entertainment        

+ QuickTime        Apple Inc.        7.4.5.67

+ Republic - The Revolution (remove only)                

+ SHOUTcast Source DSP 1.8.2 (remove only)                

+ SiS 661FX_760_741_M661FX_M760_M741                

+ SiS 900 PCI Fast Ethernet Adapter Driver                

+ SiS VGA Utilities                

+ SiSAGP driver                1.21

+ Sound Blaster Live! Web 2K/XP                

+ Steam        Valve        

? SweetIM for Messenger 3.4        SweetIM Technologies Ltd.        3.4.0004

? SweetIM Toolbar for Internet Explorer 4.0        SweetIM Technologies Ltd.        4.0.0004

- TeamSpeak 2 RC2        Dominating Bytes Design        2.0.32.60

+ Trek 320R                1.3.1.2

- TuneUp Utilities 2009        TuneUp Software        8.0.3300.1

? Uniblue Registry Booster        Uniblue        

? Uninstall 1.0.0.1                

? USB STORM TROOPER GAME PAD                2005.08.10

+ VLC media player 1.1.5        VideoLAN        1.1.5

+ WinAce Archiver                

+ Winamp (remove only)                

? Windows Driver Package - Nokia (WUDFRd) WPD  (11/03/2006 6.82.26.2)        Nokia        11/03/2006 6.82.26.2

? Windows Genuine Advantage Validation Tool (KB892130)        Microsoft Corporation        

+ Windows Internet Explorer 8        Microsoft Corporation        20090308.140743

+ WinRAR Archivierer                

+ WinZip        WinZip Computing, Inc.         8.1 SR-1  (5266)

+ XP Codec Pack                

+ Xvid 1.2.2 final uninstall        Xvid team (Koepi)        1.2

Ich weiss z.B. nicht, ob ich diese ganzen Microsoft Produkte brauch?! Kann sein, dass sie durch automatische Updates installiert worden sind!

LG LaLa

deinstaliere:
Adobe Audition
Adobe Dreamweaver

Adobe Reader 8
ersetzen:
Adobe - Adobe Reader herunterladen - Alle Versionen

bitte den mcafee security scan nicht mit instalieren.
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken.
unter update, auf instalieren stellen.
klicke übernehmen /ok
deinstaliere.
Bonjour
CDBurnerXP
Cheat Engine
Das grosse Sarah Wiener Kochspiel
DVDVideoSoftTB Toolbar
FIFA 09
GX30
HLSW v1.3.0
iTunes dringend updaten!
Apple - iTunes - iTunes jetzt laden
deinstaliere:
J2SE alle
Java alle!
Java SE Downloads
klicke auf "download jre"
deinstaliere:
Jaws PDF Creator
das ganze microsoft office zeug würde ich runter haun. ich denke mit open office kommst du wesendlich besser.
de: OpenOffice.org: Startseite (deutsch)
Mozilla (1.6) deinstalieren
deinstaliere:
MyDirtyChristmas
Nokia Connectivity Cable
OO UnErase
PC Connectivity Solution
Probeversion von World of Warcraft
SweetIM beide
TeamSpeak
TuneUp
Uniblue
USB STORM TROOPER
XP Codec Pack brauchst du das wirklich, vlc spielt auch so alles ab.
bereinige jetzt mit dem ccleaner dateien + registry.

Habe nun (fast) alles deinstalliert - starte gleich neu und installiere iTunes, OpenOffice und Java neu.

zu Java:
Download Java SE Runtime Environment 6u23 for Windows, Multi-language
"jre-6u23-windows-i586.exe"
ist das die richtige Datei?

Was ist mit dem ganzen Microsoft .NET Framework??? Brauche ich das?

Leider gab es ein paar Probleme bei der DeInstallation von ein paar Programmen:

FIFA09 - der Ordnerpfad "FIFA 09" enthält ein ungültiges Zeichen
"Scherwiegender Fehler bei der Installation"
GX30 Deinstallation angeklickt - doch es passiert gar nichts?!?
JawsPDF
"Failed to load the installation helper DLL: PDFCIS.dll .Setup cannot continue
Probeversion von World of Warcraft
"Uninstall.xml" could not be read."

LG LaLa

java, ja sieht gut aus.
.netframework bleibt bitte :-)
deinstalation:
http://www.hijackthis-forum.de/tipps...installer.html
revo sollte es richten, tutorial lesen bitte

Hatte keine Probleme! Done! :applaus:

wir können den pc noch absichern falls gewünscht.

Klar, wieso denn nicht? Wenn wir schon einmal dabei sind! ;-)

öffne otl, klicke bereinigen, otl + sonstige von uns verwendeten tools sollten gelöscht werden.
rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, auf allen laufwerken deaktivieren, übernehmen, ok
5 min warten, wieder einschalten.

http://www.trojaner-board.de/96344-a...-rechners.html

Zitat:

Zitat von markusg (Beitrag 618748)

öffne otl, klicke bereinigen, otl + sonstige von uns verwendeten tools sollten gelöscht werden.

D.h. OTL, ComboFix und Anti-Maleware deinstallieren? Ich wiederspreche dir ja aungern aber was sollte das denn bringen wenn ich z.B. MBAM lösche? :dummguck:

LG LaLa

malwarebytes wird nicht gelöscht, aber combofix.

Secunia und Hippo sind ja echt tolle Programme! :applaus:

Bin fast fertig mit der Anleitung, mache das aber so nebenbei!

Ich denke damit sollte das Thema wohl beendet sein, oder?

LG LaLa

kannst ja alles umsetzen und dich mal melden ob alles geklappt hat bzw bei problemen.

Werde auf jedenfall die Sachen umsetzen!

Markus, vielen vielen Dank! :party:

:dankeschoen:

LG LaLa