Ergebnis 1 bis 8 von 8
-
14.11.2009, 15:15 #1Micky94
Trojaner und deren Entfernung
Hallo,
wieder mal ein Spinner, der Hilfe für die Beseitigung eines Trojaners braucht
Folgendes:
Heute Mittag kam die Meldung von Avira Antivirus, dass ein Trojaner gefunden wurde. "Datei löschen" wurde angeklickt, dann war das Thema erstmal erledigt.
Doch was sehe ich da im Taskmanager? b.exe und msa.exe. Ich hab mich schon ein wenig informiert (auch hier im Forum, wo es schon Erfahrung mit dem Trojaner gibt^^) und hab nun schon eine HijackThis-Datei angefertigt, die weiter unten folgt.
Nun hab ich im Forum schon nach Löschmöglichkeiten gesucht, aber ich will nicht irgendwas mit HijackThis löschen, deshalb bitte ich euch hier um eine Extra-Wurst für mich^^
Also: Wie werde ich den Trojaner komplett los? Mit verständlicher Anleitung bitte, ist mein erster Trojaner^^
Hier die Datei:Vielen Dank im VorausCode:Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:03:08, on 14.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\csrcs.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Tobit ClipInc\Player\ClipInc-Player.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HDD Observer] C:\Programme\HDD Observer\HDD Observer.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini" O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [MailBlocker] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: phase6_18_erinnerung.lnk = C:\Programme\phase6\phase6_18\WinStart\WinStart.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207681315609 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1221293264828 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe O23 - Service: Google Update Service (gupdate1c987035edd15ae) (gupdate1c987035edd15ae) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 8176 bytes
Micky94
-
-
14.11.2009, 15:40 #2bLacK_dRaSanG
AW: Trojaner und deren Entfernung
Moin
Einstellungen anpassen, damit Dateien sichtbar sind:
Start --> Systemsteurung (klassische Ansicht) --> Ordneroption --> Reiter "Ansicht"
prüfe ob folgende Einträge markiert oder gegebenfalls nicht markiert sind:
markierte Einträge:
- Inhalte von Systemordnern anzeigen
- Alle Dateien und Ordnern anzeigen
nicht markierte Einträge:
- Erweiterung bei bekannten Dateitypen ausblenden
- Geschützte Systemdateien ausblenden (empfohlen)
Hochladen auf VirusTotal - Free Online Virus and Malware Scan
Nach ein paar Minuten erscheint dann ein vollständiges Ergebnis, das hier dann bitte reinkopierenCode:C:\WINDOWS\system32\csrcs.exe
.
Fixen:
Man fixt, indem man Hijackthis startet und auf "Do a system scan only klickt.Code:F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll O4 - HKCU\..\Run: [MailBlocker] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
Nun sucht man den oben angegebende Eintrag und markiert, das leere weiße Kästchen mit einen Haken, neben den entsprechenden Eintrag.
Schließlich klickt man auf "Fix checked
Lasse folgende Programme nach Anleitung durchlaufen:
Combofix
Malwarebytes
Poste danach das Ergebnis von VirusTotal und die Logs von Combofix und Malwarebytes, sowie ein erneutes Hijackthis-Logfile
mfg
bLacK_dRaSanG
-
14.11.2009, 17:00 #3Micky94
AW: Trojaner und deren Entfernung
Was für eine Geburt^^ Die Scans sind wirklich Zeitraubend gewesen.
Folgendermaßen bin ich vorgegangen:
1: Mit Hijackthis gefixt
2: Datei nach Virustotal geschickt
2: Combofix
3: Malwarebytes
4: Hijackthis Scan
Hier die Files:
1)
Combofix:
Virus Total:Code:ComboFix 09-11-14.03 - User 14.11.2009 16:01..2 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1417 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\INSTALL.LOG c:\windows\msa.exe c:\windows\system32\AutoRun.inf c:\windows\system32\csrcs.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-10-14 bis 2009-11-14 )))))))))))))))))))))))))))))) . 2009-11-14 14:02 . 2009-11-14 14:02 -------- d-----w- c:\programme\Trend Micro 2009-11-14 14:01 . 2009-11-14 14:01 812344 ----a-w- c:\dokumente und einstellungen\Download\abc.exe 2009-11-14 13:11 . 2009-11-14 13:11 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Total Eclipse 2009-11-14 11:37 . 2009-11-14 11:37 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2009-11-14 09:36 . 2009-11-14 09:37 -------- d-----w- c:\programme\The Clockwork Man 2009-11-12 17:10 . 2009-11-12 17:10 -------- d-----w- c:\dokumente und einstellungen\User\Saved Games 2009-11-10 08:16 . 2009-11-10 08:16 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Island 2009-11-09 08:23 . 2009-11-09 08:23 -------- d-----w- c:\windows\Logs 2009-11-07 14:57 . 2009-11-07 14:57 -------- d-----w- c:\programme\Stellarium 2009-11-06 12:55 . 2009-11-06 12:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HideAndSecret3 2009-11-04 13:39 . 2009-11-04 13:39 152576 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll 2009-11-04 08:52 . 2009-11-04 08:52 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Azuaz Games 2009-11-03 13:09 . 2009-11-03 13:10 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\SprillRichiGerman 2009-10-31 16:59 . 2009-10-31 16:59 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Batovi 2009-10-31 08:24 . 2009-10-31 08:24 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\PoBros 2009-10-31 08:24 . 2009-10-31 08:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PoBros 2009-10-29 17:57 . 2009-10-29 17:57 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\IronCode 2009-10-26 07:21 . 2009-10-26 07:25 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Burdaloo 2009-10-17 16:30 . 2009-10-17 16:30 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\she_is_a_shadow 2009-10-16 07:46 . 2009-10-16 07:46 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\SulusGames 2009-10-16 07:46 . 2009-10-16 07:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SulusGames . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-14 14:00 . 2009-07-09 13:20 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Skype 2009-11-14 13:18 . 2008-04-18 15:16 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-11-14 13:10 . 2008-07-08 11:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BigFishGamesCache 2009-11-13 18:44 . 2008-10-25 13:34 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\gtk-2.0 2009-11-13 15:41 . 2008-06-16 12:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2009-11-13 10:56 . 2009-08-16 14:24 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\ERS G-Studio 2009-11-12 19:09 . 2009-02-21 18:51 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\FileZilla 2009-11-12 19:09 . 2009-06-26 13:01 -------- d-----w- c:\programme\FileZilla FTP Client 2009-11-12 13:57 . 2008-04-18 13:45 5 ----a-w- c:\programme\Gemeinsame Dateien\updkor.sys 2009-11-09 14:27 . 2009-07-22 18:47 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\vlc 2009-11-07 17:58 . 2008-12-18 18:09 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Artogon 2009-11-04 13:40 . 2008-04-15 13:57 -------- d-----w- c:\programme\Java 2009-11-01 19:56 . 2009-07-09 13:19 -------- d-----r- c:\programme\Skype 2009-11-01 17:31 . 2008-08-21 07:35 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\PlayFirst 2009-11-01 17:31 . 2008-08-21 07:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PlayFirst 2009-10-31 08:36 . 2008-04-27 18:22 409600 ----a-w- c:\windows\system32\wrap_oal.dll 2009-10-31 08:36 . 2008-04-27 18:22 114688 ----a-w- c:\windows\system32\OpenAL32.dll 2009-10-30 17:01 . 2008-08-23 11:47 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Big Fish Games 2009-10-27 12:50 . 2009-08-26 11:04 -------- d-----w- c:\programme\Purplehills 2009-10-25 07:51 . 2006-02-28 12:00 84326 ----a-w- c:\windows\system32\perfc007.dat 2009-10-25 07:51 . 2006-02-28 12:00 458822 ----a-w- c:\windows\system32\perfh007.dat 2009-10-16 18:19 . 2008-04-09 12:56 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-10-14 11:33 . 2009-10-14 11:33 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Magic Academy 2 2009-10-11 17:58 . 2008-07-07 14:08 -------- d-----w- c:\programme\No23 Recorder 2009-10-11 03:17 . 2008-11-24 18:42 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-10-09 07:17 . 2009-10-09 07:17 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Merscom 2009-10-09 07:17 . 2009-10-09 07:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Merscom 2009-10-06 07:25 . 2009-10-06 07:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Becky Brogan 2009-10-05 18:07 . 2008-04-11 12:19 -------- d-----w- c:\programme\Canon 2009-10-03 16:58 . 2009-10-03 16:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Princess Isabella 2009-10-03 08:40 . 2009-10-03 08:39 -------- d-----w- c:\programme\DEUTSCHLAND SPIELT 2009-10-03 08:35 . 2009-10-03 08:35 -------- d-----w- c:\programme\OXXOGames 2009-09-30 07:57 . 2009-01-08 10:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alawar Stargaze 2009-09-28 11:39 . 2009-09-28 11:38 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Hidden Island Data 2009-09-28 07:57 . 2008-07-08 11:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Awem 2009-09-28 07:53 . 2008-07-08 11:38 -------- d-----w- c:\programme\bfgclient 2009-09-25 07:57 . 2009-09-25 07:57 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\V-Games 2009-09-23 17:07 . 2008-04-10 12:34 -------- d-----w- c:\programme\Google 2009-09-21 08:46 . 2009-09-21 07:04 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Babylonia 2009-09-18 07:29 . 2009-09-18 07:29 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Aisle 5 Games, Inc 2009-09-11 14:17 . 2006-02-28 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll 2009-09-10 17:34 . 2009-09-10 17:34 152576 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll 2009-09-10 17:28 . 2009-09-10 17:28 1925024 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe 2009-09-04 21:03 . 2006-02-28 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll 2009-08-29 07:54 . 2006-02-28 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2009-08-26 08:00 . 2006-02-28 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll 2008-07-07 12:09 . 2008-07-07 12:09 0 ----a-w- c:\programme\temp01 2004-03-11 11:27 . 2008-04-11 12:59 40960 ----a-w- c:\programme\Uninstall_CDS.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "ClipIncSrvTray"="c:\programme\Tobit ClipInc\Player\ClipIncTray.exe" [2009-03-16 668424] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-12 8466432] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-12 81920] "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472] "PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984] "IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368] "PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992] "BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536] "ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-07-12 1626112] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-05-10 16342528] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\User\Startmen\Programme\Autostart\ Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1996-12-13 111376] Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1996-12-13 51984] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588] phase6_18_erinnerung.lnk - c:\programme\phase6\phase6_18\WinStart\WinStart.exe [2006-5-5 49152] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Tobit ClipInc\\Server\\ClipInc-Server.exe"= "c:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\S.A.D\\RadioJack 2008\\RadioJack2008.exe"= "c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\VideoLAN\\VLC\\vlc.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.05.2009 14:44 108289] R2 ClipInc001;ClipInc 001;c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 --> c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 [?] S2 gupdate1c987035edd15ae;Google Update Service (gupdate1c987035edd15ae);c:\programme\Google\Update\GoogleUpdate.exe [04.02.2009 21:01 133104] S3 ElgTaDrv;XI420 USB System Driver;c:\windows\system32\drivers\ElgTaDrv.sys [24.09.2008 15:17 75525] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;e:\common\Database\bin\fbserver.exe [18.01.2009 16:24 1527900] S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [18.01.2009 16:25 544768] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - MBR *NewlyCreated* - PROCEXP113 *Deregistered* - mbr *Deregistered* - PROCEXP113 . Inhalt des "geplante Tasks" Ordners 2009-11-14 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-04-10 19:19] 2009-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 20:01] 2009-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 20:01] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.t-online.de/ mWindow Title = Microsoft Internet Explorer IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\jm1cwpld.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Yahoo!\BrowserPlus\2.4.17\Plugins\npybrowserplus_2.4.17.dll FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true); . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-HDD Observer - c:\programme\HDD Observer\HDD Observer.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-11-14 16:05 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-484763869-1454471165-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:23,d7,4d,a3,43,a2,cb,b9,e6,ce,8f,14,27,9a,8d,46,e8,35,70,ff,74,47,70, 51,d5,dd,f2,55,26,98,88,c9,b4,13,d3,8c,04,c6,8e,06,0d,38,ec,e6,10,33,03,f2,\ "??"=hex:63,9a,d4,37,c5,28,48,bf,c8,93,f0,4e,c6,d7,a4,ed . Zeit der Fertigstellung: 2009-11-14 16:07 ComboFix-quarantined-files.txt 2009-11-14 15:07 Vor Suchlauf: 9 Verzeichnis(se), 64.249.524.224 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 64.656.293.888 Bytes frei - - End Of File - - C62CB1ABF1491B484E65934493BA7E62
Malwarebytes:Code:Datei csrcs.exe empfangen 2009.11.14 14:48:50 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 8/41 (19.52%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit ist zwischen 61 und 87 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.14 - AhnLab-V3 5.0.0.2 2009.11.13 - AntiVir 7.9.1.65 2009.11.13 - Antiy-AVL 2.0.3.7 2009.11.13 - Authentium 5.2.0.5 2009.11.14 - Avast 4.8.1351.0 2009.11.14 AutoIt:Balero-B AVG 8.5.0.425 2009.11.14 - BitDefender 7.2 2009.11.14 - CAT-QuickHeal 10.00 2009.11.13 Win32.Packed.Klone.bj.4 ClamAV 0.94.1 2009.11.14 - Comodo 2954 2009.11.14 - DrWeb 5.0.0.12182 2009.11.14 - eSafe 7.0.17.0 2009.11.12 - eTrust-Vet 35.1.7121 2009.11.14 - F-Prot 4.5.1.85 2009.11.13 - F-Secure 9.0.15370.0 2009.11.11 - Fortinet 3.120.0.0 2009.11.14 - GData 19 2009.11.14 - Ikarus T3.1.1.74.0 2009.11.14 - Jiangmin 11.0.800 2009.11.12 - K7AntiVirus 7.10.896 2009.11.13 - Kaspersky 7.0.0.125 2009.11.14 - McAfee 5801 2009.11.13 W32/Renocide.gen McAfee+Artemis 5801 2009.11.13 W32/Renocide.gen McAfee-GW-Edition 6.8.5 2009.11.14 Heuristic.BehavesLike.Win32.Spyware.J Microsoft 1.5202 2009.11.14 - NOD32 4607 2009.11.14 - Norman 6.03.02 2009.11.14 - nProtect 2009.1.8.0 2009.11.14 - Panda 10.0.2.2 2009.11.14 - PCTools 7.0.3.5 2009.11.13 - Prevx 3.0 2009.11.14 Medium Risk Malware Rising 22.21.05.04 2009.11.14 - Sophos 4.47.0 2009.11.14 - Sunbelt 3.2.1858.2 2009.11.12 - Symantec 1.4.4.12 2009.11.14 - TheHacker 6.5.0.2.070 2009.11.14 Trojan/Autorun.gen TrendMicro 9.0.0.1003 2009.11.14 - VBA32 3.12.10.11 2009.11.13 suspected of Trojan.Autoit.ITN ViRobot 2009.11.14.2037 2009.11.14 - VirusBuster 4.6.5.0 2009.11.13 - weitere Informationen File size: 695717 bytes MD5...: d22e97ab00a26ab56c6296830dd44034 SHA1..: fb318b804e2886f1153c385778037c0f2f90e4c6 SHA256: cf030b7cf78dc7b9359895d300573067f660c7df5216fa2bab9cda68ef3a81aa ssdeep: 12288:C6SKqT31T6WpJY6V765jKqostkm3ObxajMwIts:PxqT31T6WE6I5jKqosO m+bxmNcs PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x54d3d timedatestamp.....: 0x4850e379 (Thu Jun 12 08:51:05 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x65f57 0x66000 6.69 3acda4623a0e3d29e47286c5ce656b86 .rdata 0x67000 0xe534 0xe600 5.02 f5ea2b2f886fbb9eaf7f19883bd5f07b .data 0x76000 0x16ad8 0x2a00 3.89 85ce1e4957f76b29bd9a747a6ce443cc .rsrc 0x8d000 0x21368 0x21400 4.68 2074ae8940d5bf255ef64c3f1e25d6fb ( 13 imports ) > WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW > WINMM.dll: waveOutSetVolume, mciSendStringW, timeGetTime > COMCTL32.dll: ImageList_DragMove, ImageList_EndDrag, ImageList_DragLeave, ImageList_DragEnter, ImageList_BeginDrag, ImageList_SetDragCursorImage, ImageList_Destroy, ImageList_ReplaceIcon, ImageList_Create, InitCommonControlsEx, ImageList_Remove > MPR.dll: WNetUseConnectionW, WNetGetConnectionW, WNetAddConnection2W, WNetCancelConnection2W > KERNEL32.dll: UnmapViewOfFile, OpenProcess, CreateFileMappingW, MapViewOfFile, WriteProcessMemory, ReadProcessMemory, CreateFileW, ReadFile, SetFilePointer, SetFileTime, FindResourceW, LoadResource, GetFileAttributesW, LockResource, FindFirstFileW, SizeofResource, FindClose, EnumResourceNamesW, DeleteFileW, FindNextFileW, lstrcmpiW, MoveFileW, OutputDebugStringW, CopyFileW, CreateDirectoryW, RemoveDirectoryW, TerminateProcess, SetSystemPowerState, GetLocalTime, MultiByteToWideChar, WideCharToMultiByte, CompareStringW, InterlockedIncrement, InterlockedDecrement, WriteFile, CreatePipe, GetStdHandle, InterlockedExchange, EnterCriticalSection, TerminateThread, LeaveCriticalSection, DeleteCriticalSection, GetTempPathW, GetTempFileNameW, VirtualFree, FormatMessageW, GetExitCodeProcess, GetDriveTypeW, QueryPerformanceFrequency, GetVolumeInformationW, SetVolumeLabelW, DeviceIoControl, SetErrorMode, GetPrivateProfileStringW, WritePrivateProfileStringW, GetPrivateProfileSectionW, SetFileAttributesW, WritePrivateProfileSectionW, GetShortPathNameW, GetPrivateProfileSectionNamesW, FileTimeToLocalFileTime, FileTimeToSystemTime, SystemTimeToFileTime, LocalFileTimeToFileTime, GetEnvironmentVariableW, GetFileSize, SetEnvironmentVariableW, GlobalFree, GlobalLock, GlobalUnlock, GlobalAlloc, SetProcessWorkingSetSize, GlobalMemoryStatus, Beep, GetComputerNameW, GetWindowsDirectoryW, GetSystemDirectoryW, GetCurrentProcessId, GetCurrentThread, CreateProcessW, SetPriorityClass, VirtualAlloc, LoadLibraryExW, GetModuleHandleA, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, UnhandledExceptionFilter, SetUnhandledExceptionFilter, RaiseException, GetModuleFileNameA, HeapSize, HeapReAlloc, HeapDestroy, HeapCreate, RtlUnwind, QueryPerformanceCounter, GetModuleHandleW, GetSystemInfo, GetVersionExW, GetCurrentThreadId, Sleep, WaitForSingleObject, CreateThread, DuplicateHandle, GetLastError, HeapAlloc, GetProcessHeap, HeapFree, CloseHandle, GetCurrentProcess, LoadLibraryA, GetModuleFileNameW, GetFullPathNameW, SetCurrentDirectoryW, GetConsoleCP, GetConsoleMode, SetHandleCount, GetCurrentDirectoryW, FreeLibrary, InitializeCriticalSection, GetProcAddress, LoadLibraryW, GetStartupInfoW, GetVersionExA, ExitProcess, ExitThread, GetSystemTimeAsFileTime, GetFileType, GetStartupInfoA, SetStdHandle, ResumeThread, FlushFileBuffers, LCMapStringA, LCMapStringW, GetTimeZoneInformation, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, GetTickCount, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, SetEndOfFile, CompareStringA, GetDiskFreeSpaceW, SetEnvironmentVariableA > USER32.dll: SetWindowLongW, FlashWindow, GetActiveWindow, InflateRect, CharNextW, DrawFocusRect, wsprintfW, DrawTextW, RedrawWindow, FrameRect, DrawFrameControl, FillRect, DrawMenuBar, PtInRect, DestroyMenu, SetMenu, DestroyAcceleratorTable, CreateAcceleratorTableW, GetWindowTextLengthW, SetCursor, GetWindowDC, TranslateAcceleratorW, GetSystemMetrics, IsDialogMessageW, CreateMenu, IsDlgButtonChecked, GetSysColor, DefDlgProcW, ReleaseCapture, SetCapture, SetActiveWindow, FindWindowExW, EnumThreadWindows, LoadImageW, CreateIconFromResourceEx, mouse_event, SetMenuDefaultItem, InsertMenuItemW, IsMenu, TrackPopupMenuEx, GetCursorPos, DeleteMenu, CheckMenuRadioItem, GetMenuItemID, GetMenuItemCount, IsZoomed, GetMenuItemInfoW, SetForegroundWindow, IsIconic, FindWindowW, SystemParametersInfoW, GetAsyncKeyState, SetKeyboardState, GetKeyboardState, GetKeyState, DispatchMessageW, GetDC, GetKeyboardLayoutNameA, LoadStringW, DialogBoxParamW, MessageBeep, EndDialog, SendDlgItemMessageW, GetDlgItem, SetWindowTextW, DestroyWindow, GetMenu, GetClientRect, CopyRect, EndPaint, BeginPaint, EnumWindows, GetDesktopWindow, IsWindow, IsWindowEnabled, IsWindowVisible, EnableWindow, InvalidateRect, GetWindowLongW, GetWindowThreadProcessId, AttachThreadInput, SendMessageTimeoutW, GetFocus, GetWindowTextW, ScreenToClient, EnumChildWindows, CharUpperBuffW, GetClassNameW, GetParent, GetDlgCtrlID, SendMessageW, MapVirtualKeyW, GetCaretPos, GetSubMenu, GetMenuStringW, IsCharUpperW, IsCharLowerW, IsCharAlphaNumericW, IsCharAlphaW, GetKeyboardLayoutNameW, ClientToScreen, RegisterHotKey, ReleaseDC, SetMenuItemInfoW, GetCursor, PostMessageW, GetWindowRect, MessageBoxW, GetForegroundWindow, DefWindowProcW, MoveWindow, SetFocus, PostQuitMessage, KillTimer, CreatePopupMenu, MessageBoxA, RegisterWindowMessageW, DestroyIcon, SetTimer, ShowWindow, CreateWindowExW, RegisterClassExW, LoadIconW, LoadCursorW, GetSysColorBrush, TranslateMessage, PeekMessageW, WindowFromPoint, SetClipboardData, EmptyClipboard, CountClipboardFormats, SetWindowPos, CopyImage, CloseClipboard, GetClipboardData, IsClipboardFormatAvailable, OpenClipboard, AdjustWindowRectEx, SetRect, CharLowerBuffW, GetMessageW, VkKeyScanA, LockWindowUpdate, UnregisterHotKey, keybd_event, ExitWindowsEx, CharUpperW > GDI32.dll: LineTo, AngleArc, MoveToEx, Ellipse, PolyDraw, BeginPath, SetTextColor, GetObjectW, SetBkMode, RoundRect, SetBkColor, CloseFigure, SetPixel, EndPath, StrokePath, StrokeAndFillPath, ExtCreatePen, PolyBezierTo, SetViewportOrgEx, Rectangle, CreatePen, CreateSolidBrush, CreateCompatibleBitmap, GetPixel, DeleteDC, GetDIBits, BitBlt, SelectObject, CreateDIBSection, CreateCompatibleDC, CreateFontW, GetDeviceCaps, GetTextFaceW, GetStockObject, CreateDCW, GetTextExtentPoint32W, DeleteObject > comdlg32.dll: GetSaveFileNameW, GetOpenFileNameW > ADVAPI32.dll: RegEnumValueW, RegDeleteValueW, RegDeleteKeyW, RegSetValueExW, RegCreateKeyExW, GetUserNameW, RegConnectRegistryW, RegEnumKeyExW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken, CloseServiceHandle, UnlockServiceDatabase, LockServiceDatabase, OpenSCManagerW, RegCloseKey, RegQueryValueExW, RegOpenKeyExW > SHELL32.dll: DragQueryPoint, ShellExecuteExW, DragQueryFileW, SHBrowseForFolderW, SHFileOperationW, SHGetPathFromIDListW, SHGetDesktopFolder, SHGetMalloc, ExtractIconExW, Shell_NotifyIconW, ShellExecuteW, DragFinish > ole32.dll: OleSetMenuDescriptor, MkParseDisplayName, OleSetContainedObject, CoInitialize, CoUninitialize, CoCreateInstance, CreateStreamOnHGlobal, CoTaskMemAlloc, CoTaskMemFree, IIDFromString, StringFromIID, CLSIDFromString, OleInitialize, CreateBindCtx, CLSIDFromProgID, CoInitializeSecurity, CoCreateInstanceEx, CoSetProxyBlanket, StringFromCLSID, OleUninitialize > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, - ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Windows Screen Saver (51.1%) Win32 Executable Generic (33.2%) Generic Win/DOS Executable (7.8%) DOS Executable Generic (7.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: n/a copyright....: d4g product......: n/a description..: glp original name: n/a internal name: n/a file version.: 559.892.470.982 comments.....: TREG signers......: - signing date.: - verified.....: Unsigned <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=BCA6C454A521B3E09D620A61DAB4F700A3741650' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=BCA6C454A521B3E09D620A61DAB4F700A3741650</a>
und zu guter letzt die Hijackthis file:Code:Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3169 Windows 5.1.2600 Service Pack 3 14.11.2009 16:46:57 mbam-log-2009-11-14 (16-46-51).txt Scan-Methode: Vollständiger Scan (C:\|E:\|) Durchsuchte Objekte: 190210 Laufzeit: 37 minute(s), 0 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{B8F34D2A-0F39-46ED-B507-383A41520F2A}\RP139\A0067996.sys (Rootkit.Agent) -> No action taken.
Es ist keine Fehlermeldung aufgetaucht (außer bei Combofix, wegen der Windows-Wiederherstellungskonsole. hab ich einfach ignoriert, bevor mir da wieder was installiert wird) und aktuell sind im Taskmanager keine der im ersten Post genannten Prozesse mehr zu finden.Code:Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:50:00, on 14.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wscntfy.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini" O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: phase6_18_erinnerung.lnk = C:\Programme\phase6\phase6_18\WinStart\WinStart.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207681315609 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1221293264828 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe O23 - Service: Google Update Service (gupdate1c987035edd15ae) (gupdate1c987035edd15ae) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 7400 bytes
Letzte Fragen:
Ist mein Rechner wieder clean?
und
Warum ist der Prozess csrcs.exe von dir in Verdacht genommen worden und später auch von einem Programm gelöscht worden? Der Prozess läuft auch auf meinem Laptop und ich hab immer gedacht, die Datei ist unschädlich.
Micky94
-
14.11.2009, 17:15 #4bLacK_dRaSanG
AW: Trojaner und deren Entfernung
Die b.exe wurde nicht gelöscht....
Micky94
Gehe in den Ordner" und lösche die b.exe und auch andere .exe Dateien, die einen Buchstaben habenCode:C:\Dokumente und Einstellungen\User\LOKALE Einstellungen\Temp
.
Anschließend lasse dein System mit CCleaner reinigen.
CCleaner
Ob es nun sauber ist, wird sich nach einem Neustart zeigen:
Wurde der Hijackthis-Scan nach einem Neustart erstellt? Falls nicht mache es mal und poste es wieder. Und achte darauf, ob sich wieder einige Dateien finden lassen.
Die "csrcs.exe" benutzt eine leicht falsche Schreibweise um sich als angeblicher Systemprozess zu tarnen, das ist eine gängige Methode. Auf deinen Laptop sollte die "csrss.exe" laufen, falls es auch statt einen s ein c hat, dürfte dort auch eine Infektion vorliegen.
mfg
bLacK_dRaSanG
-
14.11.2009, 17:26 #5Micky94
AW: Trojaner und deren Entfernung
Die b.exe lies sich in dem angegebenen Ordner nicht finden und auch die Suche dort ergab nichts.
Hab gerade noch mal neu gestartet, hier die File:
Mist, der Laptop ist auch infiziert^^ Ich geh da später auch mal drüber. Der Hauptrechner ist jetzt wichtiger.Code:Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:23:41, on 14.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini" O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: phase6_18_erinnerung.lnk = C:\Programme\phase6\phase6_18\WinStart\WinStart.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207681315609 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1221293264828 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe O23 - Service: Google Update Service (gupdate1c987035edd15ae) (gupdate1c987035edd15ae) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 7420 bytes
Also, was sagt die LogFile? PC clean?
Micky94
-
14.11.2009, 17:30 #6bLacK_dRaSanG
AW: Trojaner und deren Entfernung
Joa, das würde ich jetzt glatt so unterschreiben Micky94
.
Dann mal auf zum Laptop.
mfg
bLacK_dRaSanG
-
14.11.2009, 17:33 #7Micky94
AW: Trojaner und deren Entfernung
Klasse, vielen Dank für deine Hilfe Ohne dich würde ich nun dumm dastehen^^
Nur was hatte das mit der b.exe auf sich? Sie wurde nicht gelöscht, ist aber nicht vorzufinden? Fürs nächste mal wäre es interesant zu wissen warum.
Micky94
-
14.11.2009, 17:35 #8bLacK_dRaSanG
AW: Trojaner und deren Entfernung
Das weiß ich jetzt auch nicht so genau Micky94
Klasse, vielen Dank für deine Hilfe Ohne dich würde ich nun dumm dastehen^^
Nur was hatte das mit der b.exe auf sich? Sie wurde nicht gelöscht, ist aber nicht vorzufinden? Fürs nächste mal wäre es interesant zu wissen warum.
Micky94
.
Vielleicht wurde sie ja von deinem Antivirenprogramm gelöscht ^^.
mfg
bLacK_dRaSanG
Ähnliche Themen
-
Weihnachten, die PS3 und deren Preis: Hallo, stimmt es das die PS3 gen Weihnachten vom Preis her runtergesetzt werden soll, bzw das Spezialpakete ect. rauskommen werden? Wenn ja, dann... -
Entfernung / Abstand zum Fernseher: Hi. Ich weiß, es gibt schon 20000 Threads hier zum Thema: "Welcher TV ist am besten für mich geeignet". Trotzdem mach ich jetzt mal nen neuen Thread... -
Sind Emulatoren und deren Spiele legal?: Hey Leute! :D Würde gerne aufm Nintendo 64 Banjo Kazooie spielen aber hab kb mein Spiel rauszukramen und die Konsole anzuschliessen. Meine Frage... -
Entfernung zur Sensorbar?: Suche habe ich benutzt, aber nix gefunden. Falls es sowas schon gibt, schreibt es einfach und schreibt den Link rein. Mein Signal von der...
Ooooh! Ja die hab ich heut morgen in einem Pack gezogen hihi. Ich hab heut auf Twitter gelesen, dass man bei den Packs auf Wölbungen am oberen Rand,...
Pokémon Trading Card: Pocket