Ergebnis 61 bis 78 von 78
Thema: b.exe trojaner?
-
26.09.2009, 12:48 #61bLacK_dRaSanG
AW: b.exe trojaner?
Es ist mir zwar jetzt ein Rätsel, wieso die Einträge weg sind
DX-CLark
.
Aber was solls, ist dann jetzt alles wieder rein
.
mfg
bLacK_dRaSanG
-
-
26.09.2009, 13:15 #62Capt. Clark
AW: b.exe trojaner?
ok dann danke ich dir vielmals für die hilfe
eine frage hätte ich noch ich sehe gerade unter C ist ein ordner namens ProrgamData und der normale Programme ordner heißt jetzt ProgramFiles was ist das denn jetzt schon wieder?
-
26.09.2009, 13:21 #63bLacK_dRaSanG
AW: b.exe trojaner?
Solange es "ProgramData" und nicht "ProrgamData" geschrieben wird, ist es normal. Dieser Ordner wurden aus Abwärtskompatibilitätsgründen erstellt und verweist auf den richtigen Ordner DX-CLark
ok dann danke ich dir vielmals für die hilfe
eine frage hätte ich noch ich sehe gerade unter C ist ein ordner namens ProrgamData und der normale Programme ordner heißt jetzt ProgramFiles was ist das denn jetzt schon wieder?.
Genauso wie zig andere
-
26.09.2009, 13:34 #64Capt. Clark
AW: b.exe trojaner?
ja hab mich nur vertippt aber der war vorher nicht da aber ich habe ein problem ich dachte das wäre evtl durch die viren enstanden aber jetzt is ja wieder alles rein das problem ist das beim movie maker die titel und übergänge so komisch zittern und ruckeln im fertigen video werden sie nichr mal angezeigt, ich dachte vllt haben viren da schaden angerichtet wie könnte man denn diesen "schaden" wieder reparieren?
an meiner graka kanns net liegen hat vorher alles super geklappt und ich hab ne GTX 275 und zocke damit crysis mit ultra high config auf 1280*1024
das problem habe ich hier genauer beschrieben
-
18.11.2009, 03:40 #65BlindSolution
AW: b.exe trojaner?
Hi... meine Freundin hat auf ihrem Pc das gleiche Problem gehabt... allerdings mit ein paar gravierenden Unterschieden.
Sie hatte auf irgendeiner Megan-Fox Site ein XXX-Tape von ihr laden wollen (jaaa... SIE WARS NICHT ICH!) und hat sich nat. nen tj. eingefangen. msb.exe hieß das Ding... komischerweise erschienen in der windows/preftech gleichzeitig auch die a, b, c, h und G exe.
Jedoch lief bei den Prozessen im Taskmanager nur die b.exe, welche ich mit diesem threat hier schon erfolgreich entfernt habe ...
Anti-Maleware erkannte auch gleich die h.exe und löschte diese mit ...
die a,c, und g.exe waren nur in der Preftech und laufen weder als Anwendung, noch als Prozess... beim Googeln nach der G.exe wurde mir schlecht, von dem was dazu so im Netz steht.
Die Inhalte der Windows/Preftech und den Lokal/Temp Ordner hab ich gelöscht... Hijackthis und malewarebytes anti maleware zeigen auch nix an... direkt eine Datei (a,c,,g-exe) ist auch unter suchen(alle Ordnerinhalte anzeigen etc. konfiguriert) nicht mehr zu finden
ich poste hier nochmal das Hijackthis Logfile, das von Anti-maleware, falls hilfreich oder nötig kommt dann bei Nachfrage
Code:Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:34:59, on 18.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe C:\Programme\Toshiba\Toshiba Applet\thotkey.exe C:\Programme\Toshiba\Toshiba Applet\tpwrsave.exe C:\Programme\Toshiba\Toshiba Applet\TMEPROP.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Logitech\Logitech WebCam Software\LWS.exe C:\Programme\Yahoo!\Search Protection\SearchProtection.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe D:\Programme\Yahoo!\Messenger\ymsgr_tray.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Trend Micro\abc\abc.exe C:\Programme\Skype\Toolbars\Shared\SkypeNames.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [TPWRSAVE] C:\Programme\Toshiba\Toshiba Applet\tpwrsave.exe -S O4 - HKLM\..\Run: [TMEPROP] C:\Programme\Toshiba\Toshiba Applet\TMEPROP.exe -S O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\Logitech WebCam Software\LWS.exe" /hide O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Messenger (Yahoo!)] "D:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [Search Protection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\Logitech WebCam Software\eReg.exe O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239907366029 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Update Service (gupdate1ca3b979af4b990) (gupdate1ca3b979af4b990) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe -- End of file - 9551 bytes
wenn noch was gelöscht werden sollte, bitte Bescheid geben und Danke schonmal im Voraus...
Ps.: diese ganzen spinner... jetzt is auf meinem (wesentlich besseren pc) auch schon ne tj. Meldung... wir hängen an einem Router... kann sich das ausbreiten wie schweinegrippe`? Hab die Norton Firewall und avira als scanner zusätzlich... meine hijackthis logfile is (obwohl "vollerer" Pc ) viel übersichtlicher als bei meiner freundin.
Lg
BlindSolution
-
18.11.2009, 07:48 #66sprinttom
AW: b.exe trojaner?
Das Logfile sieht sauber aus.
Eine Analyse kannst Du auch hier machen lassen:
HijackThis Logfileauswertung
Einfach das Logfile in die Textbox kopieren und auf Auswerten drücken.
-
18.11.2009, 14:35 #67bLacK_dRaSanG
AW: b.exe trojaner?
Wie gesagt, ist der obere Logfile meiner Meinung nach frei von schädlichen Einträge. Die automatische Auswertung teilt sogar die Meinung mit mir BlindSolution
.
In der Tat, können sich Malware wie eine Grippe verbreiten, so das es ausreicht, dass man am selben Netz hängt oder per Speichermedium. Bestes bekanntes Beispiel war Conficker, welche ganze Einrichtungen und sogar meine Schule nicht verschonte.
Hängt aber von den Eigenschaften an. Bei einem Trojaner ist in der Regel keine automatische Verbreitungsroutine vorhanden. Es tarnt sich lediglich als Programm(-bestandteil) und hofft so auf die Weiterverbreitung per Download des Benutzers.
Am besten du postest von deinem PC mal den gemeldeten Fund. (PFAD, Dateiname).
mfg
bLacK_dRaSanG
-
18.11.2009, 22:49 #68BlindSolution
AW: b.exe trojaner?
Hi zusammen...
nochmals Danke, erstens für die schnelle Antwort und 2. für diesen Threat und die Hilfe hier im Allgemeinen!!!
Ich poste mal das Logfile von Malewarebytes und von Avira 2 heute entdeckte Trojaner.
Das Komische dabei ist halt, dass genau Einer der Beiden Tj. auch auf meinem Pc ( der wie beschrieben am selben Router hängt) entdeckt und auch gelöscht wurden... die versuchen sich wiederherzustellen, meiner Meinung nach, wie es auch im Pfad beschrieben wird:
(Pc FREUNDIN)
wie man sieht, hat anti-maleware alle gelöscht, is mir gestern im Post komischerweise entgangen... nach dem Löschen jedoch musste ich die Windows/preftech noch leeren, sowie den Temp-Ordner, wo die g.exe (von Avira gestern entdeckt und gelöscht)komischerweise noch drin war...die i.exe wurde entfernt... g.exe ist aber heute nicht mehr vorhandenCode:Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3190 Windows 5.1.2600 Service Pack 3 18.11.2009 01:50:53 mbam-log-2009-11-18 (01-50-53).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 148613 Laufzeit: 50 minute(s), 47 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 11 Infizierte Speicherprozesse: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mailblocker (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> Delete on reboot. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\e.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\h.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\QRC.exe (Adware.QUADRegClean) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\msxml71.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\a.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\c.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\d.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\f.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
Hier die Beschreibung der 2 Tj von Avira:
1.)(PC Freundin)
2.)(PC BEIDE... MEIN Logfile von Avira hab ich dummerweise gelöscht hatte avira doof eingestellt bei mir... ist aber der Selbe gewesen[TR/Dldr.Zlob.Ki]... weiss ich noch genau, weil ich das "Zyklopen-Ki" genannt hab... falls ich den nochmals finde, poste ich hier natürlich sofort auch den Pfad [weiss leider nicht, obs genau der Selbe Pfad war, wie bei meinem Schatzi...sry] )Code:Die Datei 'C:\System Volume Information\_restore{08DDB516-82A8-4CD4-A967-59E4A1150F03}\RP71\A0046490.dll' enthielt einen Virus oder unerwünschtes Programm 'TR/BHO.abx' [trojan]. Durchgeführte Aktion(en): Eine Sicherungskopie wurde unter dem Namen 4b345bf9.qua erstellt ( QUARANTÄNE ). Die Datei wurde gelöscht.
Desweitern Poste ich mal den "Werdegang" mit folgendem Tj bei Avira... dabei bitte aufs Datum achten!... irgendwo muss der noch versteckt sein(vllt. auf dem Router?)
auf Pc von Freundin:
17.11.09-22.30Uhr bis 22.35Vorgang 8 bis 10 mal wiederholt:
17.11.09-22.37UhrCode:In der Datei 'C:\WINDOWS\msb.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.KI' [trojan] gefunden. Ausgeführte Aktion: Datei löschen
17.11.09-22.40UhrCode:In der Datei 'C:\WINDOWS\msa.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.KI' [trojan] gefunden. Ausgeführte Aktion: Datei löschen
Code:Die Datei 'C:\WINDOWS\msb.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.KI' [trojan]. Durchgeführte Aktion(en): Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003. Die Datei konnte nicht gelöscht werden! Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0ebfb0.qua' verschoben!
18.11.09-02.01 Uhr
...Code:In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\i.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.KI' [trojan] gefunden. Ausgeführte Aktion: Datei löschen
bis zum hijackthis und anti-maleware Prozedere wurde der Zugriff auf alle diese Dateien verweigert und sie konnten nicht gelöscht werden
jetzt nach hijackthis und Anti-Maleware Porzedere:
18.11.09-21.11Uhr
sollte ich nach dieser Datei manuell suchen und bei Fund versuchen, sie zu löschen? eine Meldung "zugriff verweigert" kam beim entfernen mit Avira diesmal nicht...?Code:Die Datei 'C:\System Volume Information\_restore{08DDB516-82A8-4CD4-A967-59E4A1150F03}\RP71\A0046491.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.KI' [trojan]. Durchgeführte Aktion(en): Eine Sicherungskopie wurde unter dem Namen 4a44f71a.qua erstellt ( QUARANTÄNE ). Die Datei wurde gelöscht.
Auf meinem Pc konnte sie sofort gelöscht werden ...
-----------------------------------------------------------------------------------------------------------------------------
Zusätzlich hab ich noch diese hier von meinem Pc gelöscht:
1.) (mein Pc)
2.) (Mein Pc)Code:Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3191 Windows 5.1.2600 Service Pack 3 18.11.2009 01:01:25 mbam-log-2009-11-18 (01-01-25).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 96795 Laufzeit: 3 minute(s), 17 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\Programme\Live_TV\tbLive.dll (Trojan.Agent) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Live_TV (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Live_TV (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\Live_TV (Trojan.Agent) -> Delete on reboot. Infizierte Dateien: C:\Programme\Live_TV\tbLive.dll (Trojan.Agent) -> Delete on reboot. C:\Dokumente und Einstellungen\ZuKi\Desktop\Setup_ClearProg_1.6.0_Final.exe (Trojan.Clicker) -> Quarantined and deleted successfully. C:\Programme\Live_TV\INSTALL.LOG (Trojan.Agent) -> Quarantined and deleted successfully. C:\Programme\Live_TV\toolbar.cfg (Trojan.Agent) -> Quarantined and deleted successfully. C:\Programme\Live_TV\UNWISE.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
19.11.09-0.58UhrCode:In der Datei 'C:\System Volume Information\_restore{92D3991F-E60D-4B75-8B4D-01AE7AF8F8C4}\RP249\A0083857.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen
Dieses Trash.Gen wurde ja gelöscht, versucht aber, zu restoren:
... jetzt kann ich nicht mehr auf den Ordner"System Volume Inormation" zugreifen, bzw. wird der Zugriff verweigert, da ich mir dachte, die Datei einfach rauszulöschenCode:In der Datei 'C:\System Volume Information\_restore{92D3991F-E60D-4B75-8B4D-01AE7AF8F8C4}\RP249\A0083859.EXE' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern
Beim Avira Guard kann ich (freeware-Version) nix umstellen, dummerweise... das "Zugriff verweigern", ist das gut oder schlecht?
Hier noch meine Hijack-Logfile von kurz danach
hoffentlich is die gesund... die Auswertung sagt ja, aber da sich dieses verdammte "Trash.Gen" nu wieder zu Wort gemeldet hat (vom "Zyklopen Tr/Dldr.Zlob.Kl war nix mehr bis jetzt) muss ja irgendwo moch ein Rest übrig sein...Code:Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:36:19, on 19.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\Dit.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\libusbd-nt.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe c:\programme\avira\antivir desktop\avcenter.exe c:\programme\avira\antivir desktop\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\abc\abcdefg.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.21.0.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe -- End of file - 10106 bytes
Ne ganze Menge, wa?
Lg und Danke vielmals
BlindSolution
Ps.: Ist es möglich, den von avira gefundenen (auf BEIDEN PC´s) wegzubekommen, falls sie sich wieder versuchen wiederherzustellen?
Noch was: Hijackthis hatte gestern NUR die b.exe gefunden alle anderen im Logfile von Anti-Maleware hat selbiges Programm quarantäniert und gelöscht g-und i-.exe hatte avira erkannt und entfernt, nachdem die b.exe weg war ... natürlich hatte ich die Logfileauswertung auf Hijackthis.de gemacht und schon so einiges andere gefixed, was meiner Meinung nach überflüssig war... Combofix kann ich leider nicht installieren, sonst würd ich das nochmal drüberlaufen lassen...
LG
-
19.11.2009, 14:56 #69bLacK_dRaSanG
AW: b.exe trojaner?
Möglich die Trojaner zu löschen ist es sicherlich. Das Prozesse wiederhergestellt werden zeugen noch von einem im Hintergrund aktiven Prozess.
Allerdings sind einige Funde auch unerheblich gewesen:
Code:In der Datei 'C:\System Volume Information\_restore{92D3991F-E60D-4B75-8B4D-01AE7AF8F8C4}\RP249\A0083859.EXE' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigernCode:In der Datei 'C:\System Volume Information\_restore{92D3991F-E60D-4B75-8B4D-01AE7AF8F8C4}\RP249\A0083857.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschenCode:Die Datei 'C:\System Volume Information\_restore{08DDB516-82A8-4CD4-A967-59E4A1150F03}\RP71\A0046491.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.KI' [trojan]. Durchgeführte Aktion(en): Eine Sicherungskopie wurde unter dem Namen 4a44f71a.qua erstellt ( QUARANTÄNE ). Die Datei wurde gelöscht.Code:Die Datei 'C:\System Volume Information\_restore{08DDB516-82A8-4CD4-A967-59E4A1150F03}\RP71\A0046490.dll' enthielt einen Virus oder unerwünschtes Programm 'TR/BHO.abx' [trojan]. Durchgeführte Aktion(en): Eine Sicherungskopie wurde unter dem Namen 4b345bf9.qua erstellt ( QUARANTÄNE ). Die Datei wurde gelöscht.Diese befinden sich allesamt in der Systemwiederherstellung.Code:Die Datei 'C:\System Volume Information\_restore{08DDB516-82A8-4CD4-A967-59E4A1150F03}\RP71\A0046491.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.KI' [trojan]. Durchgeführte Aktion(en): Eine Sicherungskopie wurde unter dem Namen 4a44f71a.qua erstellt ( QUARANTÄNE ). Die Datei wurde gelöscht.
Daher sollte die Systemwiederherstellung deaktiviert werden, so werden die Wiederherstellungspunkte gelöscht (die ohne hin kompromittiert sind). Auch in weiteren Verlauf der Reinigung sollte sie deaktiviert bleiben.
Systemwiederherstellung deaktivieren - Virenschutz-Tutorials
Der Zugriff auf den Order "System Volume Information" ist normalerweise auch verweigert.
---------------------------------------------
Ansonsten leistet du gute Vorarbeit, obwohl mich die Flut an Informationen und das noch von unterschiedlichen Systeme schon verwirren.
Wieso kannst du den Combofix nicht installieren?
---------------------------------------------
Am besten ihr scannt mit einen geupdaten Malwarebytes (und AntiVir) im Abgesicherten Modus. (F8 beim Startvorgang des PCs drücken)
Und lässt danach die Programme nach Anleitung durchlaufen:
GMER
Combofix (falls möglich)
Poste von Malwarebytes, Antivir, GMER und Combofix die Logs von euren System wieder hier rein. Und anschließend natürlich noch ein neues Hijackthis-Logfile.
Macht dann alles zusammen 10 Logs.
Du kannst sie auch schrittweise Posten.
mfg
bLacK_dRaSanG
-
19.11.2009, 15:53 #70BlindSolution
AW: b.exe trojaner?
heyhey
Danke da bin ich ja erstmal beruhigt...
Die Systemwiederherstellung hab ich BEI MIR gestern Nacht schon deaktiviert, neugestartet, wieder aktiviert und siehe da... keine Mekdung mehr von Avira bei mir!!! Danke !
Bei meinem Schatzi muss ich das noch machen ...
Wenn ich Combofix installieren will (Link oder über Google Suche) kommt bei der Installation eine Fehlermeldung die so in etwa lautet;
Combofixblabla[1] konnte nicht installiert werden Bitte wählen sie ein anderes Verzeichnis... kann ich aber leider irgendwie nicht...
Ich lasse dann noch gmer und alle anderen im abgesicherten Modus drüberlaufen und poste hier dann die Logfiles rein... selbiges mach ich dann noch von meiner Freundin aus in einer separaten Antwort (dachte schon, dass mein letzter post vielleicht ein wenig umfangreich war
...)
So nu mach ich mich ran Thx nochmal für die Hilfe und dass du/ihr euch Zeit nehmt für sowas... Format C wäre ne halbe Katastrophe, da ich ne Menge auf dem Rechner hab, das ich nicht wiederbekommen könnte
LG
Blind Solution
-
19.11.2009, 16:04 #71bLacK_dRaSanG
AW: b.exe trojaner?
Nice BlindSolution
heyhey
Danke da bin ich ja erstmal beruhigt...
Die Systemwiederherstellung hab ich BEI MIR gestern Nacht schon deaktiviert, neugestartet, wieder aktiviert und siehe da... keine Mekdung mehr von Avira bei mir!!! Danke !
Bei meinem Schatzi muss ich das noch machen ...
Wenn ich Combofix installieren will (Link oder über Google Suche) kommt bei der Installation eine Fehlermeldung die so in etwa lautet;
Combofixblabla[1] konnte nicht installiert werden Bitte wählen sie ein anderes Verzeichnis... kann ich aber leider irgendwie nicht...
Ich lasse dann noch gmer und alle anderen im abgesicherten Modus drüberlaufen und poste hier dann die Logfiles rein... selbiges mach ich dann noch von meiner Freundin aus in einer separaten Antwort (dachte schon, dass mein letzter post vielleicht ein wenig umfangreich war...)
So nu mach ich mich ran Thx nochmal für die Hilfe und dass du/ihr euch Zeit nehmt für sowas... Format C wäre ne halbe Katastrophe, da ich ne Menge auf dem Rechner hab, das ich nicht wiederbekommen könnte
LG
Blind Solution.
Combofix bei deiner Freundin funktionierte aber oder?
Zu der Fehlermeldung, bist du als Admin angemeldet?
mfg
bLacK_dRaSanG
-
19.11.2009, 17:23 #72BlindSolution
AW: b.exe trojaner?
Ja ich bin Admin...
combofix funktionierte sowohl bei meiner Freundin, als auch bei mir noch nicht... jedenfalls, bis ich das Grobe runter hatte
konnte es aber dank deines Links doch noch installieren und lasse jetzt alles dann im abgesicherten Mod. noch durchlaufen... heut nacht (wenn alles fertig ist) poste ich dann noch die Log´s
wie gesagt, bei meiner Süßen hab ich die Systemwiederherstellung noch net deaktiviert gehabt... gerade geschehen und ich lass jetzt mal alles drüberlaufen... bei gmer muss ich mich noch reinwurschteln... wird aber
Lieben Dank nochmals...
Blind Solution
Ps.: Muss alles doch wohl 2 mal laufen lassen, da die Systemwiederherstellung ja aktiviert gewesen ist... ein mal um den Rest noch runterzulöschen und dann im abgesicherten Modus zur Kontrolle... hab ich doch richtig verstanden, oder ?
So LG
-
19.11.2009, 17:28 #73bLacK_dRaSanG
AW: b.exe trojaner?
Nein, einmal die genannten Programme im Abgesicherten Modus zu benutzen, sollte ausreichen, falls was gefunden wurde, wird es ja noch gelöscht. BlindSolution
Ja ich bin Admin...
combofix funktionierte sowohl bei meiner Freundin, als auch bei mir noch nicht... jedenfalls, bis ich das Grobe runter hatte
konnte es aber dank deines Links doch noch installieren und lasse jetzt alles dann im abgesicherten Mod. noch durchlaufen... heut nacht (wenn alles fertig ist) poste ich dann noch die Log´s
wie gesagt, bei meiner Süßen hab ich die Systemwiederherstellung noch net deaktiviert gehabt... gerade geschehen und ich lass jetzt mal alles drüberlaufen... bei gmer muss ich mich noch reinwurschteln... wird aber
Lieben Dank nochmals...
Blind Solution
Ps.: Muss alles doch wohl 2 mal laufen lassen, da die Systemwiederherstellung ja aktiviert gewesen ist... ein mal um den Rest noch runterzulöschen und dann im abgesicherten Modus zur Kontrolle... hab ich doch richtig verstanden, oder ?
So LG
Wobei Combofix im Normalen Modus benutzt werden sollte.
mfg
bLacK_dRaSanG
-
20.11.2009, 00:41 #74BlindSolution
AW: b.exe trojaner?
Hi... so hab nun alles bei meiner Freundin durchlaufen lassen. Die Logs von meinem Rechner poste ich dann separat...
kann man jetzt die Systemwiederherstellung wieder aktivieren`?
hier die Logfiles:
Malewarebytes Anti-Maleware:
Avira:Code:Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3190 Windows 5.1.2600 Service Pack 3 (Safe Mode) 19.11.2009 18:42:24 mbam-log-2009-11-19 (18-42-24).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 150545 Laufzeit: 50 minute(s), 14 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden)
Combofix:Code:Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 19. November 2009 18:43 Es wird nach 1916411 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Abgesicherter Modus Benutzername : Administrator Computername : TECRA Versionsinformationen: BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 13:36:08 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 09:21:42 ANTIVIR2.VDF : 7.1.6.222 5998592 Bytes 11.11.2009 01:39:06 ANTIVIR3.VDF : 7.1.6.251 292352 Bytes 18.11.2009 21:33:12 Engineversion : 8.2.1.70 AEVDF.DLL : 8.1.1.2 106867 Bytes 03.11.2009 22:26:01 AESCRIPT.DLL : 8.1.2.45 586108 Bytes 17.11.2009 21:33:26 AESCN.DLL : 8.1.2.5 127346 Bytes 03.11.2009 22:25:58 AERDL.DLL : 8.1.3.2 479604 Bytes 03.11.2009 22:25:57 AEPACK.DLL : 8.2.0.3 422261 Bytes 05.11.2009 22:31:55 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:39 AEHEUR.DLL : 8.1.0.180 2093432 Bytes 07.11.2009 14:43:45 AEHELP.DLL : 8.1.7.4 237943 Bytes 17.11.2009 21:33:24 AEGEN.DLL : 8.1.1.74 364917 Bytes 14.11.2009 01:40:01 AEEMU.DLL : 8.1.1.0 393587 Bytes 03.11.2009 22:25:32 AECORE.DLL : 8.1.8.2 184694 Bytes 05.11.2009 22:29:55 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 04.11.2009 22:11:28 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 10:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: löschen Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Donnerstag, 19. November 2009 18:43 Der Suchlauf nach versteckten Objekten wird begonnen. Der Treiber konnte nicht initialisiert werden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '12' Prozesse mit '12' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '63' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Beginne mit der Suche in 'D:\' Ende des Suchlaufs: Donnerstag, 19. November 2009 20:13 Benötigte Zeit: 1:29:16 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 5221 Verzeichnisse wurden überprüft 229336 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 229335 Dateien ohne Befall 7303 Archive wurden durchsucht 1 Warnungen 1 Hinweise
gmer(Maleware und Rootkit Log):Code:ComboFix 09-11-19.05 - Administrator 20.11.2009 0:56.2.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.213 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Eigene Dateien\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\TEMP\logishrd\LVPrcInj01.dll . ((((((((((((((((((((((( Dateien erstellt von 2009-10-20 bis 2009-11-20 )))))))))))))))))))))))))))))) . 2009-11-19 23:29 . 2009-11-19 23:29 -------- d-----w- c:\programme\HDCleaner 2009-11-19 22:59 . 2009-11-19 22:59 -------- d-----w- C:\Inetpub 2009-11-19 21:35 . 2009-11-19 21:35 87297 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\de\classic-nt\rctext.dll 2009-11-18 22:45 . 2009-11-18 22:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2009-11-17 23:47 . 2009-11-17 23:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-11-17 23:47 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-11-17 23:47 . 2009-11-17 23:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-11-17 23:47 . 2009-11-17 23:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-17 23:47 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-11-17 23:23 . 2009-11-17 23:24 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Notepad++ 2009-11-17 23:23 . 2009-11-17 23:24 -------- d-----w- c:\programme\Notepad++ 2009-11-17 22:46 . 2009-11-17 22:46 -------- d-----w- c:\programme\Trend Micro 2009-11-17 21:36 . 2009-11-17 21:36 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2009-11-17 21:36 . 2009-11-17 21:36 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache 2009-11-17 04:38 . 2008-04-13 19:45 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys 2009-11-17 04:38 . 2008-04-13 19:45 60032 ----a-w- c:\windows\system32\dllcache\usbaudio.sys 2009-11-15 20:33 . 2009-11-15 20:33 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Canneverbe_Limited 2009-11-15 20:33 . 2009-11-15 20:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited 2009-11-15 20:33 . 2009-09-28 19:57 7168 ----a-w- c:\windows\system32\drivers\StarOpen.sys 2009-11-15 15:51 . 2009-11-15 20:17 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc 2009-11-15 15:35 . 2009-11-15 20:15 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DivX 2009-11-12 20:47 . 2009-11-12 20:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PDF Software 2009-11-11 18:01 . 2009-11-11 18:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus! 2009-11-08 13:50 . 2009-11-11 18:51 -------- d-----w- c:\programme\Microsoft CAPICOM 2.1.0.2 2009-11-06 17:12 . 2009-11-06 17:12 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\LogiShrd 2009-11-06 17:11 . 2009-11-06 17:11 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Leadertech 2009-11-06 17:10 . 2009-11-10 22:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd 2009-11-06 17:10 . 2009-11-08 15:03 -------- d-----w- c:\programme\Logitech 2009-11-06 17:07 . 2008-04-13 19:39 5504 ----a-w- c:\windows\system32\drivers\MSTEE.sys 2009-11-06 17:07 . 2008-04-13 19:39 5504 ----a-w- c:\windows\system32\dllcache\mstee.sys 2009-11-06 17:06 . 2008-04-13 19:46 10880 ----a-w- c:\windows\system32\drivers\NdisIP.sys 2009-11-06 17:06 . 2008-04-13 19:46 10880 ----a-w- c:\windows\system32\dllcache\ndisip.sys 2009-11-06 17:06 . 2008-04-13 19:46 15232 ----a-w- c:\windows\system32\drivers\StreamIP.sys 2009-11-06 17:06 . 2008-04-13 19:46 15232 ----a-w- c:\windows\system32\dllcache\streamip.sys 2009-11-06 17:06 . 2008-04-13 19:46 11136 ----a-w- c:\windows\system32\drivers\SLIP.sys 2009-11-06 17:06 . 2008-04-13 19:46 11136 ----a-w- c:\windows\system32\dllcache\slip.sys 2009-11-06 17:06 . 2008-04-13 19:46 19200 ----a-w- c:\windows\system32\drivers\WSTCODEC.SYS 2009-11-06 17:06 . 2008-04-13 19:46 19200 ----a-w- c:\windows\system32\dllcache\wstcodec.sys 2009-11-06 17:06 . 2008-04-13 19:46 85248 ----a-w- c:\windows\system32\drivers\NABTSFEC.sys 2009-11-06 17:06 . 2008-04-13 19:46 85248 ----a-w- c:\windows\system32\dllcache\nabtsfec.sys 2009-11-06 17:06 . 2008-04-13 19:46 17024 ----a-w- c:\windows\system32\drivers\CCDECODE.sys 2009-11-06 17:06 . 2008-04-13 19:46 17024 ----a-w- c:\windows\system32\dllcache\ccdecode.sys 2009-11-06 17:05 . 2009-11-17 22:21 -------- d-----w- c:\programme\Gemeinsame Dateien\logishrd 2009-11-06 17:05 . 2008-04-14 03:22 54272 ----a-w- c:\windows\system32\vfwwdm32.dll 2009-11-06 17:05 . 2008-04-14 03:22 54272 ----a-w- c:\windows\system32\dllcache\vfwwdm32.dll 2009-11-03 22:32 . 2009-11-03 22:32 152576 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll 2009-11-03 21:53 . 2009-07-28 15:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-03 21:53 . 2009-03-30 09:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-11-03 21:53 . 2009-02-13 11:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-11-03 21:53 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-11-03 21:53 . 2009-11-03 21:53 -------- d-----w- c:\programme\Avira 2009-11-03 21:53 . 2009-11-03 21:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-10-31 22:15 . 2009-10-31 22:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee 2009-10-31 22:12 . 2009-10-31 22:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan 2009-10-31 22:12 . 2009-10-31 22:12 -------- d-----w- c:\programme\McAfee Security Scan . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-19 16:13 . 2009-09-24 01:30 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype 2009-11-19 16:11 . 2009-09-24 01:33 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM 2009-11-18 22:45 . 2009-09-24 01:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-11-14 21:50 . 2009-08-19 17:16 138936 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-11-14 21:47 . 2009-08-19 17:14 214504 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-11-11 11:10 . 2009-11-08 13:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion 2009-11-11 09:37 . 2009-11-08 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! 2009-11-11 09:36 . 2009-11-11 09:35 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Yahoo! 2009-11-11 09:35 . 2009-11-08 13:53 -------- d-----w- c:\programme\Yahoo! 2009-11-11 09:18 . 2009-11-11 09:18 -------- d-----w- c:\programme\Windows Live 2009-11-11 09:18 . 2009-11-09 21:30 -------- d-----w- c:\programme\Windows live(2) 2009-11-11 09:18 . 2009-11-11 09:18 -------- d-----w- c:\programme\Windows Live SkyDrive 2009-11-04 23:13 . 2009-09-29 02:12 -------- d-----w- c:\programme\PokerStars.NET 2009-11-03 22:36 . 2009-09-17 16:41 -------- d-----w- c:\programme\Java 2009-10-31 22:05 . 2003-03-12 04:24 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-10-31 15:14 . 2003-03-12 08:03 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-10-26 16:52 . 1979-12-31 22:00 80654 ----a-w- c:\windows\system32\perfc007.dat 2009-10-26 16:52 . 1979-12-31 22:00 449376 ----a-w- c:\windows\system32\perfh007.dat 2009-10-19 17:41 . 2009-10-19 17:41 21840 ----a-w- c:\windows\system32\SIntfNT.dll 2009-10-19 17:41 . 2009-10-19 17:41 17212 ----a-w- c:\windows\system32\SIntf32.dll 2009-10-19 17:41 . 2009-10-19 17:41 12067 ----a-w- c:\windows\system32\SIntf16.dll 2009-10-19 17:39 . 2009-10-19 17:39 2829 ----a-w- c:\windows\DIIUnin.pif 2009-10-19 17:39 . 2009-10-19 17:39 102400 ----a-w- c:\windows\DIIUnin.exe 2009-10-17 16:10 . 2009-10-02 12:03 -------- d-----w- c:\programme\Full Tilt Poker 2009-10-14 12:41 . 2009-10-14 12:41 322392 ----a-w- c:\windows\system32\wiaaut.dll 2009-10-14 12:40 . 2009-10-14 12:40 296280 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd\LQCVFX\Filters\VMSEF.dll 2009-10-14 12:37 . 2009-10-14 12:37 6781272 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd\LQCVFX\Filters\MMSEF.dll 2009-10-11 03:17 . 2009-09-17 16:41 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-10-07 00:46 . 2009-10-07 00:46 25752 ----a-w- c:\windows\system32\drivers\LVPr2Mon.sys 2009-10-07 00:25 . 2009-10-07 00:25 85302 ----a-w- c:\windows\system32\drivers\LVFeL102.cfg 2009-10-07 00:25 . 2009-10-07 00:25 69592 ----a-w- c:\windows\system32\drivers\LVFaL100.cfg 2009-10-07 00:25 . 2009-10-07 00:25 227172 ----a-w- c:\windows\system32\drivers\LVFeL100.cfg 2009-10-07 00:25 . 2009-10-07 00:25 146680 ----a-w- c:\windows\system32\drivers\LVFeL101.cfg 2009-10-07 00:23 . 2009-10-07 00:23 13584 ----a-w- c:\windows\system32\drivers\iKeyLFT2.dll 2009-10-01 21:23 . 2009-10-01 21:23 107888 ----a-w- c:\windows\system32\CmdLineExt.dll 2009-09-24 01:33 . 2009-09-24 01:33 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2009-09-22 15:19 . 2009-09-10 15:55 -------- d-----w- c:\programme\Google 2009-09-22 15:16 . 2009-09-22 15:15 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-09-17 16:40 . 2009-09-17 16:40 152576 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll 2009-09-15 18:40 . 2009-09-15 18:40 16 ----a-w- c:\windows\popcinfo.dat 2009-09-11 14:17 . 1979-12-31 22:00 136192 ----a-w- c:\windows\system32\msv1_0.dll 2009-09-04 21:03 . 1979-12-31 22:00 58880 ----a-w- c:\windows\system32\msasn1.dll 2009-08-29 07:54 . 1979-12-31 22:00 916480 ------w- c:\windows\system32\wininet.dll 2009-08-26 08:00 . 1979-12-31 22:00 247326 ----a-w- c:\windows\system32\strmdll.dll . ------- Sigcheck ------- [-] 2008-04-14 . AD37DF3FB8F168E42C09B77B487F6812 . 552448 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe [-] 2008-04-14 . AD37DF3FB8F168E42C09B77B487F6812 . 552448 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe [7] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\VistaMizer\old\winlogon.exe [7] 2004-08-04 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe [-] 2008-04-14 . F162D52EC8FEF363659AA6C667CE6989 . 724992 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll [-] 2008-04-14 . F162D52EC8FEF363659AA6C667CE6989 . 724992 . . [5.82] . . c:\windows\system32\comctl32.dll [7] 2008-04-14 . AD28671D1B83A386B070DC451A113C13 . 617472 . . [5.82] . . c:\windows\VistaMizer\old\comctl32.dll [-] 2006-08-25 . EE82D1393169AC6BDF6016F4EA8D2B79 . 617472 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll [7] 2004-08-04 . 2CF914215226B3F7FA1AE4A47E4D261C . 611328 . . [5.82] . . c:\windows\$NtUninstallKB923191$\comctl32.dll [-] 2008-04-14 . BF517C3FA60065DF6D97744648602957 . 589312 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll [-] 2008-04-14 . BF517C3FA60065DF6D97744648602957 . 589312 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll [7] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\VistaMizer\old\user32.dll [-] 2005-03-02 . 4C90159A69A5FD3EB39C71411F28FCFF . 578560 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll [-] 2005-03-02 . 3751D7CF0E0A113D84414992146BCE6A . 578560 . . [5.1.2600.2622] . . c:\windows\$NtServicePackUninstall$\user32.dll [7] 2004-08-04 . 56785FD5236D7B22CF471A6DA9DB46D8 . 578560 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB890859$\user32.dll [-] 2008-04-14 . E36DF1443AC667E81FC1764DC3AD763E . 1555456 . . [6.00.2900.5512] . . c:\windows\explorer.exe [-] 2008-04-14 . E36DF1443AC667E81FC1764DC3AD763E . 1555456 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe [7] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\VistaMizer\old\explorer.exe [7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\explorer.exe [-] 2008-04-14 . 7270F0B822CB67F0C32BEF7FB00CA4D4 . 25088 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe [-] 2008-04-14 . 7270F0B822CB67F0C32BEF7FB00CA4D4 . 25088 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe [7] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\VistaMizer\old\ctfmon.exe [7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe . ((((((((((((((((((((((((((((( SnapShot@2009-11-19_21.52.54 ))))))))))))))))))))))))))))))))))))))))) . + 2009-11-20 00:06 . 2009-11-20 00:06 16384 c:\windows\temp\Perflib_Perfdata_220.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Search Protection"="c:\programme\Yahoo!\Search Protection\SearchProtection.exe" [2009-02-23 111856] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-10 39408] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1832448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2002-12-25 159744] "DpUtil"="c:\programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2003-02-13 180224] "THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2003-03-15 286720] "TPWRSAVE"="c:\programme\Toshiba\Toshiba Applet\tpwrsave.exe" [2003-03-16 983040] "TMEPROP"="c:\programme\Toshiba\Toshiba Applet\TMEPROP.exe" [2003-03-18 204800] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280] "LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304] "YSearchProtection"="c:\programme\Yahoo!\Search Protection\SearchProtection.exe" [2009-02-23 111856] "Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] "ATIPTA"="atiptaxx.exe" - c:\windows\system32\atiptaxx.exe [2005-11-23 344064] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 25088] c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2009-10-14 517384] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Thoosje Sidebar.lnk] path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\Thoosje Sidebar.lnk backup=c:\windows\pss\Thoosje Sidebar.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan.lnk backup=c:\windows\pss\McAfee Security Scan.lnkCommon Startup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "d:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"= "c:\\Programme\\Logitech\\Logitech Vid\\Vid.exe"= "d:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "d:\\Programme\\Microsoft Games\\Dungeon Siege\\DungeonSiege.exe"= "c:\\WINDOWS\\system32\\dpnsvr.exe"= "d:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "d:\\Programme\\Skype\\Phone\\Skype.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.11.2009 22:53 108289] R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [14.08.2009 15:49 54752] R3 ENE;ENE;c:\windows\system32\drivers\EMCR7SK.sys [11.03.2003 14:59 75520] S2 gupdate1ca3b979af4b990;Google Update Service (gupdate1ca3b979af4b990);c:\programme\Google\Update\GoogleUpdate.exe [22.09.2009 16:15 133104] S3 fsssvc;Windows Live Family Safety-Dienst;c:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 21:48 704864] S3 SCR24x PCMCIA Smart Card Reader;SCR24x PCMCIA Smart Card Reader;c:\windows\system32\drivers\SCR24X.sys [09.03.2005 00:20 35229] S3 wlags48b;Wireless LAN PCCard Driver;c:\windows\system32\drivers\wlags48b.sys [12.03.2003 08:25 156672] . Inhalt des "geplante Tasks" Ordners 2009-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-09-22 15:15] 2009-11-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-09-22 15:15] . . ------- Zusätzlicher Suchlauf ------- . mStart Page = hxxp://de.yahoo.com uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-11-20 01:08 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1910750727-1391195153-1723340315-500\Software\Microsoft\Internet Explorer\User Preferences] @Denied: (2) (Administrator) "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,82,5d,5a,ac,5d,73,ac,4c,82,c9,88,\ "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,82,5d,5a,ac,5d,73,ac,4c,82,c9,88,\ "6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,82,5d,5a,ac,5d,73,ac,4c,82,c9,88,\ [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\0*2*ú%åw] "DisplayName"="" "DeviceDesc"="" "ProviderName"="00" "MFG"="???????????" "ReinstallString"="???\16?\13\09" "DeviceInstanceIds"=multi:" 10 wxp-w2k cd1\\display driver\\driver\\2kxp_inf\\cx_07920.inf\00" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(704) c:\windows\system32\SETUPAPI.dll c:\windows\system32\sfc_os.dll c:\windows\system32\Ati2evxx.dll c:\windows\system32\COMRes.dll c:\windows\system32\cscui.dll - - - - - - - > 'lsass.exe'(760) c:\windows\system32\wdigest.dll c:\windows\system32\SETUPAPI.dll c:\windows\system32\psbase.dll - - - - - - - > 'explorer.exe'(3504) c:\windows\system32\SHDOCVW.dll c:\windows\system32\COMRes.dll c:\windows\System32\cscui.dll c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\LINKINFO.dll c:\windows\system32\ntshrui.dll c:\windows\system32\SETUPAPI.dll c:\windows\system32\NETSHELL.dll c:\windows\system32\credui.dll c:\windows\system32\MSVCP60.dll c:\windows\system32\webcheck.dll c:\windows\system32\stobject.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\System32\SCardSvr.exe c:\windows\system32\Ati2evxx.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\PnkBstrB.exe c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\programme\Analog Devices\SoundMAX\SMAgent.exe c:\programme\Yahoo!\SoftwareUpdate\YahooAUService.exe c:\windows\System32\wbem\wmiapsrv.exe c:\programme\Apoint2K\Apntex.exe c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-11-20 01:18 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-11-20 00:18 ComboFix2.txt 2009-11-19 21:57 Vor Suchlauf: 6.399.176.192 Bytes frei Nach Suchlauf: 6.376.102.400 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn - - End Of File - - D26449E945E6D6D6EBFB73F6FD1FC44A
und das abschließendeHijackthis-Logfile:Code:GMER 1.0.15.15227 - http://www.gmer.net Rootkit scan 2009-11-19 23:46:41 Windows 5.1.2600 Service Pack 3 Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uxtdipob.sys ---- System - GMER 1.0.15 ---- Code \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- ? C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ---- EOF - GMER 1.0.15 ----
Code:Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:49:00, on 19.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\abc\abc.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [TPWRSAVE] C:\Programme\Toshiba\Toshiba Applet\tpwrsave.exe -S O4 - HKLM\..\Run: [TMEPROP] C:\Programme\Toshiba\Toshiba Applet\TMEPROP.exe -S O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\Logitech WebCam Software\LWS.exe" /hide O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [Search Protection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\Logitech WebCam Software\eReg.exe O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239907366029 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Update Service (gupdate1ca3b979af4b990) (gupdate1ca3b979af4b990) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe -- End of file - 7375 bytes
So das waren jetzt die Logs von meinem Schatz... meine folgen dann bald
... subjektiv gesehen läuft der pc jetzt auch schneller...
Vielen vielen Dank immer wieder für den netten Support
LG
BlindSolution(Alex)
-
20.11.2009, 07:10 #75BlindSolution
AW: b.exe trojaner?
HeyHey...gäääähn
Hier die Logs aus meinem Rechner
meine Fresse hat das lang gedauert...
Bei Anti-Maleware lass ich nochmal durchlaufen, da in der Log, wie du weiter unten sehen kannst, was gefunden wurde, ich jedoch versäumt habe, zu löschen...
Anti Vir hat zwischendurch noch nen Virus entfernt, obwohl der Guard deaktiviert war... n bissl komisch, soll mir aber recht sein...
hier die Logs:
Malewarebyte´s Anti-Maleware:
... komische, meine, das gelöscht zu haben... aber sicher ist sicher...Code:Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3191 Windows 5.1.2600 Service Pack 3 (Safe Mode) 19.11.2009 18:08:11 mbam-log-2009-11-19 (18-07-59).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 355055 Laufzeit: 2 hour(s), 3 minute(s), 15 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\ClearProg\eBay\eBayShortcuts.exe (Adware.ADON) -> No action taken.
Avira:
Combofix:Code:Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 19. November 2009 18:16 Es wird nach 1916411 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Abgesicherter Modus Benutzername : ZuKi Computername : 5981D71BE4D64BC Versionsinformationen: BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:42 ANTIVIR2.VDF : 7.1.6.222 5998592 Bytes 11.11.2009 22:25:00 ANTIVIR3.VDF : 7.1.6.251 292352 Bytes 18.11.2009 22:24:26 Engineversion : 8.2.1.70 AEVDF.DLL : 8.1.1.2 106867 Bytes 15.09.2009 23:22:51 AESCRIPT.DLL : 8.1.2.45 586108 Bytes 18.11.2009 02:50:18 AESCN.DLL : 8.1.2.5 127346 Bytes 11.09.2009 23:16:04 AERDL.DLL : 8.1.3.2 479604 Bytes 03.10.2009 14:59:17 AEPACK.DLL : 8.2.0.3 422261 Bytes 05.11.2009 19:45:57 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39 AEHEUR.DLL : 8.1.0.180 2093432 Bytes 07.11.2009 19:44:48 AEHELP.DLL : 8.1.7.4 237943 Bytes 18.11.2009 02:50:18 AEGEN.DLL : 8.1.1.74 364917 Bytes 12.11.2009 22:25:00 AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 14:58:46 AECORE.DLL : 8.1.8.2 184694 Bytes 05.11.2009 19:45:10 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 15.09.2009 23:23:31 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: löschen Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, F:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Donnerstag, 19. November 2009 18:16 Der Suchlauf nach versteckten Objekten wird begonnen. Der Treiber konnte nicht initialisiert werden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '11' Prozesse mit '11' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '64' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <(XP) ... (:D) ...> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <vista> Beginne mit der Suche in 'F:\' <free> Ende des Suchlaufs: Freitag, 20. November 2009 00:14 Benötigte Zeit: 5:57:25 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 27363 Verzeichnisse wurden überprüft 1269025 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 1269023 Dateien ohne Befall 5570 Archive wurden durchsucht 2 Warnungen 1 Hinweise
... da werd ich nu gar net mehr schlau draus... scheint aber das "gründlichste" zu sein allein vom Umfang der Logdatei...Code:ComboFix 09-11-19.05 - ZuKi 20.11.2009 0:55.2.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3582.3020 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\ZuKi\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: Norton Internet Security Online *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8} FW: Norton Internet Security Online *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\$recycle.bin\S-1-5-21-1226164027-2961081988-4292031122-1000 . ((((((((((((((((((((((( Dateien erstellt von 2009-10-19 bis 2009-11-19 )))))))))))))))))))))))))))))) . 2009-11-19 23:55 . 2008-04-13 18:40 96512 -c--a-w- c:\windows\system32\dllcache\atapi.sys 2009-11-19 23:55 . 2008-04-13 18:40 96512 ----a-w- c:\windows\system32\drivers\atapi.sys 2009-11-19 23:55 . 2007-09-29 05:30 65024 ----a-w- c:\windows\system32\drivers\jraid.sys 2009-11-19 23:53 . 2007-09-29 05:30 65024 ----a-r- c:\windows\system32\drivers\jraid_2.sys 2009-11-19 03:32 . 2009-11-19 05:03 -------- d-----w- c:\windows\system32\NtmsData 2009-11-18 00:57 . 2009-11-18 00:57 413696 ----a-w- c:\windows\system32\wrap_oal.dll 2009-11-18 00:57 . 2009-11-18 00:57 110592 ----a-w- c:\windows\system32\OpenAL32.dll 2009-11-18 00:57 . 2009-11-18 00:57 -------- d-----w- c:\programme\OpenAL 2009-11-18 00:56 . 2009-11-18 00:56 -------- d-----w- c:\windows\system32\Futuremark 2009-11-18 00:56 . 2009-11-18 00:56 -------- d-----w- c:\programme\Gemeinsame Dateien\Futuremark Shared 2009-11-18 00:56 . 2008-09-17 13:14 27672 ----a-r- c:\windows\system32\drivers\Entech.sys 2009-11-18 00:55 . 2009-11-18 00:55 -------- d-----w- c:\programme\Futuremark 2009-11-18 00:20 . 2009-11-18 00:20 -------- d-----w- c:\programme\Trend Micro 2009-11-17 23:57 . 2009-11-17 23:57 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Malwarebytes 2009-11-17 23:57 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-11-17 23:57 . 2009-11-17 23:57 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-11-17 23:57 . 2009-11-17 23:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-17 23:57 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-11-17 03:11 . 2009-11-17 03:11 -------- d-----w- C:\Filldata 2009-11-17 02:31 . 2009-11-17 02:31 766 ----a-r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_6467482.exe 2009-11-17 02:31 . 2009-11-17 02:31 3774 ----a-r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_eba4a1.exe 2009-11-17 02:31 . 2009-11-17 02:31 3262 ----a-r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_256e7c19.exe 2009-11-17 02:31 . 2009-11-17 02:31 29926 ----a-r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_470a1659.exe 2009-11-17 02:31 . 2009-11-17 02:31 29926 ----a-r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_3b89552.exe 2009-11-17 02:31 . 2009-11-17 02:31 2238 ----a-r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_4687607a.exe 2009-11-17 02:31 . 2009-11-17 02:31 2238 ----a-r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_22984a.exe 2009-11-17 02:31 . 2009-11-17 03:19 -------- d-----w- c:\programme\XPcleanv5 2009-11-17 02:30 . 2009-11-19 03:23 -------- d-----w- c:\programme\HDCleaner 2009-11-17 02:27 . 2009-11-17 02:27 -------- d-----w- c:\programme\ClearProg 2009-11-12 19:28 . 2009-11-12 19:28 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\My Games 2009-11-12 18:53 . 2009-11-12 18:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia 2009-11-12 18:48 . 2009-11-12 18:48 -------- d-----w- c:\programme\Firaxis Games 2009-11-12 18:32 . 2009-11-12 18:34 -------- d-----w- C:\Neuer Ordner (2) 2009-11-11 20:50 . 2009-11-11 20:50 -------- d-----w- c:\programme\Microsoft Games 2009-11-07 14:01 . 2009-11-07 14:01 152576 ----a-w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll 2009-11-07 14:01 . 2009-11-07 14:01 79488 ----a-w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2009-11-04 13:29 . 2009-11-04 13:29 21840 ----a-w- c:\windows\system32\SIntfNT.dll 2009-11-04 13:29 . 2009-11-04 13:29 17212 ----a-w- c:\windows\system32\SIntf32.dll 2009-11-04 13:29 . 2009-11-04 13:29 12067 ----a-w- c:\windows\system32\SIntf16.dll 2009-11-04 13:12 . 2009-11-04 13:35 -------- d-----w- c:\programme\Diablo II 2009-11-03 18:46 . 2009-11-03 18:48 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\FSW2 2009-11-03 18:39 . 2009-11-03 18:39 -------- d-----w- c:\programme\THQ 2009-11-03 17:03 . 2009-11-19 23:21 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS 2009-11-03 17:03 . 2004-08-05 18:28 90112 ----a-w- c:\windows\Dit.exe 2009-11-03 17:03 . 2003-12-12 12:16 266240 ----a-w- c:\windows\Dit.DLL 2009-11-03 17:03 . 2003-07-11 09:31 61440 ----a-w- c:\windows\DitExp.exe 2009-11-03 16:51 . 2009-11-03 16:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield 2009-11-03 15:30 . 2009-11-03 16:04 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Canon 2009-11-03 13:53 . 2009-11-06 13:41 1 ----a-w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-11-03 13:53 . 2009-11-03 13:53 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\OpenOffice.org 2009-11-03 13:52 . 2009-11-03 13:52 -------- d-----w- c:\programme\JRE 2009-11-03 13:52 . 2009-11-03 13:52 -------- d-----w- c:\programme\OpenOffice.org 3 2009-11-03 13:51 . 2009-11-07 14:02 -------- d-----w- c:\programme\Java 2009-10-25 18:48 . 2009-10-25 18:48 -------- d-----w- c:\programme\Ihr Firmenname 2009-10-21 17:17 . 2009-10-21 17:18 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Lokale Einstellungen\Anwendungsdaten\Divinity 2 2009-10-21 17:15 . 2009-10-21 17:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Divinity 2 2009-10-21 17:03 . 2009-10-21 21:46 -------- d-----w- c:\programme\Divinity II - Ego Draconis . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-19 23:52 . 2009-01-28 00:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared 2009-11-18 17:00 . 2009-02-05 15:33 138936 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-11-18 16:58 . 2009-02-05 15:31 214504 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-11-18 00:59 . 2009-01-28 00:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec 2009-11-18 00:56 . 2009-01-28 00:09 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-11-18 00:34 . 2009-09-26 02:14 1621 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml86.tmp 2009-11-18 00:34 . 2009-09-26 02:14 13536 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml85.tmp 2009-11-18 00:34 . 2009-09-26 02:14 5209 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml84.tmp 2009-11-18 00:26 . 2009-01-29 03:35 -------- d-----w- c:\programme\Online_Gaming 2009-11-17 02:57 . 2009-09-29 21:46 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\DeepBurner 2009-11-17 02:35 . 2009-01-28 00:21 196608 ----a-w- c:\windows\system32\drivers\nStandard.bin 2009-11-09 13:38 . 2009-08-18 14:30 -------- d-----w- c:\programme\CDBurnerXP 2009-11-03 18:02 . 2009-01-28 00:07 16608 ----a-w- c:\windows\gdrv.sys 2009-11-03 16:51 . 2009-01-28 00:09 -------- d-----w- c:\programme\GIGABYTE 2009-11-03 16:51 . 2009-01-28 00:09 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-11-03 15:50 . 2009-01-28 00:26 21936 ----a-w- c:\dokumente und einstellungen\ZuKi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-10-29 22:41 . 2004-08-04 12:00 84500 ----a-w- c:\windows\system32\perfc007.dat 2009-10-29 22:41 . 2004-08-04 12:00 458402 ----a-w- c:\windows\system32\perfh007.dat 2009-10-25 18:39 . 2009-09-24 02:09 -------- d-----w- c:\programme\JoWooD 2009-10-21 16:59 . 2009-06-30 13:21 -------- d-----w- c:\programme\The Witcher 2009-10-20 14:36 . 2009-09-13 17:19 177024 ----a-w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Mozilla\Firefox\Profiles\gyswfaq1.default\FlashGot.exe 2009-10-20 03:11 . 2009-09-23 23:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-10-20 03:06 . 2009-10-20 03:06 -------- d-----w- c:\programme\Deep Silver 2009-10-18 15:28 . 2009-04-08 17:15 -------- d-----w- c:\programme\PokerStars.NET 2009-10-18 13:48 . 2009-10-18 13:44 -------- d-----w- c:\programme\FireStarter 2009-10-16 17:37 . 2009-10-16 17:37 -------- d-----w- c:\programme\Bethesda Softworks 2009-10-11 14:47 . 2009-10-11 14:47 -------- d-----w- c:\programme\Blitzkrieg Anthology 2009-10-11 03:17 . 2009-08-07 13:01 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-10-10 16:25 . 2009-10-10 15:34 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien 2009-10-10 15:26 . 2009-01-31 23:37 -------- d-----w- c:\programme\Electronic Arts 2009-10-10 15:15 . 2009-01-29 02:57 -------- d-----w- c:\programme\EA GAMES 2009-10-07 12:36 . 2009-10-07 12:36 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Command & Conquer 3 Tiberium Wars 2009-10-07 12:35 . 2009-10-07 12:35 -------- d--h--r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\SecuROM 2009-10-03 17:34 . 2009-08-19 23:39 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\vlc 2009-10-03 15:30 . 2009-10-03 15:30 -------- d-----w- c:\programme\AC3Filter 2009-09-29 21:46 . 2009-09-29 21:46 -------- d-----w- c:\programme\Astonsoft 2009-09-29 21:45 . 2009-09-29 21:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\page 2009-09-29 21:39 . 2009-08-23 14:21 -------- d-----w- c:\programme\Notepad++ 2009-09-29 19:02 . 2009-03-05 20:16 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\teamspeak2 2009-09-28 19:57 . 2009-10-03 17:30 7168 ----a-w- c:\windows\system32\drivers\StarOpen.sys 2009-09-26 04:25 . 2009-09-26 04:10 -------- d-----w- c:\programme\MotioninJoy 2009-09-26 04:22 . 2009-09-26 04:22 -------- d-----w- c:\programme\LibUSB-Win32-0.1.10.1 2009-09-26 04:13 . 2009-09-26 04:13 14208 ----a-w- c:\windows\system32\drivers\MijUfilt.sys 2009-09-26 04:12 . 2009-09-26 04:12 24704 ----a-w- c:\windows\system32\drivers\MijBThid.sys 2009-09-26 03:49 . 2009-09-26 03:49 -------- d-----w- c:\programme\Gemeinsame Dateien\DirectX 2009-09-26 02:58 . 2009-09-25 00:39 -------- d-----w- c:\programme\Pcsx2 2009-09-26 02:12 . 2009-09-26 02:12 -------- d-----w- c:\programme\SiSoftware 2009-09-26 01:29 . 2009-09-25 00:03 -------- d-----w- c:\programme\Pcsx2alt 2009-09-25 04:31 . 2009-09-25 04:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters 2009-09-25 04:02 . 2009-09-25 02:22 -------- d-----w- c:\programme\DAEMON Tools Lite 2009-09-25 03:49 . 2009-09-24 01:53 -------- d-----w- c:\programme\Extreme Tux Racer 2009-09-25 03:07 . 2009-09-25 03:07 -------- d-----w- c:\programme\Alcohol Soft 2009-09-25 02:51 . 2009-09-25 02:20 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\DAEMON Tools Lite 2009-09-25 02:23 . 2009-09-25 02:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite 2009-09-25 02:23 . 2009-09-25 02:22 -------- d-----w- c:\programme\DAEMON Tools Toolbar 2009-09-25 02:20 . 2009-09-25 02:20 721904 ----a-w- c:\windows\system32\drivers\sptd.sys 2009-09-25 02:14 . 2009-09-25 02:14 -------- d-----w- c:\programme\pcsx2 NEU! 2009-09-24 22:52 . 2009-09-24 22:52 -------- d-----w- c:\programme\epsxe170(PS1!!!) 2009-09-24 22:47 . 2009-09-09 21:38 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\dvdcss 2009-09-24 01:50 . 2009-09-24 01:50 -------- d-----w- c:\programme\Koch Media 2009-09-24 01:34 . 2009-09-23 22:04 8 ----a-w- c:\windows\system32\nvModes.dat 2009-09-23 23:06 . 2009-09-23 23:06 -------- d-----w- c:\programme\AGEIA Technologies 2009-09-23 23:05 . 2009-09-23 23:05 -------- d-----w- c:\programme\NVIDIA Corporation 2009-09-23 23:05 . 2009-09-23 23:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation 2009-09-23 22:04 . 2009-09-23 22:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles 2009-09-21 02:36 . 2009-09-21 02:36 -------- d-----w- c:\programme\eRightSoft 2009-09-21 02:32 . 2009-09-21 02:32 -------- d-----w- c:\programme\Ask.com 2009-09-21 02:23 . 2009-09-21 02:22 -------- d-----w- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\avidemux 2009-09-15 14:57 . 2009-09-15 14:57 8854 ----a-r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Microsoft\Installer\{5A2F371F-8B5D-46B4-833C-0612B065BEC7}\Uninstall_GameShadow_5A2F371F8B5D46B4833C0612B065BEC7.exe 2009-09-15 14:57 . 2009-09-15 14:57 45056 ----a-r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Microsoft\Installer\{5A2F371F-8B5D-46B4-833C-0612B065BEC7}\GameShadow.exe1_0A3DE514292C4EBA987823B82B0B2BA2.exe 2009-09-15 14:57 . 2009-09-15 14:57 45056 ----a-r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Microsoft\Installer\{5A2F371F-8B5D-46B4-833C-0612B065BEC7}\GameShadow.exe_0A3DE514292C4EBA987823B82B0B2BA2.exe 2009-09-15 14:57 . 2009-09-15 14:57 45056 ----a-r- c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Microsoft\Installer\{5A2F371F-8B5D-46B4-833C-0612B065BEC7}\ARPPRODUCTICON.exe 2009-09-11 14:17 . 2004-08-04 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll 2009-09-04 21:03 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll 2009-09-04 15:44 . 2009-09-25 01:44 515416 ----a-w- c:\windows\system32\XAudio2_5.dll 2009-09-04 15:44 . 2009-09-25 01:44 238936 ----a-w- c:\windows\system32\xactengine3_5.dll 2009-09-04 15:44 . 2009-09-25 01:44 69464 ----a-w- c:\windows\system32\XAPOFX1_3.dll 2009-09-04 15:29 . 2009-09-25 01:44 453456 ----a-w- c:\windows\system32\d3dx10_42.dll 2009-09-04 15:29 . 2009-09-25 01:44 235344 ----a-w- c:\windows\system32\d3dx11_42.dll 2009-09-04 15:29 . 2009-09-25 01:44 5501792 ----a-w- c:\windows\system32\d3dcsx_42.dll 2009-09-04 15:29 . 2009-09-25 01:44 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll 2009-09-04 15:29 . 2009-09-25 01:44 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll 2009-08-29 07:24 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll 2009-08-29 07:24 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-08-29 07:24 . 2004-08-04 12:00 17408 ------w- c:\windows\system32\corpol.dll 2009-08-26 08:00 . 2009-01-28 00:36 247326 ----a-w- c:\windows\system32\strmdll.dll 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll 2006-05-03 09:06 . 2009-09-21 02:37 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2009-09-21 02:37 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 12:30 . 2009-09-21 02:37 216064 --sh--r- c:\windows\system32\nbDX.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-31 68856] "WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864] "36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-08-29 1966080] "ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-02-19 115816] "osCheck"="c:\programme\Norton Internet Security\osCheck.exe" [2007-02-19 771704] "Symantec PIF AlertEng"="c:\programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048] "CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-08-12 1657376] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-17 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-17 13877248] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280] "Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-09-19 16844800] "Dit"="Dit.exe" - c:\windows\Dit.exe [2004-08-05 90112] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AVerQuick.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AVerQuick.lnk backup=c:\windows\pss\AVerQuick.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"= "c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"= "c:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"= "c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\RpcAgentSrv.exe"= "c:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"= "c:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"= "c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\WNt500x86\\RpcSandraSrv.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [25.09.2009 03:20 721904] R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 06:51 277736] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.09.2009 00:12 108289] R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\programme\Symantec\LiveUpdate\AluSchedulerSvc.exe [28.01.2009 01:39 554352] R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [28.01.2009 01:25 61440] R3 AVerBDA3x;AVerMedia SAA713x BDA Service;c:\windows\system32\drivers\AVerBDA3x.sys [28.01.2009 02:14 1176192] R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [27.08.2009 16:38 102448] R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [26.09.2009 03:25 33792] S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [03.11.2009 18:03 17408] S3 cpuz130;cpuz130;\??\c:\dokume~1\ZuKi\LOKALE~1\Temp\cpuz130\cpuz_x32.sys --> c:\dokume~1\ZuKi\LOKALE~1\Temp\cpuz130\cpuz_x32.sys [?] S3 GEST Service;GEST Service for program management.;c:\programme\GIGABYTE\GEST\GSvr.exe [28.01.2009 01:09 47624] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [28.01.2009 01:25 17280] S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [28.01.2009 01:25 17152] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [28.01.2009 01:25 17536] S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [23.07.2009 22:51 90536] S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [23.07.2009 22:51 15016] S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [23.07.2009 22:51 122152] S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [23.07.2009 22:51 115496] S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [23.07.2009 22:51 25768] S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [23.07.2009 22:51 111912] S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [23.07.2009 22:51 117672] S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe [26.09.2009 03:12 99176] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - COMHOST . Inhalt des "geplante Tasks" Ordners 2009-11-11 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 12:57] 2009-11-16 c:\windows\Tasks\Norton Internet Security Online - Systemprüfung ausführen - ZuKi.job - c:\programme\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-02-19 17:16] 2009-11-19 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job - c:\programme\Ask.com\UpdateTask.exe [2009-06-16 15:22] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.daemon-search.com/startpage IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} - hxxps://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.21.0.cab FF - ProfilePath - c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Mozilla\Firefox\Profiles\gyswfaq1.default\ FF - prefs.js: browser.startup.homepage - place:sort=8&maxResults=10 FF - component: c:\dokumente und einstellungen\ZuKi\Anwendungsdaten\Mozilla\Firefox\Profiles\gyswfaq1.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPPDLicenseHelper.dll FF - plugin: c:\programme\ProtectDisc\License Helper\NPPDLicenseHelper.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - true. - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{1872FAE3-F2BC-40D7-A762-7BB9A72D24A4} - (no file) WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) AddRemove-HijackThis - d:\users\ZuKi\Videos\Neuer Ordner (2)\HijackThis.exe AddRemove-Live TV Toolbar - c:\progra~1\Live_TV\UNWISE.EXE ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1123561945-2111687655-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:ea,71,f1,e3,7a,45,de,84,eb,69,dc,24,72,4e,b9,aa,48,95,f0,71,dc,18,cf, e0,fb,ce,0e,e7,a6,83,a7,6c,c2,45,32,78,85,e6,fd,8e,57,89,68,4b,8a,4a,4a,4d,\ "??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d [HKEY_USERS\S-1-5-21-1123561945-2111687655-682003330-1004\Software\SecuROM\License information*] "datasecu"=hex:15,11,03,fa,99,21,fd,39,3a,31,ce,38,78,70,35,49,e2,63,47,2a,c3, 31,7c,be,05,de,99,e0,34,3d,bb,80,03,a7,7f,be,37,ca,57,5d,22,8b,31,dd,0a,93,\ "rkeysecu"=hex:c2,16,70,91,14,87,28,88,10,30,9a,2e,68,87,b0,d5 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(804) c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2009-11-20 01:01 ComboFix-quarantined-files.txt 2009-11-20 00:00 Vor Suchlauf: 11 Verzeichnis(se), 26.573.852.672 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 27.183.505.408 Bytes frei - - End Of File - - F38B6DCA013B4040CEA5A851165B3C8A
-
20.11.2009, 07:11 #76BlindSolution
AW: b.exe trojaner?
gmer(Rootkit/Maleware-Log)
und zu guter letztCode:GMER 1.0.15.15227 - http://www.gmer.net Rootkit scan 2009-11-20 06:41:59 Windows 5.1.2600 Service Pack 3 Running: 6iy180tc.exe; Driver: C:\DOKUME~1\ZuKi\LOKALE~1\Temp\kgtiypow.sys ---- System - GMER 1.0.15 ---- SSDT spwx.sys ZwCreateKey [0xF74D60E0] SSDT spwx.sys ZwEnumerateKey [0xF74F4CA4] SSDT spwx.sys ZwEnumerateValueKey [0xF74F5032] SSDT spwx.sys ZwOpenKey [0xF74D60C0] SSDT spwx.sys ZwQueryKey [0xF74F510A] SSDT spwx.sys ZwQueryValueKey [0xF74F4F8A] SSDT spwx.sys ZwSetValueKey [0xF74F519C] INT 0x62 ? 8AF11BF8 INT 0x63 ? 8AE60BF8 INT 0x73 ? 8AF11BF8 INT 0x73 ? 8AF11BF8 INT 0x73 ? 8AF13BF8 INT 0x73 ? 8AE60BF8 INT 0x73 ? 8AF11BF8 INT 0x82 ? 8AF11BF8 INT 0x83 ? 8AE60BF8 INT 0xA4 ? 8AE60BF8 INT 0xB4 ? 8AE60BF8 INT 0xB4 ? 8AE60BF8 INT 0xB4 ? 8AE60BF8 INT 0xB4 ? 8AE60BF8 ---- Kernel code sections - GMER 1.0.15 ---- ? spwx.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B85D28AC 5 Bytes JMP 8AE601D8 .text a5tqpx4n.SYS B8537386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...] .text a5tqpx4n.SYS B85373AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...] .text a5tqpx4n.SYS B85373C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH} .text a5tqpx4n.SYS B85373C9 1 Byte [30] .text a5tqpx4n.SYS B85373C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL} .text ... ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8AF132D8 IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7507C4C] spwx.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7507CA0] spwx.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74D7042] spwx.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74D713E] spwx.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74D70C0] spwx.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74D7800] spwx.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74D76D6] spwx.sys IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8AE602D8 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlInitUnicodeString] 8800001C IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!swprintf] 001CB286 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeSetEvent] C61AEB00 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoCreateSymbolicLink] 001C8186 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoGetConfigurationInformation] 86C61200 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoDeleteSymbolicLink] 00001C83 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmFreeMappingAddress] 8E868801 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoFreeErrorLogEntry] 8800001C IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoDisconnectInterrupt] 001CAA86 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmUnmapIoSpace] 80968B00 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!ObReferenceObjectByPointer] 8900001C IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IofCompleteRequest] 001C9C96 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlCompareUnicodeString] C6168B00 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IofCallDriver] 001CB986 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmAllocateMappingAddress] 428A0A00 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry] BA86880C IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoConnectInterrupt] 8B00001C IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoDetachDevice] 24A48DFA IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeWaitForSingleObject] 00000000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeInitializeEvent] 4B8BDF8B IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeCancelTimer] 8D3F0304 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] CB033043 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlInitAnsiString] 0673C13B IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest] C13B0003 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoQueueWorkItem] 8366FA72 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmMapIoSpace] 75000E7B IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 0B7D80E3 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoReportDetectedDevice] 307B8D00 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoReportResourceForDetection] 00AA840F IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 83660000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!NlsMbCodePageTag] 6A000E7A IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!PoRequestPowerIrp] C6647400 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue] 001CBB86 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] 4F8B0200 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!sprintf] 968D5140 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] 00001C90 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!ObfDereferenceObject] 2266E852 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference] 478B0000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoInvalidateDeviceState] 50016A40 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!ZwClose] 1CAC8E8D IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!ObReferenceObjectByHandle] E8510000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!ZwCreateDirectoryObject] 00002254 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest] 6A18538B IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!PoStartNextPowerIrp] 868D5200 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoCreateDevice] 00001C98 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlCopyUnicodeString] 2242E850 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension] 4B8B0000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlQueryRegistryValues] 51016A18 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!ZwOpenKey] 1CB4968D IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlFreeUnicodeString] E8520000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoStartTimer] 00002230 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeInitializeTimer] 8A05478A IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoInitializeTimer] 001CBB8E IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeInitializeDpc] 30C48300 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeInitializeSpinLock] 1CBD8688 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoInitializeIrp] 80E90000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!ZwCreateKey] C6000000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString] 001CBB86 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString] 438B0100 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!ZwSetValueKey] 8E8D5018 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeInsertQueueDpc] 00001C90 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 2202E851 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoStartPacket] 538B0000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 52016A18 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest] 1CAC868D IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoFreeMdl] E8500000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmUnlockPages] 000021F0 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoWriteErrorLogEntry] 8A05478A IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue] 001CBB8E IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping] 18C48300 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmUnmapReservedMapping] 1CBD8688 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeSynchronizeExecution] 43EB0000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoStartNextPacket] 320C538A IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeBugCheckEx] 88F93BC0 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeRemoveDeviceQueue] 001CBB96 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeSetTimer] F6317300 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!_allmul] 74070647 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmProbeAndLockPages] 75C0841A IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!_except_handler3] 05578A0B IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!PoSetPowerState] 968801B0 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] 00001CBD IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlWriteRegistryValue] 57B60F66 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlDeleteRegistryValue] 533B6604 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!_aulldiv] 03087408 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!strstr] 72F93B3F IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!_strupr] 8A09EBDA IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeQuerySystemTime] 86880547 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoWMIRegistrationControl] 00001CBD IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!KeTickCount] 88084B8A IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] 001CBE8E IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoDeleteDevice] 40578B00 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 8D52006A IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoAllocateWorkItem] 001CC086 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoAllocateIrp] 81E85000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoAllocateMdl] 8B000021 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 001CB88E IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmLockPagableDataSection] BC968B00 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoGetDriverObjectExtension] 8900001C IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmUnlockPagableImageSection] 001CC48E IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!ExFreePoolWithTag] C8968900 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoFreeIrp] 8B00001C IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!IoFreeWorkItem] 016A4047 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!InitSafeBootMode] CCC68150 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!RtlCompareMemory] 5600001C IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!PoCallDriver] 002157E8 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!memmove] 18C48300 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[ntoskrnl.exe!MmHighestUserAddress] 5D5B5E5F IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!READ_PORT_UCHAR] 1C8D9E88 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!KeGetCurrentIrql] 9E880000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!KfRaiseIrql] 00001CA9 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!KfLowerIrql] 0E798366 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!HalGetInterruptVector] 74AAB000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!HalTranslateBusAddress] 8186C636 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!KfReleaseSpinLock] 1C8386C6 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!READ_PORT_USHORT] 001C8E86 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200 IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CAA IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[WMILIB.SYS!WmiSystemControl] 8800001C IAT \SystemRoot\System32\Drivers\a5tqpx4n.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB19E ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8AF811F8 Device \FileSystem\Fastfat \FatCdrom 8AAE3500 Device \Driver\usbuhci \Device\USBPDO-0 8AD511F8 Device \Driver\usbuhci \Device\USBPDO-1 8AD511F8 Device \Driver\usbuhci \Device\USBPDO-2 8AD511F8 Device \Driver\usbehci \Device\USBPDO-3 8AE511F8 Device \Driver\usbehci \Device\USBPDO-4 8AE511F8 Device \Driver\PCI_PNP5434 \Device\00000061 spwx.sys Device \Driver\PCI_PNP5434 \Device\00000061 spwx.sys Device \Driver\usbuhci \Device\USBPDO-5 8AD511F8 Device \Driver\usbuhci \Device\USBPDO-6 8AD511F8 Device \Driver\Ftdisk \Device\HarddiskVolume1 8AF831F8 Device \Driver\usbuhci \Device\USBPDO-7 8AD511F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8AF831F8 Device \Driver\Cdrom \Device\CdRom0 8AE481F8 Device \Driver\Ftdisk \Device\HarddiskVolume3 8AF831F8 Device \Driver\Cdrom \Device\CdRom1 8AE481F8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F7849B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort0 [F7849B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 [F7849B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort2 [F7849B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort3 [F7849B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\Cdrom \Device\CdRom2 8AE481F8 Device \Driver\Cdrom \Device\CdRom3 8AE481F8 Device \Driver\Cdrom \Device\CdRom4 8AE481F8 Device \Driver\usbuhci \Device\USBFDO-0 8AD511F8 Device \Driver\usbuhci \Device\USBFDO-1 8AD511F8 Device \Driver\usbuhci \Device\USBFDO-2 8AD511F8 Device \Driver\usbehci \Device\USBFDO-3 8AE511F8 Device \Driver\usbuhci \Device\USBFDO-4 8AD511F8 Device \Driver\Ftdisk \Device\FtControl 8AF831F8 Device \Driver\usbuhci \Device\USBFDO-5 8AD511F8 Device \Driver\sptd \Device\3179789184 spwx.sys Device \Driver\usbuhci \Device\USBFDO-6 8AD511F8 Device \Driver\usbehci \Device\USBFDO-7 8AE511F8 Device \Driver\a5tqpx4n \Device\Scsi\a5tqpx4n1Port5Path0Target3Lun0 8AD061F8 Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 8AF821F8 Device \Driver\a5tqpx4n \Device\Scsi\a5tqpx4n1Port5Path0Target2Lun0 8AD061F8 Device \Driver\a5tqpx4n \Device\Scsi\a5tqpx4n1Port5Path0Target0Lun0 8AD061F8 Device \Driver\JRAID \Device\Scsi\JRAID1 8AF821F8 Device \Driver\a5tqpx4n \Device\Scsi\a5tqpx4n1Port5Path0Target1Lun0 8AD061F8 Device \Driver\a5tqpx4n \Device\Scsi\a5tqpx4n1 8AD061F8 Device \FileSystem\Fastfat \Fat 8AAE3500 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs 8AAED500 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xF9 0x39 0xB2 0x5A ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x6B 0x6C 0x33 0x7F ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x10 0xD0 0x8C 0xF6 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x15 0x33 0xC7 0x8D ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x0E 0x5E 0xE3 0x53 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0x2A 0x37 0x2E 0x5F ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12 0x2A 0x37 0x2E 0x5F ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xF9 0x39 0xB2 0x5A ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x6B 0x6C 0x33 0x7F ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x10 0xD0 0x8C 0xF6 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x15 0x33 0xC7 0x8D ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x0E 0x5E 0xE3 0x53 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0x2A 0x37 0x2E 0x5F ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12 0x2A 0x37 0x2E 0x5F ... ---- EOF - GMER 1.0.15 ----
Hijackthis:
Malewarbyte´s, Avira und gmer hab ich im abgesicherten Modus laufen lassen... Combofix und hijack im normalenCode:Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 06:47:12, on 20.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\Dit.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\WINDOWS\system32\libusbd-nt.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Trend Micro\abc\abcdefg.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.21.0.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe -- End of file - 9675 bytes
oki das wars... bin reif für die Pritsche... zum Glück hab ich nach meinem verlängerten Wochenende nu noch 2 Wochen frei... wer weiss, was noch so kommt
Aber vielen Dank immer wieder... ich mein, du machst dir ja auch Arbeit damit, das alles durchzugehen... Danke dafür vielmals
LG
Alex(BlindSolution)
Ps.: @ Admin hier :Musste 2 mal antworten wegen der 50.000 Zeichen... hab ca 81.000 vorher gehabt und konnte net gepostet werden sry deswegen ... also bitte net bös sein, wegen der paar byte
-
20.11.2009, 14:54 #77bLacK_dRaSanG
AW: b.exe trojaner?
Sieht gut aus. Eigentlich muss ich dazu nicht viel sagen, außer das ganze ne Zeitlang im Auge zu behalten.
Aber ich denke das wars.
mfg
bLacK_dRaSanG
-
20.11.2009, 17:37 #78BlindSolution
AW: b.exe trojaner?
Oki Danke dann !
Werd mein Auge drauf haben und das mit combifix sowie hijack im Auge behalten...
BlindSolution
Ähnliche Themen
-
Trojaner !!: Hi Forumla Gemeinde. Ich habe leider ein Problem mit meinem Laptop. Denn diese hat sich scheinbar einen Trojaner eingefangen. Zudem kann ich... -
Trojaner über ICQ?: Hi Forum ! Habe ein großes Problem. Mir hat gerade jemand etwas über ICQ geschickt. Ohne das ich die Datei geöffnet hab kam eine Meldung: Ein... -
Trojaner eingefangen: heute morgen habe ich mir laut AntiVir den Trojaner TR/ATRAPS.Gen eingefangen. Was kann ich dagegen unternehmen? Ich kenne mich nicht besonders gut... -
Trojaner TR/ATRAPS.GEN: Hallo hab mir iggendwie das Teil oben eingefangen. Wie werde ich es wieder los. HiJack hat folgendes ausgespuckt. Logfile of Trend Micro... -
Trojaner und Spyware: Also ich bin auf eine Seite gegangen, wo stand: Ihr System wird auf Spyware geprüft. Bin sofort wiede rrausgegangen, weil ich mir gedacht habe, dass...
Zwei kostenlose, aber noch keine Wunderwahl+ gehabt
Pokémon Trading Card: Pocket