Falsche Links/Weiterleitung bei Google & IE6 - Spyware?! |
||
---|---|---|
#0
| ||
11.04.2007, 14:20
...neu hier
Beiträge: 3 |
||
|
||
11.04.2007, 14:46
Ehrenmitglied
Beiträge: 29434 |
#2
huelke
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {659DA88F-37A7-495B-9A8B-010D867BA160} in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2007, 15:10
...neu hier
Themenstarter Beiträge: 3 |
#3
Hey Sabina,
Herzlichen Dank schon mal, Hier das Ergebnis von regsearch: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{659DA88F-37A7-495B-9A8B-010D867BA160}" 11.04.2007 15:09:53 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659DA88F-37A7-495B-9A8B-010D867BA160}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659DA88F-37A7-495B-9A8B-010D867BA160}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{659DA88F-37A7-495B-9A8B-010D867BA160}] [HKEY_USERS\S-1-5-21-583907252-1547161642-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{659DA88F-37A7-495B-9A8B-010D867BA160}] [HKEY_USERS\S-1-5-21-583907252-1547161642-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{659DA88F-37A7-495B-9A8B-010D867BA160}\iexplore] Habe noch einen VT Test gemacht: http://www.virustotal.com/vt/en/resultadof?93d71dd64f54acee675042eb8c089dda Complete scanning result of "dmsynthd.dll", received in VirusTotal at 04.11.2007, 16:26:53 (CET). Antivirus Version Update Result AhnLab-V3 2007.4.12.0 04.11.2007 no virus found AntiVir 7.3.1.50 04.11.2007 ADSPY/Stud.D Authentium 4.93.8 04.11.2007 no virus found Avast 4.7.936.0 04.11.2007 Win32:Trojano-3384 AVG 7.5.0.447 04.11.2007 Adware Generic.WNV BitDefender 7.2 04.11.2007 no virus found CAT-QuickHeal 9.00 04.11.2007 no virus found ClamAV devel-20070312 04.11.2007 Adware.BHO-15 DrWeb 4.33 04.11.2007 no virus found eSafe 7.0.15.0 04.10.2007 no virus found eTrust-Vet 30.7.3560 04.11.2007 no virus found Ewido 4.0 04.10.2007 Adware.Stud FileAdvisor 1 04.11.2007 no virus found Fortinet 2.85.0.0 04.11.2007 no virus found F-Prot 4.3.1.45 04.11.2007 no virus found F-Secure 6.70.13030.0 04.11.2007 no virus found Ikarus T3.1.1.5 04.11.2007 not-a-virus:AdWare.Win32.Stud.d Kaspersky 4.0.2.24 04.11.2007 not-a-virus:AdWare.Win32.Stud.d McAfee 5005 04.10.2007 no virus found Microsoft 1.2405 04.11.2007 no virus found NOD32v2 2181 04.11.2007 Win32/Adware.BHO.AA Norman 5.80.02 04.11.2007 W32/Stud.Y Panda 9.0.0.4 04.11.2007 no virus found Prevx1 V2 04.11.2007 no virus found Sophos 4.16.0 04.06.2007 no virus found Sunbelt 2.2.907.0 04.07.2007 no virus found Symantec 10 04.11.2007 Adware.Webprefix TheHacker 6.1.6.088 04.09.2007 Adware/Stud.d VBA32 3.11.3 04.10.2007 AdWare.Win32.Stud.d VirusBuster 4.3.7:9 04.11.2007 Adware.BHO.EC Webwasher-Gateway 6.0.1 04.11.2007 Ad-Spyware.Stud.D Aditional Information File size: 22641 bytes MD5: 7da77b28f7b8a8c9419e113a3b1ae545 SHA1: 0ff04b66eff3b741f1359e0b09b1c7cd83a4c485 packers: UPX packers: UPX packers: UPX packers: UPX Alles klar Und wie bekomm ich das Teil jetzt am einfachsten/gründlichsten weg? Danke, Huelke Dieser Beitrag wurde am 11.04.2007 um 16:54 Uhr von huelke editiert.
|
|
|
||
11.04.2007, 17:44
Ehrenmitglied
Beiträge: 29434 |
#4
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4«« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» scanne mit ewido, poste den report, dann lasse alles gefundene loeschen http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2007, 20:03
...neu hier
Themenstarter Beiträge: 3 |
#5
Hey Vielen Dank!!!
Er scheint weg zu sein! Der Scanner hat aber ein paar (vermutlich inaktive) backdoors aufgedeckt. Ich denk das ich einfach mal auf "remove infactions" klicke Na hier der Report: __________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@2o7[1].txt Risk: Medium Name: TrackingCookie.Doubleclick Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@doubleclick[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@ivwbox[2].txt Risk: Medium Name: TrackingCookie.Webtrends Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@m.webtrends[2].txt Risk: Medium Name: TrackingCookie.Mediaplex Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@mediaplex[1].txt Risk: Medium Name: TrackingCookie.Overture Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@overture[1].txt Risk: Medium Name: TrackingCookie.Tfag Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@php.sales.tfag[2].txt Risk: Medium Name: TrackingCookie.Netflame Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@ssl-hints.netflame[1].txt Risk: Medium Name: TrackingCookie.Tradedoubler Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@tradedoubler[2].txt Risk: Medium Name: Adware.NewDotNet Path: HKU\S-1-5-21-583907252-1547161642-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} Risk: Medium Name: Adware.Stud Path: C:\avenger\backup.zip/avenger/dmsynthd.dll Risk: Medium Name: Trojan.Runas.b Path: C:\Programme\BPFTP Server\G6Service.exe Risk: High Name: Adware.SaveNow Path: C:\Programme\DAEMON Tools\SetupDTSB.exe Risk: Medium Name: Adware.NewDotNet Path: C:\QooBox\Quarantine\WINDOWS\NDNuninstall6_38.exe.vir Risk: Medium Name: Not-A-Virus.Downloader.Win32.Skilin.c Path: C:\WINDOWS\Downloaded Program Files\TEInstallPlugIn.ocx Risk: Low Name: Trojan.Small Path: C:\WINDOWS\system32\drivers\i386\DISKINFO.EXE Risk: High Name: Adware.CommonName Path: D:\Alte Festplatte\D\Programme\CommonName\Toolbar\CNBabe.dll Risk: Medium Name: Adware.Stud Path: D:\Downloads\vlc-0.exe Risk: Medium Name: Trojan.Keygen.s Path: D:\eMule\Downloads\Norton.Ghost.v9.0.Completo.Incl.Keygen.(www.Softflam.com).rar/Norton.Ghost.v9.0.Completo.Incl.Keygen.(www.Softflam.com)\Keygen.exe Risk: High Name: Trojan.Keygen.s Path: D:\eMule\Downloads\Symantec Norton Ghost v9.0 Incl Keygen-Ssg.zip/nortonghost90p6.rar/keygen\ssg-ng90.exe Risk: High Name: Trojan.Keygen.s Path: D:\eMule\Downloads\Symantec Norton Ghost v9.0 Keygen.zip/ssg-ng90.exe Risk: High Name: Trojan.Feutel.av Path: D:\eMule\Downloads\Trillian.Pro.3.1.Final.Build.122.german-M3ZZ.rar/app\patch.exe Risk: High Name: Backdoor.Bifrose.aas Path: D:\Netzwerk-Exchange\downloads - 2. Halbj 2006\Steganos.Internet.Anonym.2006.v8.0.1.Multilang.Incl.Keygen-CORE.rar/Steganos Internet Anonym 2006\Keygen-CORE.rar/Keygen-CORE.zip/keygen.exe Risk: High Name: Adware.WebHancer Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/wbhshare.dll Risk: Medium Name: Adware.WebHancer Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/Webhdll.dll Risk: Medium Name: Adware.WebHancer Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/WhAgent.exe Risk: Medium Name: Adware.WebHancer Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/whAgent.inf Risk: Medium Name: Adware.WebHancer Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/whiehlpr.dll Risk: Medium Name: Adware.WebHancer Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/whieshm.dll Risk: Medium Name: Adware.WebHancer Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/whInstaller.exe Risk: Medium Name: Backdoor.Bifrose.aas Path: G:\eMule\Incoming\Steganos.Safe.Professional.2007.v9.0.1.Multilingual.Incl.Keymaker-CORE(1).rar/keygen.exe Risk: High Name: Backdoor.Bifrose.aas Path: G:\eMule\Incoming\Steganos.Safe.Professional.2007.v9.0.1.Multilingual.Incl.Keymaker-CORE.rar/Steganos.Safe.Professional.2007.v9.0.1.Multilingual.Incl.Keymaker-CORE\keygen.exe Risk: High |
|
|
||
Ich habe in letzter Zeit das Problem das 2 von 10 Klicks auf Google Suchergebnisse mich auf eine völlig falsche Seite weierleiten.
Das ist meistens lebenstest.de, aber auch mal Ebay oder andere Ad-Seiten.
(Vergl. -> http://board.protecus.de/t28104.htm)
Nun ja bevor ich jetzt mein System neu aufsetzte (wird mal wieder Zeit) dachte ich ich bitte euch mal um Hilfe.
Habe alles entsprechend (=> http://board.protecus.de/t23187.htm) gemacht.
Hier das Ergebnis:
-------------------------------------------------
1: HIJACK THIS
-------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 13:00:17, on 11.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
C:\Developer\WAMP\MYSQL\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\SLEE12.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\PTeSVNC\WinVNC.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\RealVNC\VNC4\winvnc4.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\TVgenial\TVgenial.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Steganos Safe 8\SAFE8.exe
C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe
C:\PROGRA~1\MSI\BTOESB~1\BTSTAC~1.EXE
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype\Plugins\Plugins\903CB56BA52F42478957BE8314837A86\PamelaPCR.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\RealVNC\VNC4\vncviewer.exe
D:\Downloads\utorrent_1.6.exe
C:\DOKUME~1\SURFON~1.001\LOKALE~1\Temp\Rar$EX00.906\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {659DA88F-37A7-495B-9A8B-010D867BA160} - C:\WINDOWS\system32\dmsynthd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - Startup: Verknüpfung mit FileListServer.lnk = C:\FileListServer.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/terraexplorer/install/TEInstallPlugIn.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/photouploader/PhotoUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{010219C1-4E18-475F-A183-530F8A3BF840}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySql - Unknown owner - C:/Developer/WAMP/MYSQL/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Steganos Live Encryption Engine 12 [Service] (SLEE_12_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE12.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\PTeSVNC\WinVNC.exe" -service (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\winvnc4.exe" -service (file missing)
-------------------------------------------------
2: CLEANUP TOOL
-------------------------------------------------
Erfolgreich abgearbeitet!
-------------------------------------------------
3: ComboFix
-------------------------------------------------
"surfon" - 07-04-11 13:33:57 Service Pack 2
ComboFix 07-04-05 - Running from: "C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Desktop"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\NDNuninstall6_38.exe
((((((((((((((((((((((((((((((( Files Created from 2007-03-11 to 2007-04-11 ))))))))))))))))))))))))))))))))))
2007-04-10 00:50 <DIR> d-------- C:\Programme\Steganos Safe 8
2007-04-09 02:07 90,112 --a------ C:\WINDOWS\unvise32.exe
2007-04-07 03:12 <DIR> d-------- C:\DOKUME~1\SURFON~1.001\Anwendungsdaten\vlc
2007-04-05 20:45 22,641 --a------ C:\WINDOWS\system32\dmsynthd.dll
2007-04-04 22:07 <DIR> d-------- C:\DOKUME~1\SURFON~1.001\Anwendungsdaten\Media Player Classic
2007-04-04 18:49 <DIR> d-------- C:\WINDOWS\pss
2007-04-04 16:43 <DIR> d-------- C:\WINDOWS\uninstall\Phonostar eBay-Icon
2007-04-03 00:20 <DIR> d-------- C:\Programme\GPS Tuner
2007-03-21 15:09 <DIR> d-------- C:\Programme\Maketorrent 2
2007-03-16 03:23 32,768 --a------ C:\WINDOWS\system32\vbTimer.DLL
2007-03-16 03:23 158,208 --a------ C:\WINDOWS\system32\MSCMCDE.DLL
2007-03-16 03:23 <DIR> d-------- C:\Programme\MOette
2007-03-16 01:55 <DIR> d-------- C:\Programme\HD Tune
2007-03-12 02:23 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-03-11 23:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2007-03-11 23:52 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\Anwendungsdaten\Adobe Systems
2007-03-11 18:08 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-03-11 18:08 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-03-11 18:08 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-04-11 13:28 -------- d-------- C:\Programme\trillian
2007-04-11 13:28 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\utorrent
2007-04-11 13:23 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\skype
2007-04-10 23:00 -------- d-------- C:\Programme\dvbviewer
2007-04-07 03:12 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\vlc
2007-04-05 01:02 -------- d-------- C:\Programme\microsoft activesync
2007-04-04 22:08 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\media player classic
2007-04-04 16:48 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\phonostar-player
2007-04-04 16:43 -------- d-------- C:\Programme\phonostar
2007-04-04 01:41 -------- d-------- C:\Programme\partygaming.net
2007-03-22 14:56 -------- d-------- C:\Programme\tvgenial
2007-03-18 14:12 -------- d-------- C:\Programme\irfanview
2007-03-14 16:09 2992 --a------ C:\WINDOWS\mozver.dat
2007-03-14 16:08 -------- d-------- C:\Programme\java
2007-03-07 16:39 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\smartftp
2007-03-07 16:38 -------- d-------- C:\Programme\smartftp client 2.0 setup files
2007-03-07 16:38 -------- d-------- C:\Programme\smartftp client 2.0
2007-03-07 03:16 -------- d-------- C:\Programme\ftpclient
2007-03-06 21:32 -------- d--h----- C:\Programme\installshield installation information
2007-03-06 21:30 -------- d-------- C:\Programme\winscp3
2007-03-01 23:56 -------- d-------- C:\Programme\daemon tools
2007-03-01 23:50 646392 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-03-01 23:49 376 --a------ C:\Programme\verknpfung mit programme.lnk
2007-03-01 22:51 -------- d-------- C:\Programme\netbeans-5.5
2007-03-01 22:50 -------- d-------- C:\Programme\Gemeinsame Dateien\installshield
2007-03-01 22:39 -------- d-------- C:\Programme\jvoicexml
2007-02-28 16:36 -------- d-------- C:\Programme\voicent
2007-02-26 00:34 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\divx
2007-02-25 23:53 -------- d-------- C:\Programme\divx
2007-02-25 23:52 -------- d-------- C:\Programme\winamp
2007-02-25 23:48 -------- d-------- C:\Programme\xp codec pack
2007-02-24 17:26 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\dvdcss
2007-02-20 03:07 73728 --a------ C:\FileListServer.exe
2007-02-14 20:15 -------- d-------- C:\Programme\xenorate
2007-02-14 20:04 -------- d-------- C:\Programme\gabest
2007-02-14 18:31 -------- d-------- C:\Programme\ptesvnc
2007-02-14 18:29 -------- d-------- C:\Programme\msi
2007-02-14 18:28 -------- d-------- C:\Programme\web publish
2007-02-14 18:28 -------- d-------- C:\Programme\motherboard monitor 5
2007-02-14 18:24 -------- d-------- C:\Programme\logitech
2007-02-14 18:22 -------- d-------- C:\Programme\gmx
2007-02-14 18:22 -------- d-------- C:\Programme\easy icon maker
2007-02-14 18:21 -------- d-------- C:\Programme\eagle-4.15
2007-02-14 18:16 -------- d-------- C:\Programme\advanced tetris for windows mobile
2007-02-14 05:12 -------- d-------- C:\Programme\remoteamp
2007-02-01 06:56 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-02-01 06:56 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-02-01 06:56 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-02-01 06:56 639066 --a------ C:\WINDOWS\system32\divx.dll
2007-01-31 23:27 524288 --a------ C:\WINDOWS\system32\divxsm.exe
2007-01-31 01:15 118784 --a------ C:\WINDOWS\system32\divxcodecupdatechecker.exe
2007-01-30 15:07 10752 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-01-30 07:03 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-01-30 07:03 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-01-30 07:03 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-01-30 07:03 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-01-30 07:03 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-01-30 07:03 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-01-30 06:56 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-01-30 06:56 593920 --a------ C:\WINDOWS\system32\dpugui11.dll
2007-01-30 06:56 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-01-30 06:56 53248 --a------ C:\WINDOWS\system32\dpugui10.dll
2007-01-30 06:56 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-01-30 06:56 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-01-30 06:56 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-01-30 06:56 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-01-28 05:32 319 --a------ C:\drmHeader.bin
2007-01-27 20:26 8 --a------ C:\WINDOWS\system32\nvmodes.dat
2007-01-20 04:01 372736 --a------ C:\WINDOWS\suinsta4001.exe
2007-01-16 01:44 483508 --a------ C:\WINDOWS\system32\perfh007.dat
2007-01-16 01:44 101340 --a------ C:\WINDOWS\system32\perfc007.dat
2007-01-16 01:13 0 --a------ C:\dotnetfx.exe
2007-01-10 03:53 2508 --a------ C:\DOKUME~1\SURFON~1.001\ANWEND~1\$_hpcst$.hpc
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"TVgenial"="C:\\Programme\\TVgenial\\TVgenial.exe -d"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AutorunsDisabled]
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"IntelliPoint"="\"C:\\Programme\\Microsoft IntelliPoint\\ipoint.exe\""
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"SoundMan"="SOUNDMAN.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\AutorunsDisabled]
"LanguageShortcut"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"nwiz"="nwiz.exe /install"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0\\bin\\jusched.exe\""
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"WinVNC"="\"C:\\Programme\\PTeSVNC\\WinVNC.exe\" -servicehelper"
"Xfire"="Xfire.exe /minimize"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"SAFE8"="\"C:\\Programme\\Steganos Safe 8\\SAFE8.exe\" -firstboot"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiskSpaceChecks"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0
********************************************************************
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-04-11 13:36:49
C:\ComboFix-quarantined-files.txt ... 07-04-11 13:36
==>
Code
-------------------------------------------------4: datfind.bat
-------------------------------------------------
**** system32.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: B0F9-58DC
Verzeichnis von C:\WINDOWS\system32
11.04.2007 13:31 13.646 wpa.dbl
11.04.2007 13:30 145.209 OODBS.lor
11.04.2007 12:06 50.844 nvapps.xml
05.04.2007 20:45 22.641 dmsynthd.dll
14.03.2007 16:08 9.857 jupdate-1.5.0_11-b03.log
12.03.2007 12:43 269.392 FNTCACHE.DAT
01.03.2007 22:59 139.264 javaws.exe
01.03.2007 22:59 69.632 javacpl.cpl
01.03.2007 22:59 135.168 java.exe
01.03.2007 22:59 135.168 javaw.exe
**** systemtemp.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: B0F9-58DC
Verzeichnis von C:\DOKUME~1\SURFON~1.001\LOKALE~1\Temp
11.04.2007 13:45 222 STG4.tmp
11.04.2007 13:45 25.214 STG3.tmp
11.04.2007 13:45 559 WCESCOMM.LOG
11.04.2007 13:45 431 WCESLog.log
11.04.2007 13:45 25.214 STG2.tmp
5 Datei(en) 51.640 Bytes
0 Verzeichnis(se), 1.538.125.824 Bytes frei
**** system.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: B0F9-58DC
Verzeichnis von C:\WINDOWS
11.04.2007 13:34 24.231.820 ntbtlog.txt
11.04.2007 13:32 0 0.log
11.04.2007 13:31 159 wiadebug.log
11.04.2007 13:31 50 wiaservc.log
11.04.2007 13:31 2.048 bootstat.dat
11.04.2007 13:28 32.626 SchedLgU.Txt
11.04.2007 13:28 1.991.850 WindowsUpdate.log
11.04.2007 03:20 116 NeroDigital.ini
06.04.2007 20:20 676.357 setupapi.log
04.04.2007 18:58 835 win.ini
04.04.2007 18:58 227 system.ini
03.04.2007 13:15 38 AviSplitter.INI
21.03.2007 15:11 261 maketorrent.ini
14.03.2007 16:09 2.992 mozver.dat
**** tmp.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: B0F9-58DC
Verzeichnis von C:\WINDOWS\Temp
11.04.2007 13:31 0 ib4
11.04.2007 13:31 0 ib3
11.04.2007 13:31 0 ib2
3 Datei(en) 0 Bytes
0 Verzeichnis(se), 1.538.117.632 Bytes frei
**** down.txt
KEINE EINTRÄGE IN DEN LETZTEN 3 MONATEN
Vielen Dank für eure Mühen,
Huelke