CiD PopUps öffnen sich ständig!

#0
20.06.2007, 19:54
...neu hier

Beiträge: 4
#1 Ständig öffnen sich PopUps von CiD.
Ne Datei names Cid_Helper habe ich nicht gefunden.

Zitat

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:33:24, on 20.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FarStone\RestoreIT\RestoreIT_XP\VBPTASK.EXE
C:\Programme\Intel\IDU\iptray.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Intel\IDU\awServ.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mike\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" BOOT
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\FarStone\RestoreIT\RestoreIT_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [ipTray.exe] "C:\Programme\Intel\IDU\iptray.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167441658171
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0F79C36-BDC2-4137-9896-AF0ABEBF537F}: NameServer = 192.168.0.1
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Programme\Intel\IDU\awServ.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Diskeeper - Diskeeper® Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 6878 bytes
Seitenanfang Seitenende
21.06.2007, 09:19
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

ein Versuch:
Lade das host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

Führe dann noch aus:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

chris
Seitenanfang Seitenende
21.06.2007, 15:57
...neu hier

Themenstarter

Beiträge: 4
#3 datafind.bat:

Zitat

Verzeichnis von C:\WINDOWS\system32

21.06.2007 15:19 13.646 wpa.dbl
16.06.2007 11:37 1.391.256 FNTCACHE.DAT
08.06.2007 14:38 8.464 sporder.dll
02.05.2007 23:37 10.752 BASSMOD.dll
30.04.2007 14:44 15.612 mlfcache.dat
27.04.2007 22:45 14.970.328 MRT.exe
27.04.2007 09:42 49.152 QuickTime.qts
27.04.2007 09:42 65.536 QuickTimeVR.qtx
18.04.2007 18:13 2.854.400 msi.dll
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 203.096 wuweb.dll
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:44 34.136 wucltui.dll.mui
14.04.2007 13:50 4.254 jupdate-1.6.0_01-b06.log
03.04.2007 16:28 383.488 ieapfltr.dll
03.04.2007 06:36 2.453.952 ieapfltr.dat
02.04.2007 14:21 428.032 swreg.exe
17.03.2007 15:44 293.376 winsrv.dll
12.03.2007 14:02 947.472 msjava.dll
09.03.2007 13:51 270.336 xpsp3res.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:32 1.843.712 win32k.sys
08.03.2007 01:51 510.712 pxdrv.dll
08.03.2007 01:51 64.760 pxcpya64.exe
08.03.2007 01:51 39.672 vxblock.dll
08.03.2007 01:51 129.784 pxafs.dll
08.03.2007 01:51 547.576 px.dll
08.03.2007 01:51 64.760 pxinsa64.exe
08.03.2007 01:51 1.628.920 pxsfs.dll
08.03.2007 01:51 72.440 pxhpinst.exe
08.03.2007 01:51 379.640 pxwave.dll
08.03.2007 01:51 187.128 pxmas.dll
07.03.2007 19:40 822.784 wininet.dll
07.03.2007 19:40 232.960 webcheck.dll
07.03.2007 19:40 1.150.464 urlmon.dll
07.03.2007 19:40 102.400 occache.dll
07.03.2007 19:40 105.984 url.dll
07.03.2007 19:40 670.720 mstime.dll
07.03.2007 19:40 477.696 mshtmled.dll
07.03.2007 19:40 193.024 msrating.dll
07.03.2007 19:40 3.581.952 mshtml.dll
07.03.2007 19:40 458.752 msfeeds.dll
07.03.2007 19:40 1.823.744 inetcpl.cpl
07.03.2007 19:40 27.136 jsproxy.dll
07.03.2007 19:40 51.712 msfeedsbs.dll
07.03.2007 19:40 44.544 iernonce.dll
07.03.2007 19:40 266.752 iertutil.dll
07.03.2007 19:40 6.054.400 ieframe.dll
07.03.2007 19:40 230.400 ieaksie.dll
07.03.2007 19:40 153.088 ieakeng.dll
07.03.2007 19:40 132.608 extmgr.dll
07.03.2007 19:40 384.000 iedkcs32.dll
07.03.2007 19:40 124.928 advpack.dll
07.03.2007 10:27 56.832 ie4uinit.exe
03.03.2007 16:06 34.064 lhacm.acm
HJT-Logfile:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 15:46:39, on 21.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FarStone\RestoreIT\RestoreIT_XP\VBPTASK.EXE
C:\Programme\Intel\IDU\iptray.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Intel\IDU\awServ.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\MUSTERMANN\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" BOOT
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\FarStone\RestoreIT\RestoreIT_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [ipTray.exe] "C:\Programme\Intel\IDU\iptray.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [bib meal real dart] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bendthatbibmeal\Htm Multi.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Play Mapi] C:\DOKUME~1\MUSTERMANN\ANWEND~1\PHONEI~1\Name meal.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167441658171
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0F79C36-BDC2-4137-9896-AF0ABEBF537F}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Programme\Intel\IDU\awServ.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Diskeeper - Diskeeper® Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
Combifix:

Zitat

ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\MUSTERMANN\Desktop\ComboFix.exe
"MUSTERMANN" - 2007-06-21 15:39:08 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\newdotnet
C:\Programme\newdotnet\newdotnet7_48.dll
C:\WINDOWS\NDNuninstall6_38.exe
C:\WINDOWS\NDNuninstall7_48.exe
C:\WINDOWS\system32\msxml3a.dll


((((((((((((((((((((((((( Files Created from 2007-05-21 to 2007-06-21 )))))))))))))))))))))))))))))))


2007-06-21 15:38 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-16 14:55 <DIR> d-------- C:\Programme\Samurize
2007-06-16 13:37 <DIR> d---s---- C:\Programme\Xfire
2007-06-16 13:37 <DIR> d-------- C:\DOKUME~1\MUSTERMANN\ANWEND~1\Xfire
2007-06-15 21:09 <DIR> d-------- C:\Programme\HLSW
2007-06-13 18:08 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
2007-06-13 17:52 <DIR> d-------- C:\Programme\Bonjour
2007-06-13 17:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-06-08 15:34 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2007-06-08 14:36 8,464 --a------ C:\WINDOWS\system32\sporder.dll
2007-06-08 14:36 <DIR> d-------- C:\Programme\themexp
2007-06-08 14:14 <DIR> d-------- C:\WINDOWS\LPLUnInst
2007-06-08 14:14 <DIR> d-------- C:\Programme\CoolMon
2007-06-02 23:18 <DIR> d-------- C:\DOKUME~1\MUSTERMANN\ANWEND~1\Help
2007-06-02 13:28 <DIR> d-------- C:\Programme\iPod
2007-06-02 13:27 <DIR> d-------- C:\Programme\iTunes
2007-06-02 13:26 <DIR> d-------- C:\Programme\QuickTime
2007-05-28 00:20 <DIR> d-------- C:\DOKUME~1\MUSTERMANN\ANWEND~1\Opera
2007-05-26 16:18 <DIR> d-------- C:\Programme\SpacialAudio
2007-05-26 16:18 <DIR> d-------- C:\Programme\Firebird
2007-05-26 01:52 <DIR> d-------- C:\Programme\SHOUTcast
2007-05-24 15:01 102,400 --a------ C:\WINDOWS\system32\tsccvid.dll
2007-05-23 19:30 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-05-23 19:30 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-05-23 19:30 43,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-05-23 19:30 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-05-23 19:30 <DIR> d-------- C:\Programme\Winamp
2007-05-22 21:22 <DIR> d-------- C:\Programme\StuffPlug3


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-21 13:21:02 -------- d-----w C:\Programme\Steam
2007-06-19 15:00:08 -------- d-----w C:\DOKUME~1\MUSERMANN\ANWEND~1\teamspeak2
2007-06-13 04:43:27 -------- d-----w C:\DOKUME~1\MUSTERMANN\ANWEND~1\Azureus
2007-06-08 13:34:07 -------- d-----w C:\Programme\Gemeinsame Dateien\Stardock
2007-06-08 12:59:03 -------- d-----w C:\Programme\Stardock
2007-06-02 11:24:43 -------- d-----w C:\Programme\Apple Software Update
2007-05-26 23:23:00 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-22 19:22:13 -------- d-----w C:\Programme\MSN Messenger
2007-05-17 15:34:07 -------- d-----w C:\DOKUME~1\MUSTERMANN\ANWEND~1\BearShare
2007-05-15 17:42:06 -------- d-----w C:\Programme\KalOnlineEng
2007-05-02 21:58:29 -------- d-----w C:\Programme\VirtualDJ
2007-04-30 12:44:21 15,612 ---ha-w C:\WINDOWS\system32\mlfcache.dat
2007-04-30 12:42:40 -------- d-----w C:\Programme\Gamers.IRC
2007-04-28 20:31:03 -------- d-----w C:\Programme\FileZilla
2007-04-22 12:37:34 253,952 ------w C:\WINDOWS\Setup1.exe
2007-04-22 12:37:33 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-03-02 13:02]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 04:23]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar2.dll [2007-04-14 13:59]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelAudioStudio"="C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" [2006-08-02 18:17]
"DiskeeperSystray"="C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-02-24 20:29]
"RestoreIT!"="C:\Programme\FarStone\RestoreIT\RestoreIT_XP\VBPTASK.exe" [2005-04-30 07:09]
"ipTray.exe"="C:\Programme\Intel\IDU\iptray.exe" [2006-11-24 13:26]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 12:12]
"AGEIA PhysX SysTray"="C:\Programme\AGEIA Technologies\TrayIcon.exe" [2006-03-20 21:43]
"bib meal real dart"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bendthatbibmeal\Htm Multi.exe" [2007-03-23 12:59]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-30 23:22]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-05-26 12:45]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55]
"Play Mapi"="C:\DOKUME~1\MUSTERMANN\ANWEND~1\PHONEI~1\Name meal.exe" [2007-03-23 12:59]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-04-14 13:59]
"Steam"="" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"="C:\PROGRA~1\GEMEIN~1\Stardock\MCPCore.dll" [2005-05-10 13:31]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
UxTuneUp


Contents of the 'Scheduled Tasks' folder
2007-06-15 15:16:26 C:\WINDOWS\tasks\1-Klick-Wartung.job
2007-06-19 19:00:00 C:\WINDOWS\tasks\A5F40498929BB5C0.job
2007-06-16 11:22:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-21 15:43:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

? [3216]


scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-21 15:44:45
C:\ComboFix-quarantined-files.txt ... 2007-06-21 15:44

--- E O F ---
Seitenanfang Seitenende
21.06.2007, 16:37
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

versuche herauszufinden welcher Prozess sich hinter der ID
3216 versteckt. Eventuell musst Du dazu die Spalte einblenden lassen
(Ansicht->Spalten auswählen). Führe vorher nochmal gmer aus, um die richtige ID zu bekommen. Falls Du ihn nicht unter Prozessen findest, ist noch was faul...

Du hattest newdotnet, der ist aber von combofix eleminiert worden
C:\Programme\newdotnet
C:\Programme\newdotnet\newdotnet7_48.dll
C:\WINDOWS\NDNuninstall6_38.exe
C:\WINDOWS\NDNuninstall7_48.exe

Sowie Spyware:
Msxml3a.dll Spyware.SafeSurfing.

Kennst Du diese Files/Anwendungen:
Prüfen ob bekannt:
O4 - HKLM\..\Run: [bib meal real dart] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bendthatbibmeal\Htm Multi.exe
O4 - HKCU\..\Run: [Play Mapi] C:\DOKUME~1\MUSTERMANN\ANWEND~1\PHONEI~1\Name meal.exe

Lasse sie am besten online scannen:
virustotal:

Zitat

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen.
http://www.virustotal.com/flash/index_en.html
Hier der passende Fix:
Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat


O4 - HKLM\..\Run: [bib meal real dart] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bendthatbibmeal\Htm Multi.exe
O4 - HKCU\..\Run: [Play Mapi] C:\DOKUME~1\MUSTERMANN\ANWEND~1\PHONEI~1\Name meal.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Scanne nochmal mit Cureit
Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Poste die Logs, was macht der Rechner und der log von der hosts-Datei (da hängt sich u. U. auch CiD ein).

Chris
Seitenanfang Seitenende
21.06.2007, 18:16
...neu hier

Themenstarter

Beiträge: 4
#5 Hier die Log von der host-datei (alles voll von CiD):

Zitat

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD
O4 - HKCU\..\Run: [Play Mapi] C:\DOKUME~1\MUSTERMANN\ANWEND~1\PHONEI~1\Name meal.exe
War ein trojaner und konnte gelöscht werden.


O4 - HKLM\..\Run: [bib meal real dart] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bendthatbibmeal\Htm Multi.exe
Kenn ich nicht, ist ein Trojaner, kann aber nicht gelöscht werden, da es irgendwo verwendet wird.

ID 3216 wird nicht unter Prozesse angezeigt. Was genau meinst du mit gmer ausführen? Kenn mich nicht so gut aus.


Bisher öffnen sich immernoch CiD-PopUps.
Seitenanfang Seitenende
21.06.2007, 18:30
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKLM\..\Run: [bib meal real dart] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bendthatbibmeal\Htm Multi.exe
O4 - HKCU\..\Run: [Play Mapi] C:\DOKUME~1\MUSTERMANN\ANWEND~1\PHONEI~1\Name meal.exe

klicke:Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Loeschen und danach Papierkorb leeren
C:\Qoobox
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bendthatbibmeal\Htm Multi.exe
C:\DOKUME~1\MUSTERMANN\ANWEND~1\PHONEI~1\Name meal.exeC:\WINDOWS\tasks\A5F40498929BB5C0.job

Download HostsXpert 4 http://www.funkytoad.com/download/HostsXpert.zip
Mach mit
eine verknuepfung zum Desktop

Klicke nur! “Restore MSHosts file

Und Berichte
__________
MfG Argus
Seitenanfang Seitenende
21.06.2007, 19:30
...neu hier

Themenstarter

Beiträge: 4
#7 Vielen Dank. Hat alles geklappt und es kommen keine PopUps mehr!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »