festplattencleaner und div. andere pop-upsThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
23.11.2007, 19:20
Member
Beiträge: 15 |
||
|
||
23.11.2007, 21:10
Member
Beiträge: 3716 |
#2
hi, lad combofix poste log:
http://virus-protect.org/artikel/tools/combofix.html lad smitfraudfix, les anleitung logs poosten http://siri.urz.free.fr/Fix/SmitfraudFix_De.php lad filelist.zip, entpacke auf dem desktop, klicke filelist.bat an es öffnet sich ein editorfenster. poste von jedem verzeichniss letzten 2 monate. http://members.linzag.net/680262/filelist.zip poste als letztes neues hjtlog benenne hijackthis.exe in hjt.com da die hijackthis.exe von einigen schadprogrammen ausgetrixt wird, hijackthis muss in einem eigenen ordner laufen für bakcups |
|
|
||
23.11.2007, 21:53
Member
Themenstarter Beiträge: 15 |
#3
also, los gehts
combofixlog ComboFix 07-11-19.3 - Sabrina 2007-11-23 21:36:51.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.326 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Sabrina\Desktop\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-10-23 bis 2007-11-23 )))))))))))))))))))))))))))))) . 2007-11-23 21:27 3,040 --a------ C:\WINDOWS\system32\tmp.reg 2007-11-23 21:27 0 --a------ C:\WINDOWS\system32\tmp.txt 2007-11-23 21:24 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-11-23 21:24 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-11-23 00:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oberon 2007-11-22 22:54 <DIR> d-------- C:\Dokumente und Einstellungen\Sabrina\Saved Games 2007-11-22 22:54 <DIR> d-------- C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\Flood Light Games 2007-11-22 22:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Flood Light Games 2007-11-19 22:45 <DIR> d-------- C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\ViquaSoft 2007-11-18 07:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-11-14 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Age of Empires 3 YPack Trial 2007-11-13 15:36 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2007-11-13 15:36 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys 2007-11-13 15:23 <DIR> d-------- C:\Programme\TrekStor 2007-11-12 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\concept design 2007-11-11 02:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fugazo 2007-10-29 03:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NeptunesAdve . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-23 15:37 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-11-23 08:16 --------- d-----w C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\Skype 2007-11-19 21:37 --------- d-----w C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\PlayFirst 2007-11-16 10:08 --------- d-----w C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\GameHouse 2007-11-14 17:15 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-11-14 11:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sandlot Games 2007-10-20 17:41 --------- d-----w C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\Zylom 2007-10-17 06:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst 2007-10-17 06:07 --------- d-----w C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\MaggieTheGardener 2007-10-13 00:13 --------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2 2007-10-12 23:13 --------- d-----w C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\Abra Academy2 2007-10-11 16:37 --------- d-----w C:\Programme\Windows Live Toolbar 2007-10-11 16:37 --------- d-----w C:\Programme\Windows Live Favorites 2007-10-11 16:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Live Toolbar 2007-10-11 16:35 --------- d-----w C:\Programme\MSN Messenger 2007-10-11 15:55 --------- d-----w C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\phonostar-Player 2007-10-11 15:11 --------- d-----w C:\Programme\phonostar 2007-10-10 13:17 --------- d-----w C:\Programme\Java 2007-10-08 16:29 --------- d-----w C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\ForgottenRiddles 2007-10-07 03:27 --------- d-----w C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\Legends of pirates 2007-10-03 21:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HipSoft 2007-09-30 02:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GamesBar 2007-06-21 03:18 76,288 ----a-w C:\Dokumente und Einstellungen\Sabrina\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-04-08 22:24 774,144 ----a-w C:\Programme\RngInterstitial.dll 2006-10-27 15:15 220 --sh--w C:\WINDOWS\dwin.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00] "PhonostarAgent"="C:\Programme\phonostar\ps_agent.exe" [2007-06-18 15:49] "PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-06-18 15:59] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-11-24 17:16] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 08:41] "ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-09-22 06:36 C:\WINDOWS\RTHDCPL.exe] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41] "DMXLauncher"="C:\Programme\Roxio\CinePlayer\DMXLauncher.exe" [2006-03-12 02:21] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11] "T-DSL SpeedMgr"="C:\PROGRA~1\T-Online\SPEEDM~1\SpeedMgr.exe" [2004-07-14 16:01] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 15:02] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43] "ZoneAlarm Client"="C:\Programme\ZoneAlarm\zlclient.exe" [2007-03-08 23:02] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 13:00] C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\ StarOffice 7.lnk - C:\Program Files\StarOffice7\program\quickstart.exe [2003-11-01 07:01:00] C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\ StarOffice 7.lnk - C:\Program Files\StarOffice7\program\quickstart.exe [2003-11-01 07:01:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" R2 Machnm32;Machnm32 Driver;\??\C:\WINDOWS\system32\Machnm32.sys R3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;C:\WINDOWS\system32\DRIVERS\fpcibase.sys R3 GT680x;GrandTechICNameNT;C:\WINDOWS\system32\Drivers\gt680x.sys R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" S3 PhnxVcd;PhnxVcd;C:\WINDOWS\system32\Drivers\PhnxVcd.sys S3 SetupNTGLM7X;SetupNTGLM7X;\??\H:\NTGLM7X.sys S3 TNPacket;T-Systems Nova Packet Capture Driver;\??\C:\Programme\T-Online\Speedmanager\TNPACKET.SYS S3 V2210VID;DigitalCam Pro;C:\WINDOWS\system32\DRIVERS\V2210vid.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c3e81e0-b59c-11da-9727-806d6172696f}] \Shell\AutoRun\command - E:\Autorun.exe "/OEMDocs/start_PG/styles/run_tmp.bat" *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners "2007-11-23 19:48:01 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job" - C:\Programme\Windows Live Toolbar\MSNTBUP.EXE . ************************************************************************** catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-23 21:38:10 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-11-23 21:38:51 C:\ComboFix2.txt ... 2007-11-23 21:34 . --- E O F --- smitfraudfix-log: SmitFraudFix v2.253 Scan done at 21:27:17,50, 23.11.2007 Run from C:\Programme\Mozilla Firefox\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Cisco Systems\VPN Client2\cvpnd.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ehome\ehtray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Roxio\CinePlayer\DMXLauncher.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\PROGRA~1\T-Online\SPEEDM~1\SpeedMgr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\phonostar\ps_agent.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\dokumente und einstellungen\sabrina\lokale einstellungen\anwendungsdaten\opxhhpqyai.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\T-Online\Speedmanager\tsmsvc.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts hosts file corrupted ! 127.0.0.1 www.legal-at-spybot.info 127.0.0.1 legal-at-spybot.info »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Sabrina »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Sabrina\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Sabrina\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Realtek RTL8169/8110 Family Gigabit Ethernet NIC - Paketplaner-Miniport DNS Server Search Order: 192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{0E2D9A9D-9CC1-4A9C-B683-0267F6E2EFD4}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{0E2D9A9D-9CC1-4A9C-B683-0267F6E2EFD4}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{0E2D9A9D-9CC1-4A9C-B683-0267F6E2EFD4}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End filelist-log ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8865-234D Verzeichnis von C:\ 23.11.2007 21:45 43 filelist.txt 23.11.2007 21:38 9.056 ComboFix.txt 23.11.2007 21:34 9.564 ComboFix2.txt 23.11.2007 21:27 4.682 rapport.txt 23.11.2007 09:15 1.610.612.736 pagefile.sys 22.11.2007 23:55 125 ioSpecial.ini 21.11.2007 23:36 115 DownloadLog.txt 17.10.2007 07:14 6 settings.ini ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8865-234D Verzeichnis von C:\WINDOWS 23.11.2007 17:15 1.572.982 WindowsUpdate.log 23.11.2007 09:15 0 0.log 23.11.2007 09:15 159 wiadebug.log 23.11.2007 09:15 52 wiaservc.log 23.11.2007 09:15 2.048 bootstat.dat 23.11.2007 01:11 32.536 SchedLgU.Txt 08.11.2007 16:59 136.704 catchme.exe 15.10.2007 17:21 769 win.ini ----- System 32 (Achtung: Zeitfenster beachten!) --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8865-234D Verzeichnis von C:\WINDOWS\system32 23.11.2007 21:27 0 tmp.txt 23.11.2007 21:27 3.040 tmp.reg 23.11.2007 09:16 1.158 wpa.dbl 23.11.2007 09:16 55.080 vsconfig.xml 15.11.2007 13:49 0 mapisvc.inf 02.11.2007 08:12 18.238.072 MRT.exe 29.10.2007 16:07 373.760 xpsp3res.dll 28.10.2007 09:16 401.064 perfh009.dat 28.10.2007 09:16 415.414 perfh007.dat 28.10.2007 09:16 62.344 perfc009.dat 28.10.2007 09:16 74.950 perfc007.dat 28.10.2007 09:16 965.968 PerfStringBackup.INI 25.10.2007 17:42 8.501.248 shell32.dll 15.10.2007 10:30 277.352 FNTCACHE.DAT 10.10.2007 14:17 5.686 jupdate-1.6.0_03-b05.log 03.10.2007 23:36 25.600 WS2Fix.exe 24.09.2007 22:31 139.264 javaws.exe 24.09.2007 22:31 69.632 javacpl.cpl 24.09.2007 21:30 135.168 javaw.exe 24.09.2007 21:30 135.168 java.exe 05.09.2007 23:22 289.144 VCCLSID.exe ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8865-234D Verzeichnis von C:\WINDOWS\Prefetch 23.11.2007 21:45 11.812 FIND.EXE-0EC32F1E.pf 23.11.2007 21:45 12.334 CMD.EXE-087B4001.pf 23.11.2007 21:44 41.618 WINRAR.EXE-3588DFE8.pf 23.11.2007 21:39 104.938 FIREFOX.EXE-1D57670A.pf 23.11.2007 21:39 15.054 NOTEPAD.EXE-336351A9.pf 23.11.2007 21:38 10.160 SWREG.CFEXE-2BF4FFCD.pf 23.11.2007 21:38 5.020 MTEE.CFEXE-1E067BC7.pf 23.11.2007 21:38 11.646 FINDSTR.EXE-0CA6274B.pf 23.11.2007 21:38 4.640 GREP.CFEXE-20443039.pf 23.11.2007 21:38 25.530 SED.CFEXE-268D7E58.pf 23.11.2007 21:38 14.822 REGEDIT.EXE-1B606482.pf 23.11.2007 21:38 11.936 REGT.CFEXE-15DB5DAE.pf 23.11.2007 21:38 9.306 NIRCMD.CFEXE-19FF4781.pf 23.11.2007 21:37 8.342 SWXCACLS.CFEXE-365F7973.pf 23.11.2007 21:37 8.320 SWSC.CFEXE-3B4FE4FE.pf 23.11.2007 21:37 35.838 WMIPRVSE.EXE-28F301A9.pf 23.11.2007 21:36 31.718 CSCRIPT.EXE-1C26180C.pf 23.11.2007 21:36 10.088 VFIND.CFEXE-2033727F.pf 23.11.2007 21:36 9.474 SWREG.EXE-3688D00C.pf 23.11.2007 21:36 5.540 CHCP.COM-18156052.pf 23.11.2007 21:36 8.564 NIRCMD.EXE-1F7FED22.pf 23.11.2007 21:36 46.166 COMBOFIX.EXE-1D2501A4.pf 23.11.2007 21:31 53.394 ERUNT.CFEXE-039977DB.pf 23.11.2007 21:27 15.454 NOTEPAD.EXE-189578DA.pf 23.11.2007 21:27 7.730 SWREG.EXE-2079CCBF.pf 23.11.2007 21:27 6.312 DUMPHIVE.EXE-2A9C3B98.pf 23.11.2007 21:27 4.794 SRCHSTS.EXE-07B195AA.pf 23.11.2007 21:24 12.832 CHKNTFS.EXE-31921D64.pf 23.11.2007 21:24 35.070 SMITFRAUDFIX.EXE-09F7893E.pf 23.11.2007 21:14 47.920 DFRGNTFS.EXE-269967DF.pf 23.11.2007 21:14 15.748 DEFRAG.EXE-273F131E.pf 23.11.2007 21:05 429.138 Layout.ini 23.11.2007 20:48 21.110 WUAUCLT.EXE-399A8E72.pf 23.11.2007 20:48 17.510 MSNTBUP.EXE-0FE4C519.pf 23.11.2007 20:37 40.524 LUCOMS~1.EXE-02DB5950.pf 23.11.2007 20:37 76.378 AUPDATE.EXE-089630E1.pf 23.11.2007 19:42 77.800 AVNOTIFY.EXE-22AE9451.pf 23.11.2007 19:41 63.518 UPDATE.EXE-13D57D76.pf 23.11.2007 19:41 15.394 PREUPD.EXE-358AA1C1.pf 23.11.2007 19:18 11.718 HIJACKTHIS.EXE-16D9ECD9.pf 23.11.2007 19:04 17.502 TASKMGR.EXE-20256C55.pf 23.11.2007 19:03 16.828 ATF-CLEANER.EXE-2181B4D7.pf 23.11.2007 18:33 36.396 SPYBOTSD.EXE-1D495A65.pf 23.11.2007 18:33 53.260 SDUPDATE.EXE-30CF90C0.pf 23.11.2007 18:30 19.088 TEATIMER.EXE-38E505A8.pf 23.11.2007 18:30 15.848 SPYBOTSD_INCLUDES.EXE-13D2349E.pf 23.11.2007 18:30 24.376 REGSVR32.EXE-25EEFE2F.pf 23.11.2007 18:29 14.998 IS-DKOGF.TMP-08AEEF33.pf 23.11.2007 18:29 14.024 SPYBOTSD15.EXE-1DEBCEFB.pf 23.11.2007 18:19 17.700 NETSTAT.EXE-2B2B4428.pf 23.11.2007 16:37 14.220 UNINSTALL.EXE-0ECEDDB8.pf 23.11.2007 16:37 71.510 RUNDLL32.EXE-13404D23.pf 23.11.2007 12:00 47.164 AVSCAN.EXE-05AECC0E.pf 23.11.2007 09:32 38.466 UPDCLIENT.EXE-215FC96B.pf 23.11.2007 09:21 20.378 WKUFIND.EXE-18C07230.pf 23.11.2007 09:21 41.614 AMAZINGADVENTURES.EXE-1012EBB1.pf 23.11.2007 09:21 59.722 LAUNCH.EXE-1FEE19CE.pf 23.11.2007 09:17 69.790 USNSVC.EXE-1D8C2356.pf 23.11.2007 09:16 79.954 CLI.EXE-02B0DB56.pf 23.11.2007 09:16 81.324 TSMSVC.EXE-01EAE56A.pf 23.11.2007 09:16 18.832 WMIAPSRV.EXE-1E2270A5.pf 23.11.2007 09:16 11.532 READER_SL.EXE-36135169.pf 23.11.2007 09:16 49.062 MSNMSGR.EXE-091111D0.pf 23.11.2007 09:16 21.128 OPXHHPQYAI.EXE-0792C925.pf 23.11.2007 09:16 13.320 WMPNSCFG.EXE-094B04CE.pf 23.11.2007 09:16 56.826 SKYPE.EXE-21F19BC8.pf 23.11.2007 09:16 17.670 VPNGUI.EXE-30D90FE5.pf 23.11.2007 09:16 45.352 WGATRAY.EXE-0ED38BED.pf 23.11.2007 09:16 80.202 PS_AGENT.EXE-3729F499.pf 23.11.2007 09:16 68.080 AGENT.EXE-027CAB18.pf 23.11.2007 09:16 61.058 PS_TIMER.EXE-0EADA93A.pf 23.11.2007 09:16 78.380 CTFMON.EXE-0E17969B.pf 23.11.2007 01:11 20.266 LOGONUI.EXE-0AF22957.pf 23.11.2007 00:01 60.470 AMAZING_ADVENTURES_THE_LOST_T-1F6D7FAD.pf 23.11.2007 00:01 27.046 AMAZING_ADVENTURES_THE_LOST_T-36D46B69.pf 22.11.2007 23:55 21.216 AU_.EXE-195A638C.pf 22.11.2007 23:55 13.542 UNINSTALL.EXE-31DB7523.pf 22.11.2007 23:55 20.556 BFGPROCESS.EXE-26BFADE6.pf 22.11.2007 23:55 13.658 UNINSTALL.EXE-25679A29.pf 22.11.2007 23:54 27.402 KXKNQVQ.EXE-0A21D229.pf 22.11.2007 22:54 45.876 ENDHOUSE.EXE-248AD6FF.pf 22.11.2007 22:54 62.434 BFGGAMESERVICES.EXE-2D2953CD.pf 22.11.2007 22:41 124.136 HELPSVC.EXE-2878DDA2.pf 22.11.2007 22:34 58.470 SETUP_GF2233T1L1_D93885068_L1-2403968A.pf 22.11.2007 22:26 58.600 BFGCLIENT.EXE-06B794E5.pf 22.11.2007 22:26 17.750 AGATHA-CHRISTIE-PERIL-AT-END--097EA149.pf 22.11.2007 22:26 24.144 AGATHA-CHRISTIE-PERIL-AT-END--2E735964.pf 22.11.2007 20:00 32.406 AMAZINGADVENTURES.EXE-266C3DB9.pf 22.11.2007 19:59 49.534 AMAZINGADVENTURES_R1A.EXE-311E4FAC.pf 22.11.2007 19:59 70.012 RNARCADE.EXE-1323BAC6.pf 22.11.2007 19:52 60.998 WINWORD.EXE-259486DA.pf 22.11.2007 19:52 23.354 MANTISPM.EXE-235B57C1.pf 22.11.2007 19:52 87.344 OUTLOOK.EXE-22C5790A.pf 22.11.2007 19:48 29.780 WLLOGINPROXY.EXE-33926225.pf 22.11.2007 19:48 86.484 IEXPLORE.EXE-2CA9778D.pf 22.11.2007 19:40 73.088 EHREC.EXE-3B4F59C8.pf 21.11.2007 23:41 21.388 GOOGLESTUBINST.EXE-07662E8C.pf 21.11.2007 23:33 13.488 UNINSTALL.EXE-20A92CF3.pf 21.11.2007 23:32 28.608 LKNWMGR.EXE-194CE63C.pf 21.11.2007 22:33 44.650 DIRTYDANCING.EXE-10293317.pf 21.11.2007 22:29 38.350 DAVINCI.SCR-28BEDC30.pf 21.11.2007 20:31 16.282 SETUP_GF2227T1L1_D93251242_L1-1203146D.pf 21.11.2007 20:22 19.176 DIRTY-DANCING_S1_L1_GF2227T1L-20DC5DB7.pf 21.11.2007 20:22 23.076 DIRTY-DANCING_S1_L1_GF2227T1L-3A0D8444.pf 21.11.2007 12:23 11.868 GLB1A2B.EXE-07FE9DCF.pf 21.11.2007 12:23 16.764 UNWISE.EXE-0131A06D.pf 21.11.2007 12:15 15.704 AGENTSVR.EXE-002E45AB.pf 21.11.2007 00:56 61.962 WMPLAYER.EXE-09969338.pf 20.11.2007 16:59 5.026 ISSCH.EXE-13FD372D.pf 20.11.2007 16:56 30.026 ISUSPM.EXE-1D77C392.pf 20.11.2007 16:56 10.724 EHMSAS.EXE-181DA6C9.pf 19.11.2007 23:30 39.622 CINDYSSUNDAES.EXE-134BB466.pf 19.11.2007 23:30 50.898 CINDYS~1.EXE-131070F3.pf 19.11.2007 22:37 13.122 GLB10.TMP-2883C1FB.pf 19.11.2007 22:37 5.750 INSTALL_CINDYSSUNDAES.EXE-37D48B40.pf 19.11.2007 16:54 102.826 FIREFOX.EXE-17EE503B.pf 19.11.2007 12:19 25.762 SPIDER.EXE-2D998CA6.pf 19.11.2007 03:00 16.134 _IU14D2N.TMP-0D06EC13.pf 19.11.2007 03:00 18.002 UNINS000.EXE-1E5B0A3B.pf 19.11.2007 01:59 67.244 HIDDEN RELICS.RWG-06DA720F.pf 19.11.2007 01:59 3.086 RAW_003.WDT-22FB6D0E.pf 19.11.2007 01:57 19.358 HIDDEN RELICS.EXE-0F1C2113.pf 19.11.2007 01:42 13.644 HIDDENRELICSSETUP4912.EXE-0A096122.pf 19.11.2007 01:42 19.374 IS-PUTSM.TMP-24214B18.pf 19.11.2007 01:42 9.022 HIDDENRELICSSETUP.EXE-0F07AE84.pf 18.11.2007 18:09 64.456 WMPLAYER.EXE-09969333.pf 12.11.2007 17:36 35.830 MSMSGS.EXE-32066BA5.pf ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8865-234D Verzeichnis von C:\WINDOWS\tasks 23.11.2007 20:48 250 Auf Updates für Windows Live Toolbar prüfen.job 23.11.2007 09:15 6 SA.DAT 10.08.2004 13:00 65 desktop.ini 3 Datei(en) 321 Bytes 0 Verzeichnis(se), 159.203.745.792 Bytes frei ----- Windows/Temp ----------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8865-234D Verzeichnis von C:\WINDOWS\Temp 23.11.2007 09:16 16.384 Perflib_Perfdata_f44.dat 23.11.2007 09:15 256 ZLT00bdb.TMP 23.11.2007 09:15 256 ZLT00bd4.TMP 3 Datei(en) 16.896 Bytes 0 Verzeichnis(se), 159.203.741.696 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8865-234D Verzeichnis von C:\DOKUME~1\Sabrina\LOKALE~1\Temp 23.11.2007 21:42 549 filelist.zip 23.11.2007 09:17 16.384 Perflib_Perfdata_768.dat 23.11.2007 09:17 16.384 Perflib_Perfdata_738.dat 23.11.2007 09:16 16.384 Perflib_Perfdata_dc8.dat 4 Datei(en) 49.701 Bytes 0 Verzeichnis(se), 159.203.741.696 Bytes frei und last but not least der neue hijackthislogfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:52:12, on 23.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Cisco Systems\VPN Client2\cvpnd.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ehome\ehtray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Roxio\CinePlayer\DMXLauncher.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\PROGRA~1\T-Online\SPEEDM~1\SpeedMgr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\phonostar\ps_agent.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\T-Online\Speedmanager\tsmsvc.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\MSN Messenger\usnsvc.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Sabrina\Desktop\htj\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: (no name) - {BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA} - (no file) O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Roxio\CinePlayer\DMXLauncher.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-Online\SPEEDM~1\SpeedMgr.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client2\vpngui.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?03dd70d89f464c4b8b56646c487e752c O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?03dd70d89f464c4b8b56646c487e752c O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://C:\Programme\Westward\Images\stg_drm.ocx O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141546086265 O16 - DPF: {775879E2-7309-4619-BB02-AADE41F4B690} (CPlayFirstdreamControl Object) - http://www.playfirst.com/play/game/dreamchronicles/dreamweb.1.0.0.6.cab O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Programme\Westward\Images\armhelper.ocx O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client2\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-Online\Speedmanager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 9348 bytes bin mal gespannt... |
|
|
||
25.11.2007, 02:29
Ehrenmitglied
Beiträge: 6028 |
#4
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei VirusTotal oder Jotti C:\dokumente und einstellungen\sabrina\lokale einstellungen\anwendungsdaten\opxhhpqyai.exe Stand alone DrWeb Stand alone Kaspersky HostsXpert Download HostsXpert 4 Mach mit eine verknuepfung zum Desktop Klicke nur! “Restore MSHosts file” __________ MfG Argus |
|
|
||
25.11.2007, 09:59
Member
Beiträge: 3716 |
#5
hi arnold, ich glaub die einträge in der hosts sind nur von spyboot die braucht man nciht zu bereinigen wenn mich nciht alles teuscht...
|
|
|
||
25.11.2007, 14:37
Ehrenmitglied
Beiträge: 6028 |
||
|
||
27.11.2007, 00:58
Member
Themenstarter Beiträge: 15 |
#7
Also, den Pfad
C:\dokumente und einstellungen\sabrina\lokale einstellungen\anwendungsdaten\opxhhpqyai.exe gibts nicht mehr auf dem Rechner, hab nur was ähnliches in C:\WINDOWS\Prefetch und C:\qoobox\Quarantine\C\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Anwendungsdaten gefunden und bei VirusTotal gecheckt, nüschte... Das mit dem HostExpert4 hat nicht funktioniert. Aber mal davon abgesehen sind seit den ersten Checks keine Pop Ups mehr aufgetaucht. Jetzt ist nur noch der Download recht schneckenhaft, zumindest ziemlich oft. Würde mich wundern, wenn ich seit kurzem immer nur zu "Hochlast-Zeiten" auf die entsprechenden Server zugreife. Vielleicht gibts diesbezüglich auch noch was zu prüfen. Danke im Voraus |
|
|
||
27.11.2007, 02:09
Ehrenmitglied
Beiträge: 6028 |
#8
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer". Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) Download ResetTeaTimer zum Desktop Doppelklik ResetTeaTimer Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten! ATF cleaner Benutze ATF Cleaner http://board.protecus.de/t23188.htm Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA} - (no file) klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Start-->Ausführen kopiere rein: sc stop "Boonty Games" Klicke OK Nochmal dasselbe kopiere rein: sc delete "Boonty Games" Klicke OK SDFix Download SDFix zum Desktop Starte im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread Download CounterSpyV2.0 zum Desktop und dopplelklick um das Program zu installieren CounterSpy wird geupdatet Klicke: " System scan " Nach dem Scan muss man sich entscheiden für: * Remove --> Status: Deleted Nur für Windows XP(32bit) - Windows Vista (32bit) - Windows 2000 (SP3+) Note CounterSpy hat den Nachteil --> es will sich stets updaten Wenn man CS startet: Would you like to enable Automatic Updates? Wähle --> No Would you like to enable Active Protection? Wähle --> No Would you like to join ThreatNet? Wähle --> Yes Häckchen entfernen bei --> Recommended __________ MfG Argus |
|
|
||
29.11.2007, 02:02
Member
Themenstarter Beiträge: 15 |
#9
Hier der SDFix-Log
SDFix: Version 1.116 Run by Sabrina on 29.11.2007 at 00:31 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-29 00:38:44 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\\24\xe1\21] "DisplayName"="\x59b8\x375\x59b8\x375\1" "DeviceDesc"="\x59b8\x375\x59b8\x375\1" "ProviderName"="\xfed4\21\xee18\x7c91\xff44\21\b" "MFG"="\x700" "ReinstallString"="C:\WINDOWS\System32\ReinstallBackups\\xe114\21\x80\xc010\DriverFiles\.INF" "DeviceInstanceIds"=str(7):"c:\ati\support\6-3_xp_sb_30895\smbus\smbusati.inf" scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- Files with Hidden Attributes: Fri 27 Oct 2006 220 ..SH. --- "C:\WINDOWS\dwin.sys" Wed 28 Nov 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp" Thu 29 Nov 2007 96 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys" Thu 29 Nov 2007 5,686 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE1.tmp" Thu 29 Nov 2007 5,940 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE4.tmp" Finished! Counterspy hat auch noch einiges gefunden und gelöscht. Anscheinend war W32/MEWpacked.gen das größte Problem. Hoffe, jetzt ist wieder alles in Butter... Falls nicht, melde ich mich nochmal. Vielen Dank für die Hilfe |
|
|
||
29.11.2007, 02:13
Ehrenmitglied
Beiträge: 6028 |
#10
Entferne auf C:\SDFix\ backups -->papierkorb leeren
CounterSpy musst du auch wieder entfernen weil mann es anders im Zukunft nicht mehr benutzen kann Schlaf gut Gruss Arnold __________ MfG Argus |
|
|
||
seit ca 1-2 Wochen, tauchen auf meinem Rechner ziemlich bald nach Öffnen von Firefox Pop-ups auf mit vermeintlich harmlosen Seiten wie Quelle.de, Handyradar, MyToys, Meetic, Ilove, etc. Und sporadisch auch ein Fenster der Seite Festplattencleaner.com, deren unwiderstehliche Software natürlich beim entfernen von Viren usw. behilflich ist. Dazu kommt, dass teilweise die Downloadrate extrem eingebremst wird. Poste mal den HJT_Log. Wäre dankbar, wenn Ihr mal drüberschaut.
Grüße und danke
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:08, on 23.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Cisco Systems\VPN Client2\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Roxio\CinePlayer\DMXLauncher.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\T-Online\SPEEDM~1\SpeedMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\T-Online\Speedmanager\tsmsvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Sabrina\Desktop\htj\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Roxio\CinePlayer\DMXLauncher.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-Online\SPEEDM~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client2\vpngui.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?03dd70d89f464c4b8b56646c487e752c
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?03dd70d89f464c4b8b56646c487e752c
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://C:\Programme\Westward\Images\stg_drm.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141546086265
O16 - DPF: {775879E2-7309-4619-BB02-AADE41F4B690} (CPlayFirstdreamControl Object) - http://www.playfirst.com/play/game/dreamchronicles/dreamweb.1.0.0.6.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Programme\Westward\Images\armhelper.ocx
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client2\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-Online\Speedmanager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
--
End of file - 9626 bytes