habe 2 dll dateien wo ich vermute das es trojana sind |
||
---|---|---|
#0
| ||
05.06.2008, 19:15
...neu hier
Beiträge: 6 |
||
|
||
05.06.2008, 21:28
Ehrenmitglied
Beiträge: 6028 |
#2
Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren" . Waehle alle Laufwerke>Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Nehme als Update Spiegel >>It-mate.co.uk Malwarebytes Anti-Malware kann man nachher behalten ! Entferne Hijack This 1.99.1 und…….. Download: Trend Micro Hijack This™ Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Trend Micro\Hijack This Am Ende steht auf dein Desktop eine verknüpfung Starte Hijack This und klicke “Do a system scan and safe a logfile” Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Argus |
|
|
||
05.06.2008, 22:52
...neu hier
Themenstarter Beiträge: 6 |
#3
so habe MBAM installiert und 2x scans durchgeführt, hier der log vom komplett scan:
Malwarebytes' Anti-Malware 1.14 Datenbank Version: 829 22:29:06 05.06.2008 mbam-log-6-5-2008 (22-29-06).txt Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 60055 Scan Dauer: 38 minute(s), 44 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{54018e98-10e3-46c6-9673-2999253f9c65} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{7b7f5aca-0a87-4214-b867-7d9bc8f7ebf5} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljyromj (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{54018e98-10e3-46c6-9673-2999253f9c65} (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\!KillBox\mlJYromj.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\!KillBox\mlJYromj.dll( 2) (Trojan.Vundo) -> Quarantined and deleted successfully. C:\!KillBox\mlJYromj.dll( 3) (Trojan.Vundo) -> Quarantined and deleted successfully. C:\!KillBox\mlJYromj.dll( 4) (Trojan.Vundo) -> Quarantined and deleted successfully. hier beim 2ten scan wo ich alleine nur system32 gescannt habe: Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: c:\WINDOWS\system32\arksetpo.dll (Trojan.Vundo) -> Quarantined and deleted successfully. c:\WINDOWS\system32\fchdebnt.dll (Trojan.Vundo) -> Quarantined and deleted successfully. c:\WINDOWS\system32\gpdyxrir.dll (Trojan.Vundo) -> Quarantined and deleted successfully. c:\WINDOWS\system32\jacosvgy.dll (Trojan.Vundo) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xigebvet.dll (Trojan.Vundo) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xxyyxyAp.dll (Trojan.Vundo) -> Quarantined and deleted successfully. und hier nun das vom hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:48:19, on 05.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\nhksrv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Neolec\Neolec Optical Mouse\mouse32a.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [FLMOFFICEMOUSE] C:\Programme\Neolec\Neolec Optical Mouse\mouse32a.exe O4 - HKLM\..\Run: [FLMOFFICEKEYBOARD] C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\OFFICEKB.exe O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Policies\Explorer\Run: [1MDxVaGrRJ] C:\WINDOWS\system32\winver.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user') O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\nhksrv.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 7816 bytes |
|
|
||
06.06.2008, 00:20
Ehrenmitglied
Beiträge: 6028 |
#4
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst ComboFix Download ComboFix und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Wenn dein Virenscanner meckert,ignorieren ! __________ MfG Argus |
|
|
||
06.06.2008, 07:18
...neu hier
Themenstarter Beiträge: 6 |
#5
so hab das gemacht, hier ist der log:
ComboFix 08-06-05.3 - HP_Besitzer 2008-06-06 6:44:16.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.98 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\G3YWNY89\www.broadcaster.com C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem\audio.dll C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem\audio.dll C:\smp.bat C:\WINDOWS\BM8fb0b2a8.xml C:\WINDOWS\pskt.ini C:\WINDOWS\system32\a.bat C:\WINDOWS\system32\bbnankqc.dll C:\WINDOWS\system32\cwegbmoy.dll C:\WINDOWS\system32\fkvefgnl.dll C:\WINDOWS\system32\jftgxqkp.dll C:\WINDOWS\system32\lngfevkf.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mjdaehwm.ini C:\WINDOWS\system32\opteskra.ini C:\WINDOWS\system32\oxvwvjpy.ini C:\WINDOWS\system32\rfvscbqk.ini C:\WINDOWS\system32\rirxydpg.ini C:\WINDOWS\system32\rvtjatbl.ini C:\WINDOWS\system32\stpthwkp.dll C:\WINDOWS\system32\tevbegix.ini C:\WINDOWS\system32\tnbedhcf.ini C:\WINDOWS\system32\tqxujbed.dll C:\WINDOWS\system32\urqolJbY.dll C:\WINDOWS\system32\YbJloqru.ini C:\WINDOWS\system32\YbJloqru.ini2 C:\WINDOWS\system32\ygvsocaj.ini D:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-05-06 bis 2008-06-06 )))))))))))))))))))))))))))))) . 2008-06-05 22:47 . 2008-06-05 22:47 <DIR> d-------- C:\Programme\Trend Micro 2008-06-05 21:47 . 2008-06-05 21:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-06-05 21:47 . 2008-06-05 21:47 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Malwarebytes 2008-06-05 21:47 . 2008-06-05 21:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-05 21:47 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-05 21:47 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-05 18:28 . 2008-06-05 18:29 <DIR> d-------- C:\Programme\CleanUp! 2008-06-05 17:38 . 2008-06-05 22:29 <DIR> d-------- C:\!KillBox 2008-06-05 16:46 . 2008-06-05 16:48 <DIR> d-------- C:\Programme\Unlocker 2008-06-05 16:33 . 2008-06-05 16:34 <DIR> d-------- C:\WINDOWS\system32\Neuer Ordner 2008-06-05 16:30 . 2008-06-05 16:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-Online 2008-06-05 16:26 . 2005-01-02 01:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS 2008-06-05 16:26 . 2006-09-15 05:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-06-05 16:26 . 2006-09-15 05:08 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-06-05 16:26 . 2004-11-23 21:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-06-05 16:26 . 2004-11-23 22:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-06-05 16:26 . 2006-09-15 05:08 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-06-05 16:26 . 2006-09-15 05:08 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-06-05 16:26 . 2004-11-23 21:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-06-05 16:26 . 2005-01-02 01:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec 2008-06-05 16:26 . 2007-10-07 06:39 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-06-05 16:25 . 2008-06-05 16:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-06-03 17:18 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-06-03 17:18 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-06-03 17:18 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-06-03 17:18 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-06-03 17:17 . 2008-06-06 06:55 <DIR> d-------- C:\Programme\Spyware Doctor 2008-06-03 17:17 . 2008-06-03 17:17 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\PC Tools 2008-06-03 15:17 . 2008-06-05 21:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-06-03 15:17 . 2008-06-03 15:17 1,409 --a------ C:\WINDOWS\QTFont.for 2008-06-01 20:55 . 2008-06-01 20:56 <DIR> d-------- C:\Programme\Trojancheck 6 2008-05-29 16:23 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2008-05-29 15:55 . 2008-05-29 15:55 102,400 --a------ C:\WINDOWS\system32\gulsxnqv.dll 2008-05-23 07:51 . 2008-05-23 07:51 <DIR> d-------- C:\Logs 2008-05-14 16:36 . 2008-05-14 16:36 6,656 --a------ C:\WINDOWS\system32\drivers\msikbd2k.sys 2008-05-13 09:56 . 2008-06-06 07:00 70 --a------ C:\WINDOWS\msiosd.ini 2008-05-11 10:04 . 2008-05-11 10:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\T-Com 2008-05-11 10:04 . 2007-09-12 17:24 26,816 --a------ C:\WINDOWS\system32\drivers\DslTestSp5.sys 2008-05-11 09:58 . 2007-06-26 11:53 13,824 --a------ C:\WINDOWS\system32\drivers\tsmpkt.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-06 05:00 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-06-05 15:20 --------- d-----w C:\Programme\ICQToolbar 2008-06-05 14:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-06-05 12:54 --------- d-----w C:\Programme\Warcraft III 2008-06-05 12:13 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\teamspeak2 2008-06-03 21:44 --------- d-----w C:\Programme\DAEMON Tools SearchBar 2008-06-01 08:52 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Skype 2008-05-30 04:53 --------- d-----w C:\Programme\World of Warcraft 2008-05-27 19:25 --------- d-----w C:\Programme\Free WMA to MP3 Converter 2008-05-11 08:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online DSL-Manager 2008-05-08 19:27 --------- d-----w C:\Programme\PeerGuardian2 2008-04-28 19:30 --------- d-----w C:\Programme\iTunes 2008-04-28 19:30 --------- d-----w C:\Programme\iPod 2008-04-28 19:29 --------- d-----w C:\Programme\Bonjour 2008-04-26 10:22 --------- d-----w C:\Programme\Disc2Phone 2008-04-19 11:44 --------- d-----w C:\Programme\ICQ6 2007-07-24 20:00 42 ----a-w C:\Programme\File downloaded from www.littlefighter.biz.txt 2007-07-24 19:25 84 ----a-w C:\Programme\More Downloads!.url 2007-07-24 19:24 91 ----a-w C:\Programme\readme!.txt 2007-03-01 13:11 704 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\wklnhst.dat 2005-10-05 17:59 571 ----a-w C:\Programme\Readme.txt 2004-03-16 11:46 43,254 ----a-w C:\Programme\davis_f.bmp 2004-03-15 11:25 105,311 ----a-w C:\Programme\davis.dat 2004-03-15 11:18 1,344,054 ----a-w C:\Programme\davis_2.bmp 2004-03-15 10:56 1,344,054 ----a-w C:\Programme\davis_1.bmp 2004-03-15 10:52 449,078 ----a-w C:\Programme\davis_0.bmp 2004-03-14 12:04 37,554 ----a-w C:\Programme\davis_5.bmp 2004-03-13 21:16 14,409 ----a-w C:\Programme\davis_ball.dat 2004-03-13 09:09 37,554 ----a-w C:\Programme\davis_4.bmp 2004-03-13 08:50 11,329 ----a-w C:\Programme\davis_blast.dat 2004-03-12 16:38 606,054 ----a-w C:\Programme\davis_col2.bmp 2004-03-12 16:22 72,654 ----a-w C:\Programme\davis_blast.bmp 2004-03-12 16:16 1,212,054 ----a-w C:\Programme\davis_col.bmp 2004-03-12 14:19 37,554 ----a-w C:\Programme\davis_3.bmp 2002-03-14 18:58 2,876 ----a-w C:\Programme\davis_s.bmp 2002-03-14 18:36 47,328 ----a-w C:\Programme\davis_ball.bmp 1996-12-02 17:44 582,144 ----a-w C:\Programme\Gemeinsame Dateien\dao350.dll 2006-09-20 14:29 66,936 --sha-w C:\WINDOWS\dlinfo_0.drv 2007-02-25 12:40 56 --sh--r C:\WINDOWS\system32\220C2AF687.sys 2007-02-25 12:40 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FLMOFFICEMOUSE"="C:\Programme\Neolec\Neolec Optical Mouse\mouse32a.exe" [2008-03-08 11:42 356352] "FLMOFFICEKEYBOARD"="C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\OFFICEKB.exe" [2008-03-08 14:08 215040] "ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240] "UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 06:15 15872] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128] "T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 17:50 671796] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "1MDxVaGrRJ"= C:\WINDOWS\system32\winver.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.X264"= x264vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"= "C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"= "C:\\Programme\\Ocean Technology\\GG E-Sports Platform\\GGclient.exe"= "C:\\Programme\\Warcraft III\\Warcraft III.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Shareaza\\Shareaza.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Hamachi\\hamachi.exe"= "C:\\Programme\\Warcraft III\\Frozen Throne.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\WINDOWS\\system32\\winver.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "25075:TCP"= 25075:TCP:BitComet 25075 TCP "25075:UDP"= 25075:UDP:BitComet 25075 UDP "3724:TCP"= 3724:TCP:Blizzard Downloader "22893:TCP"= 22893:TCP:BitComet 22893 TCP "22893:UDP"= 22893:UDP:BitComet 22893 UDP "8242:TCP"= 8242:TCP:BitComet 8242 TCP "8242:UDP"= 8242:UDP:BitComet 8242 UDP "6112:TCP"= 6112:TCP:war6112 tcp "6112:UDP"= 6112:UDP:war6112udp "6113:TCP"= 6113:TCP:war6113 "6113:UDP"= 6113:UDP:war6113udp "6114:TCP"= 6114:TCP:war6114tcp "6114:UDP"= 6114:UDP:war6114udp "6115:TCP"= 6115:TCP:war6115tcp "6115:UDP"= 6115:UDP:war6115udp "6116:TCP"= 6116:TCP:war6116tcp "6116:UDP"= 6116:UDP:war6116udp "6117:TCP"= 6117:TCP:war6117tcp "6117:UDP"= 6117:UDP:war6117udp "6118:TCP"= 6118:TCP:war6118tcp "6118:UDP"= 6118:UDP:war6118udp "6119:TCP"= 6119:TCP:war6119tcp "6119:UDP"= 6119:UDP:war6119udp R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 17:11] R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys [2008-05-14 16:36] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 16:16] R2 nhksrv;Netropa NHK Server;C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\nhksrv.exe [2008-05-14 16:36] R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 11:53] S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [2007-09-12 17:24] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 08:14] S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 14:03] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 13:46] S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22] S3 se46bus;Sony Ericsson Device 070 driver (WDM);C:\WINDOWS\system32\DRIVERS\se46bus.sys [2006-11-30 16:11] S3 se46mdfl;Sony Ericsson Device 070 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se46mdfl.sys [2006-11-30 16:11] S3 se46mdm;Sony Ericsson Device 070 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se46mdm.sys [2006-11-30 16:11] S3 se46mgmt;Sony Ericsson Device 070 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se46mgmt.sys [2006-11-30 16:11] S3 se46nd5;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se46nd5.sys [2006-11-30 16:11] S3 se46obex;Sony Ericsson Device 070 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se46obex.sys [2006-11-30 16:11] S3 se46unic;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se46unic.sys [2006-11-30 16:11] S4 TDslMgrService;DSL-Manager;"C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe" [2007-11-26 14:50] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-06 06:59:33 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\Programme\Unlocker\UnlockerHook.dll . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\MMKEYB.EXE C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\TRAYMON.EXE C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\OSD.EXE C:\Programme\Spyware Doctor\pctsAuxs.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Spyware Doctor\pctsSvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-06 7:11:43 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-06 05:11:33 24 Verzeichnis(se), 24,750,657,536 Bytes frei 32 Verzeichnis(se), 24,714,395,648 Bytes frei 255 --- E O F --- 2008-05-16 22:19:26 |
|
|
||
06.06.2008, 07:33
Ehrenmitglied
Beiträge: 6028 |
#6
ViruTotal
Verborgene Dateien sichtbar machen Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei http://www.virustotal.com/de C:\WINDOWS\system32\gulsxnqv.dll Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“ __________ MfG Argus |
|
|
||
06.06.2008, 11:36
...neu hier
Themenstarter Beiträge: 6 |
#7
hab ich gemacht, die datei ist wohl auch verseucht. Hier die Daten von viustotal:
AhnLab-V3 2008.5.30.1 2008.06.05 - AntiVir 7.8.0.26 2008.06.06 HEUR/Crypted Authentium 5.1.0.4 2008.06.05 W32/Downloader.AA.gen!Eldorado Avast 4.8.1195.0 2008.06.06 - AVG 7.5.0.516 2008.06.06 - BitDefender 7.2 2008.06.06 - CAT-QuickHeal 9.50 2008.06.05 - ClamAV 0.92.1 2008.06.06 - DrWeb 4.44.0.09170 2008.06.06 - eSafe 7.0.15.0 2008.06.05 - eTrust-Vet 31.6.5853 2008.06.06 - Ewido 4.0 2008.06.05 - F-Prot 4.4.4.56 2008.06.05 W32/Downloader.AA.gen!Eldorado F-Secure 6.70.13260.0 2008.06.06 - Fortinet 3.14.0.0 2008.06.06 - GData 2.0.7306.1023 2008.06.06 - Ikarus T3.1.1.26.0 2008.06.06 - Kaspersky 7.0.0.125 2008.06.06 - McAfee 5311 2008.06.05 - Microsoft 1.3604 2008.06.06 Trojan:Win32/Busky.B NOD32v2 3163 2008.06.06 a variant of Win32/Adware.UltimateDefender Norman 5.80.02 2008.06.05 - Panda 9.0.0.4 2008.06.05 Suspicious file Prevx1 V2 2008.06.06 - Rising 20.47.40.00 2008.06.06 - Sophos 4.30.0 2008.06.06 Mal/EncPk-DG Sunbelt 3.0.1145.1 2008.06.05 - Symantec 10 2008.06.06 - TheHacker 6.2.92.337 2008.06.06 - VBA32 3.12.6.7 2008.06.05 - VirusBuster 4.3.26:9 2008.06.05 - Webwasher-Gateway 6.6.2 2008.06.06 Heuristic.Crypted weitere Informationen File size: 102400 bytes MD5...: 18139cd713862cc13c79e60ba73a8be2 SHA1..: c6146f639d30345be8e5a219508f7f6691a0d30f SHA256: 78aee31e473eae05bb11399727f9d5958d065a55abf3ebded4a2f88839b18646 SHA512: ccf229d8d37e4002bbff9ea0d8ed4b279d53fc5abe4639d94778eb5929f138ef 6a6b67f9d610f7eca6601bb88197e5a41596bc601b9336018e0ddc7cb254c522 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1001213f timedatestamp.....: 0x483e8da5 (Thu May 29 11:04:05 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xc 0x1000 0.03 83703db8f0dae49015cb9d9f631613fb .rdata 0x2000 0x117 0x1000 0.48 d3333cf1781c02a8ce969a9c50602143 .data 0x3000 0x34e0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e _TEXT2 0x7000 0x13bc0 0x14000 6.73 4ff383456a0a768897a44d6fd81a98b1 .reloc 0x1b000 0x1a70 0x2000 6.18 2373b71a2f82ccd57fdc992030509605 ( 1 imports ) > KERNEL32.dll: GetProcAddress, LoadLibraryA ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer |
|
|
||
06.06.2008, 11:53
Ehrenmitglied
Beiträge: 6028 |
#8
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK OTMoveIt.exe Download OTMoveIt2 zum Desktop Oeffne:OTMoveIt.exe (Vista benutzer, rechtsklick auf OTMoveit2.exe und waehle "Run as Administrator") Kopiere (selektiere en klick Ctrl-C) alle unterstehende Zitat C:\!KillBoxim linken Fenster,wo steht "Paste List of Files/Folders to be moved" Klicke auf den Roten MoveIt! knopf Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit In Datei C:\_OTMoveIt\MovedFiles\ Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Argus |
|
|
||
06.06.2008, 12:09
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo,
führe bitte das noch aus: Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken Zitat REGEDIT4 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.06.2008, 12:46
...neu hier
Themenstarter Beiträge: 6 |
#10
wenn ich C:\WINDOWS\system32\gulsxnqv.dll "moven" will dann bleibt das OTMoveIt2 programm hängen. bei den anderen dateien macht er das
File/Folder C:\!KillBox not found. C:\WINDOWS\system32\winver.exe moved successfully. File/Folder C:\Programme\More Downloads!.url not found. File/Folder C:\Programme\File downloaded from www.littlefighter.biz.txt not found. OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06062008_124311 |
|
|
||
06.06.2008, 12:51
Ehrenmitglied
Beiträge: 29434 |
#11
loesche die gulsxnqv.dll damit:
http://virus-protect.org/artikel/tools/undll.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.06.2008, 13:00
...neu hier
Themenstarter Beiträge: 6 |
#12
yo danke schön hat alles geklappt echt vielen dank
wofür ist denn jetzt die fixme.reg gut? |
|
|
||
06.06.2008, 14:23
Ehrenmitglied
Beiträge: 29434 |
#13
die musst du erstellen + der registry zufügen, denn der trojaner ist immer noch in der registry verankert.
Zitat REGEDIT4 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
hier die Text datei vom HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 18:48:37, on 05.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\nhksrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Neolec\Neolec Optical Mouse\mouse32a.exe
C:\WINDOWS\system32\ps2.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\OFFICEKB.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\MMKEYB.EXE
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\TrayMon.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\osd.exe
C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [FLMOFFICEMOUSE] C:\Programme\Neolec\Neolec Optical Mouse\mouse32a.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [FLMOFFICEKEYBOARD] C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\OFFICEKB.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\nhksrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe