Habe ich einen Virus oder Trojaner?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
15.07.2008, 19:30
...neu hier
Beiträge: 3 |
||
|
||
15.07.2008, 22:16
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo Ratsuchender
die sys ist in der Tat unbekannt, wende bitte Combofix an , klicke die Warnmeldung weg + poste den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2008, 09:28
...neu hier
Themenstarter Beiträge: 3 |
#3
Hallo Sabina,
ich habe Combofix angwendet. Hier die Log-Datei: ComboFix 08-07-14.2 - Martin 2008-07-16 9:04:03.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1332 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\lsprst7.dll C:\WINDOWS\system32\ssprs.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-06-16 bis 2008-07-16 )))))))))))))))))))))))))))))) . 2008-07-15 20:20 . 2008-07-15 20:20 <DIR> d-------- C:\Programme\Sun 2008-07-15 17:46 . 2008-07-15 17:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-15 17:46 . 2008-07-15 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Malwarebytes 2008-07-15 17:46 . 2008-07-15 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-15 17:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-15 17:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-15 17:39 . 2008-07-15 17:40 <DIR> d-------- C:\Programme\CCleaner 2008-07-15 17:17 . 2008-07-15 17:17 <DIR> d-------- C:\Programme\PrevxCSI 2008-07-15 17:17 . 2008-07-15 17:17 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys 2008-07-15 17:16 . 2008-07-15 18:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI 2008-07-15 16:23 . 2008-07-15 16:23 30,946 --a------ C:\WINDOWS\system32\drivers\Partizan.sys 2008-07-15 16:23 . 2008-07-15 16:23 28,672 --a------ C:\WINDOWS\system32\Partizan.exe 2008-07-15 16:20 . 2008-07-15 16:20 (2) -rahs-ot- C:\WINDOWS\winstart.bat 2008-07-14 16:30 . 2008-07-14 16:37 <DIR> d-------- C:\Programme\XMPEG 2008-07-14 13:37 . 2008-07-14 13:37 <DIR> d-------- C:\WINDOWS\system32\windows media 2008-07-09 10:58 . 2008-07-09 10:58 <DIR> d-------- C:\Programme\COMODO 2008-07-09 10:58 . 2008-07-09 10:58 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Comodo 2008-07-09 10:58 . 2008-07-09 11:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo 2008-07-09 10:58 . 2008-07-09 10:58 143,104 --a------ C:\WINDOWS\system32\guard32.dll 2008-07-09 10:58 . 2008-07-09 10:58 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys 2008-07-09 10:58 . 2008-07-09 10:58 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys 2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll 2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys 2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys 2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-16 06:59 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-07-15 15:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-07-15 15:36 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Skype 2008-07-15 14:16 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-07-15 13:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-07-15 09:54 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\OpenOffice.org2 2008-07-15 09:48 --------- d-----w C:\Programme\OpenOffice.org 2.4 2008-07-15 09:44 --------- d-----w C:\Programme\Java 2008-07-15 06:46 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\skypePM 2008-07-09 08:52 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\MailFrontier 2008-07-03 06:07 96,520 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys 2008-07-02 15:11 --------- d-----w C:\Programme\SPSS 2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-05-20 06:20 --------- d-----w C:\Programme\Microsoft Silverlight 2008-03-25 10:48 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 11:47 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-03 08:07 1232152] "COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-07-09 10:58 1655552] "RTHDCPL"="RTHDCPL.EXE" [2006-04-17 15:34 16143872 C:\WINDOWS\RTHDCPL.exe] "SMSERIAL"="sm56hlpr.exe" [2006-01-20 12:34 544768 C:\WINDOWS\sm56hlpr.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360] "DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 19:29 39264] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "vidc.yv12"= yv12vfw.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^LRZ VPN Client.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LRZ VPN Client.lnk backup=C:\WINDOWS\pss\LRZ VPN Client.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] --a------ 2006-01-02 17:41 45056 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechGalleryRepair] --a------ 2002-12-10 18:32 155648 C:\Programme\Logitech\ImageStudio\ISStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechImageStudioTray] --a------ 2002-12-10 18:31 61440 C:\Programme\Logitech\ImageStudio\LogiTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMS] --a------ 2002-12-10 17:54 127022 C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVComS.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\eurowin\\FOCUS-MONEY\\MAXTAX.exe"= "C:\\Programme\\eurowin\\FOCUS-MONEY\\STMAXTAX.exe"= "C:\\Programme\\eurowin\\FOCUS-MONEY\\Update.exe"= "C:\\Programme\\AVG\\AVG8\\avgupd.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-02-27 15:00] R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-02-20 16:01] R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-07-15 17:17] R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-03 08:07] R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-07-09 10:58] R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-07-09 10:58] R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-03 08:07] R2 CSIScanner;CSIScanner;C:\Programme\PrevxCSI\prevxcsi.exe [2008-07-15 17:17] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53] S1 lusbaudio;Logitech USB Microphone;C:\WINDOWS\system32\drivers\lvsound2.sys [2002-06-10 14:20] S3 Partizan;Partizan;C:\WINDOWS\system32\drivers\Partizan.sys [2008-07-15 16:23] S3 QCEmerald;Logitech QuickCam Web(PID_0850);C:\WINDOWS\system32\DRIVERS\LVCE.sys [2002-06-10 14:20] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-04-01 13:27:12 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2008-07-16 07:12:01 C:\WINDOWS\Tasks\MP Scheduled Scan.job" - C:\Programme\Windows Defender\MpCmdRun.exe . - - - - ORPHANS REMOVED - - - - MSConfigStartUp-WinampAgent - C:\Programme\Winamp\winampa.exe MSConfigStartUp-WireLessKeyboard - C:\Programme\Office Keyboard Driver\StartAutorun.exe MSConfigStartUp-WireLessMouse - C:\Programme\Office Mouse Driver\StartAutorun.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-16 09:09:52 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\system32\BRSVC01A.EXE C:\WINDOWS\system32\BRSS01A.EXE C:\Programme\COMODO\Firewall\cmdagent.exe C:\Programme\LRZ VPN Client\cvpnd.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\o2flash.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\Programme\UPHClean\uphclean.exe C:\Programme\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\ati2evxx.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-16 9:16:11 - machine was rebooted [Martin] ComboFix-quarantined-files.txt 2008-07-16 07:15:05 9 Verzeichnis(se), 11,063,906,304 Bytes frei 11 Verzeichnis(se), 10,971,394,048 Bytes frei 167 --- E O F --- 2008-07-14 06:45:41 Ich hoffe das hilft weiter! Wie ist das eigentlich noch mit der "bhobj.dll"? Hier: HKEY_CURRENT_User\Software\Microsoft\Search Assistant\ACMrv\5603 --> hier hat bhobj.dll den Wert 000 und hier: HKEY_USERS\S-1-5-21-2025429265-103552544-839522115-1003\Software\Microsoft\Search Assistant\ACMrv\5603 --> hier hat bhobj.dll ebenfalls den Wert 000 "userinit.exe" und "-requestPending -OSINT -url" sind die beiden ok? Vielen Dank schonmal für Deine Hilfe und dass Deine Antwort so schnell kam! Viele Grüße, Martin |
|
|
||
16.07.2008, 11:34
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo, Ratsuchender
die Reg-Einträge sind in Ordnung, prüfe bitte die sys. 1. versteckte Systemdateien Programme und Ordner anzeigen http://virus-protect.org/invisible.html 2. Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\drivers\tsirmirc.sys Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2008, 14:41
...neu hier
Themenstarter Beiträge: 3 |
#5
Hallo Sabina,
die Datei "tsircmir.sys" ist auf C:\WINDOWS\system32\drivers nicht existent! Ich habe die Ansicht im Explorer so eingestellt, dass alle Dateien inkl. der Systemdateine und der versteckten angezeigt. War nicht zu finden. Auch die Online Scans von Bitdefender und Kaspersky haben nichts zu Tage gefördert. Nach einem weiteren Scan mit RegRun Reanimator war ebenfalls nichts mehr zu finden. Ich denke mal, dass es kein Problem mehr geben sollte auch deshalb, da ich jetzt ja von dir weiß, dass die Registry in Ordnung ist. Vielen, vielen Dank noch mal dafür! Solltest Du noch einen Einwand haben, dann melde Dich einfach noch mal. ei der großartigen Hilfe hier, sollten fast alle Probleme behebbar sein! Ganz viele Grüße und nochmal tausend Dank für die Hilfe! Martin |
|
|
||
Als erstes, ich habe meinen XP-PC geschützt mit AVG Antivirus Free 8.0, Windows Defender und Comodo Firewall.
Ich habe heute turnusmäßig Spybot S&D laufen lassen, welcher mir einen Trojaner gefunden hat. Dieser wurde auch erfolgreich entfernt. Der Windows Defender hat übrigens nichts gefunden. Stutzig gemacht hat mich, dass die Prozessorauslastung auch im Leerlauf bei 100% war. Ich habe dann ein wenig "gegooglet" und bin auch über den Trojaner "bhobj.dll" gestolpert. Ich habe gleich danach gesucht, doch unter C:\Windows nichts gefunden. Allerdings sind zwei Einträge in der Registry vorhanden.
Einmal unter:
HKEY_CURRENT_User\Software\Microsoft\Search Assistant\ACMrv\5603 --> hier hat bhobj.dll den Wert 000
und noch einmal unter HKEY_USERS\S-1-5-21-2025429265-103552544-839522115-1003\Software\Microsoft\Search Assistant\ACMrv\5603 --> hier hat bhobj.dll ebenfalls den Wert 000
Dann habe ich diverse Scanner testen lassen:
PrevxCSI hat nichts gefunden, aber der RegRun Reanimator. Bei drei Einträgen gibt es Schwierigkeiten:
1. "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -OSINT -url "%!"
2. C:\Windows\system32\userinit.exe
3. system32\drivers\tsirmirc.sys
V.a. die letzte Datei findet man auch als Schädling. Ist das so?
Ich habe dann noch den CCleaner laufen lassen und log-Dateien erstellen lassen mit Anti-Malware (hat auch noch was gefunden) und HiJackThis. Hier mal die Logs:
Zuerst der von Anti-Malware:
Malwarebytes' Anti-Malware 1.20
Datenbank Version: 953
Windows 5.1.2600 Service Pack 3
18:29:25 15.07.2008
mbam-log-7-15-2008 (18-29-25).txt
Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 125615
Scan Dauer: 39 minute(s), 29 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)
Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)
Infizierte Datei Objekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
(Keine Malware Objekte gefunden)
-----------------
Und der von HiJackThis:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:41:24, on 15.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\PrevxCSI\prevxcsi.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\UPHClean\uphclean.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Dokumente und Einstellungen\Martin\Desktop\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7Pro\IE7Pro.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187762727015
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206429337921
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
--
End of file - 7629 bytes
-------------------------------------------------------------------------------------------
habe ich einen Virus oder Trojaner? Bitte helft mir, denn ehrlich gesagt, so im Regen bin ich bisher noch nicht gestanden.
Vielen Dank schon einmal!
Viele Grüße,
Martin