Malware und werbungen wieder da!

#0
20.09.2008, 14:42
Member

Beiträge: 18
#1 Hallo,
hatte vor ca. 2 Wochen ein Problem mit Malware oder so. Habe es dank eurer Hilfe auch erfolgreich weg bekommen, nur war es wohl noch nicht ganz weg. Brauche erneut eure Hilfe ;)
Was kann man noch tun, werde mal den alten Threat suchen und hier als Link enfügen, wenns geht.

Hier mal ein aktuelles Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:41:46, on 20.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
E:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\bw\qttask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\3gp Player\3gpPlayer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\bw\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [fc21095a] rundll32.exe "C:\WINDOWS\system32\ntkyvldq.dll",b
O4 - HKLM\..\Run: [BMff123ac6] Rundll32.exe "C:\WINDOWS\system32\qqebnvss.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [3gp Player] "C:\Programme\3gp Player\3gpPlayer.exe" hmw
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Reboot.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-24-0.cab
O20 - AppInit_DLLs: kuhlxm.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4763 bytes

Danke schonmal im Voraus für Antworten,

Gruß
Seitenanfang Seitenende
20.09.2008, 14:57
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Hast du MBAM noch drauf?
__________
MfG Argus
Seitenanfang Seitenende
20.09.2008, 15:07
Member

Themenstarter

Beiträge: 18
#3 ja doch hab ich noch drauf, mach grad nen ausführlichen Suchlauf damit, gibts denn was besonderes zu beachten?

hier das MBAM Logfile:

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1122
Windows 5.1.2600 Service Pack 2

20.09.2008 16:36:47
mbam-log-2008-09-20 (16-36-47).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 64291
Laufzeit: 8 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\hgGvtsSI.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ntkyvldq.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\kuhlxm.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\vtUkhigF.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03ec8ce0-e697-4339-8bc2-2ddf72716a42} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtukhigf (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{03ec8ce0-e697-4339-8bc2-2ddf72716a42} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2abea14b-d394-4612-ad51-31b03efff627} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{2abea14b-d394-4612-ad51-31b03efff627} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7562fcea-cae3-425c-bf8d-5e72826f2746} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7562fcea-cae3-425c-bf8d-5e72826f2746} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fc21095a (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{03ec8ce0-e697-4339-8bc2-2ddf72716a42} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmff123ac6 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\hggvtssi -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\hggvtssi -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\vtUkhigF.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\hgGvtsSI.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ISstvGgh.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ISstvGgh.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kuhlxm.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ntkyvldq.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\qdlvyktn.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2DMD4RI1\nd82m0[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDAFMBAN\upd105320[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\byXPHbxv.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iiffCvUO.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mlJCRLdE.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ycrvydtr.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qqebnvss.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMff123ac6.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMff123ac6.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
Dieser Beitrag wurde am 20.09.2008 um 16:39 Uhr von Chekar36 editiert.
Seitenanfang Seitenende
20.09.2008, 19:00
Moderator

Beiträge: 7805
#4 Aktualieser (Update) Mbam, deines ist extremst veraltet. Danach noch ein Combofix report mit einem frisch heruntergeladenen Combofix erstellen und Arnold ist zufrieden! ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.09.2008, 19:25
Member

Themenstarter

Beiträge: 18
#5 So, hier der Logfile vom aktualisierten Mbam:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1181
Windows 5.1.2600 Service Pack 2

20.09.2008 19:41:57
mbam-log-2008-09-20 (19-41-53).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 66391
Laufzeit: 9 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QTYR27GT\CAKTO9WZ (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{EDFB0DBE-1722-4DE4-8FB1-34FAD6519C93}\RP3\A0002167.sys (Trojan.FakeAlert) -> No action taken.


der Link für Combofix funzt leider nicht mehr. Wo bekomm ich n frisches her??

Danke
Dieser Beitrag wurde am 20.09.2008 um 19:47 Uhr von Chekar36 editiert.
Seitenanfang Seitenende
20.09.2008, 19:59
Moderator

Beiträge: 7805
#6 Hier werden dir 3 Alternativen angeboten:
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Aber bitte erst mit Mbam reinigen lassen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.09.2008, 21:06
Member

Themenstarter

Beiträge: 18
#7 Hallo,
hab hier n Logfile von Combofix, kann mir einer sagen obs was verdächtiges gibt?

ComboFix 08-09-25.03 - Administrator 2008-09-25 21:02:43.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1562 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-25 bis 2008-09-25 ))))))))))))))))))))))))))))))
.

2008-09-20 16:50 . 2004-08-03 23:08 25,600 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-09-20 16:50 . 2004-08-03 23:08 25,600 --a--c--- C:\WINDOWS\system32\dllcache\usbser.sys
2008-09-20 16:50 . 2008-09-20 16:50 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-09-20 16:50 . 2008-09-20 16:50 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-09-20 16:49 . 2008-09-20 16:49 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-09-20 16:49 . 2007-11-29 10:33 1,419,232 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll
2008-09-20 16:49 . 2007-11-29 10:39 95,744 --a------ C:\WINDOWS\system32\nmwcdcocls.dll
2008-09-20 16:49 . 2007-11-29 10:32 48,128 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2008-09-20 16:49 . 2007-11-29 10:39 19,328 --a------ C:\WINDOWS\system32\drivers\ccdcmbo.sys
2008-09-20 16:49 . 2007-11-29 10:39 16,896 --a------ C:\WINDOWS\system32\drivers\ccdcmb.sys
2008-09-20 16:49 . 2007-11-29 10:39 8,064 --a------ C:\WINDOWS\system32\drivers\usbser_lowerflt.sys
2008-09-20 16:37 . 2008-09-25 20:58 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-20 16:37 . 2008-09-20 19:43 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-07 15:48 . 2008-09-20 19:30 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-07 15:48 . 2008-09-07 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-07 15:48 . 2008-09-07 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-07 15:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-07 15:48 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-07 14:33 . 2008-09-07 14:46 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-06 13:09 . 2008-09-06 13:09 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-09-06 12:58 . 2008-09-06 12:58 <DIR> d-------- C:\Programme\Avira
2008-09-06 12:58 . 2008-09-06 12:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-05 19:25 . 2008-09-05 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-05 19:21 . 2008-09-05 19:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-01 18:56 . 2008-09-01 18:56 <DIR> d-------- C:\Sierra

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-02 11:34 137,472 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-09-02 11:33 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-09-01 17:02 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-09-01 17:02 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-09-01 17:02 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-09-01 16:57 --------- d-----w C:\Programme\Sierra On-Line
2008-08-05 21:58 --------- d-----w C:\Programme\K-Lite Codec Pack
2008-08-05 21:58 --------- d-----w C:\Programme\3gp Player
2008-07-30 14:55 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-07-28 14:52 --------- d-----w C:\Programme\DVDVideoSoft
2008-04-25 17:50 22,328 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
.

------- Sigcheck -------

2004-11-11 14:00 359040 09eb23a4567bdd56d9580a059e616e23 C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 15360]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" [2008-03-25 507904]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-10 68856]
"3gp Player"="C:\Programme\3gp Player\3gpPlayer.exe" [2007-09-20 634368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 7634944]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="E:\bw\qttask.exe" [2008-05-01 77824]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-10-31 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-31 C:\WINDOWS\system32\nvmctray.dll]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-06-15 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=kuhlxm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=2 (0x2)
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"ImapiService"=3 (0x3)
"helpsvc"=2 (0x2)
"ERSvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"G:\\wolfenstein\\Programme\\Wolfenstein - Enemy Territory\\ET.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"G:\\cod\\iw3mp.exe"=
"G:\\Crisis\\Bin32\\Crysis.exe"=
"G:\\Crisis\\Bin32\\CrysisDedicatedServer.exe"=
"G:\\Programme\\Panzer Elite Action\\pea.exe"=
"G:\\half-life\\normales\\hlds.exe"=
"G:\\half-life\\HLServer\\hltv.exe"=
"G:\\half-life\\HLServer\\hlds.exe"=

R3 DT154_A02;T-Sinus 154data Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys [2003-11-11 336800]
R3 w32n5223;w32n5223 Protocol Driver;C:\PROGRA~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS [2003-05-12 15104]
S3 PORTIO;PORTIO;C:\WINDOWS\system32\drivers\portio.sys [2006-12-26 4864]
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://ebay.de/
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 21:03:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-25 21:03:58
ComboFix-quarantined-files.txt 2008-09-25 19:03:56

Vor Suchlauf: 1.169.367.040 Bytes frei
Nach Suchlauf: 1,192,783,872 Bytes frei

126
Seitenanfang Seitenende