Home » Spyware & Browser Hijacker Support Forum » Redirect Virus Logfile » Themenansicht

Redirect Virus Logfile
#0
29.09.2008, 00:54
der bär
...neu hier

Beiträge: 2
#1 Hi,

habe mir einen Redirect-Virus eingefangen, der meine Suchanfragen bei google immer umgeleitet hat.
Bin nach eurer Anleitung vorgegangen und habe CCleaner, mbam, combofix und hijackthis laufen lassen.
Musste Combofix auf einem anderen Rechner runterladen, da der lustige Virus sämliche downloads von Combofix verhindert hat!
Das Problem mit dem Redirect ist gelöst, jedoch wäre ich euch dankbar, wenn ihr einen Blick auf die Logfiles werfen könntet, ob mein System wirklich wieder sauber ist. Hatte wohl doch ein ganzen Rudel von Trojanern an Bord:

28.09.2008 23:46:04
mbam-log-2008-09-28 (23-45-54).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 106471
Laufzeit: 25 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{54c7d1dd-4296-451e-b756-1e94f665b4ff} (Spyware.Graball) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{F32272CA-BA3D-470E-9316-61EB379E7ABA}\RP147\A0103982.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\c.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winsoft.nls (Malware.Trace) -> No action taken.
C:\svchost.exe (Trojan.Agent) -> No action taken.
C:\svchost2.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mt_32.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\hagibär\~tmp0374.exe (Trojan.Agent) -> No action taken.

Danach alle Störenfriede gelöscht!!!

ComboFix 08-09-27.06 - hagib„r 2008-09-29 0:03:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1733 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\hagib„r\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\jestertb.dll
C:\WINDOWS\system32\comcs32m.dll
C:\WINDOWS\system32\comcs32u.dll
C:\WINDOWS\system32\drivers\tdssserv.sys
C:\WINDOWS\system32\dsuiexq.dll
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\plus32.ocx
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\TDSSlog.dll
C:\WINDOWS\system32\TDSSmain.dll
C:\WINDOWS\system32\TDSSserf.dll
C:\WINDOWS\system32\TDSSserf1.dll
C:\WINDOWS\system32\tdssservers.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-08-28 bis 2008-09-28 ))))))))))))))))))))))))))))))
.

2008-09-28 23:13 . 2008-09-28 23:13 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-28 23:13 . <DIR> C:\Dokumente und Einstellungen\hagibär\Anwendungsdaten\Malwarebytes
2008-09-28 23:13 . 2008-09-28 23:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-28 23:13 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-28 23:13 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-28 23:07 . 2008-09-28 23:07 <DIR> d-------- C:\Programme\CCleaner
2008-09-28 17:31 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-28 17:31 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-28 17:27 . 2008-09-28 19:23 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-28 11:51 . 2008-09-28 11:51 <DIR> d-------- C:\Programme\Lavasoft
2008-09-28 11:51 . 2008-09-28 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-28 10:38 . 2008-09-28 10:38 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2008-09-28 10:38 . 2008-09-28 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-09-28 10:38 . 2006-04-24 07:00 161,792 --a------ C:\WINDOWS\system32\CNMLM84.DLL
2008-09-28 10:37 . 2008-09-28 10:37 <DIR> d--h----- C:\Programme\CanonBJ
2008-09-28 10:36 . 2008-09-28 10:41 <DIR> d-------- C:\Programme\Canon
2008-09-24 20:53 . 2008-07-12 08:18 3,851,784 --a------ C:\WINDOWS\system32\D3DX9_39.dll
2008-09-24 20:53 . 2008-07-12 08:18 1,493,528 --a------ C:\WINDOWS\system32\D3DCompiler_39.dll
2008-09-24 20:53 . 2008-07-31 10:40 509,448 --a------ C:\WINDOWS\system32\XAudio2_2.dll
2008-09-24 20:53 . 2008-07-12 08:18 467,984 --a------ C:\WINDOWS\system32\d3dx10_39.dll
2008-09-24 20:53 . 2008-07-31 10:41 238,088 --a------ C:\WINDOWS\system32\xactengine3_2.dll
2008-09-24 20:53 . 2008-07-31 10:41 68,616 --a------ C:\WINDOWS\system32\XAPOFX1_1.dll
2008-09-24 20:50 . 2008-09-24 20:50 <DIR> d-------- C:\Programme\Ascaron Entertainment
2008-09-20 02:32 . 2006-12-24 18:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-09-20 02:32 . 2006-12-24 18:05 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-09-20 02:32 . 2006-12-24 18:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-09-20 02:32 . 2006-12-24 18:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-09-20 02:32 . 2006-12-24 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-09-20 02:32 . 2006-12-24 18:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-09-20 02:32 . 2006-12-24 18:05 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-09-20 02:32 . 2008-09-20 02:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-09-20 02:27 . 2008-09-20 02:29 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-09-20 02:27 . 2008-09-28 23:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-18 02:41 . 2008-09-18 02:41 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-09-13 22:41 . <DIR> C:\Dokumente und Einstellungen\hagibär\Anwendungsdaten\SPORE
2008-09-13 22:35 . 2008-09-13 22:35 <DIR> d-------- C:\ProgramData
2008-09-13 22:34 . 2008-09-13 22:34 7,170 --a------ C:\WINDOWS\system32\ealregsnapshot1.reg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-28 22:07 --------- d-----w C:\Programme\Steam
2008-09-28 09:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-28 09:27 --------- d-----w C:\Dokumente und Einstellungen\hagibär\Anwendungsdaten\Lavasoft
2008-09-27 22:15 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-09-26 23:56 --------- d-----w C:\Dokumente und Einstellungen\hagibär\Anwendungsdaten\Xfire
2008-09-26 23:31 183,120 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-09-26 23:31 137,480 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-09-26 19:11 --------- d-s---w C:\Programme\Xfire
2008-09-26 17:53 --------- d-----w C:\Dokumente und Einstellungen\hagibär\Anwendungsdaten\teamspeak2
2008-09-24 18:52 413,696 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-09-24 18:52 110,592 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-09-24 18:50 --------- d-----w C:\Programme\AGEIA Technologies
2008-09-13 20:35 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-13 20:35 --------- d-----w C:\Programme\Electronic Arts
2008-08-25 21:47 --------- d-----w C:\Programme\JoWooD
2008-08-24 22:07 --------- d-----w C:\Programme\Ubisoft
2008-08-19 23:44 --------- d-----w C:\Programme\Gemeinsame Dateien\BioWare
2008-08-04 21:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2007-12-27 05:39 22,328 ----a-w C:\Dokumente und Einstellungen\hagibär\Anwendungsdaten\PnkBstrK.sys
2004-10-01 14:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="C:\Programme\Steam\Steam.exe" [2008-04-18 1271032]
"EA Core"="C:\Programme\Electronic Arts\EADM\Core.exe" [2008-07-21 2752512]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 286720]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-28 8531968]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-28 81920]
"AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2006-09-07 868352]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-05 185896]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 160768]
"nwiz"="nwiz.exe" [2007-10-28 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk
backup=C:\WINDOWS\pss\WISO Urteilsmonitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^hagibär^Startmenü^Programme^Autostart^T-DSL Manager.lnk]
path=C:\Dokumente und Einstellungen\hagibär\Startmenü\Programme\Autostart\T-DSL Manager.lnk
backup=C:\WINDOWS\pss\T-DSL Manager.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2006-03-14 04:06 1397760 C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2005-06-10 11:21 217088 C:\Programme\Microsoft IntelliPoint\point32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LGODDFU]
--a------ 2006-02-20 12:40 245760 C:\Programme\lg_fwupdate\fwupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerBar]
--------- 2004-04-21 11:26 86016 C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-04-18 18:59 1271032 C:\Programme\Steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 17:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-ra------ 2005-05-03 19:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-10-28 17:52 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-ra------ 2006-06-28 15:54 16248320 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 19:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TDslMgrService"=3 (0x3)
"SandraTheSrv"=3 (0x3)
"SandraDataSrv"=3 (0x3)
"GDFwSvc"=3 (0x3)
"AVKWCtl"=2 (0x2)
"AVKService"=2 (0x2)
"AVKProxy"=2 (0x2)
"aawservice"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI\\RpcSandraSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI\\Win32\\RpcDataSrv.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Sierra Entertainment\\WORLD IN CONFLICT\\wic.exe"=
"C:\\Programme\\Sierra Entertainment\\WORLD IN CONFLICT\\wic_online.exe"=
"C:\\Programme\\Sierra Entertainment\\WORLD IN CONFLICT\\wic_ds.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"D:\\Games\\Mass Effect\\Binaries\\MassEffect.exe"=
"D:\\Games\\Mass Effect\\MassEffectLauncher.exe"=
"C:\\Programme\\Ascaron Entertainment\\Sacred 2 - Demo\\system\\s2gs.exe"=
"C:\\Programme\\Ascaron Entertainment\\Sacred 2 - Demo\\system\\sacred2.exe"=

R0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys [2007-01-20 20096]
R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2007-01-20 28307]
S3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2007-01-20 34143]
S3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2007-01-20 29730]
S3 HotSpotFSvc;Hotspot Manager;C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe [ ]
S3 PCIUtil;PCI Utility;C:\DOKUME~1\HAGIBR~1\LOKALE~1\Temp\PCIUtil.sys [ ]
S3 TSMPacket;T-DSL Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]
S4 AVKProxy;AVKProxy;C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2006-08-23 577536]
S4 AVKService;AVK Service;C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe [2006-09-04 397312]
S4 AVKWCtl;AVK Wächter;C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe [2006-09-11 1200128]
S4 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe [2006-09-14 987136]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-AGEIA PhysX SysTray - C:\Programme\AGEIA Technologies\TrayIcon.exe


.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-29 00:06:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-29 0:09:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-28 22:08:58

Vor Suchlauf: 11 Verzeichnis(se), 19.924.709.376 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 19,862,642,688 Bytes frei

230 --- E O F --- 2008-09-28 17:23:32

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:19:16, on 29.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\hagibär\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4613 bytes

Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist WINXP
Volumeseriennummer: 8402-71BD

Verzeichnis von C:\WINDOWS\system32

28.09.2008 19:22 208.276 TZLog.log
28.09.2008 19:21 403.664 perfh009.dat
28.09.2008 19:21 63.266 perfc009.dat
28.09.2008 19:21 948.752 PerfStringBackup.INI
28.09.2008 19:21 76.204 perfc007.dat
28.09.2008 19:21 418.954 perfh007.dat
28.09.2008 00:15 43.520 CmdLineExt03.dll
27.09.2008 21:29 2.206 wpa.dbl
27.09.2008 01:31 183.120 PnkBstrB.exe
25.09.2008 23:24 188.200 FNTCACHE.DAT
24.09.2008 20:52 413.696 wrap_oal.dll
24.09.2008 20:52 110.592 OpenAL32.dll
18.09.2008 02:41 42.320 xfcodec.dll
13.09.2008 22:34 7.170 ealregsnapshot1.reg
08.09.2008 23:07 8 nvModes.dat
04.08.2008 23:20 107.888 CmdLineExt.dll
31.07.2008 10:41 238.088 xactengine3_2.dll
31.07.2008 10:41 68.616 XAPOFX1_1.dll
31.07.2008 10:40 509.448 XAudio2_2.dll
18.07.2008 22:10 94.920 cdm.dll
18.07.2008 22:10 53.448 wuauclt.exe
18.07.2008 22:10 45.768 wups2.dll
18.07.2008 22:10 36.552 wups.dll
18.07.2008 22:10 33.992 wucltui.dll.mui
18.07.2008 22:09 29.896 wuaucpl.cpl.mui
18.07.2008 22:09 29.896 wuapi.dll.mui
18.07.2008 22:09 325.832 wucltui.dll
18.07.2008 22:09 215.752 wuaucpl.cpl
18.07.2008 22:09 205.000 wuweb.dll
18.07.2008 22:09 563.912 wuapi.dll
18.07.2008 22:09 1.811.656 wuaueng.dll
18.07.2008 22:08 21.192 wuaueng.dll.mui
14.07.2008 13:09 62.976 tzchange.exe
12.07.2008 08:18 3.851.784 D3DX9_39.dll
12.07.2008 08:18 467.984 d3dx10_39.dll
12.07.2008 08:18 1.493.528 D3DCompiler_39.dll
07.07.2008 22:30 253.952 es.dll
03.07.2008 11:42 374.272 xpsp3res.dll

Vielen Dank im voraus.

Der Bär
Seitenanfang Seitenende
29.09.2008, 01:09
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Benutze ATF Cleaner

Doppelklick ATFcleaner um das Program zu starten
Auf tab “Main“ Select All anhaaken.
Klicke den Knopf Empty selected

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Systemwiederherstellung
Info:
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

Wenn man Opera als browser hat:
Klicke auf tab “Opera“ Select All anhaaken.
Willst du die durch Opera aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Wenn man [b ]Firefox [/b] als browser hat:
Klicke auf tab “Firefox“ Select All anhaaken.
Willst du die durch Firefox aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Geh zum tab“Main“und klicke Exit um das Program
zu schliessen.
__________
MfG Argus
Seitenanfang Seitenende
29.09.2008, 01:30
der bär
...neu hier

Themenstarter

Beiträge: 2
#3 Vielen Dank Arnold,

das geht aber echt fix hier ;)

Noch ne Frage - was hab ich denn mit dem ATF Cleaner gerade gemacht?

Gruss und nochmals Danke!!!

Der Bär
Seitenanfang Seitenende
29.09.2008, 23:41
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Im Prinzip ist es das gleiche wie CCleaner aber einfacher zu benutzen
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1