"Your computer is infected" + unerwünschtes Herunterfahren + Browser geht nicht |
||
---|---|---|
#0
| ||
31.10.2008, 09:24
Member
Beiträge: 13 |
||
|
||
31.10.2008, 10:04
Ehrenmitglied
Beiträge: 6028 |
#2
Entferne C:\Quoobox
Spybot S&D TeaTimer Bitte den TeaTimer von Spybot S & D deaktivieren: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) Download ResetTeaTimer zum Desktop Doppelklik ResetTeaTimer Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten! Note:ResetTeaTimer nicht fuer Vista Entferne via Software Malwarebytes' Anti-Malware und download von hier(Anhang) die letzte Version SDFix für Windows 2000 und Windows XP Download SDFix zum Desktop Starte dein Recher in abgesicherten Modus SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread Note:Wenn die Immunisierfunktion von Spybot s&d benutzt wird,nachher wieder installieren,weil SDFix sie entfernt Und ein log von Hijack This Anhang: mbam-setup.exe __________ MfG Argus |
|
|
||
31.10.2008, 10:24
Member
Themenstarter Beiträge: 13 |
#3
TeaTimer war im SpyBot bereits ausgeschaltet, taucht jedoch unter den laufenden Prozessen wieder auf.
Außerdem lässt sich der ResetTeaTimer nicht durchführen, er meint, "TeaTimer and Spybot must be closed" und das auch, nachdem ich TeaTimer manuell bei Prozessen beendet habe. |
|
|
||
31.10.2008, 11:14
Ehrenmitglied
Beiträge: 6028 |
||
|
||
31.10.2008, 11:46
Member
Themenstarter Beiträge: 13 |
#5
HJT-Log:
Code Logfile of Trend Micro HijackThis v2.0.2SDFix-Log: Code [b]SDFix: Version 1.238 [/b] |
|
|
||
31.10.2008, 14:51
Ehrenmitglied
Beiträge: 6028 |
#6
Und wo ist das log von BMAN?
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.localklicke: Fix checked CombiFix entfernen Start > Ausführen> Kopiere rein ComboFix /U OK __________ MfG Argus |
|
|
||
01.11.2008, 16:40
Member
Themenstarter Beiträge: 13 |
#7
Sorry, habs vergessen.
Also hier nochmal von heute: Mbam Code Malwarebytes' Anti-Malware 1.30Bei Hjt hab ich die Einträge gefixt, hier nochmal ein aktuelles Log: Code Logfile of Trend Micro HijackThis v2.0.2 |
|
|
||
03.11.2008, 16:34
Moderator
Beiträge: 5694 |
#8
Das HJT Log ist sauber.
Du kannst noch einige Onlinescans machen: http://www.virus-protect.org/onlinescan.html gruss Swiss |
|
|
||
Als erstes bemerkte ich, dass die svchost.exe plötzlich auf das Internet zugreifen wollte. Das habe ich verhindert.
Dann öffnete sich rechts in der Taskbar das Fenster mit der Meldung, dass mien "computer" "infected" sei. Den Anweisungen in diesem Fenster bin ich nicht gefolgt.
Plötzlich hat sich mein Rechner heruntergefahren und neu gestartet.
Er lief auch stabil, bis ich manuell im Taskmanager svchost.exe beendet habe. Dann brachte er mir eine Meldung, dass sich der Pc in 60 Sekunden nun herunterfahren wird, weil halt diese Anwendung beendet wurde. Das hat er dann auch gemacht.
Außerdem kam beim Surfen eine Meldung, die ich jetzt leider nicht mehr im Kopf habe. Irgendwas mit MS Visual C++. AUf jeden Fall konnte man es abbrechen, wiederholen oder ignorieren. Beim abbrechen hat er sich mit einer ähnlichen Begründung wie vorher heruntergefahren. Beim Wiederholen passierte erstmal nichts, nur dass Browser wie Firefox oder IE keine Seite mehr öffnen können.
Ich habe bereits mit Antivir, Spybot und SuperAntiSpyware gescannt. Nachdem ich das wenige, was die gefunden hatten, entfernt hatte, änderte sich nichts am Problem und die drei Scanner fanden nichts mehr.
Mbam lässt sich nicht aktualisieren, es meint ich hätte eine Firewall, die das verhindert. Was aber nicht der Fall ist.
HJT-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:01:04, on 31.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\BenQ\QPower\QPower.exe
C:\Program Files\BenQ\Q-HotkeyMgr\HotkeySensor.exe
C:\Programme\Realtek\InstallShield\AzMixerSel.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\HIDEMY~1\SECURE~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\Install\msxml4-KB936181-enu.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.benq.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPower] C:\Program Files\BenQ\QPower\QPower.exe /s
O4 - HKLM\..\Run: [Q-HotkeyMgr] "C:\Program Files\BenQ\Q-HotkeyMgr\HotkeySensor.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O20 - AppInit_DLLs: karna.dat
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
--
End of file - 7739 bytes
ComboFix-Log
ComboFix 08-10-30.09 - Franz 2008-10-31 9:12:16.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1125 [GMT 1:00]
[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\Drivers\TDSSmxfe.sys
C:\WINDOWS\system32\TDSSarxx.dll
C:\WINDOWS\system32\TDSSdxgp.dll
C:\WINDOWS\system32\TDSSihys.log
C:\WINDOWS\system32\TDSSkkao.log
C:\WINDOWS\system32\TDSSmtpe.dat
C:\WINDOWS\system32\TDSSnpur.dll
C:\WINDOWS\system32\TDSSoitu.dll
C:\WINDOWS\system32\TDSSyoqm.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_TDSSserv
-------\Legacy_TDSSserv
-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys
((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-31 ))))))))))))))))))))))))))))))
.
2008-10-30 22:50 . 2008-10-30 22:50 <DIR> d-------- C:\Dokumente und Einstellungen\Franz\Anwendungsdaten\Ubisoft
2008-10-30 22:44 . 2008-10-30 22:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2008-10-30 22:13 . 2008-10-30 22:13 <DIR> d-------- C:\Programme\Ubisoft
2008-10-30 22:12 . 2008-10-30 22:12 <DIR> d-------- C:\Dokumente und Einstellungen\Franz\Anwendungsdaten\InstallShield
2008-10-30 17:24 . 2008-10-30 17:24 <DIR> d-------- C:\Programme\Craagle
2008-10-28 09:20 . 2008-10-28 09:20 <DIR> d-------- C:\Programme\ANNO 1503
2008-10-27 17:46 . 2008-10-27 17:46 <DIR> d--hs---- C:\FOUND.007
2008-10-07 18:09 . 2008-10-07 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas & Petra\Anwendungsdaten\Apple Computer
2008-10-06 17:07 . 2008-10-07 17:36 17 --a------ C:\WINDOWS\Missing.ini
2008-10-01 20:45 . 2008-10-01 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MovieJack 6
2008-09-19 22:55 . 2008-09-19 22:55 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-09-19 22:55 . 2008-09-19 22:55 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-09-09 05:22 . 2008-09-09 05:22 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-15 17:54 339,456 ------w C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-10 23:05 41,872 ----a-w C:\Dokumente und Einstellungen\Franz\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-10-03 17:58 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-15 16:37 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-15 16:37 1,846,144 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2008-08-28 11:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-28 11:04 333,056 ------w C:\WINDOWS\system32\dllcache\srv.sys
2008-08-27 09:57 3,593,216 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-08-25 09:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-25 09:37 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-08-23 06:56 635,848 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-08-23 06:54 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-08-14 14:36 2,188,288 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 14:36 2,188,288 ------w C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-08-14 14:36 2,065,280 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 14:36 2,065,280 ------w C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-08-14 14:35 2,145,280 ------w C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-08-14 14:35 2,023,424 ------w C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-08-14 10:51 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-07-18 21:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 21:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 21:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 21:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 21:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 21:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 21:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 21:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 21:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 21:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 21:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 21:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 21:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 21:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 21:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-07 21:16 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 21:16 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-01 1576176]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-04-01 98393]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-04-01 688217]
"QPower"="C:\Program Files\BenQ\QPower\QPower.exe" [2005-06-17 155648]
"Q-HotkeyMgr"="C:\Program Files\BenQ\Q-HotkeyMgr\HotkeySensor.exe" [2005-05-31 151552]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-04-01 45056]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-03 385024]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 413696]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-07-13 C:\WINDOWS\RTHDCPL.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-09-01 21:22 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2005-05-31 22:46 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-07-07 09:42 2156368 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 12:35 90112 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ClipIncSrvTray"="D:\Tobit ClipInc\Player\ClipIncTray.exe"
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SMSERIAL"=sm56hlpr.exe
"Ulead AutoDetector"=C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
"QPresentation"=C:\Programme\BenQ\QPresentation\QPresentation.exe /s
"QMusic2"=C:\Programme\BenQ\QMusic2\QMAgent.exe
"Q-MediaBar"=C:\Programme\BenQ\Q-MediaBar\QBar.exe /stop
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"EOUApp"=C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\ftp-uploader\\FTPUploader.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"C:\\WINDOWS\\System32\\java.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
R1 atitray;atitray;C:\Programme\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys [2007-11-05 17952]
R1 SMBHC;Microsoft SM Bus-Hostcontrollertreiber;C:\WINDOWS\system32\DRIVERS\SMBHC.sys [2001-08-17 6784]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 QPowerHw.dll;QPowerHw.dll;C:\Program Files\BenQ\QPower\QPowerHw.dll [2004-12-20 3456]
R3 SMBBATT;Microsoft Smart Battery-Treiber;C:\WINDOWS\system32\DRIVERS\SMBBATT.sys [2004-08-03 16128]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
S3 jbmhmr.dll;jbmhmr.dll;C:\Program Files\BenQ\Q-HotkeyMgr\jbmhmr.dll [2004-12-07 2560]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [ ]
S3 QPresentHw.dll;QPresentHw.dll;C:\Programme\BenQ\QPresentation\QPresentHw.dll [2004-12-15 3200]
S3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18432]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{54c6244c-64c2-11dd-87a0-0015000440b4}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe VALUED-1EA80BFA.vbs
*Newly Created Service* - QPOWERHW.DLL
.
Inhalt des "geplante Tasks" Ordners
2008-10-24 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 16:46]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe
MSConfigStartUp-ClipIncSrvTray - D:\Tobit ClipInc\Player\ClipIncTray.exe
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Franz\Anwendungsdaten\Mozilla\Firefox\Profiles\qjnwjedy.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.ixquick.de
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-31 09:18:43
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\securenet.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\EVTENG.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\S24EVMON.EXE
C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\PROGRAMME\BONJOUR\MDNSRESPONDER.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\OPROTSVC.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\REGSRVC.EXE
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\1XCONFIG.EXE
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-31 9:20:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-31 08:20:52
Vor Suchlauf: 25 Verzeichnis(se), 17,967,218,688 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 17,986,191,360 Bytes frei
213 --- E O F --- 2008-10-31 08:01:17
Mbam-Log:
Malwarebytes' Anti-Malware 1.20
Datenbank Version: 957
Windows 5.1.2600 Service Pack 2
02:27:43 31.10.2008
mbam-log-10-31-2008 (02-27-43).txt
Scan Art: Komplett Scan (C:\|D:\|H:\|)
Objekte gescannt: 168071
Scan Dauer: 2 hour(s), 0 minute(s), 5 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)
Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
C:\Programme\Craagle\Craagle.exe (Adware.Craagle) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Franz\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> Delete on reboot.