Wie den "vundo.gen" Virus loswerden? |
||
---|---|---|
#0
| ||
04.12.2008, 22:05
...neu hier
Beiträge: 3 |
||
|
||
05.12.2008, 00:13
Ehrenmitglied
Beiträge: 6028 |
#2
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O1 - Hosts: 81.31.239.161 paypal.com O2 - BHO: (no name) - {178D4ADF-8F1F-4D71-AAD6-DC253536370F} - C:\WINDOWS\system32\mlJBRIXQ.dll (file missing) O3 - Toolbar: Mirar - {D8827200-3B2C-4418-8186-2C74F960B8DE} - C:\WINDOWS\system32\winaj77.dll O15 - Trusted Zone: *.amaena.com O15 - Trusted Zone: *.antimalwareguard.com O15 - Trusted Zone: *.antispyexpert.com O15 - Trusted Zone: *.avsystemcare.com O15 - Trusted Zone: *.gomyhit.com O15 - Trusted Zone: *.imageservr.com O15 - Trusted Zone: *.imagesrvr.com O15 - Trusted Zone: *.onerateld.com O15 - Trusted Zone: *.safetydownload.com O15 - Trusted Zone: *.spyguardpro.com O15 - Trusted Zone: *.storageguardsoft.com O15 - Trusted Zone: *.trustedantivirus.com O15 - Trusted Zone: *.virusremover2008.com O15 - Trusted Zone: *.virusschlacht.com O15 - Trusted Zone: *.amaena.com (HKLM) O15 - Trusted Zone: *.antimalwareguard.com (HKLM) O15 - Trusted Zone: *.antispyexpert.com (HKLM) O15 - Trusted Zone: *.avsystemcare.com (HKLM) O15 - Trusted Zone: *.gomyhit.com (HKLM) O15 - Trusted Zone: *.imageservr.com (HKLM) O15 - Trusted Zone: *.imagesrvr.com (HKLM) O15 - Trusted Zone: *.onerateld.com (HKLM) O15 - Trusted Zone: *.safetydownload.com (HKLM) O15 - Trusted Zone: *.spyguardpro.com (HKLM) O15 - Trusted Zone: *.storageguardsoft.com (HKLM) O15 - Trusted Zone: *.trustedantivirus.com (HKLM) O15 - Trusted Zone: *.virusremover2008.com (HKLM) O15 - Trusted Zone: *.virusschlacht.com (HKLM) O20 - AppInit_DLLs: eenxyg.dll O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing) O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing) O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing) O23 - Service: CyberLink Live Monitor Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLSomaMonitorService.exe (file missing) O23 - Service: CyberLink Live Push Update Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLPushUpdateService.exe (file missing) O23 - Service: CyberLink Live Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLSomaService.exe (file missing) klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst DelDomains Download DelDomains.inf zum Desktop Rechter Mausklick und selektiere “Installieren” ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein Starte combofix.exe Note: Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt Lass es zu das ComboFix ge-updatet wird Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" zusammen mit ein neuen log von HijackThis __________ MfG Argus |
|
|
||
05.12.2008, 09:37
...neu hier
Themenstarter Beiträge: 3 |
#3
hallo, erstmal danke für die antwort
die aufgaben habe ich ausgeführt, hier der Log vom ComboFix: ComboFix 08-12-04.04 - Dan 2008-12-05 9:29:00.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1580 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Dan\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\dokumente und einstellungen\Dan\Anwendungsdaten\inst.exe c:\windows\OPTIONS\CABS\_desktop.ini c:\windows\system32\eegwdeuc.ini c:\windows\system32\QXIRBJlm.ini c:\windows\system32\QXIRBJlm.ini2 c:\windows\Tasks\mxvxvifg.job ----- BITS: Eventuell infizierte Webseiten ----- hxxp://ccp.vo.llnwd.net . ((((((((((((((((((((((( Dateien erstellt von 2008-11-05 bis 2008-12-05 )))))))))))))))))))))))))))))) . 2008-12-04 21:26 . 2008-12-04 21:26 <DIR> d-------- c:\windows\system32\Kaspersky Lab 2008-12-04 21:26 . 2008-12-04 21:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-12-04 20:31 . 2008-12-04 20:31 <DIR> d-------- c:\dokumente und einstellungen\Dan\Anwendungsdaten\Malwarebytes 2008-12-04 20:31 . 2008-12-04 20:31 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-04 20:31 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-04 20:31 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-04 00:06 . 2008-11-21 20:15 401,408 --a------ c:\windows\system32\winaj77.dll 2008-11-30 13:26 . 2008-11-30 13:26 <DIR> d-------- c:\windows\system32\backup 2008-11-30 13:26 . 2008-11-30 17:02 113 --a------ c:\windows\PPSMediaList.ini 2008-11-29 12:36 . 2008-11-29 12:36 <DIR> d-------- c:\dokumente und einstellungen\Dan\Anwendungsdaten\Microsoft Games 2008-11-26 14:56 . 2008-11-26 14:56 <DIR> d-------- c:\programme\D-Day Coop 2008-11-23 23:10 . 2008-11-23 23:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3 2008-11-23 23:07 . 2008-11-23 23:07 <DIR> d-------- c:\windows\system32\XPSViewer 2008-11-23 23:06 . 2008-11-23 23:06 <DIR> d-------- c:\programme\Reference Assemblies 2008-11-23 23:06 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll 2008-11-23 23:05 . 2008-11-23 23:05 <DIR> d-------- c:\windows\system32\xlive 2008-11-23 19:52 . 2008-11-30 02:06 <DIR> d-------- c:\dokumente und einstellungen\Dan\Anwendungsdaten\Hamachi 2008-11-23 19:51 . 2008-11-23 19:51 25,280 --a------ c:\windows\system32\drivers\hamachi.sys 2008-11-23 16:55 . 2008-11-23 17:02 <DIR> d-------- c:\dokumente und einstellungen\Dan\Anwendungsdaten\Red Alert 3 2008-11-19 13:53 . 2008-11-19 14:25 43 --a------ c:\windows\PCDNSetting.ini 2008-11-16 23:23 . 2008-11-16 23:24 <DIR> d-------- c:\dokumente und einstellungen\Dan\Anwendungsdaten\Vso 2008-11-16 23:23 . 2008-11-16 23:23 47,360 --a------ c:\windows\system32\drivers\pcouffin.sys 2008-11-16 23:23 . 2008-11-16 23:23 47,360 --a------ c:\dokumente und einstellungen\Dan\Anwendungsdaten\pcouffin.sys 2008-11-11 19:39 . 2008-11-11 19:39 <DIR> d-------- c:\dokumente und einstellungen\Dan\Anwendungsdaten\Hansenet 2008-11-09 16:46 . 2008-11-09 16:46 43 --a------ c:\windows\gswin32.ini . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-04 23:07 --------- d-----w c:\dokumente und einstellungen\Dan\Anwendungsdaten\foobar2000 2008-12-04 20:42 --------- d-----w c:\dokumente und einstellungen\Dan\Anwendungsdaten\Skype 2008-12-04 17:36 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-12-01 17:05 --------- d-----w c:\dokumente und einstellungen\Dan\Anwendungsdaten\uTorrent 2008-11-30 15:39 --------- d-----w c:\dokumente und einstellungen\Dan\Anwendungsdaten\ppstream 2008-11-23 22:10 --------- d--h--w c:\programme\InstallShield Installation Information 2008-11-23 22:08 --------- d-----w c:\programme\MSBuild 2008-11-13 17:42 --------- d-----w c:\dokumente und einstellungen\Dan\Anwendungsdaten\FileZilla 2008-11-10 21:28 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-10-19 16:57 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink 2008-10-19 16:39 --------- d-----w c:\programme\vtplus 2008-10-19 16:39 --------- d-----w c:\programme\Gemeinsame Dateien\IviSDK 2008-10-19 16:38 --------- d-----w c:\programme\WinTV 2008-10-14 22:40 --------- d-----w c:\programme\OO Software 2008-10-12 17:42 --------- d-----w c:\dokumente und einstellungen\Dan\Anwendungsdaten\Bioshock 2008-10-06 12:49 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2008-10-06 12:48 --------- d-----w c:\programme\AGEIA Technologies 2008-10-06 12:30 --------- d-----w c:\dokumente und einstellungen\Dan\Anwendungsdaten\InstallShield Installation Information 2008-09-16 19:27 453,152 -c--a-w c:\windows\system32\NVUNINST.EXE 2008-07-28 10:31 22,328 -c--a-w c:\dokumente und einstellungen\Dan\Anwendungsdaten\PnkBstrK.sys 2007-10-31 01:39 1 -c--a-w c:\dokumente und einstellungen\Dan\SI.bin 2007-11-03 11:42 23 -csha-w c:\windows\system32\dfeccb8_g.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360] "DAEMON Tools Lite"="e:\programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864] "36X Raid Configurer"="c:\windows\system32\JMRaidSetup.exe" [2007-02-06 1953792] "avgnt"="e:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-26 266497] "TrueImageMonitor.exe"="e:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-02-17 1194728] "AcronisTimounterMonitor"="e:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-02-17 1966928] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-02-16 149024] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144] "FinePrint Dispatcher v5"="c:\windows\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" [2008-03-05 516096] "PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528] "Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\ssmmgr.exe" [2006-06-07 507904] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016] "nwiz"="nwiz.exe" [2008-09-17 c:\windows\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2007-04-12 c:\windows\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] "Nokia.PCSync"="e:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1294336] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= c:\windows\system32\l3codecp.acm "msacm.divxa32"= msaud32_divx.acm "msacm.l3codec"= c:\windows\system32\l3codecp.acm "msacm.l3codecp"= l3codecp.acm [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoStart IR.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk backup=c:\windows\pss\AutoStart IR.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Dan^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=c:\dokumente und einstellungen\Dan\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=c:\windows\pss\Adobe Gamma.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Dan^Startmenü^Programme^Autostart^OneNote 2007 Screen Clipper and Launcher.lnk] path=c:\dokumente und einstellungen\Dan\Startmenü\Programme\Autostart\OneNote 2007 Screen Clipper and Launcher.lnk backup=c:\windows\pss\OneNote 2007 Screen Clipper and Launcher.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Dan^Startmenü^Programme^Autostart^WEB.DE SmartSurfer.lnk] path=c:\dokumente und einstellungen\Dan\Startmenü\Programme\Autostart\WEB.DE SmartSurfer.lnk backup=c:\windows\pss\WEB.DE SmartSurfer.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 21:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrMfcWnd] --------- 2007-03-12 13:51 663552 c:\programme\Brother\Brmfcmon\BrMfcWnd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter3] --------- 2007-01-26 14:58 65536 c:\programme\Brother\ControlCenter3\BrCtrCen.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FileZilla Server Interface] --a------ 2008-07-30 11:04 942080 e:\programme\FileZilla Server\FileZilla Server Interface.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2006-10-27 00:47 31016 e:\programme\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] --a------ 2008-04-01 11:40 172280 e:\programme\ICQ6\ICQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch] --a------ 2007-01-29 20:10 46632 c:\programme\ScanSoft\PaperPort\IndexSearch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAVPersonal50] --a------ 2006-03-20 18:16 94311 e:\programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\miniqqlive] --a------ 2008-01-07 10:36 221184 e:\programme\QQLive\MiniQQLive.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a--c--- 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services] --a------ 2006-02-13 17:33 214648 c:\programme\Octoshape Streaming Services\Dan\OctoshapeClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray] --a------ 2008-09-04 05:01 2524416 c:\windows\system32\oodtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD] --a------ 2007-01-29 20:12 30248 c:\programme\ScanSoft\PaperPort\pptd40nt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray] --a------ 2007-12-10 09:12 695808 e:\programme\Nokia\Nokia PC Suite 6\PCSuite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-06-29 05:24 286720 e:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2004-11-02 19:24 32768 e:\programme\Cyberlink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung PanelMgr] --a------ 2006-06-07 12:25 507904 c:\windows\Samsung\PanelMgr\SSMMgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Smash] --a------ 2006-08-03 14:09 73728 e:\programme\SoftMaker Office 2006 (Trial)\smash.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate] --a------ 2006-10-25 08:03 210472 c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2008-10-08 18:34 1410296 e:\programme\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a--c--- 2007-09-25 01:11 132496 c:\programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] --a------ 2008-04-01 17:35 3587120 e:\programme\Veoh Networks\Veoh\VeohClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "f:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"= "f:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"= "e:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\Octoshape Streaming Services\\Dan\\OctoshapeClient.exe"= "e:\\Programme\\wtvClient0.95.00\\wtvClient.exe"= "e:\\Programme\\PPStream\\PPStream.exe"= "e:\\Programme\\PPStream\\PPSAP.exe"= "f:\\Spiele\\WiC\\wic.exe"= "f:\\Spiele\\WiC\\wic_online.exe"= "f:\\Spiele\\WiC\\wic_ds.exe"= "e:\\Programme\\Office12\\OUTLOOK.EXE"= "e:\\Programme\\Office12\\GROOVE.EXE"= "e:\\Programme\\Office12\\ONENOTE.EXE"= "f:\\Spiele\\Unreal Tournament 3\\Binaries\\UT3.exe"= "f:\\Spiele\\CoH OF\\RelicCOH.exe"= "e:\\Programme\\PPLive\\PPLive.exe"= "f:\\Spiele\\Frontlines-Fuel of War Demo\\Binaries\\FFOW-MPDemo.exe"= "f:\\Spiele\\GearsofWar\\Binaries\\WarGame-G4WLive.exe"= "e:\\Programme\\Skype\\Phone\\Skype.exe"= R1 Klmc;Klmc;c:\windows\system32\drivers\klmc.sys [2006-03-20 10899] R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\Drivers\hcw95bda.sys [2008-10-19 560640] R3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\DRIVERS\hcw95rc.sys [2008-10-19 15616] S2 ClipInc001;ClipInc 001;e:\tobit clipinc\Server\ClipInc-Server.exe 001 [] S2 ClipInc002;ClipInc 002;e:\tobit clipinc\Server\ClipInc-Server.exe 002 [] S2 ClipInc003;ClipInc 003;e:\tobit clipinc\Server\ClipInc-Server.exe 003 [] S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE [2008-10-19 815104] S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-06-21 42512] S3 zlportio;zlportio;\??\e:\programme\UltraStar Deluxe\zlportio.sys [] S4 CyberLink Live Monitor Service;CyberLink Live Monitor Service;"e:\programme\CyberLink\CyberLink Live\CLSomaMonitorService.exe" [] S4 CyberLink Live Push Update Service;CyberLink Live Push Update Service;"e:\programme\CyberLink\CyberLink Live\CLPushUpdateService.exe" [] S4 CyberLink Live Service;CyberLink Live Service;"e:\programme\CyberLink\CyberLink Live\CLSomaService.exe" [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14ef27a4-4750-11dd-8fe4-001a4d92f44e}] \Shell\AutoRun\command - H:\UFDLaunch.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26ddceef-5c94-11dd-8ff3-001a4d92f44e}] \Shell\AutoRun\command - G:\FalloutLauncher.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b93dc025-bd28-11dd-9093-001a4d92f44e}] \Shell\AutoRun\command - I:\autorun.exe \Shell\setup\command - I:\setup.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-ClipIncSrvTray - e:\tobit clipinc\Player\ClipIncTray.exe MSConfigStartUp-CLPushUpdate - e:\programme\CyberLink\CyberLink Live\CLPushUpdate.exe MSConfigStartUp-h0sts - c:\windows\h0sts.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.daemon-search.com/startpage IE: E&xport to Microsoft Excel - e:\progra~1\Office12\EXCEL.EXE/3000 IE: Nach Microsoft &Excel exportieren - e:\progra~1\OFFICE11\EXCEL.EXE/3000 TCP: {EC9B25BC-F998-4C19-8E8F-E65938E33926} = 213.191.74.19,213.191.74.18 O16 -: DirectAnimation Java Classes - c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd O16 -: Microsoft XML Parser for Java - c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd c:\windows\Downloaded Program Files\NaraChat.ocx - O16 -: {688C15EE-9C38-471D-9E46-BB842E30246F} hxxp://www.playple.com/liveviewer/cab/NChat7.cab c:\windows\Downloaded Program Files\NaraChat.INF c:\windows\system32\SLViewer.ocx - O16 -: {8EEB54D5-CC70-40E4-B015-AC478C02ECC8} hxxp://www.playple.com/liveviewer/cab/SLViewer.cab c:\windows\Downloaded Program Files\SLViewer.inf FireFox -: Profile - c:\dokumente und einstellungen\Dan\Anwendungsdaten\Mozilla\Firefox\Profiles\pyjf6ms2.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ FF -: plugin - c:\dokumente und einstellungen\Dan\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll FF -: plugin - c:\programme\Octoshape Streaming Services\Dan\octoprogram-L03-NMS0806110_SUA_000\npoctoshape.dll FF -: plugin - c:\programme\Octoshape Streaming Services\Dan\octoprogram-L03-NMS0806260_SUA_000\npoctoshape.dll FF -: plugin - c:\programme\Octoshape Streaming Services\Dan\octoprogram-L03-NMS0810164_SUA_000\npoctoshape.dll FF -: plugin - e:\programme\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - e:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll FF -: plugin - e:\programme\DivX\DivX Web Player\npdivx32.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\npdivx32.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\npnul32.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\NPOFF12.DLL FF -: plugin - e:\programme\Mozilla Firefox\plugins\NPOFFICE.DLL FF -: plugin - e:\programme\Mozilla Firefox\plugins\nppdf32.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\nppl3260.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin2.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin3.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin4.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin5.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin6.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin7.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\nprpjplug.dll FF -: plugin - e:\programme\Mozilla Firefox\plugins\NPStreamPlug.dll FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin.dll FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin2.dll FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin3.dll FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin4.dll FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin5.dll FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin6.dll FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin7.dll FF -: plugin - e:\programme\Real Alternative\browser\plugins\nppl3260.dll FF -: plugin - e:\programme\Real Alternative\browser\plugins\nprpjplug.dll FF -: plugin - e:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-05 09:31:32 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(1088) c:\windows\system32\relog_ap.dll . ------------------------ Weitere laufende Prozesse ------------------------ . e:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe e:\programme\AntiVir PersonalEdition Classic\sched.exe e:\programme\FileZilla Server\FileZilla server.exe e:\programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe c:\windows\system32\rundll32.exe c:\windows\system32\nvsvc32.exe e:\programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\klswd.exe c:\windows\system32\oodag.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\PnkBstrB.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-12-05 9:33:01 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-12-05 08:32:51 Vor Suchlauf: 3.477.372.928 Bytes frei Nach Suchlauf: 3,441,238,016 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn 312 und hier der Log vom HiJackThis danach ausgeführt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:34:53, on 05.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe E:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe E:\Programme\AntiVir PersonalEdition Classic\sched.exe e:\Programme\FileZilla Server\FileZilla Server.exe E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\oodag.exe E:\Programme\DAEMON Tools Lite\daemon.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe E:\Eigene Dateien\virus\HJT\pruefung1.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: iOpus iMacros - {0483894E-2422-45E0-8384-021AFF1AF3CD} - E:\Programme\iMacros\imacros.dll O9 - Extra 'Tools' menuitem: iMacros Web Automation - {0483894E-2422-45E0-8384-021AFF1AF3CD} - E:\Programme\iMacros\imacros.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\Office12\ONBttnIE.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - e:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - E:\Programme\PPLive\PPLive.exe O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - E:\Programme\PPLive\PPLive.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {688C15EE-9C38-471D-9E46-BB842E30246F} (ChatCommControl Control) - http://www.playple.com/liveviewer/cab/NChat7.cab O16 - DPF: {8EEB54D5-CC70-40E4-B015-AC478C02ECC8} (SLViewer Control) - http://www.playple.com/liveviewer/cab/SLViewer.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9B25BC-F998-4C19-8E8F-E65938E33926}: NameServer = 213.191.74.19,213.191.74.18 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\Office12\GR99D3~1.DLL O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing) O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing) O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing) O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - e:\Programme\FileZilla Server\FileZilla Server.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - e:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing) O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 8031 bytes gruß Daniel |
|
|
||
05.12.2008, 10:03
Ehrenmitglied
Beiträge: 6028 |
#4
Start > Ausführen> Kopiere rein ComboFix /U OK
Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme " Klicke "Programm ausführen " unter FileASSASSIN Suche c:\windows\system32\winaj77.dll und klicke OK Jetzt wird c:\windows\system32\winaj77.dll entgültig entfernt SDFix für Windows 2000 und Windows XP Download SDFix zum Desktop Starte dein Recher in abgesicherten Modus SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Java Dein Java software ist veraltet, Download Java Runtime Environment (JRE) 6u11 zum Desktop Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software Die aeltere Versionen von Java Runtime Environment (JRE of J2SE) Nachdem alles entfernt wurde --->Rechner neu starten Schliesse alle Programme auch dein Webbrowser Installiere jetzt vom Desktop aus ---> jre-6u11-windows-i586-p-s.exe Benutze ATF Cleaner Nur für XP und Windows 2000 Doppelklick ATFcleaner um das Program zu starten Auf tab “Main“ Select All anhaaken. Klicke den Knopf Empty selected Wenn man Opera als browser hat: Klicke auf tab “Opera“ Select All anhaaken. Willst du die durch Opera aufgehobene passwörter behalten Dan klickt man im Fenster was erscheint auf “No“ Klicke den Knopf Empty selected Wenn man Firefox als browser hat: Klicke auf tab “Firefox“ Select All anhaaken. Willst du die durch Firefox aufgehobene passwörter behalten Dan klickt man im Fenster was erscheint auf “No“ Klicke den Knopf Empty selected Geh zum tab“Main“und klicke Exit um das Program zu schliessen. __________ MfG Argus |
|
|
||
05.12.2008, 14:46
...neu hier
Themenstarter Beiträge: 3 |
#5
ok bin die aufgaben wieder durchgegangen, hat alles geklappt, bis auf das Firefox spezifische einstellen des ATF Cleaners. Sollte ich deswegen die Passwörter/Cookies manuell löschen? und danach überall neue einstellen?
also erstmal einen riesen Dank an dich, ohne deine Hilfe wäre ich echt aufgeschmissen. noch eine kleine Frage zum Schluss: jetzt da das System wieder gereinigt ist, wäre es wohl klug erstmal alle wichtigen Daten zu sichern, für den Fall, dass soetwas nochmal passiert, oder? nochmals danke für die schnelle und kompetente Hilfe gruß Daniel |
|
|
||
05.12.2008, 15:05
Ehrenmitglied
Beiträge: 6028 |
||
|
||
hab mir den "vundo.gen" Virus eingefangen.
habe erst den CCleaner drüberlaufenlassen. danach
malwarebytes, der log davon hierdie gefundenen Dateien habe ich gelöscht)
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1460
Windows 5.1.2600 Service Pack 2
04.12.2008 21:21:33
mbam-log-2008-12-04 (21-21-33).txt
Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 283827
Laufzeit: 46 minute(s), 51 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqribywt (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f62817df-b094-4ac5-8620-f858cefdfcf1} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f62817df-b094-4ac5-8620-f858cefdfcf1} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft (Backdoor.Bot) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\rqRIbywt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eenxyg.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{36F0C391-D442-44F4-99F8-AEAC5FC30917}\RP385\A0138174.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{36F0C391-D442-44F4-99F8-AEAC5FC30917}\RP385\A0138175.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{36F0C391-D442-44F4-99F8-AEAC5FC30917}\RP385\A0138176.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\Music\Sammlungen\emule\Sony Vegas 5.0 and DVDArchitect 2+ Keygen\Sony Vegas 5.0 and DVDArchitect 2+ Keygen\Vegas5_Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Music\Sammlungen\emule\Sony.Vegas.v5.0a.and.Sony.DVD.Achitect.v2.0.Incl.Keygens-RENEGADE\Vegas5_keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Programme\Sony Vegas 7 + DVD Architect 4\DVD Architect 4.0.125\Sony DVD Architect v4.0 Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Programme\Sony Vegas 7 + DVD Architect 4\Vegas 7.0a\Sony Vegas v7.0a Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
Danach hab ich noch HJT laufen lassen.
Hier der Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:32:25, on 04.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
e:\Programme\FileZilla Server\FileZilla Server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
E:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Cyberlink\PowerDVD\PowerDVD.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
E:\Eigene Dateien\virus\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
O1 - Hosts: 81.31.239.161 paypal.com
O2 - BHO: (no name) - {178D4ADF-8F1F-4D71-AAD6-DC253536370F} - C:\WINDOWS\system32\mlJBRIXQ.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Mirar - {D8827200-3B2C-4418-8186-2C74F960B8DE} - C:\WINDOWS\system32\winaj77.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] e:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: iOpus iMacros - {0483894E-2422-45E0-8384-021AFF1AF3CD} - E:\Programme\iMacros\imacros.dll
O9 - Extra 'Tools' menuitem: iMacros Web Automation - {0483894E-2422-45E0-8384-021AFF1AF3CD} - E:\Programme\iMacros\imacros.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - e:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - E:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - E:\Programme\PPLive\PPLive.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.antispyexpert.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.spyguardpro.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusremover2008.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.antispyexpert.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.spyguardpro.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusremover2008.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {688C15EE-9C38-471D-9E46-BB842E30246F} (ChatCommControl Control) - http://www.playple.com/liveviewer/cab/NChat7.cab
O16 - DPF: {8EEB54D5-CC70-40E4-B015-AC478C02ECC8} (SLViewer Control) - http://www.playple.com/liveviewer/cab/SLViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9B25BC-F998-4C19-8E8F-E65938E33926}: NameServer = 213.191.74.19,213.191.74.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: eenxyg.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: CyberLink Live Monitor Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLSomaMonitorService.exe (file missing)
O23 - Service: CyberLink Live Push Update Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLPushUpdateService.exe (file missing)
O23 - Service: CyberLink Live Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLSomaService.exe (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - e:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - e:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
--
End of file - 10021 bytes
Ich hoffe ihr könnt mir helfen den Virus komplett zu löschen
hab gerade gemerkt, dass ich hijackthis exe vor dem starten nicht umbenannt habe. hab die exe jetzt umbenannt und einen neuen Log angefertigt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:52, on 04.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
e:\Programme\FileZilla Server\FileZilla Server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Cyberlink\PowerDVD\PowerDVD.exe
E:\Programme\foobar20088\foobar2000.exe
E:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Eigene Dateien\virus\HJT\pruefung1.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
O1 - Hosts: 81.31.239.161 paypal.com
O2 - BHO: (no name) - {178D4ADF-8F1F-4D71-AAD6-DC253536370F} - C:\WINDOWS\system32\mlJBRIXQ.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Mirar - {D8827200-3B2C-4418-8186-2C74F960B8DE} - C:\WINDOWS\system32\winaj77.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] e:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: iOpus iMacros - {0483894E-2422-45E0-8384-021AFF1AF3CD} - E:\Programme\iMacros\imacros.dll
O9 - Extra 'Tools' menuitem: iMacros Web Automation - {0483894E-2422-45E0-8384-021AFF1AF3CD} - E:\Programme\iMacros\imacros.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - e:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - E:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - E:\Programme\PPLive\PPLive.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.antispyexpert.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.spyguardpro.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusremover2008.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.antispyexpert.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.spyguardpro.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusremover2008.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {688C15EE-9C38-471D-9E46-BB842E30246F} (ChatCommControl Control) - http://www.playple.com/liveviewer/cab/NChat7.cab
O16 - DPF: {8EEB54D5-CC70-40E4-B015-AC478C02ECC8} (SLViewer Control) - http://www.playple.com/liveviewer/cab/SLViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9B25BC-F998-4C19-8E8F-E65938E33926}: NameServer = 213.191.74.19,213.191.74.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: eenxyg.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: CyberLink Live Monitor Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLSomaMonitorService.exe (file missing)
O23 - Service: CyberLink Live Push Update Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLPushUpdateService.exe (file missing)
O23 - Service: CyberLink Live Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLSomaService.exe (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - e:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - e:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
--
End of file - 10042 bytes