Trojaner: Task-manager wurde vom Administrator deaktiviert |
||
---|---|---|
#0
| ||
07.12.2008, 15:22
Member
Beiträge: 13 |
||
|
||
07.12.2008, 15:30
Moderator
Beiträge: 7805 |
#2
Arbeite bitte die Punkte 2-5 auf beiden Rechnern ab und poste die entsprechenden Reporte.
Dein Win2000 Rechner ist extremst ungepatcht und es kann sein, das der schneller wieder infiziert wird, wie wir ihn reinigen koennen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.12.2008, 15:34
...neu hier
Beiträge: 9 |
#3
Ja um das bearbeiten der Registrierung zu aktivieren ist das hilfreich!...
http://www.pctipp.ch/praxishilfe/kummerkasten/windowsxp/24952/bearbeiten_der_registry_aktivieren_deaktivieren.html |
|
|
||
07.12.2008, 15:47
Moderator
Beiträge: 7805 |
#4
Es wuerde reichen den Eintrag mit Hijackthis anzuhaken und fix checked zu druecken. Problem wird sein, das Malware dein Reg Eintrag gleich wieder neu erstellen wird....
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.12.2008, 19:14
Member
Themenstarter Beiträge: 13 |
#5
Ich habe jetzt punkt 2-5 gemacht.
Ergebnis Computer 1(windows 2000): Malwarebytes: Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1456 Windows 5.0.2195 Service Pack 3 08.12.2008 14:53:50 mbam-log-2008-12-08 (14-53-50).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 54155 Laufzeit: 4 minute(s), 46 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NET Runtime Optimization Service v2.1.41329_X86 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows video drivers (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) log von Combofix: ComboFix 08-12-07.01 - Aaron Kraync 08.12.2008 15:07:49.1 - NTFSx86 Microsoft Windows 2000 Professional 5.0.2195.3.1252.1.1031.18.255 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Aaron Kraync.AARON\Desktop\ComboFix.exe [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\winnt\Web\default.htt K:\autorun.inf k:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213 k:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini k:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Regme.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-11-08 bis 2008-12-08 )))))))))))))))))))))))))))))) . 2008-12-08 14:44 . 08-12-08 14:44 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-08 14:44 . 08-12-08 14:44 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Malwarebytes 2008-12-08 14:44 . 08-12-08 14:44 <DIR> d-------- c:\dokumente und einstellungen\Aaron Kraync.AARON\Anwendungsdaten\Malwarebytes 2008-12-08 14:44 . 08-12-03 19:52 38,496 --a------ c:\winnt\system32\drivers\mbamswissarmy.sys 2008-12-08 14:44 . 08-12-03 19:52 15,504 --a------ c:\winnt\system32\drivers\mbam.sys 2008-12-07 00:23 . 08-12-07 00:23 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Kaspersky Lab Setup Files 2008-12-06 22:23 . 08-12-06 22:23 <DIR> d-------- c:\winnt\system32\Microsoft 2008-12-06 22:23 . 08-12-06 22:23 <DIR> d-------- c:\programme\Lavasoft 2008-12-06 22:23 . 08-12-06 22:23 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2008-12-06 22:23 . 08-12-06 22:24 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Lavasoft 2008-12-06 22:16 . 08-12-06 22:16 <DIR> d-------- c:\programme\AskBarDis 2008-12-06 22:15 . 08-12-06 22:15 <DIR> d---s---- c:\dokumente und einstellungen\Aaron Kraync.AARON\UserData 2008-12-02 23:54 . 08-12-02 23:54 0 --a------ C:\ARK1B.tmp 2008-12-02 23:25 . 08-12-02 23:25 0 --a------ C:\ARK19.tmp 2008-12-02 23:25 . 08-12-02 23:25 0 --a------ C:\ARK18.tmp 2008-12-01 10:34 . 08-12-01 10:33 171,520 ---hs---- c:\winnt\system32\drivers\explore.exe 2008-11-10 08:15 . 08-11-10 08:15 <DIR> d-------- c:\programme\Google 2008-11-10 08:14 . 08-11-10 19:18 <DIR> d-------- c:\programme\NOS 2008-11-10 08:14 . 08-11-10 19:18 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\NOS . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-06 23:00 --------- d---a-w c:\programme\Trend Micro 2008-12-02 22:03 41,744 ----a-w c:\winnt\system32\FTP.EXE 2008-12-01 09:34 96,368 ----a-w c:\winnt\system32\sfc.dll 2008-11-29 18:56 --------- d-----w c:\dokumente und einstellungen\Aaron Kraync.AARON\Anwendungsdaten\AdobeUM 2008-10-27 11:01 --------- d-----w c:\programme\Canon 2008-10-27 11:01 --------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\CanonIJPLM 2008-10-27 10:58 --------- d---a-w c:\programme\Gemeinsame Dateien\InstallShield 2008-10-27 10:58 --------- d-----w c:\programme\Gemeinsame Dateien\ScanSoft Shared 2008-10-27 10:58 --------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\ScanSoft 2008-10-27 10:58 --------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\InstallShield 2008-10-27 10:58 --------- d-----w c:\dokumente und einstellungen\Aaron Kraync.AARON\Anwendungsdaten\ScanSoft 2008-10-27 10:57 --------- d-----w c:\programme\ScanSoft 2008-10-27 10:56 --------- d-----w c:\programme\Gemeinsame Dateien\Canon 2008-10-27 10:54 --------- d--h--w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\CanonBJ 2008-10-27 10:53 --------- d--h--w c:\programme\CanonBJ 2008-10-24 19:27 --------- d-----w c:\programme\Steinberg 2008-10-24 19:26 --------- d-----w c:\programme\Psychotoxic 2008-10-24 19:26 --------- d-----w c:\programme\Propellerhead 2008-10-24 19:26 --------- d-----w c:\programme\2program 2008-10-24 19:21 --------- d-----w c:\programme\GameSpy Arcade 2008-10-24 19:21 --------- d-----w c:\programme\FruityLoops 3.56 2008-10-24 19:18 --------- d-----w c:\programme\VstPlugins 2008-10-24 19:17 --------- d---a-w c:\programme\Winamp 2008-10-24 18:58 --------- d-----w c:\programme\Avira 2008-10-24 18:58 --------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Avira 2008-10-24 18:39 --------- d-----w c:\programme\Inode 2008-10-16 13:13 202,776 ----a-w c:\winnt\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\winnt\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\winnt\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\winnt\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\winnt\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\winnt\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\winnt\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\winnt\system32\wups.dll 2007-07-27 17:29 20 ---h--w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\PKP_DLec.DAT 2006-04-02 18:09 271 ---h--w c:\programme\desktop.ini 2006-04-02 18:09 22,080 ---h--w c:\programme\folder.htt 2001-10-05 09:53 21,866 ----a-w c:\programme\Gemeinsame Dateien\tppupd2k.dll 1999-12-10 12:00 32,528 ----a-w c:\winnt\inf\wbfirdma.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] 08-08-06 15:20 279944 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [08-08-06 15:20 279944] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [08-08-06 15:20 279944] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [08-11-10 08:15 171448] "internat.exe"="internat.exe" [99-12-10 13:00 20752 c:\winnt\system32\internat.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinampAgent"="c:\programme\Winamp\winampa.exe" [04-12-20 19:41 33792] "SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [05-01-24 18:58 81920] "TPP Auto Loader"="c:\winnt\TPPALDR.EXE" [01-10-05 10:54 118784] "Disk Monitor"="c:\programme\Generic\USB Card Reader Driver v2.2\Disk_Monitor.exe" [04-03-31 04:25 441856] "DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [05-11-08 23:00 128920] "razer"="c:\programme\Razer_Pro_Solutions\razerhid.exe" [05-09-21 15:36 143360] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [08-02-28 19:45 151597] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [08-06-12 13:28 266497] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [06-09-12 09:02 282624] "CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [07-05-14 17:01 644696] "CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [07-04-03 17:50 1603152] "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [06-10-25 09:03 210472] "OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" [07-02-04 12:02 79400] "Synchronization Manager"="mobsync.exe" [99-12-10 13:00 112400 c:\winnt\system32\mobsync.exe] "VTTimer"="VTTimer.exe" [03-08-20 04:56 45056 c:\winnt\system32\VTTimer.exe] "SoundMan"="SOUNDMAN.EXE" [04-02-09 09:54 65024 c:\winnt\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [99-12-10 13:00 20752 c:\winnt\system32\internat.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [99-12-10 13:00 189712] c:\dokumente und einstellungen\Aaron Kraync.AARON\Startmen\Programme\Autostart\ Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2006-01-21 118784] c:\dokumente und einstellungen\All Users.WINNT\Startmen\Programme\Autostart\ NkbMonitor.exe.lnk - c:\programme\Nikon\PictureProject\NkbMonitor.exe [2006-12-22 118784] Slim Multimedia Keyboard.lnk - c:\programme\Slim Multimedia Keyboard\MagicKey.exe [2006-12-21 163840] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau] 02-07-22 11:05 142096 c:\winnt\system32\NWPROVAU.DLL [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= mmdrv.dll "VIDC.VP31"= vp31vfw.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwprovau [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 R?2 itslup;itslup;c:\winnt\system32\svchost.exe -k netsvcs [1999-12-10 7952] R0 avgntmgr;avgntmgr;c:\winnt\system32\DRIVERS\avgntmgr.sys [2008-10-24 18496] R0 SonySDK2;Sony USB Mass Storage Driver;c:\winnt\system32\DRIVERS\SonySDK2.sys [2006-07-03 28442] R1 Asapi;Asapi;c:\winnt\system32\drivers\Asapi.sys [2006-09-12 11264] R1 avgntdd;avgntdd;c:\winnt\system32\DRIVERS\avgntdd.sys [2008-10-24 64448] R1 kbfilter;Keyboard Filter Driver;c:\winnt\system32\drivers\kbfilter.sys [2006-12-21 11886] R3 Razerlow;Razerlow USB Filter Driver;c:\winnt\system32\Drivers\Razerlow.sys [2007-02-22 13225] R3 usbhub20;USB 2.0 Root Hub Support;c:\winnt\system32\DRIVERS\usbhub20.sys [2006-05-24 49392] S3 iMSPQMn;iMSPQMn;\??\c:\dokume~1\AARONK~1.AAR\LOKALE~1\Temp\iMSPQMn.sys [] S3 NeodioUSBSTOR;USB Card Reader Driver;c:\winnt\system32\DRIVERS\USBNEOD.SYS [] S3 SONYFILT;Sony USBSTOR.SYS Filter;c:\winnt\system32\Drivers\SonyUSBF.sys [2006-07-03 4480] S3 viafilter;VIA USB Filter;c:\winnt\system32\Drivers\viausb.sys [2006-04-03 9038] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs itslup [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{103L3C30-C3B3-4130-9363-E59E1375PERM}] c:\winnt\Fonts\wmsncs.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe HKLM-Run-Tray Temperature - c:\progra~1\AWS\MiniBug.exe HKU-Default-Run-NvidMediaCenter - c:\programme\Gemeinsame Dateien\System\wmsncs.exe HKU-Default-Run-Spool Driver Service - c:\winnt\system32\spool\drivers\wmsncs.exe HKU-Default-Run-Wmsncs Service - c:\winnt\Fonts\wmsncs.exe HKU-Default-Run-Wins Service - c:\winnt\system32\wins\wmsncs.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.at/ uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie mDefault_Search_URL = hxxp://www.google.com/ie uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s mSearchAssistant = hxxp://www.google.com/ie IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm - LSP: %SystemRoot%\system32\msafd.dll O16 -: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab c:\winnt\Downloaded Program Files\DirectAnimation Java Classes.osd O16 -: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab c:\winnt\Downloaded Program Files\Microsoft XML Parser for Java.osd FireFox -: Profile - c:\dokumente und einstellungen\Aaron Kraync.AARON\Anwendungsdaten\Mozilla\Firefox\Profiles\q6opq5ok.default\ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-08 15:11:39 Windows 5.0.2195 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(264) c:\winnt\system32\msv1_0.dll - - - - - - - > 'lsass.exe'(308) c:\winnt\system32\MPR.dll . Zeit der Fertigstellung: 2008-12-08 15:14:08 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-12-08 14:14:06 Vor Suchlauf: 117.005.127.680 Bytes frei Nach Suchlauf: 117,660,614,656 Bytes frei 196 erneuter log von hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:16:19, on 08.12.2008 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\VTTimer.exe C:\Programme\Winamp\winampa.exe C:\WINNT\SOUNDMAN.EXE C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\WINNT\TPPALDR.EXE C:\Programme\Generic\USB Card Reader Driver v2.2\Disk_Monitor.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Razer_Pro_Solutions\razerhid.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\Razer_Pro_Solutions\razertra.exe C:\Programme\Razer_Pro_Solutions\razerofa.exe C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe C:\WINNT\system32\internat.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\Slim Multimedia Keyboard\MagicKey.exe C:\Programme\Rainlendar\Rainlendar.exe C:\Programme\Slim Multimedia Keyboard\OSD.EXE C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe C:\WINNT\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINNT\TPPALDR.EXE O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v2.2\Disk_Monitor.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [razer] C:\Programme\Razer_Pro_Solutions\razerhid.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O4 - Global Startup: Slim Multimedia Keyboard.lnk = C:\Programme\Slim Multimedia Keyboard\MagicKey.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aon.at O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe -- End of file - 7218 bytes Computer 2 (windows xp): Malwarebytes: Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1456 Windows 5.1.2600 Service Pack 2 08.12.2008 15:07:06 mbam-log-2008-12-08 (15-07-06).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 49183 Laufzeit: 4 minute(s), 25 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Log von Combofix: ComboFix 08-12-07.01 - clau 2008-12-08 15:15:43.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.250 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\clau\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\Microsoft\backup.ftp . ((((((((((((((((((((((( Dateien erstellt von 2008-11-08 bis 2008-12-08 )))))))))))))))))))))))))))))) . 2008-12-08 14:57 . 2008-12-08 14:57 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-08 14:57 . 2008-12-08 14:57 <DIR> d-------- c:\dokumente und einstellungen\clau\Anwendungsdaten\Malwarebytes 2008-12-08 14:57 . 2008-12-08 14:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-08 14:57 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-08 14:57 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-07 14:32 . 2008-12-07 14:32 <DIR> d-------- c:\programme\Trend Micro 2008-12-07 14:24 . 2008-12-07 14:24 <DIR> d-------- c:\programme\Avira 2008-12-07 14:24 . 2008-12-07 14:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2008-12-07 00:41 . 2008-12-07 00:44 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-12-06 21:12 . 2003-04-02 13:00 26,236 --a------ c:\windows\system32\wins.mib 2008-12-06 21:12 . 2003-04-02 13:00 15,872 --a--c--- c:\windows\system32\dllcache\smierrsm.dll 2008-12-06 21:12 . 2003-04-02 13:00 5,632 --a--c--- c:\windows\system32\dllcache\smimsgif.dll 2008-12-06 21:12 . 2003-04-02 13:00 5,632 --a--c--- c:\windows\system32\dllcache\smierrsy.dll 2008-12-06 17:45 . 2008-12-01 10:33 171,520 -r-hs---- c:\windows\system32\drivers\explore.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-08 13:30 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2008-12-07 13:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ScanSoft 2008-12-07 13:15 --------- d-----w c:\programme\Gemeinsame Dateien\Sony Shared 2008-12-06 16:45 359,040 ------w c:\windows\system32\drivers\tcpip.sys 2008-11-05 09:29 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM 2008-11-05 09:28 --------- d-----w c:\programme\Canon 2008-11-05 09:22 --------- d--h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ 2008-11-05 09:21 --------- d--h--w c:\programme\CanonBJ 2008-11-05 08:37 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2008-11-05 08:37 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield 2008-11-05 08:36 --------- d-----w c:\programme\ScanSoft 2008-11-05 08:35 --------- d-----w c:\programme\Gemeinsame Dateien\Canon 2008-10-24 11:34 --------- d-----w c:\programme\Winamp 2008-10-24 11:29 --------- d--h--w c:\programme\InstallShield Installation Information 2008-10-20 11:28 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe AIR 2008-10-06 12:07 20 ---h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-03 68856] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-03 1667584] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-03-24 3309568] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-07 151597] "Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 487424] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-07 98304] "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-03-24 46080] "explore.exe"="c:\windows\system32\drivers\explore.exe" [2008-12-01 171520] "CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696] "CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "SoundMan"="SOUNDMAN.EXE" [2004-01-08 c:\windows\SOUNDMAN.EXE] "Ptipbmf"="ptipbmf.dll" [2003-06-20 c:\windows\system32\ptipbmf.dll] "nwiz"="nwiz.exe" [2004-03-24 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office OneNote 2003 Schnellstart.lnk - c:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2003-08-06 51776] NkbMonitor.exe.lnk - c:\programme\Nikon\PictureProject\NkbMonitor.exe [2008-09-07 118784] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Shell"="Explorer.exe %windir%\\system32\\drivers\\explore.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallDisableNotify"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\german\\setup.exe"= S3 NETMDSHA;MDSHA031;c:\windows\system32\Drivers\MDSHA031.sys [2008-04-27 35331] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\setup.exe *Newly Created Service* - PROCEXP90 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-08 15:18:36 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ASFWHide] "ImagePath"="\??\c:\dokume~1\clau\LOKALE~1\Temp\ASFWHide" . Zeit der Fertigstellung: 2008-12-08 15:20:08 ComboFix-quarantined-files.txt 2008-12-08 14:19:56 Vor Suchlauf: 10 Verzeichnis(se), 190.047.481.856 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 191,085,887,488 Bytes frei 106 erneuter log von hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:27:25, on 08.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\drivers\explore.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\explorer.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [explore.exe] C:\WINDOWS\system32\drivers\explore.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Media Player.lnk = C:\Programme\Adobe Media Player\Adobe Media Player.exe O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214059715579 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214059703236 O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6235 bytes Bei Computer1 geht der Task manager und der Registrierungseditor jetzt wieder. Bei Computer2 ist er direkt nach dem check auch wieder gegangen aber kaum schalt ich ihn aus und wieder an ist das selbe Problem wieder da. Ist bei Computer1 jetzt soweit alles in Ordnung? und was soll ich bei Computer2 jetzt machen? danke für die hilfe, lg claudia |
|
|
||
09.12.2008, 19:01
Moderator
Beiträge: 7805 |
#6
Puh, da durchzukommen wird nicht einfach.
Hake bei dem xp Rechner folgendes an, druecke fix checked und starte neu O4 - HKLM\..\Run: [explore.exe] C:\WINDOWS\system32\drivers\explore.exe Schau, ob nach dem neustart der Eintrag verschwunden ist. Nachdem du c:\winnt\system32\drivers\explore.exe bei Virustotal geprueft und den Link zum Ergebniss hier gepostet hast, loesche die Datei. Danach von dem xp Rechner ein neues Combofix Log erstellen und posten Den 2000er Rechner kannst du schon via www.windowsupdate.com mit den wichtigsten Upstes versorgen. Wiederhole das so oft, bis dir keine Updates mehr angeboten werden __________ MfG Ralf SEO-Spam Hunter |
|
|
||
10.12.2008, 14:04
Member
Themenstarter Beiträge: 13 |
||
|
||
10.12.2008, 17:01
Moderator
Beiträge: 7805 |
#8
Die Datei iast noch auf dem Rechner!
2008-12-06 17:45 . 2008-12-01 10:33 171,520 -r-hs---- c:\windows\system32\drivers\explore.exe Sie scheint allerdings inaktiv zu sein. Lioesche sie bitte. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.12.2008, 13:13
Member
Themenstarter Beiträge: 13 |
#9
Im angegebenen Pfad befindet sich die Datei aber nicht! Ich hab auch die ganze Festplatte durchsuchen lassen und er findet explore.exe nicht. Wie kann das sein?
|
|
|
||
Bei mir waren(sind?) 2 Computer von Trojanern befallen.
1. Computer: Windows 2000 SP3
Antivir ergebniss:
Am 03.12:
C:\WINNT\system32\drivers\explore.exe
[FUND] Ist das Trojanische Pferd TR/SpyBot.DAV.1
C:\Dokumente und Einstellungen\Aaron Kraync.AARON\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3C1T6R2\test[1].exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.ukj.14
[HINWEIS] Die Datei wurde gelöscht.
C:\RECYCLER\S-1-5-21-3137356229-0579372925-061252251-2393\winlogon.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.ukj.14
Am 02.12:
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXQFC12R\pbhespjb[1].jpg
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aqfw
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SPYZS12J\t[1].txt
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
Durch meinen USB Stick hab ich den Trojaner leider auf den 2. Computer übertragen. Antivir hat bei bei meinem USB Stick folgendes gefunden:
K:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\Regme.exe
[FUND] Ist das Trojanische Pferd TR/SpyBot.DAV.1
2.Computer: WindowsXP SP2
Jetzt hab ich das Problem das ich den Task Manager bei beiden Computern nicht mehr öffnen kann. Es kommt die Meldung: "Der Task-manager wurde vom Administrator deaktiviert."
Nachdem ich mich informiert hatte wollte ich das Problem mit dem Registrierungseditor beheben aber wenn ich REGEDIT.EXE eingebe kommt bei beiden Computern die Nachricht: "Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert." und jetzt weiss ich nicht mehr was ich tun soll!
Ich habe im Forum gelesen dass mir einige von euch helfen können wenn ich den computer von hijackthis scannen lasse.
Hier sind die Ergebnisse:
Computer1:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:27, on 07.12.2008
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\VTTimer.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\WINNT\TPPALDR.EXE
C:\Programme\Generic\USB Card Reader Driver v2.2\Disk_Monitor.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Razer_Pro_Solutions\razerhid.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Razer_Pro_Solutions\razertra.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\WINNT\system32\internat.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Razer_Pro_Solutions\razerofa.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Slim Multimedia Keyboard\MagicKey.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Slim Multimedia Keyboard\OSD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aon.at
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\explore.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Tray Temperature] C:\PROGRA~1\AWS\MiniBug.exe 1
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINNT\TPPALDR.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v2.2\Disk_Monitor.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [razer] C:\Programme\Razer_Pro_Solutions\razerhid.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\system32\winIogon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Windows Video Drivers] C:\RECYCLER\S-1-5-21-3137356229-0579372925-061252251-2393\winlogon.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [NvidMediaCenter] C:\Programme\Gemeinsame Dateien\System\wmsncs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Spool Driver Service] C:\WINNT\system32\spool\drivers\wmsncs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Wmsncs Service] C:\WINNT\Fonts\wmsncs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Wins Service] C:\WINNT\system32\wins\wmsncs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Slim Multimedia Keyboard.lnk = C:\Programme\Slim Multimedia Keyboard\MagicKey.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aon.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF534562-6D02-4AD3-86EB-B1AE1B84C023}: NameServer = 195.34.133.21 195.34.133.22
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINNT\Fonts\wmsncs.exe (file missing)
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
--
End of file - 8320 bytes
Computer2:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:33:11, on 07.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\drivers\explore.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\explore.exe
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Windows System Update Tools] upds.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [explore.exe] C:\WINDOWS\system32\drivers\explore.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Windows System Update Tools] upds.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Media Player.lnk = C:\Programme\Adobe Media Player\Adobe Media Player.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214059715579
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214059703236
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--
End of file - 6677 bytes
Mir ist aufgefallen dass bei Computer2 die Datei C:\WINDOWS\system32\drivers\explore.exe bei Antivir als nicht infiziert angezeigt wird während bei Computer1 dort der Trojaner gefunden wurde. Kann es sein das Antivir den Trojaner bei Computer2 einfach nicht entdeckt hat?
Ich kenn mich zwar mit Hijackthis nicht aus aber "O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1" ist mir aufgefallen. ich schätze mal dass deswegen der Registrierungseditor nicht geht, aber wie ändere ich das?
Bitte helfts mir!!