habe mit skybot gescannt und dabei kam das hier raus... |
||
---|---|---|
#0
| ||
19.02.2009, 17:13
Member
Beiträge: 690 |
||
|
||
19.02.2009, 17:43
Member
Beiträge: 3716 |
#2
hallo, das heißt das dein sicherheits center aus ist, das kann beabsichtigt sein (durch dich) aber auch durch malware ausgelöst worden sein.
kannst ja mal abarbeiten: http://board.protecus.de/t23187.htm |
|
|
||
19.02.2009, 18:20
Member
Themenstarter Beiträge: 690 |
#3
MBAM hat nix gefunden!
hier die Logs: ComboFix 09-02-18.01 - gero 2009-02-19 18:08:51.6 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1014.624 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\gero\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) . ((((((((((((((((((((((( Dateien erstellt von 2009-01-19 bis 2009-02-19 )))))))))))))))))))))))))))))) . 2009-02-19 16:21 . 2009-02-19 16:22 13,544,344 --a------ c:\programme\mpas-fe.exe 2009-02-09 21:13 . 2009-02-09 21:13 <DIR> d-------- c:\programme\soft Xpansion 2009-02-09 21:01 . 2001-07-21 14:40 3,144 --a--c--- c:\windows\system32\dllcache\srgb.icm . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-19 16:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-02-19 13:23 --------- d-----w c:\dokumente und einstellungen\gero\Anwendungsdaten\Skype 2009-02-19 10:02 --------- d-----w c:\dokumente und einstellungen\gero\Anwendungsdaten\skypePM 2009-02-18 22:33 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-02-15 19:49 --------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-02-15 19:46 --------- d--h--w c:\programme\InstallShield Installation Information 2009-02-15 19:46 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-02-09 20:06 --------- d-----w c:\programme\Canon 2009-01-08 06:47 24,064 ----a-w c:\windows\system32\ctfmon.exe 2008-08-29 18:00 50,688 ----a-w c:\programme\ATF-Cleaner.exe 2007-11-20 12:59 1,164,456 ----a-w c:\programme\install_flash_player.exe 2006-12-12 09:13 32,768 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\EBLib.dll 2006-07-28 14:25 19,456 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\LPCFilter.sys 2003-12-30 21:00 69,632 ----a-w c:\dokumente und einstellungen\gero\setup.exe 2003-12-30 21:00 1,505,032 ----a-w c:\dokumente und einstellungen\gero\InstMsiW.exe 2003-12-30 21:00 1,494,280 ----a-w c:\dokumente und einstellungen\gero\InstMsi.exe 2008-05-06 19:06 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050620080507\index.dat . ------- Sigcheck ------- 2009-01-08 07:47 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\windows\ServicePackFiles\i386\ctfmon.exe 2009-01-08 07:47 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\windows\system32\ctfmon.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="c:\windows\system32\igfxtray.exe" [2007-07-25 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-07-25 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2007-07-25 118784] "HWSetup"="c:\programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "ACU"="c:\programme\Atheros\ACU.exe" [2007-04-17 372825] "PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016] "Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2006-10-19 237568] "Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "RTHDCPL"="RTHDCPL.EXE" [2007-07-25 c:\windows\RTHDCPL.exe] "NDSTray.exe"="NDSTray.exe" [BU] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-01-08 24064] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= vdrcodec.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2009-01-08 07:47 24064 c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "de_serv"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Java\\j2re1.4.2_17\\bin\\java.exe"= "c:\\Programme\\Java\\j2re1.4.2_17\\bin\\javaw.exe"= "c:\\Programme\\AntiVir PersonalEdition Classic\\avcenter.exe"= "c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-10-20 28544] R0 VOBID;VOBID;c:\windows\system32\drivers\vobid.sys [2003-08-01 29239] R1 vobiw;vobiw;c:\windows\system32\drivers\vobIW.sys [2004-09-01 188416] R2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe [2006-10-19 233472] R2 MtxIic;MtxIic;c:\windows\system32\drivers\MtxIicKrnlNT.sys [2005-10-03 20992] R3 cdrdrv;Cdrdrv;c:\windows\system32\drivers\Cdrdrv.sys [2004-08-03 62976] R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2007-08-16 57024] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b9818ca-85a1-11dd-98f4-001b9e257e70}] \Shell\AutoRun\command - G:\AutoRun.exe . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://google.de/ DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} - hxxp://www.tradesignalonline.com/gallery/components/axts5we.cab FF - ProfilePath - c:\dokumente und einstellungen\gero\Anwendungsdaten\Mozilla\Firefox\Profiles\oi7sp5sf.default\ FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu FF - prefs.js: browser.startup.homepage - hxxp://www.traderzlounge.de/Forum/index.php FF - component: c:\dokumente und einstellungen\gero\Anwendungsdaten\Mozilla\Firefox\Profiles\oi7sp5sf.default\extensions\support@lastpass.com\platform\WINNT_x86-msvc\components\lpxpcom.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-19 18:09:39 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-02-19 18:10:55 ComboFix-quarantined-files.txt 2009-02-19 17:10:53 ComboFix2.txt 2009-02-19 17:00:35 Vor Suchlauf: 11 Verzeichnis(se), 50.126.405.632 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 50,119,344,128 Bytes frei 115 --- E O F --- 2009-01-21 11:20:01 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:16:59, on 19.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\agrsmsvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\imapi.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\gero\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [Matrox PowerDesk SE] "C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} (TradeSignal 5 Web Edition) - http://www.tradesignalonline.com/gallery/components/axts5we.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Matrox Centering Service - Unknown owner - C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe -- End of file - 5421 bytes Adobe Flash Player ActiveX Adobe Flash Player Plugin Atheros Client Utility Atheros Driver Installation Program Avira AntiVir Personal - Free Antivirus Canon iP2500 series Canon iP2500 series Benutzerregistrierung Canon Utilities Easy-PrintToolBox FastStone Capture 5.3 High Definition Audio Driver Package - KB888111 HijackThis 2.0.2 Hotfix für Windows XP (KB952287) Intel(R) Graphics Media Accelerator Driver Java 2 Runtime Environment, SE v1.4.2_17 Java(TM) 6 Update 7 Malwarebytes' Anti-Malware Matrox DualHead2Go Matrox PowerDesk-SE Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 2.0 Service Pack 1 Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office 2000 Premium Microsoft Visual C++ 2005 Redistributable Mozilla Firefox (3.0.6) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MSXML 4.0 SP2 Parser and SDK OpenOffice.org Installer 1.0 Pinnacle InstantCD/DVD Suite REALTEK GbE & FE Ethernet PCI-E NIC Driver Realtek High Definition Audio Driver Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Skype™ 3.8 soft Xpansion PDF Quick Reader 5 TOSHIBA Accessibility TOSHIBA ConfigFree TOSHIBA Hardware Setup TOSHIBA PC-Diagnose-Tool TOSHIBA Software Modem Trader Workstation 4.0 tradesignal web edition Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Windows XP Service Pack 3 xp-AntiSpy 3.96-8 danke schon mal für die Hilfe!! |
|
|
||
19.02.2009, 18:34
Member
Beiträge: 34 |
#4
Hi petermarkus. Lustig: Ich habe dir hier grade geschrieben: http://board.protecus.de/t36250.htm
Siehst du was ich meinte? Ich würde Spybot auf jeden Fall wieder deinstallieren. __________ . Gruß: Undoreal =>Bestes Anti-Viren Prog||Dateien suchen+finden|| |
|
|
||
19.02.2009, 18:42
Member
Themenstarter Beiträge: 690 |
#5
ja... was ist den jetzt mit meinen logs? alles in Ordnung?
kann sich das bitte mal jemand ansehen. danke |
|
|
||
19.02.2009, 18:46
Member
Beiträge: 3716 |
#6
du hast 2 mal mit combofix gescannt poste das erste log
|
|
|
||
19.02.2009, 18:47
Passwort: gast
Beiträge: 0 |
#7
Das sieht nach silly/Virut infektion aus. Lasse bitte c:\windows\system32\ctfmon.exe bei Virustotal pruefen und poste den Link zum ERgebniss
MfG Ralf |
|
|
||
19.02.2009, 19:10
Member
Themenstarter Beiträge: 690 |
#8
ich habe genau das hier : http://board.protecus.de/t23187.htm abgearbeitet!
|
|
|
||
19.02.2009, 19:16
Member
Beiträge: 3716 |
#9
ja das ist schön du hast combofix 2 mal ausgefürt und, bitte scanne dsa von raman genannte.
|
|
|
||
19.02.2009, 21:31
Member
Themenstarter Beiträge: 690 |
#10
wo ist das von raman bitte
|
|
|
||
19.02.2009, 21:43
Member
Beiträge: 3716 |
#11
das vom gastaccount musst du nehmen ;-)
|
|
|
||
20.02.2009, 00:55
Member
Themenstarter Beiträge: 690 |
#12
bevor ich das jetzt alles nochmal mache...kann mir jemand sagen, was das hier ist?
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) ??? das ist bei mir nämlich im IE bei Extras aufgeführt und ich kann es nicht löschen..das kommt mir komisch vor.. |
|
|
||
20.02.2009, 01:08
Member
Themenstarter Beiträge: 690 |
#13
1. MBAM hat nix gefunden
2.combofix ComboFix 09-02-18.01 - gero 2009-02-20 1:10:41.7 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1014.631 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\gero\Eigene Dateien\Eigene Videos\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) . ((((((((((((((((((((((( Dateien erstellt von 2009-01-20 bis 2009-02-20 )))))))))))))))))))))))))))))) . 2009-02-19 16:21 . 2009-02-19 16:22 13,544,344 --a------ c:\programme\mpas-fe.exe 2009-02-09 21:13 . 2009-02-09 21:13 <DIR> d-------- c:\programme\soft Xpansion 2009-02-09 21:01 . 2001-07-21 14:40 3,144 --a--c--- c:\windows\system32\dllcache\srgb.icm . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-19 23:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-02-19 21:47 --------- d-----w c:\dokumente und einstellungen\gero\Anwendungsdaten\Skype 2009-02-19 17:53 --------- d-----w c:\dokumente und einstellungen\gero\Anwendungsdaten\skypePM 2009-02-19 16:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-02-15 19:49 --------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-02-15 19:46 --------- d--h--w c:\programme\InstallShield Installation Information 2009-02-15 19:46 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-02-09 20:06 --------- d-----w c:\programme\Canon 2009-01-08 06:47 24,064 ----a-w c:\windows\system32\ctfmon.exe 2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll 2008-08-29 18:00 50,688 ----a-w c:\programme\ATF-Cleaner.exe 2007-11-20 12:59 1,164,456 ----a-w c:\programme\install_flash_player.exe 2006-12-12 09:13 32,768 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\EBLib.dll 2006-07-28 14:25 19,456 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\LPCFilter.sys 2003-12-30 21:00 69,632 ----a-w c:\dokumente und einstellungen\gero\setup.exe 2003-12-30 21:00 1,505,032 ----a-w c:\dokumente und einstellungen\gero\InstMsiW.exe 2003-12-30 21:00 1,494,280 ----a-w c:\dokumente und einstellungen\gero\InstMsi.exe 2008-05-06 19:06 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050620080507\index.dat . ------- Sigcheck ------- 2009-01-08 07:47 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\windows\ServicePackFiles\i386\ctfmon.exe 2009-01-08 07:47 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\windows\system32\ctfmon.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="c:\windows\system32\igfxtray.exe" [2007-07-25 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-07-25 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2007-07-25 118784] "HWSetup"="c:\programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "ACU"="c:\programme\Atheros\ACU.exe" [2007-04-17 372825] "PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016] "Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2006-10-19 237568] "Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "RTHDCPL"="RTHDCPL.EXE" [2007-07-25 c:\windows\RTHDCPL.exe] "NDSTray.exe"="NDSTray.exe" [BU] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-01-08 24064] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= vdrcodec.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2009-01-08 07:47 24064 c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "de_serv"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Java\\j2re1.4.2_17\\bin\\java.exe"= "c:\\Programme\\Java\\j2re1.4.2_17\\bin\\javaw.exe"= "c:\\Programme\\AntiVir PersonalEdition Classic\\avcenter.exe"= "c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-10-20 28544] R0 VOBID;VOBID;c:\windows\system32\drivers\vobid.sys [2003-08-01 29239] R1 vobiw;vobiw;c:\windows\system32\drivers\vobIW.sys [2004-09-01 188416] R2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe [2006-10-19 233472] R2 MtxIic;MtxIic;c:\windows\system32\drivers\MtxIicKrnlNT.sys [2005-10-03 20992] R3 cdrdrv;Cdrdrv;c:\windows\system32\drivers\Cdrdrv.sys [2004-08-03 62976] R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2007-08-16 57024] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b9818ca-85a1-11dd-98f4-001b9e257e70}] \Shell\AutoRun\command - G:\AutoRun.exe . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://google.de/ DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} - hxxp://www.tradesignalonline.com/gallery/components/axts5we.cab FF - ProfilePath - c:\dokumente und einstellungen\gero\Anwendungsdaten\Mozilla\Firefox\Profiles\oi7sp5sf.default\ FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu FF - prefs.js: browser.startup.homepage - hxxp://www.traderzlounge.de/Forum/index.php FF - component: c:\dokumente und einstellungen\gero\Anwendungsdaten\Mozilla\Firefox\Profiles\oi7sp5sf.default\extensions\support@lastpass.com\platform\WINNT_x86-msvc\components\lpxpcom.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-20 01:11:35 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-02-20 1:12:49 ComboFix-quarantined-files.txt 2009-02-20 00:12:47 Vor Suchlauf: 10 Verzeichnis(se), 52.786.716.672 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 52,777,611,264 Bytes frei 115 --- E O F --- 2009-02-19 17:48:42 3. hijack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:16:45, on 20.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\agrsmsvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\gero\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [Matrox PowerDesk SE] "C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} (TradeSignal 5 Web Edition) - http://www.tradesignalonline.com/gallery/components/axts5we.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Matrox Centering Service - Unknown owner - C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe -- End of file - 5113 bytes Adobe Flash Player ActiveX Adobe Flash Player Plugin Atheros Client Utility Atheros Driver Installation Program Avira AntiVir Personal - Free Antivirus Canon iP2500 series Canon iP2500 series Benutzerregistrierung Canon Utilities Easy-PrintToolBox FastStone Capture 5.3 High Definition Audio Driver Package - KB888111 HijackThis 2.0.2 Hotfix für Windows XP (KB952287) Intel(R) Graphics Media Accelerator Driver Java 2 Runtime Environment, SE v1.4.2_17 Java(TM) 6 Update 7 Malwarebytes' Anti-Malware Matrox DualHead2Go Matrox PowerDesk-SE Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 2.0 Service Pack 1 Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office 2000 Premium Microsoft Visual C++ 2005 Redistributable Mozilla Firefox (3.0.6) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MSXML 4.0 SP2 Parser and SDK OpenOffice.org Installer 1.0 Pinnacle InstantCD/DVD Suite REALTEK GbE & FE Ethernet PCI-E NIC Driver Realtek High Definition Audio Driver Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB960715) Skype™ 3.8 soft Xpansion PDF Quick Reader 5 TOSHIBA Accessibility TOSHIBA ConfigFree TOSHIBA Hardware Setup TOSHIBA PC-Diagnose-Tool TOSHIBA Software Modem Trader Workstation 4.0 tradesignal web edition Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Windows XP Service Pack 3 xp-AntiSpy 3.96-8 Dieser Beitrag wurde am 20.02.2009 um 01:20 Uhr von petermarkus editiert.
|
|
|
||
20.02.2009, 01:15
Ehrenmitglied
Beiträge: 6028 |
||
|
||
20.02.2009, 01:21
Member
Themenstarter Beiträge: 690 |
#15
achso..hatte mich nur gewundert, warum das bei den extras beim IE auftaucht...kannst du denn jetzt was bei mir finden...habe jetzt ja alles richtig gemacht hoffentlich..
kannst du dir das bitte mal ansehen? mich wundert zum beispiel warum doch noch was von pandasoftware auftaucht.. ich dachte mit dem OTcleanIt könnte man sowas komplett löschen... und kann ich combofix und hijackthis gleich einfach wieder löschen bzw. wie stell ich das am besten an |
|
|
||
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start
--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---
2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-01-26 TeaTimer.exe (1.6.4.26)
2009-02-19 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-01-26 advcheck.dll (1.6.2.15)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-01-22 Includes\Adware.sbi (*)
2009-01-22 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-01-06 Includes\Dialer.sbi (*)
2009-01-22 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-02-10 Includes\Hijackers.sbi (*)
2009-02-10 Includes\HijackersC.sbi (*)
2008-12-09 Includes\Keyloggers.sbi (*)
2009-02-17 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-11-18 Includes\Malware.sbi (*)
2009-02-17 Includes\MalwareC.sbi (*)
2008-12-16 Includes\PUPS.sbi (*)
2009-02-10 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2009-02-10 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-01-28 Includes\Spyware.sbi (*)
2009-01-28 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2009-02-18 Includes\Trojans.sbi (*)
2009-02-17 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
was bedeutet dies bitte?
da steht ja in rot drüber: ein eintrag security