Malware gefunden - Vundo.Gen infiziert |
||
---|---|---|
#0
| ||
23.02.2009, 09:49
Member
Beiträge: 12 |
||
|
||
23.02.2009, 10:46
Ehrenmitglied
Beiträge: 6028 |
#2
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll Klicke Fixed checked MalwareBytes' Anti-Malware Platform: Windows NT/2000/XP/2003 Server/Vista/2008 Server Download MalwareBytes' Anti-Malware Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Wähle bei Reiter: “Scanner”>> "Quick-scan durchführen". Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Starte dein Rechner neu Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! Später kann man noch ein "Vollständiger Suchlauf“durchführen __________ MfG Argus |
|
|
||
23.02.2009, 13:18
Member
Themenstarter Beiträge: 12 |
#3
Hi Argus,
vielen Dank, schaut super aus!!!!! Hier der Scanbericht! Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1795 Windows 5.1.2600 Service Pack 3 23.02.2009 12:56:45 mbam-log-2009-02-23 (12-56-45).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 70676 Laufzeit: 11 minute(s), 5 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 19 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 8 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\urqQjjiH.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\fccaXRLC.dll (Trojan.Vundo) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{67628160-da18-419b-b864-9796ffc8e89b} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{67628160-da18-419b-b864-9796ffc8e89b} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{67628160-da18-419b-b864-9796ffc8e89b} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\rxresult.rxresultfilter (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\rxresult.rxresultfilter.1 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccaxrlc (Trojan.Vundo) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{2ab289ae-4b90-4281-b2ae-1f4bb034b647} (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Error Safe Free (Rogue.Errorsafe) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\RX ToolBar (Adware.RXToolbar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59879fa4-4790-461c-a1cc-4ec4de4ca483} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{59879fa4-4790-461c-a1cc-4ec4de4ca483} (Adware.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Startup Manager (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\urqqjjih -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\urqqjjih -> Delete on reboot. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\urqQjjiH.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\HijjQqru.ini (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\HijjQqru.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lqfebims.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\smibefql.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fccaXRLC.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\smdat32a.sys (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully. Danke Michael |
|
|
||
23.02.2009, 13:30
Ehrenmitglied
Beiträge: 6028 |
#4
ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop! Download link 1 ComboFix Download link 2 ComboFix Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte combofix.exe Folge den Instruktionen in das Fenster Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Befolge diese Anleitung __________ MfG Argus |
|
|
||
23.02.2009, 14:27
Member
Themenstarter Beiträge: 12 |
#5
ComboFix 09-02-21.01 - Michael 2009-02-23 14:18:42.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.895.462 [GMT 1:00] Running from: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokume~1\Michael\LOKALE~1\Temp\tmp2.tmp c:\programme\Need2Find c:\programme\Need2Find\bar\History\search c:\programme\Need2Find\bar\Settings\settings.dat c:\programme\Need2Find\bar\Settings\settings.dat.bak c:\programme\Need2Find\bar\Settings\settings.htm c:\programme\Need2Find\bar\Settings\settings.htm.bak c:\windows\cdmxtras c:\windows\Downloaded Program Files\UERSU_0001_N68M0602NetInstaller.exe c:\windows\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe . ((((((((((((((((((((((((( Files Created from 2009-01-23 to 2009-02-23 ))))))))))))))))))))))))))))))) . 2009-02-23 14:16 . 2009-02-23 14:16 <DIR> d-------- C:\32788R22FWJFW 2009-02-23 13:32 . 2009-02-23 13:32 <DIR> d-------- c:\windows\LastGood 2009-02-23 12:42 . 2009-02-23 12:42 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Malwarebytes 2009-02-23 12:41 . 2009-02-23 12:42 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-02-23 12:41 . 2009-02-23 12:41 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-02-23 12:41 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-23 12:41 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-23 01:50 . 2009-02-23 01:50 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-02-23 01:50 . 2009-02-23 01:50 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmen 2009-02-23 01:50 . 2009-02-23 01:50 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung 2009-02-22 12:42 . 2009-02-23 11:45 <DIR> d-------- C:\hijackthis 2009-02-22 11:33 . 2009-02-22 11:33 1,693,417 ---hs---- c:\windows\system32\rbiljuel.ini 2009-02-22 11:33 . 2009-02-22 11:33 24,576 --a------ c:\windows\system32\VundoFixSVC.exe 2009-02-22 11:10 . 2009-02-22 11:10 119,808 --a------ c:\temp\VundoFix.exe 2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen 2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen 2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten 2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Eigene Dateien 2009-02-22 10:19 . 2005-09-26 09:24 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Template 2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype 2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\CyberLink 2009-02-22 10:19 . 2009-02-23 01:50 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten 2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator 2009-02-21 11:42 . 2009-02-21 11:42 128 --a------ c:\windows\??AVSCAN-20090221-114220-E0A3242C.avp 2009-02-20 14:10 . 2009-02-20 14:10 1,684,316 ---hs---- c:\windows\system32\ojusndfv.ini 2009-02-17 18:23 . 2009-02-23 01:50 <DIR> d-------- c:\programme\PokerOffice5 2009-02-17 18:21 . 2009-02-17 18:22 27,017,812 --a------ c:\temp\PokerOffice5.exe 2009-02-17 18:16 . 2009-02-17 18:17 12,666,714 --a------ c:\temp\CarbonPokerInstaller.exe 2009-02-08 12:50 . 2009-02-08 15:31 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\vlc 2009-02-08 12:49 . 2009-02-08 12:49 <DIR> d-------- c:\programme\VideoLAN 2009-02-08 12:35 . 2009-02-09 20:50 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\DivX 2009-02-08 12:35 . 2008-11-06 17:37 129,784 --------- c:\windows\system32\pxafs.dll 2009-02-08 12:34 . 2009-02-08 12:35 <DIR> d-------- c:\programme\DivX 2009-01-29 21:05 . 2009-01-29 21:05 54,156 --ah----- c:\windows\QTFont.qfn 2009-01-29 21:05 . 2009-01-29 21:05 1,409 --a------ c:\windows\QTFont.for . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-23 12:01 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\LimeWire 2009-02-23 10:50 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2009-02-23 10:39 --------- d--h--w c:\programme\Trillian 2009-02-23 09:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-02-21 10:10 --------- d-----w c:\programme\TBONBin 2009-02-19 19:14 --------- d-----w c:\programme\Full Tilt Poker 2009-02-17 21:07 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Skype 2009-02-08 11:19 --------- d-----w c:\programme\PartyGaming 2009-02-07 18:50 --------- d-----w c:\programme\eMule 2008-12-25 09:20 90,112 ----a-w c:\windows\DUMP8fcc.tmp 2008-12-24 06:57 --------- d-----w c:\programme\LimeWire 2008-12-12 08:29 410,984 ----a-w c:\windows\system32\deploytk.dll 2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll 2008-12-11 00:33 200,704 ----a-w c:\windows\system32\dtu100.dll 2008-12-09 02:28 593,920 ----a-w c:\windows\system32\dpuGUI11.dll 2008-12-09 02:28 57,344 ----a-w c:\windows\system32\dpv11.dll 2008-12-09 02:28 344,064 ----a-w c:\windows\system32\dpus11.dll 2008-12-09 02:28 294,912 ----a-w c:\windows\system32\dpu11.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Power2GoExpress"="c:\programme\CyberLink\Power2Go\Power2GoExpress.exe" [2005-03-23 1630303] "MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="c:\programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe" [2005-07-13 344064] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-07-08 729178] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768] "MMTray"="c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2006-01-17 135168] "CardReaderReset"="c:\programme\Realtek Semiconductor Corp\Card Reader Software\Reset.exe" [2005-06-18 632832] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "mmtask"="c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2006-01-17 53248] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-07-16 98304] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-12 136600] "SNPSTD2"="c:\windows\vsnpstd2.exe" [2004-06-10 286720] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712] "Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-01-29 185896] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "SoundMan"="SOUNDMAN.EXE" [2005-08-17 c:\windows\SOUNDMAN.EXE] "AGRSMMSG"="AGRSMMSG.exe" [2005-07-01 c:\windows\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.clmp3enc"= c:\progra~1\CYBERL~1\Power2Go\CLMP3Enc.ACM [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\NetMeeting\\conf.exe"= "c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "c:\\Programme\\ICQLite\\ICQLite.exe"= "c:\\Programme\\eMule\\emule.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Trillian\\trillian.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Programme\\Real\\RealPlayer\\realplay.exe"= "c:\\Programme\\LimeWire\\LimeWire.exe"= "c:\\Programme\\PokerOffice5\\bin\\javaw.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-01-22 22336] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-01-22 45376] R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-02-23 38496] S3 stusb2ir;USB 2.0 IrDA Bridge;c:\windows\system32\drivers\stusb2ir.sys [2007-04-25 40856] --- Other Services/Drivers In Memory --- *NewlyCreated* - MBAMSWISSARMY [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a231acc8-6eff-11da-9309-000df01cf16e}] \Shell\Open(&O)\command - RECYCLED\appmgmt.exe . - - - - ORPHANS REMOVED - - - - HKCU-Run-POEngine5 - (no file) . ------- Supplementary Scan ------- . uStart Page = hxxp://www.gericom.com/ uInternet Connection Wizard,ShellNext = iexplore IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - c:\programme\PartyGaming\PartyCasino\RunCasino.exe DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://www.pixaco.at/static/download/pixacodndupload.cab DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game05.zylom.com/activex/zylomgamesplayer.cab DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} - hxxp://www.nutzwerk.de/control/NutzNavi.cab DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://asp07.photoprintit.de/microsite/14/defaults/activex/IPSUploader.cab . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-23 14:22:18 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(588) c:\windows\system32\Ati2evxx.dll . Completion time: 2009-02-23 14:24:37 ComboFix-quarantined-files.txt 2009-02-23 13:23:52 Pre-Run: 15 Verzeichnis(se), 72.198.115.328 Bytes frei Post-Run: 15 Verzeichnis(se), 72,787,623,936 Bytes frei 174 --- E O F --- 2009-02-12 07:40:20 |
|
|
||
23.02.2009, 14:41
Moderator
Beiträge: 5694 |
#6
>>
Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Versteckte Dateien sichtbar machen: 1. Klicke unter Start auf Arbeitsplatz. 2. Klicke im Menü Extras auf Ordneroptionen. 3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen 4. Geschützte und Systemdateien ausblenden --> Haken entfernen 5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. http://virus-protect.org/invisible.html >> Lasse folgende Dateien bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: Zitat c:\windows\system32\rbiljuel.iniAuf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint http://virus-protect.org/artikel/tools/sdfix.html >> Nutze GMER und poste das Log: http://virus-protect.org/artikel/tools/gmer.html Gruss Swiss |
|
|
||
23.02.2009, 18:28
Member
Themenstarter Beiträge: 12 |
#7
Datei rbiljuel.ini empfangen 2009.02.23 18:24:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 3/39 (7.7%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.93 2009.02.23 - AhnLab-V3 2009.2.24.0 2009.02.23 - AntiVir 7.9.0.88 2009.02.23 - Authentium 5.1.0.4 2009.02.23 - Avast 4.8.1335.0 2009.02.23 - AVG 8.0.0.237 2009.02.23 - BitDefender 7.2 2009.02.23 - CAT-QuickHeal 10.00 2009.02.22 - ClamAV 0.94.1 2009.02.23 - Comodo 983 2009.02.20 - DrWeb 4.44.0.09170 2009.02.23 - eSafe 7.0.17.0 2009.02.19 - eTrust-Vet 31.6.6369 2009.02.23 - F-Prot 4.4.4.56 2009.02.23 - F-Secure 8.0.14470.0 2009.02.23 Vundo.FBW Fortinet 3.117.0.0 2009.02.23 - GData 19 2009.02.23 - Ikarus T3.1.1.45.0 2009.02.23 - K7AntiVirus 7.10.639 2009.02.21 - Kaspersky 7.0.0.125 2009.02.23 - McAfee 5533 2009.02.22 Vundo!grb McAfee+Artemis 5534 2009.02.23 Vundo!grb Microsoft 1.4306 2009.02.23 - NOD32 3881 2009.02.23 - Norman 6.00.06 2009.02.23 - nProtect 2009.1.8.0 2009.02.23 - Panda 10.0.0.10 2009.02.23 - PCTools 4.4.2.0 2009.02.23 - Prevx1 V2 2009.02.23 - Rising 21.18.02.00 2009.02.23 - SecureWeb-Gateway 6.7.6 2009.02.23 - Sophos 4.39.0 2009.02.23 - Sunbelt 3.2.1855.2 2009.02.17 - Symantec 10 2009.02.23 - TheHacker 6.3.2.5.263 2009.02.23 - TrendMicro 8.700.0.1004 2009.02.23 - VBA32 3.12.10.0 2009.02.22 - ViRobot 2009.2.23.1618 2009.02.23 - VirusBuster 4.5.11.0 2009.02.22 - weitere Informationen File size: 1693417 bytes MD5...: ee6b2a4c7fc41dd0d89ba1803a73d2f3 SHA1..: 755f20393277e10228f8d72199b63f578e5293eb SHA256: 7011ce2277bf20ca640defa73c701788d8263b07e3a48d21877b5acda178288e SHA512: 8642a58651dc8b2f27cf24c3885fa9a776ab4340275d8d0e976c04a66c4ec35c 2d4a94a14faf35f47dc95b59091f4c8d696804cc5c8f723a8fa7f0672a194b7c ssdeep: 24576:Um28UH3sPC5zvdrbehUi2Um8EXhUdun1J:Um28i3sPC5zvdrbehUi2Um8E XhU+j PEiD..: - TrID..: File type identification Unknown! PEInfo: - Datei ojusndfv.ini empfangen 2009.02.23 18:27:31 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 3/39 (7.7%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.93 2009.02.23 - AhnLab-V3 2009.2.24.0 2009.02.23 - AntiVir 7.9.0.88 2009.02.23 - Authentium 5.1.0.4 2009.02.23 - Avast 4.8.1335.0 2009.02.23 - AVG 8.0.0.237 2009.02.23 - BitDefender 7.2 2009.02.23 - CAT-QuickHeal 10.00 2009.02.22 - ClamAV 0.94.1 2009.02.23 - Comodo 983 2009.02.20 - DrWeb 4.44.0.09170 2009.02.23 - eSafe 7.0.17.0 2009.02.19 - eTrust-Vet 31.6.6369 2009.02.23 - F-Prot 4.4.4.56 2009.02.23 - F-Secure 8.0.14470.0 2009.02.23 Vundo.FBW Fortinet 3.117.0.0 2009.02.23 - GData 19 2009.02.23 - Ikarus T3.1.1.45.0 2009.02.23 - K7AntiVirus 7.10.639 2009.02.21 - Kaspersky 7.0.0.125 2009.02.23 - McAfee 5533 2009.02.22 Vundo!grb McAfee+Artemis 5534 2009.02.23 Vundo!grb Microsoft 1.4306 2009.02.23 - NOD32 3881 2009.02.23 - Norman 6.00.06 2009.02.23 - nProtect 2009.1.8.0 2009.02.23 - Panda 10.0.0.10 2009.02.23 - PCTools 4.4.2.0 2009.02.23 - Prevx1 V2 2009.02.23 - Rising 21.18.02.00 2009.02.23 - SecureWeb-Gateway 6.7.6 2009.02.23 - Sophos 4.39.0 2009.02.23 - Sunbelt 3.2.1855.2 2009.02.17 - Symantec 10 2009.02.23 - TheHacker 6.3.2.5.263 2009.02.23 - TrendMicro 8.700.0.1004 2009.02.23 - VBA32 3.12.10.0 2009.02.22 - ViRobot 2009.2.23.1618 2009.02.23 - VirusBuster 4.5.11.0 2009.02.22 - weitere Informationen File size: 1684316 bytes MD5...: 4e64e504d5bb30ab9e37a51ade4a6dbd SHA1..: dcefbecafc501a860b4ef8f7363d7e9604527fda SHA256: fa59518d5322ad438f4e2d51711d88d091a4d7c96fdd0daebd820b75163c22dc SHA512: 983a450f4bd664d6fa935b5a58c42daf7c2cceeb15933c3f65a4a6deb9e6b9ee 6ba62d3373b8c09ab97b1a167e0ff266f037ef514540b571da6b20968fd8e4e0 ssdeep: 24576:Xm28UH3sPC5zvdrbehUi2Um8EdhEyZ7I4X6:Xm28i3sPC5zvdrbehUi2Um 8Edhp7I4X6 PEiD..: - TrID..: File type identification Unknown! PEInfo: - SDFix: Version 1.240 Run by Administrator on 23.02.2009 at 18:45 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-23 18:53:41 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\NetMeeting\\conf.exe"="C:\\Programme\\NetMeeting\\conf.exe:*:Enabled:Windows® NetMeeting®" "C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger" "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*isabled:Trillian" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer" "C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" "C:\\Programme\\PokerOffice5\\bin\\javaw.exe"="C:\\Programme\\PokerOffice5\\bin\\javaw.exe:*:Enabled:Java(TM) Platform SE binary" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" Remaining Files : Files with Hidden Attributes : Thu 13 Nov 2008 6,108,728 A..H. --- "C:\Programme\Picasa2\setup.exe" Mon 14 Mar 2005 640,000 A..H. --- "C:\Programme\Trillian\dbghelp.dll" Mon 14 Mar 2005 143,360 A..H. --- "C:\Programme\Trillian\libexpat.dll" Tue 30 Jan 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Thu 24 May 2007 28,672 A..H. --- "C:\Dokumente und Einstellungen\Michael\Eigene Dateien\~WRL0497.tmp" Mon 20 Oct 2003 73,688 ..SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\Setup.exe" Wed 4 Feb 2004 18,432 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setup.dll" Wed 4 Feb 2004 5,120 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setupx.dll" Mon 4 Oct 2004 417,792 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe" Thu 27 May 2004 61,440 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.3\uinstrsc.dll" Fri 25 Jun 2004 418,816 A..HR --- "C:\WINDOWS\system32\Tools\All.exe" Fri 25 Jun 2004 390,144 A..HR --- "C:\WINDOWS\system32\Tools\Change.exe" Fri 25 Jun 2004 574,464 A..HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe" Fri 25 Jun 2004 430,592 A..HR --- "C:\WINDOWS\system32\Tools\Counter.exe" Fri 25 Jun 2004 390,656 A..HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe" Fri 25 Jun 2004 399,872 A..HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe" Mon 28 Oct 2002 433,152 A..HR --- "C:\WINDOWS\system32\Tools\Locale.exe" Fri 25 Jun 2004 388,096 A..HR --- "C:\WINDOWS\system32\Tools\RegClean.exe" Fri 25 Jun 2004 388,608 A..HR --- "C:\WINDOWS\system32\Tools\Regexe.exe" Fri 25 Jun 2004 431,616 A..HR --- "C:\WINDOWS\system32\Tools\Restart.exe" Fri 25 Jun 2004 388,096 A..HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe" Thu 29 Mar 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Finished! Dieser Beitrag wurde am 23.02.2009 um 19:03 Uhr von meikel_z editiert.
|
|
|
||
24.02.2009, 00:17
Moderator
Beiträge: 5694 |
#8
Und was meint GMER?
Zitat >>Gruss Swiss |
|
|
||
24.02.2009, 12:06
Member
Themenstarter Beiträge: 12 |
#9
sorry, konnte den gmer erst heute downloaden:
hier das ergebnis. GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-02-24 12:05:27 Windows 5.1.2600 Service Pack 3 ---- Kernel code sections - GMER 1.0.14 ---- ? C:\DOKUME~1\Michael\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ? System32\Drivers\hiber_WMILIB.SYS Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.14 ---- .text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[2352] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation) ---- User IAT/EAT - GMER 1.0.14 ---- IAT C:\Programme\Internet Explorer\iexplore.exe[2392] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA] [00FF2070] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll IAT C:\Programme\Internet Explorer\iexplore.exe[2392] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] [00FF20B0] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll IAT C:\Programme\Internet Explorer\iexplore.exe[2392] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW] [00FF2030] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll IAT C:\Programme\Internet Explorer\iexplore.exe[2392] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [00FF2000] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll IAT C:\Programme\Internet Explorer\iexplore.exe[2392] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [00FF4C50] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- Files - GMER 1.0.14 ---- File C:\Dokumente und Einstellungen\Michael\Cookies\michael@board.protecus[1].txt 390 bytes ---- EOF - GMER 1.0.14 ---- |
|
|
||
24.02.2009, 12:27
Moderator
Beiträge: 5694 |
#10
>>
Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme " Klicke "Programm ausführen " unter FileASSASSIN Suche c:\windows\system32\rbiljuel.ini und klicke OK Das gleiche mit: c:\windows\system32\ojusndfv.ini >> Mach ein Onlinescan mit Bitdefender: http://virus-protect.org/artikel/tools/bitdefender.html >> Kommen noch Meldungen? Gruss Swiss |
|
|
||
24.02.2009, 12:34
Member
Themenstarter Beiträge: 12 |
#11
Hi Swiss,
da kommt folgende Meldung: BitDefender failed to update the virus definitions.... Do you want to start scanning? --> dann gehe ich auf JA, dann läufts nicht --> scan failed! please upgrad to BitDefender 2008 products... Thx Michael |
|
|
||
24.02.2009, 19:02
Moderator
Beiträge: 5694 |
#12
Dann versuche es mit FSecure:
http://virus-protect.org/artikel/tools/fsecureonline.html oder Kaspersky: http://www.kaspersky.com/de/virusscanner Kommen noch Meldungen von Avira? Gruss Swiss |
|
|
||
25.02.2009, 08:24
Member
Themenstarter Beiträge: 12 |
#13
Hi Swiss;
folgendes von f-secure: Result: 20 malware found Downloader.Win32.WinFixer (spyware) System Monitor.Win32.ActualSpy (spyware) System TrackingCookie.2o7 (spyware) System TrackingCookie.Adrevolver (spyware) System TrackingCookie.Adtech (spyware) System TrackingCookie.Advertising (spyware) System TrackingCookie.Atdmt (spyware) System TrackingCookie.Clickbank (spyware) System TrackingCookie.Doubleclick (spyware) System TrackingCookie.Imrworldwide (spyware) System TrackingCookie.Instadia (spyware) System TrackingCookie.Mediaplex (spyware) System TrackingCookie.Questionmarket (spyware) System TrackingCookie.Revsci (spyware) System TrackingCookie.Statcounter (spyware) System TrackingCookie.Tradedoubler (spyware) System TrackingCookie.Webtrends (spyware) System TrackingCookie.Xiti (spyware) System TrackingCookie.Yieldmanager (spyware) System TrackingCookie.Zanox (spyware) System -------------------------------------------------------------------------------- Statistics Scanned: Files: 30584 System: 3471 Not scanned: 7 Actions: Disinfected: 0 Renamed: 0 Deleted: 0 None: 20 Submitted: 0 Files not scanned: C:\HIBERFIL.SYS C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SYSTEM32\CONFIG\SAM C:\WINDOWS\SYSTEM32\CONFIG\SECURITY C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM -------------------------------------------------------------------------------- Options Scanning engines: F-Secure USS: 3.0.0 F-Secure Hydra: 3.6.8511, 2009-02-24 F-Secure AVP: 7.0.171, 2009-02-24 F-Secure Pegasus: 1.20.0, 1970-00-01 F-Secure Blacklight: 0.0.0 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR Use Advanced heuristics Von AVIR keine Meldung mehr! Guten Morgen - Michael |
|
|
||
25.02.2009, 12:18
Moderator
Beiträge: 5694 |
#14
In welchen Dateien wurde dies gefunden:
Zitat Downloader.Win32.WinFixer (spyware)>> scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen) http://virus-protect.org/artikel/tools/smitfrautfix.html >> scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html ----- Hier etwas zu Tracking Cookies: http://www.virenschutz.info/Tracking-Cookies-Spyware-Tutorials-16.html Gruss Swiss |
|
|
||
26.02.2009, 09:51
Member
Themenstarter Beiträge: 12 |
#15
Hi Swiss!
zur ersten Frage kann ich dir leider keine Auskunft geben in welchen Dateien das war... sorry... hier der report von spyware: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 02/26/2009 at 09:22 AM Application Version : 4.25.1014 Core Rules Database Version : 3776 Trace Rules Database Version: 1735 Scan type : Complete Scan Total Scan Time : 00:44:15 Memory items scanned : 627 Memory threats detected : 0 Registry items scanned : 5749 Registry threats detected : 58 File items scanned : 18850 File threats detected : 152 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Michael\Cookies\michael@statse.webtrendslive[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@mediaplex[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@de2.komtrack[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@profile[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@adultfriendfinder[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@partygaming.122.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@bonus[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@adrevolver[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@msnportal.112.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@eas.apm.emediate[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@youporn[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@adserv.i-terminal[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@adsrv.admediate[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@fastclick[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@media.adrevolver[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@stats.bmw[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.zanox[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@zedo[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@pc[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@dynamic.media.adrevolver[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@earlyexp[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@komtrack[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ig-bdsm[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@kontera[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.yieldmanager[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@zanox-affiliate[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@doubleclick[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@xiti[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@adrevolver[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@apm.emediate[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.heias[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@secure.partyaccount[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@hollandcasino[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.71i[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@perf.overture[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@edsa.122.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@bluestreak[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@audiag.112.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ehg-tiscover.hitbox[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@tracking.quisma[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.adshopping[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@adopt.euroclick[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@hitbox[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@popups[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@casalemedia[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@spoxgmbh.112.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@serving-sys[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.pointroll[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@tracking.fastbooking[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@indextools[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@statcounter[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@affiliates.thrixxx[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.pornhub[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@apmebf[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@adserver.71i[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@247realmedia[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@hotelscom.122.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@earlyexp[3].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.etracker[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@promos[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.sexy-tipp[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@300002139009955[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@advertising[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.sextra[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@sexy-tipp[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@kleinezeitung[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@img[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.ad-srv[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@adtech[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@tradedoubler[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@diepresse[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@questionmarket[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@styria[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@partypoker[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@zbox.zanox[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@adviva[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads-dev.youporn[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@cgi-bin[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@msnaccountservices.112.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ehg-mgmmirageoperations.hitbox[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@condor[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@cashier[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@richmedia.yahoo[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@pornhub[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@te.kontera[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@atdmt[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@bs.serving-sys[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@overture[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@4stats[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@counter[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.salebroker[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@finder.vol[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@1050218990[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@webmasterplan[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.active-tracking[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.clicksor[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@account.live[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@987810021400021[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ehg-researchinmotion.hitbox[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad2.doublepimp[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@content.yieldmanager.edgesuite[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.httpool[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@specificclick[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@m1.webstats.motigo[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.adnet[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.zanox-affiliate[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@wmvmedialease[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@cgi-bin[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.quartermedia[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@accounts.pkr[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@zanox[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@revsci[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@tcook[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@vlc-media-player.softonic[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.pokertracker[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@cgi-bin[4].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@autoscout24.112.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@microsoftwindows.112.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@rotator.adjuggler[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ero-advertising[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@hotels.112.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.bauerverlag[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@smartadserver[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.neverbeg[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@content.yieldmanager[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@sevenoneintermedia.112.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@clickbank[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@myroitracking[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.overclockers[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@eas4.emediate[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.german.toptraffic-track[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ak[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@divx.112.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@1060110966[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@researchinmotion.122.2o7[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@video[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@1070847646[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@clicks.pangora[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads1.w3hoster[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.ad4game[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@countr[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@counter[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@banner[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@track[1].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@offeroptimizer[2].txt C:\Dokumente und Einstellungen\Michael\Cookies\michael@offeroptimizer[1].txt Adware.Best Offers Network C:\Programme\TBONBin Dialer.VacPro HKCR\Progetto1.int_ver34 HKCR\Progetto1.int_ver34\Clsid HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945} HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0 HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0\0 HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0\0\win32 HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0\FLAGS HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0\HELPDIR HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs#C:\WINDOWS\Downloaded Program Files\int_ver34.ocx [ ] HKCR\Interface\{64DF7061-17E8-4063-9723-27428076DE26} HKCR\Interface\{64DF7061-17E8-4063-9723-27428076DE26}\ProxyStubClsid HKCR\Interface\{64DF7061-17E8-4063-9723-27428076DE26}\ProxyStubClsid32 HKCR\Interface\{64DF7061-17E8-4063-9723-27428076DE26}\TypeLib HKCR\Interface\{64DF7061-17E8-4063-9723-27428076DE26}\TypeLib#Version HKCR\Interface\{DC7584B0-2972-41A3-9965-29EB177E6160} HKCR\Interface\{DC7584B0-2972-41A3-9965-29EB177E6160}\ProxyStubClsid HKCR\Interface\{DC7584B0-2972-41A3-9965-29EB177E6160}\ProxyStubClsid32 HKCR\Interface\{DC7584B0-2972-41A3-9965-29EB177E6160}\TypeLib HKCR\Interface\{DC7584B0-2972-41A3-9965-29EB177E6160}\TypeLib#Version Trojan.ErrorSafe C:\Programme\ErrorSafe HKCR\ESSPCheck.ESSPCheck HKCR\ESSPCheck.ESSPCheck\CLSID HKCR\ESSPCheck.ESSPCheck\CurVer HKCR\ESSPCheck.ESSPCheck.1 HKCR\ESSPCheck.ESSPCheck.1\CLSID HKU\S-1-5-21-999773486-1675331524-1127760630-1005\Software\ErrorSafe HKLM\Software\ErrorSafe HKLM\Software\ErrorSafe\ErrorSafe HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD#NextInstance HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#Service HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#Legacy HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#ConfigFlags HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#Class HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#ClassGUID HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#DeviceDesc HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#Capabilities HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536} HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\Implemented Categories HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4} HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4} HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\InprocServer32 HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\InprocServer32#ThreadingModel HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\ProgID HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\Programmable HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\TypeLib HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\VersionIndependentProgID HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8} HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8}\1.0 HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8}\1.0\0 HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8}\1.0\0\win32 HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8}\1.0\FLAGS HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8}\1.0\HELPDIR HKCR\Interface\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3} HKCR\Interface\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3}\ProxyStubClsid HKCR\Interface\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3}\ProxyStubClsid32 HKCR\Interface\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3}\TypeLib HKCR\Interface\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3}\TypeLib#Version C:\WINDOWS\SYSTEM32\DRIVERS\ERSSDD.SYS Unclassified.Monitor/ActualSpy C:\SYSTEM VOLUME INFORMATION\_RESTORE{6602533C-EA53-460D-A876-189B4017764B}\RP1\A0000090.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{6602533C-EA53-460D-A876-189B4017764B}\RP1\A0000091.DLL hab ich nun das ärgster überstanden *gg*? gruß und dank für die mühen michael |
|
|
||
Bekomme die Meldung das ich den Virus TR/Vundo.Gen in der datei c:\windows\system32\urqQjjiH.dll habe..
hier der hijack scan:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:27:17, on 23.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\vsnpstd2.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\hijackthis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gericom.com/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [CardReaderReset] C:\Programme\Realtek Semiconductor Corp\Card Reader Software\Reset.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [Startup Manager] C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Systweak\ASO 2\smstartUp manager.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoCAD LT-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.at/static/download/pixacodndupload.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://www.webmail.hydro.com/iNotes6W.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131805142218
O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp07.photoprintit.de/microsite/14/defaults/activex/IPSUploader.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://www.webmail.hydro.com/dwa7W.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
--
End of file - 9990 bytes
DANKE für Hilfe