TR/Dropper.gen Gefunden

Thema ist geschlossen!
Thema ist geschlossen!
#0
26.04.2009, 11:04
...neu hier

Beiträge: 2
#1 Sehr geehrte User, mein avira hat einen TR/Dropper.gen gefunden,der sich zwar für einen moment löschen lässt aber beim nächsten start wieder da ist.Dazu kommt noch,das Wahrscheinlich dieser Trojaner meinen rechner nicht starten lässt,zumindest nach einigen abstürtzen beim Booten lässt er sich dann irgendwann doch wieder starten. hab auch schon Malewarebytes,combofix,comboscan und hijackthis durchlaufen lassen,die logs sende ich auch mit


KÖNNT IHR MIR HELFEN?????????

Malewarebytes:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2042
Windows 5.1.2600 Service Pack 3

26.04.2009 10:20:34
mbam-log-2009-04-26 (10-20-34).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 181996
Laufzeit: 48 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Combofix:



ComboFix 09-04-25.A3 - Sven 26.04.2009 10:28.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3070.2392 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sven\Desktop\cf.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
FW: Kaspersky Internet Security *disabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-05-26 bis 2009-4-26 ))))))))))))))))))))))))))))))
.

2009-04-26 00:07 . 2009-04-26 00:07 -------- d-----w c:\dokumente und einstellungen\Sven\Anwendungsdaten\Malwarebytes
2009-04-26 00:07 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-26 00:07 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-26 00:07 . 2009-04-26 00:07 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-26 00:07 . 2009-04-26 00:07 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-25 23:47 . 2009-04-25 23:47 -------- d-----w c:\programme\CCleaner
2009-04-25 23:28 . 2009-04-25 23:51 -------- d-----w C:\ComboScan
2009-04-23 21:51 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-23 21:51 . 2009-04-23 21:51 -------- d-----w c:\programme\Avira
2009-04-20 22:15 . 2009-04-20 22:15 -------- d-----w c:\programme\SweetIM
2009-04-15 07:15 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 07:15 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 07:15 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 07:15 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 07:15 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 07:15 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 07:15 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 07:15 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 07:15 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 07:12 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-03-27 12:37 . 2009-03-27 12:37 -------- d-----w c:\programme\RTL

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-26 02:08 . 2008-08-13 21:55 745504 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-04-26 02:08 . 2008-08-13 21:55 5724 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-04-26 02:08 . 2008-08-13 21:55 3723808 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-04-26 02:08 . 2008-08-13 21:55 34364 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-04-25 23:07 . 2008-10-07 20:12 -------- d-----w c:\programme\Applications
2009-04-25 22:45 . 2008-08-13 21:55 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-04-25 11:11 . 2009-02-18 21:28 -------- d-----w c:\programme\Java
2009-04-25 11:11 . 2004-08-04 12:00 80666 ----a-w c:\windows\system32\perfc007.dat
2009-04-25 11:11 . 2004-08-04 12:00 449492 ----a-w c:\windows\system32\perfh007.dat
2009-04-23 21:51 . 2008-08-11 21:38 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-04-23 14:53 . 2008-11-14 23:59 -------- d-----w c:\dokumente und einstellungen\Sven\Anwendungsdaten\LimeWire
2009-04-22 23:16 . 2008-11-14 23:59 -------- d-----w c:\programme\LimeWire
2009-04-20 22:15 . 2009-01-18 21:36 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SweetIM
2009-04-17 13:00 . 2008-08-06 07:42 -------- d-----w c:\programme\Norton Security Scan
2009-04-17 08:17 . 2008-08-05 21:25 -------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-04-15 22:15 . 2008-09-06 14:10 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-24 21:26 . 2008-08-05 21:09 -------- d--h--w c:\programme\InstallShield Installation Information
2009-03-24 21:26 . 2009-03-24 21:26 -------- d-----w c:\programme\Atari
2009-03-13 21:02 . 2008-08-05 21:12 -------- d-----w c:\programme\ICQ6
2009-03-09 03:19 . 2008-08-11 21:04 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 15:01 . 2008-08-05 21:12 -------- d-----w c:\dokumente und einstellungen\Sven\Anwendungsdaten\ICQ
2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2004-08-04 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2004-08-04 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-09 14:04 . 2004-08-04 12:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2004-08-04 12:00 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2004-08-04 12:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-08-04 12:00 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2004-08-04 12:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2004-08-04 12:00 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2004-08-04 12:00 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 18:46 . 2009-02-06 18:46 308600 ----a-w c:\windows\WLXPGSS.SCR
2009-02-06 17:52 . 2009-02-06 17:52 49504 ----a-w c:\windows\system32\sirenacm.dll
2009-02-06 10:39 . 2004-08-04 12:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:57 . 2004-08-04 12:00 56832 ----a-w c:\windows\system32\secur32.dll
2008-11-07 01:47 . 2008-08-05 21:01 46256 ----a-w c:\dokumente und einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-07 11:54 . 2008-08-18 22:16 80152 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2008-07-28 19:14 . 2009-01-22 19:49 42283226 ----a-w c:\dokumente und einstellungen\Alles Mögliche\flash_player_update6_flash9.zip
2008-07-27 21:40 . 2009-01-22 19:49 27709704 ----a-w c:\dokumente und einstellungen\Alles Mögliche\Update_Service_Setup-k800i.exe
2008-07-27 21:36 . 2009-01-22 19:49 21892336 ----a-w c:\dokumente und einstellungen\Alles Mögliche\Sony Ericsson PC Suite_k610i.exe
2008-07-21 21:54 . 2009-01-22 19:49 45984520 ----a-w c:\dokumente und einstellungen\Alles Mögliche\Sony Ericsson PC Suite 2.10.46.exe
2008-06-20 12:39 . 2009-01-22 19:49 3747792 ----a-w c:\dokumente und einstellungen\Alles Mögliche\yu2008setup.exe
2008-06-20 12:35 . 2009-01-22 19:49 1440047 ----a-w c:\dokumente und einstellungen\Alles Mögliche\wrar371d.exe
2008-06-13 23:18 . 2009-01-22 19:49 14613912 ----a-w c:\dokumente und einstellungen\Alles Mögliche\Install_ICQ6.exe
2007-10-14 13:50 . 2008-08-11 21:05 12664446 ----a-w c:\programme\install_virtualdj_v5.0.rev4.exe
2007-01-15 21:37 . 2008-09-28 22:19 221 ----a-w c:\programme\readme.html
2006-12-12 09:13 . 2006-12-12 09:13 32768 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\EBLib.dll
2006-07-28 14:25 . 2006-07-28 14:25 19456 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\LPCFilter.sys
2008-11-07 01:44 . 2008-11-07 01:44 32768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008110720081108\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-04-25_23.13.24 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-26 07:20 . 2009-04-26 07:20 16384 c:\windows\temp\Perflib_Perfdata_5ac.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-10-08 10:22 1172792 ----a-w c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"TPNF"="c:\programme\TOSHIBA\TouchPad\TPTray.exe" [2007-06-01 53248]
"SVPWUTIL"="c:\programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2006-05-25 65536]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-02-12 174872]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1310720]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2009-03-05 111928]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"TPSMain"="TPSMain.exe" - c:\windows\system32\TPSMain.exe [2005-08-12 266240]
"TFncKy"="TFncKy.exe" [BU]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-11-20 16841216]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=

R3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-10-06 33752]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-08-06 13352]
S0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2009-02-10 33808]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
S2 NwSapAgent;SAP-Agent;c:\windows\system32\svchost.exe [2008-04-14 14336]
S3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2008-03-25 24592]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c079c8c-63f5-11dd-b4ee-001eec39aabe}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c079c8d-63f5-11dd-b4ee-001eec39aabe}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77ec3b32-67ba-11dd-b506-001f3b8aa9a9}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77ec3b33-67ba-11dd-b506-001f3b8aa9a9}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c1df2808-6332-11dd-b4e9-83499049beb1}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f624801e-8807-11dd-b575-a356f464f4be}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
Inhalt des "geplante Tasks" Ordners

2009-04-17 c:\windows\Tasks\Norton Security Scan.job
- c:\programme\Norton Security Scan\Nss.exe [2007-09-18 21:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.bearshare.com/de/
uDefault_Search_URL = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/
mSearch Bar = hxxp://www.google.com/
mSearchMigratedDefaultURL = hxxp://www.google.com/
mSearchURL = hxxp://www.google.com/
FF - ProfilePath - c:\dokumente und einstellungen\Sven\Anwendungsdaten\Mozilla\Firefox\Profiles\j0kvlpj1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://search.bearshare.com/at/
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - component: c:\programme\Mozilla Firefox\extensions\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}\components\FFAlert.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-26 10:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-343818398-1214440339-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:28,a3,78,68,f6,f3,0e,f6,5b,4f,b0,3d,3f,4a,66,04,41,57,46,f6,17,2b,fc,
2c,40,45,11,db,7c,0d,07,40,4f,2e,30,8d,1a,78,a6,af,74,ca,70,c0,49,ca,ad,45,\
"??"=hex:9a,8f,95,c1,b7,d7,23,26,96,50,b1,d0,e3,ca,61,a0

[HKEY_USERS\S-1-5-21-343818398-1214440339-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:54,f2,5a,15,ec,36,dd,13,62,0a,ba,64,75,93,93,f2,90,e5,30,e6,ea,
a2,58,06,fd,01,6e,08,73,f8,a6,80,05,e0,98,cf,10,96,3b,54,81,01,40,be,45,e5,\
"rkeysecu"=hex:f1,51,fb,90,46,35,e7,3f,19,56,f1,18,ef,f8,de,17
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1620)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'explorer.exe'(3784)
c:\programme\Windows Media Player\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
Zeit der Fertigstellung: 2009-04-26 10:32
ComboFix-quarantined-files.txt 2009-04-26 08:32
ComboFix2.txt 2009-04-25 23:18

Vor Suchlauf: 13 Verzeichnis(se), 61.273.083.904 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 61.241.802.752 Bytes frei

Current=7 Default=7 Failed=6 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8
214 --- E O F --- 2009-04-15 22:19

und noch hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 10:34:09, on 26.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Synaptics\SynTP\SynToshiba.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" -r (file missing)
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

ich Danke Euch schonmal im vorraus für eure Hilfe.
Seitenanfang Seitenende
26.04.2009, 12:21
Moderator

Beiträge: 5694
#2 >>
Wüde Dir empfehlen dies zu entfernen:
c:\programme\SweetIM

>>
Und von hier dürfte die Inektion gekommen sein:
c:\programme\LimeWire

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)


Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
und wähle fix checked.

Starte den Rechner neu.

>>
Falls du die alte Avira Version hast:
Stelle Dein Avira Antivir so ein wie hier beschrieben. Zusätzlich Rootkitsuche anwählen. UPDATE dein Antivir und scanne all deine Festplatten, funde in Quarantäne verschieben lassen. Poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

Ansonsten lade Dir die neue runter:
http://www.free-av.de/

>>
Lade Dir die neuste Version von HiJackThis runter und poste ein neues Log:
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download


Gruss Swiss
Seitenanfang Seitenende
03.05.2009, 13:14
...neu hier

Themenstarter

Beiträge: 2
#3 Hey sry dass ich mich nicht gemeldet hatte,aber mein notebook hat nun komplett den geist aufgegeben,hab ihn aber mit der recovery zurückgesetzt ist aber trotzdem immer wieder ausgegangen,also denk ich mal das es ein Hardwareproblem war.Naja hab ihn jetzt eingeschickt.Danke trotzdem für Deine Hilfe.


Mfg

Keine Macht den Viren
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: