Firefox öffnet andere Seiten als gewünscht

#0
11.07.2009, 20:20
...neu hier

Beiträge: 8
#1 Hi,

in letzter zeit öffnet mein firefox nicht mehr die Seiten, die ich gerne haben möchte.
Meistens kommt irgendeine andere suchseite.
Außerdem kommt ab und zu ein pop up mit werbung.

Ich hab mal anti-malerware drüber laufen lassen hier die logfile:

danke schonmal
Gruß Björn




Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2169
Windows 5.1.2600 Service Pack 2

09.07.2009 18:13:07
mbam-log-2009-07-09 (18-13-07).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 84760
Laufzeit: 3 minute(s), 19 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 29
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 5
Infizierte Dateien: 25

Infizierte Speicherprozesse:
C:\WINDOWS\Fonts\services.exe (Worm.Archive) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Drivers\IgfxSys.dll (Trojan.Agent.M) -> Delete on reboot.
c:\WINDOWS\system32\msncache.dll (Trojan.Agent) -> Delete on reboot.
c:\WINDOWS\system32\6to4v32.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\messengerupdateproject.messengerupdat.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{e3a14032-f6fc-426d-a024-bead613d5db3} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{bbcc290a-5e32-4e54-80db-f0f3f3892444} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5948a52a-ba3a-49a8-bcaf-d578502bda9d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5948a52a-ba3a-49a8-bcaf-d578502bda9d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5948a52a-ba3a-49a8-bcaf-d578502bda9d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\messengerupdateproject.messengerupdate (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mjcore.mjcore (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mjcore.mjcore.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{d8c0508c-e235-4d9e-a27e-c8bb5f527dc9} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Cognac (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\MessengerUpdateProject.DLL (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msncache (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msncache (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ColdWare (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\17642504 (Rogue.Multiple.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\igfxsys (Trojan.Agent.M) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cognac (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\17642504 (Rogue.Multiple.H) -> Quarantined and deleted successfully.
C:\Programme\Jcore (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Drivers (Trojan.Agent.M) -> Delete on reboot.
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Drivers\Aud32 (Trojan.Agent.M) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Sys (Trojan.Agent.M) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\17642504\17642504 (Rogue.Multiple.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\17642504\17642504.exe (Rogue.Multiple.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\net.net (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Drivers\MsgUpdate.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Programme\Jcore\Jcore2.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Lokale Einstellungen\temp\wscarmneox.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Lokale Einstellungen\temp\ydt7jidryhtmksxhsetjhsrtjr44.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Drivers\conf.sys (Trojan.Agent.M) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Drivers\IgfxSys.dll (Trojan.Agent.M) -> Delete on reboot.
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Drivers\phuninst.dll (Trojan.Agent.M) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Drivers\pub.dll (Trojan.Agent.M) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Drivers\Aud32\msgasst83.dll (Trojan.Agent.M) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Drivers\Aud32\msgutil83.dll (Trojan.Agent.M) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Anwendungsdaten\Messenger\Sys\mu.dll (Trojan.Agent.M) -> Quarantined and deleted successfully.
C:\WINDOWS\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msncache.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\6to4v32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sopidkc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tpsaxyd.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bjoern\Lokale Einstellungen\temp\b.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\services.exe (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
Seitenanfang Seitenende
11.07.2009, 20:22
...neu hier

Themenstarter

Beiträge: 8
#2 und hijackthis:




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:10:30, on 11.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Shutdown\service.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\DOKUME~1\Bjoern\LOKALE~1\Temp\22750859921mxx.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing)
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\Shutdown\service.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
Seitenanfang Seitenende
12.07.2009, 14:29
Member
Avatar chrischahn87

Beiträge: 301
#3 Hallo ! Das sieht imho jetzt schon eher nach neuaufsetzen aus !

Stelle bitte dein Antivir so ein http://board.protecus.de/t23979.htm
Mache einen Scan und poste das Log!

Wende Combofix an und Poste das Log !
__________
Mein Leben verläuft streng nach Murphys Gesetz
Seitenanfang Seitenende
12.07.2009, 16:16
...neu hier

Themenstarter

Beiträge: 8
#4 Hi,

danke schonmal für die antwort!
unten die reports.
ausserdem kann ich zur zeit nicht auf die gmx seite zugreifen. vor allem nicht auf mein gmx.

danke gruß Björn




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 12. Juli 2009 15:10

Es wird nach 1515293 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Bjoern
Computername: BJÖRN

Versionsinformationen:
BUILD.DAT : 8.2.0.353 17048 Bytes 15.05.2009 12:02:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:48:36
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 15:49:01
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 15:49:02
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 15:49:02
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:06:23
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 06:51:00
ANTIVIR2.VDF : 7.1.4.198 778752 Bytes 08.07.2009 17:47:33
ANTIVIR3.VDF : 7.1.4.220 504320 Bytes 11.07.2009 17:47:41
Engineversion : 8.2.0.204
AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 17:33:48
AESCRIPT.DLL : 8.1.2.13 426362 Bytes 03.07.2009 12:39:28
AESCN.DLL : 8.1.2.3 127347 Bytes 16.05.2009 11:46:28
AERDL.DLL : 8.1.2.2 438642 Bytes 03.07.2009 12:39:27
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.05.2009 10:40:05
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 20:05:24
AEHEUR.DLL : 8.1.0.137 1823095 Bytes 28.06.2009 06:51:04
AEHELP.DLL : 8.1.3.6 205174 Bytes 13.06.2009 18:29:16
AEGEN.DLL : 8.1.1.48 348532 Bytes 03.07.2009 12:39:26
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 14:33:18
AECORE.DLL : 8.1.6.12 180599 Bytes 28.05.2009 10:40:04
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 14:33:16
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 15:49:01
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 15:49:01
AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 17:33:23
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 15:49:01
AVARKT.DLL : 1.0.0.23 307457 Bytes 17.04.2008 17:15:01
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 15:49:01
SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.04.2008 17:15:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 15:49:02
NETNT.DLL : 8.0.0.1 7937 Bytes 17.04.2008 17:15:02
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 15:48:59
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 15:48:59

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Windows Systemverzeichnis
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysdir.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 12. Juli 2009 15:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IMApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mHotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '21' Prozesse mit '21' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [1381]: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\sjblptb.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\secure32.html
[FUND] Enthält Erkennungsmuster des SPR/Fake.Harning.A-Programmes
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\sjblptb.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\tfva.exe
[FUND] Ist das Trojanische Pferd TR/Chipos.A
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd5533.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\str.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vaxscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 12. Juli 2009 15:35
Benötigte Zeit: 25:26 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

195 Verzeichnisse wurden überprüft
13904 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
6 Dateien konnten nicht durchsucht werden
13896 Dateien ohne Befall
20 Archive wurden durchsucht
7 Warnungen
2 Hinweise



Hier das combofixlog:




ComboFix 09-07-11.02 - Bjoern 12.07.2009 15:56.2.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.511.235 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Bjoern\Desktop\Dateien\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Bjoern\Lokale Einstellungen\Temporary Internet Files\bestwiner.stt
c:\dokumente und einstellungen\Bjoern\Lokale Einstellungen\Temporary Internet Files\fbk.sts
c:\windows\Install.txt
c:\windows\irc.txt
c:\windows\system32\drivers\hjgruitukqmtlh.sys
c:\windows\system32\drivers\jqafuyttsbhhobr.sys
c:\windows\system32\drivers\str.sys
c:\windows\system32\hjgruijstkjlla.dll
c:\windows\system32\hjgruinseupjwi.dll
c:\windows\system32\hjgruiojljouml.dat
c:\windows\system32\hjgruiwhogwnql.dat

c:\windows\system32\grpconv.exe fehlte
Kopie von - c:\windows\ServicePackFiles\i386\grpconv.exe wurde wiederhergestellt

c:\windows\system32\proquota.exe fehlte
Kopie von - c:\windows\ServicePackFiles\i386\proquota.exe wurde wiederhergestellt

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_hjgruipubtkaab
-------\Legacy_6TO4
-------\Legacy_MSNCACHE
-------\Legacy_PCMSTUB
-------\Legacy_PMFFDVWZURSYVT


((((((((((((((((((((((( Dateien erstellt von 2009-06-12 bis 2009-07-12 ))))))))))))))))))))))))))))))
.

2009-07-12 14:03 . 2004-08-03 23:58 50688 -c--a-w- c:\windows\system32\dllcache\proquota.exe
2009-07-12 14:03 . 2004-08-03 23:58 50688 ----a-w- c:\windows\system32\proquota.exe
2009-07-12 14:03 . 2004-08-03 23:57 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2009-07-12 14:03 . 2004-08-03 23:57 39424 ----a-w- c:\windows\system32\grpconv.exe
2009-07-11 18:10 . 2009-07-11 18:10 -------- d-----w- c:\programme\Trend Micro
2009-07-09 15:31 . 2009-07-09 16:14 -------- d-----w- c:\dokumente und einstellungen\Bjoern\Anwendungsdaten\Messenger

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-11 17:47 . 2007-02-02 22:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-07-09 19:30 . 2009-05-23 11:41 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-09 19:30 . 2009-05-23 12:26 3561743 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-07-09 15:48 . 2009-07-09 15:32 4 ---h--w- c:\windows\Fonts\mlog
2009-07-09 15:24 . 2009-07-09 15:24 1082993 ----a-w- c:\windows\system32\rn.tmp
2009-06-17 09:27 . 2009-05-23 11:41 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-17 09:27 . 2009-05-23 11:41 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-05-28 10:40 . 2007-02-02 22:26 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-05-28 10:40 . 2007-04-29 07:45 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-28 10:40 . 2007-02-02 22:26 45400 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-05-23 13:18 . 2007-02-02 12:46 26416 ----a-w- c:\dokumente und einstellungen\Bjoern\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-23 11:41 . 2009-05-23 11:41 -------- d-----w- c:\dokumente und einstellungen\Bjoern\Anwendungsdaten\Malwarebytes
2009-05-23 11:41 . 2009-05-23 11:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-23 11:33 . 2007-02-02 12:57 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-05-22 18:17 . 2009-05-22 18:17 335 ----a-w- c:\windows\mozregistry.dat
2009-05-20 12:45 . 2009-05-20 12:45 -------- d-----w- c:\programme\LucasArts
2009-05-19 13:38 . 2007-02-02 14:00 223128 ----a-w- c:\windows\system32\drivers\vaxscsi.sys
2009-05-12 10:27 . 2003-04-02 12:00 74996 ----a-w- c:\windows\system32\perfc007.dat
2009-05-12 10:27 . 2003-04-02 12:00 415470 ----a-w- c:\windows\system32\perfh007.dat
2003-08-14 17:13 . 2007-03-27 19:36 40960 ----a-w- c:\programme\Uninstall_PCM.exe
2006-05-03 10:06 . 2008-03-27 13:04 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-03-27 13:04 31232 --sh--r- c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-03-27 13:04 27648 --sh--w- c:\windows\system32\Smab0.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="c:\programme\IncrediMail\bin\IncMail.exe" [2009-02-25 251264]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-07 185784]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"CHotkey"="mHotkey.exe" - c:\windows\mHotkey.exe [2002-07-23 477184]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-22 1622016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [03.02.2007 00:26 22360]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [03.02.2007 00:26 45400]
R2 AccWLSvc;AccSys WiFi Server;c:\programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [19.08.2007 17:20 180224]
R2 RSShutdown;RichiStudios Shutdown;c:\programme\Shutdown\Service.exe [20.06.2004 19:42 45056]
S2 pmffdvwzursyvt;pmffdvwzursyvt;\??\c:\windows\system32\drivers\jqafuyttsbhhobr.sys --> c:\windows\system32\drivers\jqafuyttsbhhobr.sys [?]
S3 accwldrv;AccSys WiFi Protokoll;c:\windows\system32\drivers\accwldrv.sys [19.08.2007 17:20 12032]
S3 NDISLOOP;Virtual TT-DVB USB Adapter Driver;c:\windows\system32\drivers\ndisloop.sys [04.09.2008 19:09 39280]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [07.01.2009 17:58 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [07.01.2009 17:58 8320]
S3 TridVid;Trident Analog Video;c:\windows\system32\drivers\TridVid.sys [11.04.2005 18:58 65664]
S3 TTDVBUSB;TechnoTrend - TT-DVB USB Driver;c:\windows\system32\drivers\ttdvbusb.sys [04.09.2008 19:27 59616]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{969B3B70-8765-11D5-9809-0050BACBF861}]
rundll32.exe advpack.dll,LaunchINFSection c:\programme\CyberLink\MP3PowerEncoder\Cyber.inf,PerUserStub
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.arcor.de
mStart Page = hxxp://www.arcor.de
mWindow Title = Arcor AG & Co. KG
uInternet Settings,ProxyOverride = *.local;<local>
uInternet Settings,ProxyServer = http=localhost:7171
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Bjoern\Anwendungsdaten\Mozilla\Firefox\Profiles\98sn2wnw.default\
FF - prefs.js: browser.search.selectedEngine - YouTube
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\dokumente und einstellungen\Bjoern\Anwendungsdaten\Mozilla\Firefox\Profiles\98sn2wnw.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-12 16:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1436)
c:\progra~1\WINDOW~2\wmpband.dll
c:\programme\iTunes\iTunesMiniPlayer.dll
c:\programme\iTunes\iTunesMiniPlayer.Resources\de.lproj\iTunesMiniPlayerLocalized.dll
c:\programme\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\programme\IncrediMail\bin\B4ImApp.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\IncrediMail\bin\IMApp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-12 16:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-12 14:12
ComboFix2.txt 2009-05-23 13:00

Vor Suchlauf: 11 Verzeichnis(se), 17.410.867.200 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 17.375.145.984 Bytes frei

169 --- E O F --- 2009-05-23 13:58
Seitenanfang Seitenende
12.07.2009, 17:50
Member
Avatar chrischahn87

Beiträge: 301
#5 Bitte update dein mbam und mache einen erneuten scan !

Poste erneut ein Hjackthis LOG!
__________
Mein Leben verläuft streng nach Murphys Gesetz
Seitenanfang Seitenende
12.07.2009, 17:51
Member
Avatar chrischahn87

Beiträge: 301
#6 Zusätzlich noch Cureit http://board.protecus.de/t29351.htm
__________
Mein Leben verläuft streng nach Murphys Gesetz
Seitenanfang Seitenende
22.07.2009, 12:49
Member

Beiträge: 13
#7 Hi habe das selbe Problem mein firefox verweist mich andauernd auf falsche seiten und explorer schießt sich des öfteren ab!

hier ide hijack-logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49:02, on 22.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
D:\programme\TP-LINK\TWCU\TWCU.exe
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\CY_BG.EXE
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
D:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
D:\Programme\phonostar\ps_timer.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
D:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
D:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
D:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS\system32\devldr32.exe
D:\programme\steam\steam.exe
D:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\Winamp Controller for G15\dummy.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
D:\programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
D:\programme\Mozilla Thunderbird\thunderbird.exe
D:\programme\Mozilla Firefox\firefox.exe
D:\programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - D:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - D:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [TWCU] D:\programme\TP-LINK\TWCU\TWCU.exe -nogui
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NBKeyScan] "D:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [CY_BG] C:\WINDOWS\CY_BG.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "D:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Keyboard Driver] stkhost.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [system34] C:\WINDOWS\SoftwareProtection\Windows External Security Update.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [LDM] D:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Winamp controller for g15] D:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\Winamp Controller for G15\Winamp Controller for G15.exe
O4 - HKCU\..\Run: [dummy] D:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\Winamp Controller for G15\dummy.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AD6F94D-AD31-4B16-A9FD-4FB54919CCBA}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{1AD6F94D-AD31-4B16-A9FD-4FB54919CCBA}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\..\{1AD6F94D-AD31-4B16-A9FD-4FB54919CCBA}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 11305 bytes
Seitenanfang Seitenende
22.07.2009, 15:32
Moderator

Beiträge: 5694
#8 Du hast Dir da einen Backdoor eingefangen. Und Dein Internet wird in die Ukraine umgeleitet:

Zitat

org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa
Mal schauen ob eine Reinigung überhaupt Sinn macht.

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O4 - HKLM\..\RunServices: [Keyboard Driver] stkhost.exe

O4 - HKCU\..\Run: [system34] C:\WINDOWS\SoftwareProtection\Windows External Security Update.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{1AD6F94D-AD31-4B16-A9FD-4FB54919CCBA}: NameServer = 85.255.112.39,85.255.112.40

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40

O17 - HKLM\System\CS1\Services\Tcpip\..\{1AD6F94D-AD31-4B16-A9FD-4FB54919CCBA}: NameServer = 85.255.112.39,85.255.112.40

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40

O17 - HKLM\System\CS3\Services\Tcpip\..\{1AD6F94D-AD31-4B16-A9FD-4FB54919CCBA}: NameServer = 85.255.112.39,85.255.112.40

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
und wähle fix checked.

Starte den Rechner neu.



Bitte scanne mit Malwarebytes und poste das Log:
http://virus-protect.org/artikel/tools/malwarebytes.html

Zudem ein Rootkitscan mit GMER:
http://virus-protect.org/artikel/tools/gmer.html

Gruss Swiss
Seitenanfang Seitenende
22.07.2009, 17:05
Member

Beiträge: 13
#9 Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 5.1.2600 Service Pack 3

22.07.2009 16:44:20
mbam-log-2009-07-22 (16-44-20).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 96976
Laufzeit: 3 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\aquaplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\resycled\ntldr.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.





Danke schon mal!
Seitenanfang Seitenende
22.07.2009, 17:29
Member

Beiträge: 13
#10 GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-22 17:29:18
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT BA76770E ZwCreateKey
SSDT BA767704 ZwCreateThread
SSDT BA767713 ZwDeleteKey
SSDT BA76771D ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xB9ED9C22]
SSDT sptd.sys ZwEnumerateValueKey [0xB9ED9F9A]
SSDT BA767722 ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xB9ED998E]
SSDT BA7676F0 ZwOpenProcess
SSDT BA7676F5 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xB9EDA064]
SSDT sptd.sys ZwQueryValueKey [0xB9ED9EFC]
SSDT BA76772C ZwReplaceKey
SSDT BA767727 ZwRestoreKey
SSDT BA767718 ZwSetValueKey
SSDT BA7676FF ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? C:\WINDOWS\System32\Drivers\SPTD9725.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 B95464F0 16 Bytes [8F, 79, C9, 60, FB, 3B, B6, ...]
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11 B9546501 31 Bytes [50, 54, B9, E7, 6A, 4C, 15, ...]
? C:\WINDOWS\System32\Drivers\dtscsi.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9ED5AD2] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9ED5C0E] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9ED5B96] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9ED676C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9ED6642] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EF8056] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A5840E8
Device \FileSystem\Fastfat \FatCdrom 89D59EB0
Device \FileSystem\Udfs \UdfsCdRom 8A52BAA0
Device \FileSystem\Udfs \UdfsDisk 8A52BAA0
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A5D1940
Device \Driver\dmio \Device\DmControl\DmConfig 8A5D1940
Device \Driver\dmio \Device\DmControl\DmPnP 8A5D1940
Device \Driver\dmio \Device\DmControl\DmInfo 8A5D1940
Device \Driver\00000109 \Device\00000053 sptd.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A5D1BF8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Ftdisk \Device\HarddiskVolume2 8A5D1BF8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom0 8A419CA8
Device \FileSystem\Rdbss \Device\FsWrap 89DBBEB0
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A5D1BF8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom1 8A419CA8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8A5D1BF8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom2 8A419CA8
Device \Driver\Ftdisk \Device\HarddiskVolume5 8A5D1BF8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom3 8A419CA8
Device \Driver\Ftdisk \Device\HarddiskVolume6 8A5D1BF8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume6 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom4 8A419CA8
Device \Driver\NetBT \Device\NetBT_Tcpip_{1AD6F94D-AD31-4B16-A9FD-4FB54919CCBA} 89DDBEB0
Device \Driver\Ftdisk \Device\HarddiskVolume7 8A5D1BF8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume7 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\NetBT \Device\NetBt_Wins_Export 89DDBEB0
Device \Driver\NetBT \Device\NetbiosSmb 89DDBEB0
Device \Driver\Disk \Device\Harddisk0\DR0 8A5D13D0
Device \Driver\Disk \Device\Harddisk1\DR1 8A5D13D0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89DD3CA8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89DD3CA8
Device \FileSystem\Npfs \Device\NamedPipe 8A2C2978
Device \Driver\Ftdisk \Device\FtControl 8A5D1BF8
Device \FileSystem\Msfs \Device\Mailslot 8A2BFD58
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target3Lun0 8A41B648
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target1Lun0 8A41B648
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target2Lun0 8A41B648
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0 8A41B648
Device \Driver\dtscsi \Device\Scsi\dtscsi1 8A41B648
Device \FileSystem\Fastfat \Fat 89D59EB0

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 89D42AA0

---- Services - GMER 1.0.15 ----

Service system32\drivers\gaopdxjknirwvx.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxjknirwvx.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxjknirwvx.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxwyayrctw.dll

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 714519722
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1294384856
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 2092176315
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x06 0x8D 0xE8 0xC3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x3A 0x6D 0x18 0x37 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xB0 0x38 0x06 0x6D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x46 0x88 0x47 0xA8 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x71 0xD3 0xAD 0x13 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x62 0x63 0xA1 0x5B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x06 0x8D 0xE8 0xC3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x3A 0x6D 0x18 0x37 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x51 0xE8 0xEC 0x8D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xCD 0x32 0x91 0x53 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x46 0x88 0x47 0xA8 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x81 0xC9 0x59 0x0A ...
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxjknirwvx.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxjknirwvx.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxwyayrctw.dll

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x06 0x8D 0xE8 0xC3 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x3A 0x6D 0x18 0x37 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xB0 0x38 0x06 0x6D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x46 0x88 0x47 0xA8 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x71 0xD3 0xAD 0x13 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x62 0x63 0xA1 0x5B ...

---- EOF - GMER 1.0.15 ----


danke
Seitenanfang Seitenende
22.07.2009, 17:36
Moderator

Beiträge: 5694
#11 >>
Scanne erneut mit Malwarebytes aber als FULLSCAN und poste.

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Seitenanfang Seitenende
22.07.2009, 22:53
Member
Avatar chrischahn87

Beiträge: 301
#12 @Swiss Wie hast du das rausbekommen? wenn ich die IP eingebe kommt irgendwas mit Apache Server!
Nur für mich zum lernen ! Danke


Zitat

Du hast Dir da einen Backdoor eingefangen. Und Dein Internet wird in die Ukraine umgeleitet:

Zitat:
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

__________
Mein Leben verläuft streng nach Murphys Gesetz
Seitenanfang Seitenende
23.07.2009, 06:54
Member

Beiträge: 13
#13 hier schonmal Combofix

ComboFix 09-07-22.03 - Administrator 23.07.2009 6:42.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1457 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.#
c:\windows\10367viruz9ec5.ocx
c:\windows\1050hackt9oz282.ocx
c:\windows\1059z9py36c.bin
c:\windows\10695viru51z7.ocx
c:\windows\10889viz5s532.bin
c:\windows\1093szam5ot29c.ocx
c:\windows\10fbs9e5l1618z.bin
c:\windows\11087not-a-virzs5759.cpl
c:\windows\11108noz-9-5irus7e5.exe
c:\windows\11256hacktool79z.dll
c:\windows\11354hac95ool4z0.cpl
c:\windows\115spazse1692.cpl
c:\windows\11975hackzool1e5.bin
c:\windows\123495acktool3za.cpl
c:\windows\12925sp5346z.exe
c:\windows\13175spyz95.ocx
c:\windows\13492spambot25z.exe
c:\windows\13sparse9z52.dll
c:\windows\1444zhackto5l9a2.cpl
c:\windows\14957zpambot495.exe
c:\windows\15166spy3dz9.cpl
c:\windows\1539zvir5s5f9.cpl
c:\windows\15429szam95t5bb.exe
c:\windows\1545viz32529.bin
c:\windows\1546backdoz9661.dll
c:\windows\15495irus2z6.dll
c:\windows\15544tro59ze.exe
c:\windows\15624not-a-9irzs7c2.dll
c:\windows\157thief99z0.bin
c:\windows\15905spy55z.bin
c:\windows\15c0a5dwar93z5.dll
c:\windows\1610b9zkd5or582.bin
c:\windows\16122spy925z.ocx
c:\windows\16541n9tza-virus57d.bin
c:\windows\1668hackto595z5.dll
c:\windows\1672za9k5oor1269.dll
c:\windows\1715zspambot23c9.bin
c:\windows\17z54wo9m33c.cpl
c:\windows\18419pzwar52371.exe
c:\windows\18484szambo9253.cpl
c:\windows\186fthie92z05.ocx
c:\windows\18718tr956z6.dll
c:\windows\18858virz9345.bin
c:\windows\1894zp5rse1002.ocx
c:\windows\18z7spar591702.bin
c:\windows\18z92hac5tool3ce.cpl
c:\windows\19000viru9z395.ocx
c:\windows\1930ztr9j54b.bin
c:\windows\194935irzs70d.cpl
c:\windows\19549spambo9z51.cpl
c:\windows\19835s9z65e.ocx
c:\windows\19922wor95fcz.ocx
c:\windows\19959zi5us310.dll
c:\windows\19a6st5al2z94.bin
c:\windows\19zdt5ief1577.ocx
c:\windows\1a72thiefz975.bin
c:\windows\1a90down5oadzr1649.bin
c:\windows\1aa3do5nl9adzr2304.cpl
c:\windows\1c50downlozd5r1496.ocx
c:\windows\1c5zthreat54599.exe
c:\windows\1e5bs9eaz1357.cpl
c:\windows\1e5cs9arze1501.cpl
c:\windows\1ff3b9ckdoor567z.exe
c:\windows\1z195ot-9-virus648.exe
c:\windows\1z419s95b9.cpl
c:\windows\1z849spamb9t5d9.ocx
c:\windows\1z853troj5f9.cpl
c:\windows\1z864worm759.exe
c:\windows\1z979worm3095.cpl
c:\windows\207z3tr95477.dll
c:\windows\20854z95mbot275.bin
c:\windows\20969spz585.dll
c:\windows\20b1s9arze2152.ocx
c:\windows\215315ot-a-virusz99.exe
c:\windows\21749t5zj6b2.ocx
c:\windows\22322no9-a-virus53z.exe
c:\windows\2299thze95476.bin
c:\windows\241bdownlza9er654.cpl
c:\windows\24439spamb5z978.exe
c:\windows\245z5s9y106.exe
c:\windows\246635iruz19e.dll
c:\windows\2525downlozder20949.exe
c:\windows\25279not-a-v5rus2zc.cpl
c:\windows\2529vzr258.dll
c:\windows\253625ot-a-virusz98.bin
c:\windows\2545spz39e.ocx
c:\windows\2555spars952z.bin
c:\windows\255935zrus299.cpl
c:\windows\25615trzj6d9.exe
c:\windows\2569zspambot16b.exe
c:\windows\25842wzrm939.bin
c:\windows\25905spambot7z6.dll
c:\windows\25959z5rus18f.cpl
c:\windows\25a1thiez699.bin
c:\windows\26429szambo965f5.bin
c:\windows\2644z9pambot29f5.exe
c:\windows\264f5parz91357.cpl
c:\windows\265bz9kdoor1242.bin
c:\windows\26fzs5eal17409.ocx
c:\windows\27444viruz954.exe
c:\windows\27526wzrm906.ocx
c:\windows\27537szy596.exe
c:\windows\2819sparsez295.dll
c:\windows\28258viru9z51.ocx
c:\windows\28576n9t-a-virzs47b.exe
c:\windows\28801szy459.cpl
c:\windows\291579zambot12e.dll
c:\windows\29205not-a9zirus645.bin
c:\windows\2924dowzloader5033.exe
c:\windows\2952stea5z370.bin
c:\windows\29892zacktool501.dll
c:\windows\2991sparz5929.bin
c:\windows\29as5arsz1573.bin
c:\windows\2b6fsparse5z29.exe
c:\windows\2ef3downloade59z76.exe
c:\windows\2f38thi9z195.exe
c:\windows\2f90d5wnloa9er2z53.dll
c:\windows\2fz0vi922905.ocx
c:\windows\2z0409orm4955.exe
c:\windows\2z09dow9loader8045.dll
c:\windows\2z95i92119.dll
c:\windows\300059ot-5-virus2ez.exe
c:\windows\30433v5r9z64c.exe
c:\windows\308zback9oor2445.bin
c:\windows\30z47spamb9t85.exe
c:\windows\3129vir765z.cpl
c:\windows\315ddownloaderz5149.ocx
c:\windows\31753tzoj295.cpl
c:\windows\3195z9roj7ea.bin
c:\windows\32391h9ckto5l5zd.exe
c:\windows\3250znot-a9virus4d2.exe
c:\windows\32575hack5zo96f7.ocx
c:\windows\32594zot5a-virus59a.exe
c:\windows\327525acktzol95b.bin
c:\windows\32845iru944z.ocx
c:\windows\3351threat9717z.exe
c:\windows\355aaddzare5209.cpl
c:\windows\359dstealz817.ocx
c:\windows\3727s5arse32z09.cpl
c:\windows\3752ba9kdoo53z47.exe
c:\windows\3899backdoor2z539.cpl
c:\windows\38abdownlz9der569.bin
c:\windows\38d4ba95door151z.bin
c:\windows\394dbackdo5r15z6.bin
c:\windows\39690hackzoolf5.cpl
c:\windows\397bdownlo5zer1469.bin
c:\windows\39bddzwnlo5der888.ocx
c:\windows\39fabzckdoor5958.cpl
c:\windows\3a19t9iez675.exe
c:\windows\3adf5t9al2z56.dll
c:\windows\3b0t95ef1060z.dll
c:\windows\3d64zow5loade91882.ocx
c:\windows\3df4do5nzoader99.ocx
c:\windows\3z15parse20439.bin
c:\windows\3z819ackdoo52902.dll
c:\windows\419zba9kdoor2695.bin
c:\windows\422daz9ware2503.exe
c:\windows\4333n9t-a-v5ruz70a.bin
c:\windows\4523threat59z5.dll
c:\windows\4553troj7z9.bin
c:\windows\4690z95mbot1b.bin
c:\windows\46b5threat9z871.ocx
c:\windows\48a5downlo9der6z1.exe
c:\windows\48z25dd9are2158.exe
c:\windows\4995sparze1536.dll
c:\windows\4a8cb5ckdzor928.dll
c:\windows\4ba15hie962z.cpl
c:\windows\4ba5vir79z.dll
c:\windows\4c29adzware2518.cpl
c:\windows\4c8c95azse2672.ocx
c:\windows\4d50dow9zoader610.ocx
c:\windows\4f955teal2z9.bin
c:\windows\5095vir20z6.dll
c:\windows\509bsp9rsz1059.cpl
c:\windows\511stea9z366.dll
c:\windows\51569w9rm68bz.bin
c:\windows\516459dwzre1918.exe
c:\windows\5189s5eal160z.exe
c:\windows\519zspambotbb9.cpl
c:\windows\51e3threat9221z.ocx
c:\windows\52199trojzfc.cpl
c:\windows\525cadzware2995.bin
c:\windows\530athre59z1856.cpl
c:\windows\53302not-a-zirus6119.cpl
c:\windows\539athrz9t32421.cpl
c:\windows\539sp59arz1556.bin
c:\windows\53d6ste95z05.bin
c:\windows\54d7bac9door1z25.dll
c:\windows\5529threzt22557.cpl
c:\windows\552zvi9901.cpl
c:\windows\556fazdware2909.exe
c:\windows\55819rzj170.cpl
c:\windows\55z9spywa5e376.exe
c:\windows\5668z9rmb3.cpl
c:\windows\56855spy1cz9.ocx
c:\windows\56862troz599.bin
c:\windows\56ada9dwa5e2225z.exe
c:\windows\56b0sz9w5re51.dll
c:\windows\5877spam9oz4e85.ocx
c:\windows\5899adzw5re514.dll
c:\windows\592troz4975.dll
c:\windows\5939not-a-virusz23.ocx
c:\windows\5939zpambot6b1.ocx
c:\windows\594adowzloader1513.dll
c:\windows\5965zspy35f.exe
c:\windows\59699virzs447.dll
c:\windows\5978w9rm21ez.cpl
c:\windows\59b2thiez6629.bin
c:\windows\59ebszeal697.exe
c:\windows\5a7zspyware15869.cpl
c:\windows\5aa6downloa5zr9730.cpl
c:\windows\5accaddzar59302.ocx
c:\windows\5af9thizf28925.dll
c:\windows\5az6ad9ware1631.cpl
c:\windows\5b59add5arez308.bin
c:\windows\5bcfazdwa9e17235.bin
c:\windows\5beaz9arse5512.dll
c:\windows\5cb9oznloader2554.ocx
c:\windows\5db695zkdoor2893.dll
c:\windows\5db69ddwzre512.ocx
c:\windows\5dddownloazer26839.bin
c:\windows\5e5fthreat15999z.ocx
c:\windows\5e96backdooz2353.exe
c:\windows\5e9c9p5ware2z38.cpl
c:\windows\5f02spars9901z.cpl
c:\windows\5f0sparse1914z.dll
c:\windows\5f91v5r93z.cpl
c:\windows\5fezspar953039.dll
c:\windows\5z36worm59d9.bin
c:\windows\5z89irus67b5.exe
c:\windows\5zbcvi9197.ocx
c:\windows\6125wo9mz5e.ocx
c:\windows\61z3d5wnloade9986.exe
c:\windows\61z59ddware175.cpl
c:\windows\62275pamzot9a4.cpl
c:\windows\633downloadez1959.exe
c:\windows\6361hac9tz5lad.ocx
c:\windows\648dthz59759.dll
c:\windows\6799downloadzr2595.exe
c:\windows\6859threaz184419.exe
c:\windows\689f5zr1523.ocx
c:\windows\68z89hief3547.bin
c:\windows\6955tzr9a510684.dll
c:\windows\6999adzwa5e895.ocx
c:\windows\699h59ktool34z.cpl
c:\windows\6c3e59zal1037.dll
c:\windows\6cb9thief55z2.ocx
c:\windows\6cz8sp9war51628.ocx
c:\windows\6d32v9r1655z.bin
c:\windows\6e3dbac9doorz547.exe
c:\windows\6e95azd5are21159.exe
c:\windows\6fb19hze5858.ocx
c:\windows\6z16thie930755.ocx
c:\windows\6z69not-a-vi9us435.ocx
c:\windows\6z6fth9ef5555.cpl
c:\windows\6zd0sparse58139.bin
c:\windows\70fzback9oor1395.ocx
c:\windows\71fcs9zal1574.bin
c:\windows\72c39own5oader130z.cpl
c:\windows\7423s5zmbot69b.bin
c:\windows\7493z5ambot138.cpl
c:\windows\74z9sparse2595.ocx
c:\windows\7513zir9s5ba.exe
c:\windows\7519spzm5ot196.exe
c:\windows\752ebazkd5or1945.cpl
c:\windows\75dezac9doo5418.exe
c:\windows\7615b5ckdoor158z9.ocx
c:\windows\7629viru95cz.dll
c:\windows\76dz9ddwa5e1868.exe
c:\windows\77c59hreat519z0.exe
c:\windows\785zspywa9e3562.ocx
c:\windows\7883ba5kzo9r2109.cpl
c:\windows\7894bac5doorz299.ocx
c:\windows\7915h5cktooz9e4.exe
c:\windows\79cbdownloadz53117.dll
c:\windows\7b4ds5eal1329z.exe
c:\windows\7b9d5hief14z1.cpl
c:\windows\7d25dowzload9r1718.dll
c:\windows\7dadvi9z59.dll
c:\windows\7e55za9kdoor1163.ocx
c:\windows\7z08ba9kdoor1529.bin
c:\windows\7z65h59ktool1cd.dll
c:\windows\858vir999z.dll
c:\windows\859wor99z.bin
c:\windows\8cabackd95r18z7.dll
c:\windows\8cz9pars51529.dll
c:\windows\9015azdware2548.exe
c:\windows\90587virus3fz.ocx
c:\windows\906backdozr459.cpl
c:\windows\90956zp5556.dll
c:\windows\90ezsteal955.exe
c:\windows\90z15n5t-a-virus4e8.dll
c:\windows\91565n5t-a-viruz239.cpl
c:\windows\91645virus6cz.ocx
c:\windows\920dsteal1951z.bin
c:\windows\9256worm2z3.exe
c:\windows\92579not-z-viru51ab.exe
c:\windows\92z9v9r5s731.cpl
c:\windows\93069ot-5-virus7a1z.dll
c:\windows\93423noz-a5virus5b7.cpl
c:\windows\9349hackt5ol5z3.exe
c:\windows\935downloader1z94.ocx
c:\windows\936t5zef3123.cpl
c:\windows\93z5vir854.exe
c:\windows\941zaddware9375.cpl
c:\windows\9425threzt288055.dll
c:\windows\9505backdoor264z.bin
c:\windows\9540nz9-a-vir5s568.dll
c:\windows\9585zot-a-virus6839.exe
c:\windows\95867szambo5546.exe
c:\windows\9596wozm3ac.ocx
c:\windows\959vir978z.exe
c:\windows\959ztro939.ocx
c:\windows\95a7addwa5e8z7.dll
c:\windows\95aavirz59.exe
c:\windows\9635no5-a-virus349z.dll
c:\windows\9735w9rz1c5.bin
c:\windows\97ccdownlzader5060.ocx
c:\windows\9854zot-9-vi5us123.dll
c:\windows\9855zir31.ocx
c:\windows\98572spazbot73e.cpl
c:\windows\98az5pyware2804.bin
c:\windows\98eespywarz1555.cpl
c:\windows\99ddszywar51365.dll
c:\windows\9azspar9e8335.cpl
c:\windows\9dc9pywarez095.bin
c:\windows\9e82thre5tz2058.bin
c:\windows\9e9csteal51z0.bin
c:\windows\9f2t5izf521.bin
c:\windows\9z0dthief17225.ocx
c:\windows\9z765parse581.bin
c:\windows\9z92t5oj2eb.bin
c:\windows\abathrea59834z.cpl
c:\windows\b69zpyware25845.bin
c:\windows\bz9threat25273.dll
c:\windows\cc6thi5f29z9.dll
c:\windows\cz49pa5se2409.ocx
c:\windows\d95steal20z45.bin
c:\windows\f29s9zr5e37.cpl
c:\windows\f4addwzr930665.bin
c:\windows\SoftwareProtection\Windows External Security Update.exe
c:\windows\system32\1084ba9kdoorz35.bin
c:\windows\system32\10859zir9s549.ocx
c:\windows\system32\10887zp975e.ocx
c:\windows\system32\10914not9a5virus6za.ocx
c:\windows\system32\10c5threa5z6692.cpl
c:\windows\system32\11302z9oj55d.exe
c:\windows\system32\1167zroj905.ocx
c:\windows\system32\11784n5t-a-viru917z.bin
c:\windows\system32\12199trzj2c5.dll
c:\windows\system32\12545worm7cz9.exe
c:\windows\system32\126z6n9t-a-virus51b.exe
c:\windows\system32\12z59tro51db.ocx
c:\windows\system32\135edownlozder25499.bin
c:\windows\system32\14505not-a-vir9sza5.cpl
c:\windows\system32\14537hazktoo92f0.bin
c:\windows\system32\14628hac9too548z.dll
c:\windows\system32\149zvir5s793.cpl
c:\windows\system32\14f0z5re9t22511.bin
c:\windows\system32\154a9parze778.bin
c:\windows\system32\155695ozm216.cpl
c:\windows\system32\15757vz9us192.bin
c:\windows\system32\15959worm20ez.exe
c:\windows\system32\15aathreaz197359.bin
c:\windows\system32\15c5thief928z.bin
c:\windows\system32\15cftz9ef2689.bin
c:\windows\system32\15edstea91953z.dll
c:\windows\system32\15edth9eat3258z.bin
c:\windows\system32\15z50troj25f9.dll
c:\windows\system32\1620hackt95lz2e.ocx
c:\windows\system32\16234s95zbot15b.bin
c:\windows\system32\163495pz209.cpl
c:\windows\system32\16615spyz925.bin
c:\windows\system32\1665ztro92c0.ocx
c:\windows\system32\16z18sp59bot565.dll
c:\windows\system32\17429n9t-5-virus7z8.cpl
c:\windows\system32\1751worz395.exe
c:\windows\system32\1790d5wn9zader3276.ocx
c:\windows\system32\1790downloadez2905.ocx
c:\windows\system32\179z4troj581.ocx
c:\windows\system32\17z05hac5to9l103.ocx
c:\windows\system32\17z71not-a9virus35c.cpl
c:\windows\system32\18192s9am5otze7.cpl
c:\windows\system32\18504no9-a-v5rzs12e.cpl
c:\windows\system32\18632zroj59b.exe
c:\windows\system32\18694wozm509.ocx
c:\windows\system32\18acad9ware2350z.exe
c:\windows\system32\18b9thizf23559.exe
c:\windows\system32\18z96vir5sc9.exe
c:\windows\system32\190z6sp5mbot71b.ocx
c:\windows\system32\19109s5y95z.dll
c:\windows\system32\192bdow5zoader571.bin
c:\windows\system32\19565spamzot5b3.exe
c:\windows\system32\196fzddware1573.dll
c:\windows\system32\199265pz261.cpl
c:\windows\system32\199zvir9534.dll
c:\windows\system32\19f1th5zf124.bin
c:\windows\system32\1b8dspyza9e1541.cpl
c:\windows\system32\1eddst9zl605.exe
c:\windows\system32\1z46stea92538.cpl
c:\windows\system32\1z496s9a5bot7ae.bin
c:\windows\system32\1z6fdownload59391.exe
c:\windows\system32\1z958worm99.cpl
c:\windows\system32\1z991n5t-a-virus420.ocx
c:\windows\system32\20219spy5z35.exe
c:\windows\system32\205zspy92f.bin
c:\windows\system32\20951troj9a9z.exe
c:\windows\system32\2126spywzr53159.dll
c:\windows\system32\2152vir1z29.dll
c:\windows\system32\21955ziru9747.cpl
c:\windows\system32\21991vzrus5a55.exe
c:\windows\system32\22550sp9mzot27d.cpl
c:\windows\system32\229755pazbot75f.ocx
c:\windows\system32\235955iruz4e5.dll
c:\windows\system32\2414zt59j44e.ocx
c:\windows\system32\24155woz9515.ocx
c:\windows\system32\24dft9reatz0554.ocx
c:\windows\system32\24eesparse27z95.cpl
c:\windows\system32\2521zor528f9.exe
c:\windows\system32\25236n5t9a-virus3e2z.cpl
c:\windows\system32\2533t9ief2566z.bin
c:\windows\system32\2549bazkdoor1854.cpl
c:\windows\system32\25551troj59z.ocx
c:\windows\system32\25649hacktozl769.bin
c:\windows\system32\25665hackt9ol2z0.exe
c:\windows\system32\25752trojz95.bin
c:\windows\system32\25839wzrm3f4.ocx
c:\windows\system32\258bad9zare945.cpl
c:\windows\system32\25900zot-a-virus51c.dll
c:\windows\system32\25cf5pyware22z9.exe
c:\windows\system32\26095virzsdb.ocx
c:\windows\system32\26223s9amzot7895.ocx
c:\windows\system32\2633dz9nloa5er409.cpl
c:\windows\system32\2657zd5ware3179.bin
c:\windows\system32\26723sz59bot79f.dll
c:\windows\system32\26885v9zus3a35.bin
c:\windows\system32\2705v9rus5a5z.exe
c:\windows\system32\27359viz5s679.bin
c:\windows\system32\273z9sp9mbot56.exe
c:\windows\system32\274es5ezl22909.cpl
c:\windows\system32\27599zorm459.ocx
c:\windows\system32\2793a95ware3244z.dll
c:\windows\system32\2794sparze2157.dll
c:\windows\system32\27996w5rz2eb.ocx
c:\windows\system32\27e5thzeat19747.cpl
c:\windows\system32\281ethizf9525.bin
c:\windows\system32\28886wo5m369z.exe
c:\windows\system32\29053not-a-virzs2fe.ocx
c:\windows\system32\29135irus2zb.cpl
c:\windows\system32\291615ro93dz.dll
c:\windows\system32\293259ackto5l768z.cpl
c:\windows\system32\29577viru93z4.bin
c:\windows\system32\296z25orm181.dll
c:\windows\system32\297f9hief11z75.exe
c:\windows\system32\29855ot-a-vzrus359.cpl
c:\windows\system32\2996ba5kdzor3045.bin
c:\windows\system32\29b9dowz5oader22299.bin
c:\windows\system32\29z92spamb5t36a.cpl
c:\windows\system32\2d54vir2z955.dll
c:\windows\system32\2d9fvz51919.cpl
c:\windows\system32\2dc9do5nloadez128.bin
c:\windows\system32\2e59ste9z543.cpl
c:\windows\system32\2ee95hief220z.ocx
c:\windows\system32\2z3579ot-a-vir5s24f.bin
c:\windows\system32\2z7ebackdoor50169.cpl
c:\windows\system32\2za95teal1948.cpl
c:\windows\system32\2zd9s5eal951.bin
c:\windows\system32\30205not9azvirus445.dll
c:\windows\system32\30z0b95kdoor496.exe
c:\windows\system32\30z4995y330.dll
c:\windows\system32\3118z5ot-9-virus25a.exe
c:\windows\system32\31296sp5m9otzf6.dll
c:\windows\system32\314z2viru53c89.cpl
c:\windows\system32\31599w9zm7b3.dll
c:\windows\system32\317b9ir239z5.bin
c:\windows\system32\31ez9ir10545.cpl
c:\windows\system32\31z99py35e.ocx
c:\windows\system32\322415pam9zt20a.ocx
c:\windows\system32\325baddza9e17735.ocx
c:\windows\system32\32652virus3z9.cpl
c:\windows\system32\32739not-a-9zrus625.exe
c:\windows\system32\3298spy5are13z5.ocx
c:\windows\system32\32fbstez96205.cpl
c:\windows\system32\33409hizf5443.ocx
c:\windows\system32\355bs9ywaze2758.cpl
c:\windows\system32\3596spywar9687z.dll
c:\windows\system32\35b595rz67.ocx
c:\windows\system32\37c9s5ywzre9103.exe
c:\windows\system32\3850z9y559.exe
c:\windows\system32\3858z5ck9ool240.ocx
c:\windows\system32\385bthreat32z395.cpl
c:\windows\system32\38689pambotz345.cpl
c:\windows\system32\38905py5ze.ocx
c:\windows\system32\38d8spywarez954.ocx
c:\windows\system32\3905dowzloader1969.bin
c:\windows\system32\390dowzloa5e91670.dll
c:\windows\system32\390zteal5956.dll
c:\windows\system32\3921downzoader1035.bin
c:\windows\system32\3926zac9tool7d5.bin
c:\windows\system32\39853spambzt3e7.exe
c:\windows\system32\3bf6szywar92599.bin
c:\windows\system32\3bzfspar5e22899.dll
c:\windows\system32\3cf0steaz5589.ocx
c:\windows\system32\3d8dz9yware5.dll
c:\windows\system32\3dz1downloader29045.bin
c:\windows\system32\3e1th9eat3z705.ocx
c:\windows\system32\3ez5spyware1549.exe
c:\windows\system32\3f4dzpywar95416.ocx
c:\windows\system32\3f7cbackd9or11z55.dll
c:\windows\system32\3za4downl9ader21485.exe
c:\windows\system32\409ztroj3b59.dll
c:\windows\system32\417espy5aze14589.cpl
c:\windows\system32\4254hacktooz593.cpl
c:\windows\system32\43875ot-a-vizus6c9.ocx
c:\windows\system32\43z75roj44e9.bin
c:\windows\system32\445espywzre965.dll
c:\windows\system32\45169z5m5.cpl
c:\windows\system32\4551ad9waze1932.dll
c:\windows\system32\4592not-9-5iruz2a0.cpl
c:\windows\system32\45989zr2874.cpl
c:\windows\system32\45d8downloa9er1z34.dll
c:\windows\system32\47faspywaz5197.cpl
c:\windows\system32\484zdo9n5oader1165.dll
c:\windows\system32\48zdo5nlo9der361.ocx
c:\windows\system32\4933steaz2459.ocx
c:\windows\system32\4ae3backzoor9855.ocx
c:\windows\system32\4b569oznloader5627.bin
c:\windows\system32\4b94zhie51212.ocx
c:\windows\system32\4beethzeat5995.cpl
c:\windows\system32\4c96thre5t302z79.exe
c:\windows\system32\4ebcsz9a52123.dll
c:\windows\system32\4edczh5eat4290.bin
c:\windows\system32\4fz8addware1959.dll
c:\windows\system32\50594hzcktool970.dll
c:\windows\system32\5068stea91220z.ocx
c:\windows\system32\50801not-9-virus11az.dll
c:\windows\system32\50afste9l32z2.bin
c:\windows\system32\519sparse32z7.cpl
c:\windows\system32\525z4wo9m2cb.exe
c:\windows\system32\528z5orm5a99.cpl
c:\windows\system32\53018troj4za9.dll
c:\windows\system32\535zp9b95.bin
c:\windows\system32\5429z9r513c.bin
c:\windows\system32\5529back9oor107z.bin
c:\windows\system32\5545v9r1524z.ocx
c:\windows\system32\5549not-a-zirus20b.dll
c:\windows\system32\5719wo9m3bbz.bin
c:\windows\system32\5778s9arse2z17.exe
c:\windows\system32\5891not-5-virus9z.cpl
c:\windows\system32\59031virus6e2z.exe
c:\windows\system32\5905s5y920z.exe
c:\windows\system32\5934zddware2739.dll
c:\windows\system32\5965zdd5are1277.ocx
c:\windows\system32\599ethreat15398z.cpl
c:\windows\system32\59czthief2917.cpl
c:\windows\system32\59d5addware1z28.dll
c:\windows\system32\59dzaddware2481.cpl
c:\windows\system32\5a59s5azse1275.dll
c:\windows\system32\5a70a9dwzre929.exe
c:\windows\system32\5b6astea92497z.exe
c:\windows\system32\5c3asze5l549.dll
c:\windows\system32\5c41addzare2349.bin
c:\windows\system32\5c96thr9at1270z.dll
c:\windows\system32\5det5reat25z689.dll
c:\windows\system32\5ecsteaz2948.cpl
c:\windows\system32\5f05zir3916.exe
c:\windows\system32\5f51sparsz295.dll
c:\windows\system32\5f55ba9kdoor21z2.bin
c:\windows\system32\5f57s9ywarz1045.exe
c:\windows\system32\5z3at9ief325.bin
c:\windows\system32\5z5dsparse1791.dll
c:\windows\system32\5zc5spyware2096.ocx
c:\windows\system32\5zev9r227.cpl
c:\windows\system32\614zsp5rse9571.dll
c:\windows\system32\61f5thr9at20z9.dll
c:\windows\system32\6295pazs92536.dll
c:\windows\system32\6389downlo5z9r2423.dll
c:\windows\system32\652troz2959.cpl
c:\windows\system32\653bst9zl957.dll
c:\windows\system32\6553spy5are1279z.exe
c:\windows\system32\66b4spar9e3z945.bin
c:\windows\system32\66f5azdw9re721.dll
c:\windows\system32\67759ddz5re1445.exe
c:\windows\system32\67c2th9ez11175.exe
c:\windows\system32\6806back9zor1535.bin
c:\windows\system32\6844hzcktool9305.exe
c:\windows\system32\691zvi52255.bin
c:\windows\system32\69b4threa5297z6.ocx
c:\windows\system32\6b95zhre5926897.cpl
c:\windows\system32\6bb7s5ywarez579.cpl
c:\windows\system32\6c0spaz9e1553.cpl
c:\windows\system32\6cz7vi52890.bin
c:\windows\system32\6f9aaddz5re192.exe
c:\windows\system32\6z34spam5ot9e7.cpl
c:\windows\system32\71b2thzea594211.exe
c:\windows\system32\71e5tzr9at10729.bin
c:\windows\system32\7229steal5619z.dll
c:\windows\system32\724c9ownload5z2607.bin
c:\windows\system32\7370s5arsez559.exe
c:\windows\system32\74925hief12z1.bin
c:\windows\system32\750dth5za926933.ocx
c:\windows\system32\755zsteal3198.exe
c:\windows\system32\7564backdooz9795.bin
c:\windows\system32\7595tzo97de.bin
c:\windows\system32\765zd95nloader2481.ocx
c:\windows\system32\7779zparse225.dll
c:\windows\system32\7799sz96c5.ocx
c:\windows\system32\782bthrzat79445.exe
c:\windows\system32\785zspar9e575.cpl
c:\windows\system32\791zworm5be.exe
c:\windows\system32\7955virz430.bin
c:\windows\system32\799virz135.dll
c:\windows\system32\799zsteal2552.bin
c:\windows\system32\7a5vzr1965.dll
c:\windows\system32\7a9z5hief11479.exe
c:\windows\system32\7b90thief265z.bin
c:\windows\system32\7be1v9z5011.exe
c:\windows\system32\7bf9d5wzloader491.exe
c:\windows\system32\7c959ackzo5r605.ocx
c:\windows\system32\7d51a5dwa9ez717.bin
c:\windows\system32\7f50viz2029.bin
c:\windows\system32\7z90vir5s608.bin
c:\windows\system32\8057no9-a-virus50z.exe
c:\windows\system32\811addwar593z3.dll
c:\windows\system32\8942zorm2965.bin
c:\windows\system32\895ztro5a4.dll
c:\windows\system32\8a8back9zor1855.dll
c:\windows\system32\8z98virus1105.exe
c:\windows\system32\9012backdoor1z105.cpl
c:\windows\system32\9099spam5zt103.exe
c:\windows\system32\912885pambotz6d.dll
c:\windows\system32\92535hreat30467z.exe
c:\windows\system32\92z9worm395.ocx
c:\windows\system32\9335ddwarz2617.exe
c:\windows\system32\933zirus159.ocx
c:\windows\system32\9396vi5us65z.exe
c:\windows\system32\93z53worm2b6.cpl
c:\windows\system32\940z5orm509.ocx
c:\windows\system32\9499sp95bot5z8.cpl
c:\windows\system32\9499wor52aaz.ocx
c:\windows\system32\94z39tr5j52.dll
c:\windows\system32\95193z5cktool110.cpl
c:\windows\system32\95195szy76.exe
c:\windows\system32\955z8hacktool316.dll
c:\windows\system32\959viz2739.exe
c:\windows\system32\95bzt5ief1659.bin
c:\windows\system32\9606not-5-viru94cz.ocx
c:\windows\system32\964059rm7z.dll
c:\windows\system32\9640not-a-vir5s2z0.bin
c:\windows\system32\9748t5iefz06.dll
c:\windows\system32\97728h5cktzol5e2.bin
c:\windows\system32\98220sp51fez.exe
c:\windows\system32\98229ackzool15c.dll
c:\windows\system32\98592wormzc5.dll
c:\windows\system32\9863addwar5z006.ocx
c:\windows\system32\98z6hackto5l5b9.exe
c:\windows\system32\99196hazktool665.bin
c:\windows\system32\992zspa5bot2119.dll
c:\windows\system32\994z5pambot172.bin
c:\windows\system32\9975rzj5e99.dll
c:\windows\system32\9bfz5r2959.ocx
c:\windows\system32\9c1edzw5loader3062.cpl
c:\windows\system32\9d52backzoor425.exe
c:\windows\system32\9decsteal15z2.cpl
c:\windows\system32\9ea5threat2z044.bin
c:\windows\system32\9fa5szyware745.dll
c:\windows\system32\9z740spy556.bin
c:\windows\system32\9zbbsparse1455.bin
c:\windows\system32\b48steaz5839.exe
c:\windows\system32\b7fadd9a5e1z57.cpl
c:\windows\system32\ba1spz9se3519.cpl
c:\windows\system32\bft59eaz31202.exe
c:\windows\system32\c39bac5dooz1139.exe
c:\windows\system32\c55z9reat14807.dll
c:\windows\system32\d1bthiez29945.dll
c:\windows\system32\d955tzal9946.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\f9eb9ckdozr275.exe
c:\windows\system32\Packet.dll
c:\windows\system32\wpcap.dll
c:\windows\system32\z0459irus7f6.bin
c:\windows\system32\z095spars91411.bin
c:\windows\system32\z13ft9ie5497.cpl
c:\windows\system32\z1528v5r9s40b.ocx
c:\windows\system32\z1573spambot967.dll
c:\windows\system32\z15thi9f539.exe
c:\windows\system32\z2076wor93d5.ocx
c:\windows\system32\z2550v9rus296.dll
c:\windows\system32\z4489hief2555.dll
c:\windows\system32\z4529spy5565.exe
c:\windows\system32\z4574tr9j6a5.dll
c:\windows\system32\z5005wor925a.dll
c:\windows\system32\z5113not-a-vir9s4e4.ocx
c:\windows\system32\z5269spam9ot5d4.bin
c:\windows\system32\z530vir695.exe
c:\windows\system32\z557vir5s3c9.exe
c:\windows\system32\z580sparse9525.ocx
c:\windows\system32\z590not-a-v5rus109.dll
c:\windows\system32\z59275irus26.cpl
c:\windows\system32\z6672viru5694.ocx
c:\windows\system32\z751ad5wa9e1144.cpl
c:\windows\system32\z7d7ba5kdoor1985.dll
c:\windows\system32\z8579ownloader5218.cpl
c:\windows\system32\z8588hac9tool1df.ocx
c:\windows\system32\z959worm25.ocx
c:\windows\system32\z994thre9t51513.bin
c:\windows\system32\zb6s9arse31475.ocx
c:\windows\system32\zb89vir31905.ocx
c:\windows\system32\zc48a9dware2450.dll
c:\windows\system32\zcbds5ywa9e290.dll
c:\windows\z05bspars91920.dll
c:\windows\z0629not-5-virusf9.exe
c:\windows\z0ddownloa9er795.dll
c:\windows\z157sp9ware656.cpl
c:\windows\z165no5-a-v9rus524.ocx
c:\windows\z1964troj3589.exe
c:\windows\z485hacktoo955e.dll
c:\windows\z55baddwar91451.bin
c:\windows\z5694vir5s299.bin
c:\windows\z5749py4a5.dll
c:\windows\z5e6t9ief2258.dll
c:\windows\z5e9steal12875.cpl
c:\windows\z645v9rus5e6.ocx
c:\windows\z7199troj35e5.exe
c:\windows\z724spar9e2054.ocx
c:\windows\z767495oj3e9.dll
c:\windows\z80bac5do9r3018.dll
c:\windows\z8628viru592a.ocx
c:\windows\z91cthreat54429.dll
c:\windows\z925hac5tool7e4.dll
c:\windows\z975orm799.bin
c:\windows\z9ca9pa5se1193.dll
c:\windows\z9d0spa5se793.exe
c:\windows\za3vir9258.cpl
c:\windows\zb95bac9door1857.cpl
c:\windows\zd839hreat18425.bin
c:\windows\zf7ad5wn9oader2356.ocx
D:\resycled
d:\resycled\ntldr.com
E:\resycled
e:\resycled\ntldr.com
G:\resycled
g:\resycled\ntldr.com

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2009-06-23 bis 2009-07-23 ))))))))))))))))))))))))))))))
.

2009-07-17 06:30 . 2009-07-17 06:30 -------- d-----w- c:\programme\Gemeinsame Dateien\SWF Studio
2009-07-09 14:17 . 2009-07-09 14:58 -------- d-----w- d:\programme\Exterminate It!
2009-07-09 14:12 . 2009-07-09 14:12 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-07-09 14:12 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-09 14:12 . 2009-07-09 14:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-09 14:12 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-09 14:12 . 2009-07-09 14:12 -------- d-----w- d:\programme\Malwarebytes' Anti-Malware
2009-07-09 12:33 . 2009-07-10 11:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-09 12:22 . 2009-07-10 11:21 -------- d-----w- d:\programme\Spybot - Search & Destroy
2009-07-09 12:22 . 2009-07-10 11:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-09 12:01 . 2009-07-09 12:01 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-07-09 12:01 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-09 12:01 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-09 12:01 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-07-09 12:01 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-07-09 12:01 . 2009-07-09 12:01 -------- d-----w- d:\programme\Avira
2009-07-09 12:01 . 2009-07-09 12:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-07-09 11:19 . 2009-07-09 11:19 11957 ----a-w- c:\windows\system32\7z01s9y5.bin
2009-07-09 06:40 . 2005-07-25 09:59 28672 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\oo6jezy5.default\extensions\{3502a070-ea2f-11dd-ba2f-0800200c9a66}\components\mintray-9178506d-2005072516-trunk.dll
2009-07-09 06:40 . 2005-07-25 09:59 28672 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\pi9iwnv9.default\extensions\{3502a070-ea2f-11dd-ba2f-0800200c9a66}\components\mintray-9178506d-2005072516-trunk.dll
2009-06-30 08:23 . 2009-06-30 08:24 -------- d-----w- d:\programme\LcdStudio
2009-06-30 07:43 . 2009-06-30 07:43 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp Controller for G15
2009-06-30 07:36 . 2009-06-30 07:36 4608 ----a-w- c:\windows\system32\lgLcdLibWrapper.dll
2009-06-30 07:27 . 2009-06-30 07:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Logitech
2009-06-26 12:54 . 2009-06-26 12:54 10134 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2009-06-26 12:54 . 2009-06-26 12:54 -------- d-----w- c:\programme\Gemeinsame Dateien\LogiShared

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-23 04:49 . 2009-05-26 10:57 -------- d-----w- d:\programme\Steam
2009-07-23 04:17 . 2008-07-04 10:46 -------- d-----w- d:\programme\Mozilla Thunderbird
2009-07-15 06:43 . 2008-07-07 10:39 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Azureus
2009-07-10 11:28 . 2008-07-04 19:11 -------- d-----w- d:\programme\Lavasoft
2009-07-10 11:08 . 2008-07-04 19:12 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Lavasoft
2009-07-09 12:52 . 2008-07-04 18:46 -------- d-----w- d:\programme\DAEMON Tools
2009-07-08 05:32 . 2008-07-11 11:26 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp
2009-06-30 08:18 . 2008-07-04 06:34 77976 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-30 07:27 . 2008-07-14 10:56 -------- d-----w- d:\programme\Logitech
2009-06-11 10:46 . 2009-06-11 10:46 -------- d-----w- d:\programme\FormelBaska
2009-06-11 10:46 . 2009-06-11 10:46 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\JSGSoft.com
2009-05-27 06:03 . 2009-05-27 05:03 25 ----a-w- c:\windows\popcinfot.dat
2009-05-14 12:07 . 2009-05-14 12:07 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7169FA93-66C2-43BD-86E0-CD332A686B29}\Installer\CommonCustomActions\Sleep.exe
2009-05-14 12:07 . 2009-05-14 12:07 3351812 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7169FA93-66C2-43BD-86E0-CD332A686B29}\Installer\CommonCustomActions\msxml6Exec.exe
2009-05-14 12:07 . 2009-05-14 12:07 3181612 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7169FA93-66C2-43BD-86E0-CD332A686B29}\Installer\CommonCustomActions\vcredistExec.exe
2009-05-14 12:02 . 2009-05-14 12:07 24338448 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7169FA93-66C2-43BD-86E0-CD332A686B29}\NokiaSoftwareUpdaterSetup_de.exe
2009-05-03 18:38 . 2008-12-11 09:50 1080264 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-04-25 10:55 . 2009-04-25 10:55 8192 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\UninstCCD.exe
2009-04-25 10:55 . 2009-04-25 10:55 61440 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-04-25 10:55 . 2009-04-25 10:55 10240 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\UninstPCS.exe
2009-04-25 10:47 . 2009-04-25 10:56 34217960 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Nokia_PC_Suite_7_1_26_0_ger.exe
2009-04-25 10:43 . 2006-02-28 12:00 82768 ----a-w- c:\windows\system32\perfc007.dat
2009-04-25 10:43 . 2006-02-28 12:00 452776 ----a-w- c:\windows\system32\perfh007.dat
2008-07-04 19:16 . 2008-07-04 19:16 14852 ----a-w- d:\programme\settings.dat
2008-05-30 12:37 . 2008-05-30 12:37 148847 ----a-w- d:\programme\DEC2006_XACT_x86.cab
2008-05-30 12:36 . 2008-05-30 12:36 13267416 ----a-w- d:\programme\dxnt.cab
2008-05-30 12:36 . 2008-05-30 12:36 4165878 ----a-w- d:\programme\Apr2006_MDX1_x86_Archive.cab
2008-05-30 12:36 . 2008-05-30 12:36 1805306 ----a-w- d:\programme\Nov2007_d3dx9_36_x64.cab
2008-05-30 12:36 . 2008-05-30 12:36 1803408 ----a-w- d:\programme\AUG2007_d3dx9_35_x64.cab
2008-05-30 12:34 . 2008-05-30 12:34 528392 ----a-w- d:\programme\DXSETUP.exe
2009-07-19 11:33 . 2008-07-09 11:20 137208 ----a-w- d:\programme\mozilla firefox\components\brwsrcmp.dll
2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- d:\programme\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- d:\programme\mozilla firefox\plugins\ssldivx.dll
2000-01-01 00:00 . 2000-01-01 00:00 23 --sh--r- c:\windows\mtlid64s2.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"PhonostarTimer"="d:\programme\phonostar\ps_timer.exe" [2008-07-14 126976]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Steam"="d:\programme\steam\steam.exe" [2009-06-11 1217784]
"LDM"="d:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2008-07-14 91440]
"Winamp controller for g15"="d:\programme\Logitech\GamePanel Software\LCD Manager\Applets\Winamp Controller for G15\Winamp Controller for G15.exe" [2009-06-30 1074688]
"dummy"="d:\programme\Logitech\GamePanel Software\LCD Manager\Applets\Winamp Controller for G15\dummy.exe" [2009-06-30 1074688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TWCU"="d:\programme\TP-LINK\TWCU\TWCU.exe" [2006-03-29 364544]
"OSSelectorReinstall"="c:\programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 2224104]
"GrooveMonitor"="d:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"NBKeyScan"="d:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"CY_BG"="c:\windows\CY_BG.EXE" [2003-04-21 118784]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="d:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Adobe Acrobat Speed Launcher"="d:\programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"Acrobat Assistant 8.0"="d:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
"Launch LCDMon"="d:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-12-13 2051096]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-10-10 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech Desktop Messenger.lnk - d:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-7-14 91440]
Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2009-2-5 809488]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-11-07 15:41 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"d:\\programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"d:\\programme\\SmartFTP Client\\SmartFTP.exe"= d:\\Programme\\SmartFTP Client\\SmartFTP.exe
"d:\\programme\\Mozilla Firefox\\firefox.exe"=
"d:\\programme\\Mozilla Thunderbird\\thunderbird.exe"=
"d:\\programme\\Acronis\\Acronis Disk Director\\DiskDirector.exe"=
"d:\\programme\\Azureus\\Azureus.exe"=
"d:\\programme\\ICQ6\\ICQ.exe"=
"d:\\programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"g:\\Spiele\\Assassin`s Creed\\AssassinsCreed_Dx9.exe"=
"g:\\Spiele\\Assassin`s Creed\\AssassinsCreed_Dx10.exe"=
"g:\\Spiele\\Assassin`s Creed\\AssassinsCreed_Launcher.exe"=
"d:\\programme\\Microsoft Games\\Age of Empires III\\age3y.exe"=
"d:\\programme\\Sierra Entertainment\\Empire Earth III\\EE3.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\programme\\Ascaron Entertainment\\Sacred 2 - Fallen Angel\\system\\s2gs.exe"=
"d:\\programme\\Ascaron Entertainment\\Sacred 2 - Fallen Angel\\system\\sacred2.exe"=
"d:\\programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"d:\\programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"g:\\Spiele\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"g:\\Spiele\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"g:\\Spiele\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"d:\\programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"d:\\programme\\Steam\\steamapps\\silversurfer19881\\team fortress 2\\hl2.exe"=
"d:\\programme\\Steam\\steamapps\\silversurfer19881\\zombie panic! source\\hl2.exe"=
"d:\\programme\\Steam\\steamapps\\common\\empire total war demo\\Empire.exe"=
"d:\\programme\\Steam\\steamapps\\silversurfer19881\\insurgency\\hl2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6881:TCP"= 6881:TCP:azureus

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [31.03.2009 15:58 28544]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [09.07.2009 14:01 108289]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [05.02.2009 15:13 10384]
R3 AEXPAM;Philips SmartManage Service;c:\windows\system32\drivers\aexpamdrv.sys [20.12.2005 10:57 27008]
S3 CY_FX_AT;USB Storage Adapter FX (CY);c:\windows\system32\drivers\CY_FX_AT.SYS [24.11.2008 11:03 32640]
S3 CyUsbNT;Cypress Manufacturing Driver;c:\windows\system32\drivers\CyUsbNT.sys [16.02.2005 08:43 28800]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [25.04.2009 12:56 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [25.04.2009 12:57 8320]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Easy-WebPrint - Drucken - d:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - d:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - d:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - d:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - d:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\pi9iwnv9.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: d:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
d:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-23 06:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1960408961-1614895754-725345543-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:cb,b2,52,b1,c1,e0,ff,e2,c7,ec,47,e0,0a,37,c5,9b,b5,24,b7,70,f3,af,68,
f9,7f,f9,95,ef,7d,76,c2,3f,10,aa,d7,fa,75,89,62,f7,31,65,23,80,35,89,cf,84,\
"??"=hex:2f,22,f5,26,84,cc,42,a5,1b,0a,b8,ea,91,1a,76,30

[HKEY_USERS\S-1-5-21-1960408961-1614895754-725345543-500\Software\SecuROM\License information*]
"datasecu"=hex:99,28,62,83,6e,fe,c2,71,de,b0,e1,09,1a,a2,e0,fc,01,33,cc,45,d7,
53,90,6e,74,6f,0a,93,63,6d,29,65,df,84,43,be,53,99,a8,0a,52,05,da,cb,e0,86,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(948)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3976)
d:\programme\Logitech\SetPoint\GameHook.dll
d:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
d:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
d:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
d:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
d:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
d:\programme\SmartFTP Client\SmartHook.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
d:\programme\Avira\AntiVir Desktop\avguard.exe
d:\programme\Java\jre6\bin\jqs.exe
d:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\devldr32.exe
c:\windows\system32\wscntfy.exe
d:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
d:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-23 6:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-23 04:52

Vor Suchlauf: 7 Verzeichnis(se), 16.069.730.304 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 15.952.818.176 Bytes frei

1036 --- E O F --- 2009-01-21 10:00
Seitenanfang Seitenende
23.07.2009, 08:19
Member

Beiträge: 13
#14 hier noch mal malware fulll scan!

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 5.1.2600 Service Pack 3

23.07.2009 08:18:30
mbam-log-2009-07-23 (08-18-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|N:\|O:\|)
Durchsuchte Objekte: 285552
Laufzeit: 1 hour(s), 15 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\gaopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\softwareprotection\cod4 serial database.ptn (Trojan.Agent) -> Quarantined and deleted successfully.
e:\tools und programme\nero.8.3.2.1 ultra edition deutsch\Keygen NEW.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Seitenanfang Seitenende
23.07.2009, 08:36
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 Update Malwarebytes' Anti-Malware und scanne nochmal

Meins
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2485

Deins
Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297

und poste nochmal ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »