Home » Spyware & Browser Hijacker Support Forum » Firefox öffnet andere Seiten; explorer.exe muß geschlossen werden » Themenansicht
Firefox öffnet andere Seiten; explorer.exe muß geschlossen werden |
||
|---|---|---|
| #0
| ||
|
19.07.2009, 14:40
...neu hier
Beiträge: 10 |
||
 
|
|
|
|
19.07.2009, 16:49
Moderator
Beiträge: 7805 |
#2
Erstelle bitte noch ein Combofix Report
http://board.protecus.de/t23187.htm#301850 __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
19.07.2009, 17:59
...neu hier
Themenstarter Beiträge: 10 |
#3
Hallo raman,
hier ist die gewünschte ComboFix-Log: ComboFix 09-07-19.01 - RobLong 19.07.2009 17:27.1.2 - NTFSx86 ausgeführt von:: c:\dokumente und einstellungen\RobLong\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\winxp\regedit.com c:\winxp\system32\afedeedd7_g.dll c:\winxp\system32\drivers\SKYNETgescuwom.sys c:\winxp\system32\ic32.dll c:\winxp\system32\SKYNETapovvrpu.dat c:\winxp\system32\SKYNETeumtaqcy.dll c:\winxp\system32\SKYNETimxsxqnn.dat c:\winxp\system32\SKYNETvvqaefii.dll c:\winxp\system32\taskmgr.com c:\winxp\system32\wk32.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_SKYNETateyiidf ((((((((((((((((((((((( Dateien erstellt von 2009-06-19 bis 2009-07-19 )))))))))))))))))))))))))))))) . 2009-07-19 11:51 . 2009-07-19 11:51 -------- d-----w- C:\rsit 2009-07-19 09:44 . 2009-07-19 09:44 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Malwarebytes 2009-07-19 09:44 . 2009-07-13 09:06 38160 ----a-w- c:\winxp\system32\drivers\mbamswissarmy.sys 2009-07-19 09:44 . 2009-07-19 09:44 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-07-19 09:44 . 2009-07-19 09:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-19 09:44 . 2009-07-13 09:06 19096 ----a-w- c:\winxp\system32\drivers\mbam.sys 2009-07-19 08:22 . 2009-07-19 10:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-19 08:22 . 2009-07-19 08:22 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-07-19 08:15 . 2009-07-03 14:49 15688 ----a-w- c:\winxp\system32\lsdelete.exe 2009-07-19 08:10 . 2009-07-03 14:49 64160 ----a-w- c:\winxp\system32\drivers\Lbd.sys 2009-07-19 08:10 . 2009-07-19 08:10 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864} 2009-07-19 08:10 . 2009-07-08 17:28 2920112 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe 2009-07-19 08:10 . 2009-07-19 08:10 -------- d-----w- c:\programme\Lavasoft 2009-07-19 08:10 . 2009-07-19 08:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-07-19 07:17 . 2009-07-19 07:17 -------- d---a-w- c:\winxp\system32\runouce.exe 2009-07-19 07:14 . 2009-07-19 07:14 626688 ----a-w- c:\winxp\system32\msvcr80.dll 2009-07-19 07:14 . 2009-07-19 07:14 548864 ----a-w- c:\winxp\system32\msvcp80.dll 2009-07-19 07:14 . 2009-07-19 07:14 28672 ----a-w- c:\winxp\system32\eEmpty.exe 2009-07-19 07:14 . 2009-07-19 07:14 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld 2009-07-19 07:14 . 2009-07-19 07:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld 2009-07-19 07:12 . 2008-04-14 09:00 153600 ----a-w- c:\winxp\R.COM 2009-07-19 07:12 . 2008-04-14 09:00 140800 ----a-w- c:\winxp\system32\T.COM 2009-07-17 12:31 . 2009-07-17 12:31 -------- d--h--w- c:\winxp\PIF 2009-07-16 11:33 . 2009-07-16 11:34 -------- d-----w- c:\programme\Dolby 2009-07-16 11:33 . 1999-04-05 06:18 86016 ----a-w- c:\winxp\unvise32.exe 2009-07-16 11:29 . 2009-07-16 11:32 -------- d-----w- c:\programme\AVSociety 2009-07-16 05:10 . 2009-07-16 05:10 9216 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DE\Events.dll 2009-07-16 05:10 . 2009-07-16 05:10 7680 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DE\Talk.dll 2009-07-16 05:10 . 2009-07-16 05:10 2048 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DE\Toolkit.dll 2009-07-16 05:10 . 2009-07-16 05:10 10240 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DE\Buddy.dll 2009-07-15 23:29 . 2003-03-18 16:50 1060864 ----a-w- c:\winxp\system32\mfc71.dll 2009-07-15 23:29 . 2003-03-18 16:42 1047552 ----a-w- c:\winxp\system32\mfc71u.dll 2009-07-15 22:47 . 2009-07-19 12:20 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Intermedia Software 2009-07-15 22:42 . 2003-04-18 11:59 44544 ----a-w- c:\winxp\system32\msxml4a.dll 2009-07-15 22:40 . 2006-06-29 08:37 14048 ------w- c:\winxp\system32\spmsg2.dll 2009-07-15 22:39 . 2009-07-15 22:39 156440 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-07-15 22:39 . 2009-07-15 22:40 -------- d-----w- c:\winxp\system32\XPSViewer 2009-07-15 22:39 . 2009-07-15 22:39 -------- d-----w- c:\programme\Reference Assemblies 2009-07-15 22:38 . 2008-07-06 12:06 89088 -c----w- c:\winxp\system32\dllcache\filterpipelineprintproc.dll 2009-07-15 22:38 . 2008-07-06 12:06 575488 -c----w- c:\winxp\system32\dllcache\xpsshhdr.dll 2009-07-15 22:38 . 2008-07-06 12:06 575488 ------w- c:\winxp\system32\xpsshhdr.dll 2009-07-15 22:38 . 2008-07-06 12:06 1676288 -c----w- c:\winxp\system32\dllcache\xpssvcs.dll 2009-07-15 22:38 . 2008-07-06 12:06 1676288 ------w- c:\winxp\system32\xpssvcs.dll 2009-07-15 22:38 . 2008-07-06 12:06 117760 ------w- c:\winxp\system32\prntvpt.dll 2009-07-15 22:38 . 2008-07-06 10:50 597504 -c----w- c:\winxp\system32\dllcache\printfilterpipelinesvc.exe 2009-07-15 18:13 . 2009-07-15 18:37 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian 2009-07-15 14:11 . 2009-07-15 14:11 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\DFX 2009-07-15 14:09 . 2009-07-15 14:09 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten 2009-07-15 14:09 . 2009-07-15 14:09 -------- d-----w- c:\dokumente und einstellungen\Administrator 2009-07-15 14:09 . 2009-07-15 15:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DFX 2009-07-15 14:09 . 2009-07-15 14:09 -------- d-----w- c:\programme\Gemeinsame Dateien\DFX 2009-07-15 14:08 . 2009-07-15 14:08 356352 ----a-w- c:\winxp\eSellerateEngine.dll 2009-07-14 22:21 . 2009-07-15 17:13 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\FreeTV 2009-07-14 21:59 . 2009-07-14 22:00 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\Deployment 2009-07-14 21:47 . 2009-07-14 21:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision 2009-07-14 13:24 . 2009-07-14 13:24 -------- d-----w- c:\programme\FreeRIP3 2009-07-14 10:26 . 2009-07-14 10:26 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\Activision 2009-07-11 21:13 . 2008-02-17 12:46 90112 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Mozilla\Firefox\Profiles\abjjngf2.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll 2009-07-11 21:13 . 2007-12-28 06:45 172032 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Mozilla\Firefox\Profiles\abjjngf2.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\puttygen.exe 2009-07-11 21:13 . 2007-10-07 21:27 307200 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Mozilla\Firefox\Profiles\abjjngf2.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\psftp.exe 2009-07-11 18:15 . 2009-07-16 20:38 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\gtk-2.0 2009-07-11 18:15 . 2009-07-15 10:34 -------- d-----w- c:\dokumente und einstellungen\RobLong\.thumbnails 2009-07-11 18:15 . 2009-07-17 10:26 -------- d-----w- c:\dokumente und einstellungen\RobLong\.gimp-2.6 2009-07-11 18:15 . 2009-07-11 18:15 -------- d-----w- c:\dokumente und einstellungen\RobLong\.gegl-0.0 2009-07-11 18:08 . 2009-07-11 18:08 55368 ---ha-w- c:\winxp\system32\mlfcache.dat 2009-07-11 18:07 . 2009-07-11 18:13 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\Google 2009-07-11 18:07 . 2009-07-11 18:07 -------- d-----w- c:\programme\Google 2009-07-10 22:22 . 2009-07-16 11:29 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Winamp 2009-07-10 21:03 . 2009-07-10 22:20 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Spider Player 2009-07-10 20:51 . 2003-12-04 15:13 77824 ----a-w- c:\winxp\system32\ospitray.exe 2009-07-10 20:28 . 2009-07-10 20:31 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\MusicBee 2009-07-10 20:28 . 2009-07-10 20:28 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\Steven_Mayall 2009-07-10 17:37 . 2009-07-10 17:37 -------- d-----w- c:\programme\TweakNow RegCleaner Professional 2009-07-10 17:37 . 2009-07-10 17:37 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\TweakNow RegCleaner Professional 2009-07-10 17:17 . 2009-07-10 17:28 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\mIRC 2009-07-10 14:42 . 2009-07-10 14:42 -------- d--h--w- c:\winxp\system32\GroupPolicy 2009-07-09 19:22 . 2009-07-09 19:23 -------- d-----w- c:\programme\FlashFXP 2009-07-09 19:22 . 2009-07-09 19:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashFXP 2009-07-09 16:19 . 2009-07-09 16:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-07-08 15:41 . 2009-07-08 15:41 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\USBSafelyRemove 2009-07-08 15:40 . 2009-07-08 15:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\USBSRService 2009-07-07 18:17 . 2009-07-07 18:28 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\TweakNow RegCleaner 2009-07-07 18:09 . 2009-07-07 18:09 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\GlarySoft 2009-07-07 17:32 . 2009-07-07 17:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero 2009-07-06 16:01 . 2009-07-06 16:01 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\HP 2009-07-06 15:56 . 2009-07-06 15:56 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\HP 2009-07-06 15:56 . 2009-07-06 15:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG 2009-07-06 15:49 . 2009-07-06 15:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP 2009-07-06 15:49 . 2009-07-06 15:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant 2009-07-06 15:49 . 2009-07-06 15:49 -------- d-----w- c:\programme\Gemeinsame Dateien\HP 2009-07-06 15:49 . 2009-07-06 15:49 -------- d-----w- c:\programme\Hewlett-Packard 2009-07-06 15:49 . 2009-07-06 15:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Hewlett-Packard 2009-07-06 15:46 . 2009-07-06 15:55 188173 ----a-w- c:\winxp\hpoins28.dat 2009-07-06 15:46 . 2008-06-09 00:06 752 ------w- c:\winxp\hpomdl28.dat 2009-07-05 04:41 . 2009-07-05 04:41 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Ashampoo 2009-07-03 18:47 . 2002-01-05 11:07 344064 ----a-w- c:\winxp\system32\msvcr70.dll 2009-07-03 18:47 . 2009-07-06 09:07 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-07-03 18:46 . 2009-07-03 18:46 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\ashampoo 2009-07-03 18:46 . 2009-07-03 18:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ashampoo 2009-07-01 11:31 . 2009-07-06 09:13 -------- d-----w- c:\programme\Activision 2009-07-01 11:24 . 2009-07-01 11:24 43520 ----a-w- c:\winxp\system32\CmdLineExt03.dll 2009-07-01 10:47 . 2009-07-01 10:47 -------- d-----w- c:\winxp\45235788142C44BE8A4DDDE9A84492E5.TMP 2009-07-01 08:36 . 2009-07-01 08:36 -------- d-----w- c:\winxp\system32\URTTEMP 2009-07-01 07:09 . 2009-07-01 07:09 -------- d--h--r- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\SecuROM 2009-06-29 19:03 . 2009-06-29 19:03 -------- d-----w- c:\winxp\E4D153288C89484BB9AAF5BE9EA6D01C.TMP 2009-06-29 18:33 . 2009-07-14 10:23 22328 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\PnkBstrK.sys 2009-06-29 18:33 . 2009-07-14 10:26 111928 ----a-w- c:\winxp\system32\PnkBstrB.exe 2009-06-29 18:33 . 2009-07-14 10:22 66872 ----a-w- c:\winxp\system32\PnkBstrA.exe 2009-06-29 18:33 . 2009-07-14 10:22 682280 ----a-w- c:\winxp\system32\pbsvc.exe 2009-06-29 18:33 . 2009-07-19 12:55 -------- d-----w- c:\winxp\system32\LogFiles 2009-06-29 18:29 . 2009-06-29 18:29 -------- d-sh--w- c:\winxp\ftpcache 2009-06-29 16:46 . 2009-06-29 16:56 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\ZattooPlayer 2009-06-29 16:46 . 2009-06-29 17:16 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\Zattoo 2009-06-29 14:07 . 2009-06-30 18:06 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\dvdcss 2009-06-29 13:56 . 2009-06-29 13:56 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\TeraCopy 2009-06-29 13:56 . 2009-06-29 13:56 -------- d-----w- c:\programme\TeraCopy 2009-06-28 05:00 . 2009-06-29 13:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts 2009-06-27 06:56 . 2009-07-14 17:02 -------- d-----w- c:\programme\HP 2009-06-27 06:55 . 2008-01-24 21:22 16496 ----a-r- c:\winxp\system32\drivers\HPZipr12.sys 2009-06-27 06:55 . 2008-01-24 21:22 49920 ----a-r- c:\winxp\system32\drivers\HPZid412.sys 2009-06-27 06:55 . 2009-06-27 06:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hewlett-Packard 2009-06-27 06:55 . 2008-01-24 21:23 271704 ----a-r- c:\winxp\system32\hpzids01.dll 2009-06-27 06:55 . 2007-10-20 13:55 118272 ----a-w- c:\winxp\system32\hpz3l5mu.dll 2009-06-27 06:55 . 2008-01-24 21:22 21568 ----a-r- c:\winxp\system32\drivers\HPZius12.sys 2009-06-27 06:54 . 2008-01-24 21:22 309760 ----a-r- c:\winxp\system32\difxapi.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-16 08:02 . 2009-06-23 19:23 -------- d-----w- c:\programme\Windows Media Connect 2 2009-07-16 07:45 . 2009-06-23 19:31 66552 ----a-w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-07-15 22:39 . 2008-04-14 09:00 85526 ----a-w- c:\winxp\system32\perfc007.dat 2009-07-15 22:39 . 2008-04-14 09:00 462316 ----a-w- c:\winxp\system32\perfh007.dat 2009-07-14 11:03 . 2009-06-23 19:51 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-07-01 10:47 . 2009-06-23 17:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-06-26 14:01 . 2009-06-23 19:51 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-06-26 13:59 . 2009-06-23 19:25 86315 ----a-w- c:\winxp\pchealth\helpctr\OfflineCache\index.dat 2009-06-24 09:47 . 2009-06-23 18:44 -------- d-----w- c:\programme\DAEMON Tools Lite 2009-06-23 19:58 . 2009-06-23 19:58 -------- d-----w- c:\programme\Intel 2009-06-23 19:51 . 2009-06-23 19:51 -------- d-----w- c:\programme\ASUS 2009-06-23 19:27 . 2009-06-23 19:27 -------- d-----w- c:\programme\microsoft frontpage 2009-06-23 19:24 . 2009-06-23 19:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste 2009-06-23 19:23 . 2009-06-23 19:23 21740 ----a-w- c:\winxp\system32\emptyregdb.dat 2009-06-23 18:54 . 2009-06-23 18:54 -------- d-----w- c:\programme\xp-AntiSpy 2009-06-23 18:45 . 2009-06-23 18:42 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\DAEMON Tools Lite 2009-06-23 18:44 . 2009-06-23 18:44 0 ----a-w- c:\winxp\nsreg.dat 2009-06-23 18:44 . 2009-06-23 18:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite 2009-06-23 18:44 . 2009-06-23 18:44 -------- d-----w- c:\programme\DAEMON Tools Toolbar 2009-06-23 18:42 . 2009-06-23 18:42 721904 ----a-w- c:\winxp\system32\drivers\sptd.sys 2009-06-23 18:30 . 2009-06-23 18:30 -------- d-----w- c:\programme\MozBackup 2009-06-23 18:29 . 2009-06-23 18:29 -------- d-----w- c:\programme\Foxit Software 2009-06-23 18:29 . 2009-06-23 18:29 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Foxit 2009-06-23 18:27 . 2009-06-23 18:27 -------- d-----w- c:\programme\VistaCodecPack 2009-06-23 18:27 . 2009-06-23 18:27 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\VistaCodecs 2009-06-23 18:27 . 2009-06-23 18:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VistaCodecs 2009-06-23 18:25 . 2009-06-23 18:25 -------- d-----w- c:\programme\Avira 2009-06-23 18:09 . 2009-06-23 18:09 -------- d-----w- c:\programme\MSXML 4.0 2009-06-23 17:45 . 2009-06-23 17:45 -------- d-----w- c:\programme\AGEIA Technologies 2009-06-23 17:40 . 2009-06-23 17:40 -------- d-----w- c:\programme\Realtek 2009-06-16 13:45 . 2009-06-23 17:40 5095936 ----a-w- c:\winxp\system32\drivers\RtkHDAud.sys 2009-06-16 07:35 . 2009-06-23 19:58 53248 ----a-w- c:\winxp\system32\CSVer.dll 2009-06-15 19:09 . 2009-06-15 19:09 1035264 ----a-w- c:\winxp\system32\VSFilter.dll 2009-06-12 06:40 . 2009-06-23 17:40 17887232 ----a-w- c:\winxp\RTHDCPL.EXE 2009-06-10 14:03 . 2009-06-23 17:45 457248 ----a-w- c:\winxp\system32\nvudisp.exe 2009-06-10 14:03 . 2009-06-10 14:03 9998336 ----a-w- c:\winxp\system32\nvoglnt.dll 2009-06-10 14:03 . 2009-06-10 14:03 815104 ----a-w- c:\winxp\system32\nvapi.dll 2009-06-10 14:03 . 2009-06-10 14:03 8087712 ----a-w- c:\winxp\system32\drivers\nv4_mini.sys 2009-06-10 14:03 . 2009-06-10 14:03 671744 ----a-w- c:\winxp\system32\nvcuvid.dll 2009-06-10 14:03 . 2009-06-10 14:03 5908608 ----a-w- c:\winxp\system32\nv4_disp.dll 2009-06-10 14:03 . 2009-06-10 14:03 1720320 ----a-w- c:\winxp\system32\nvcuda.dll 2009-06-10 14:03 . 2009-06-10 14:03 1580550 ----a-w- c:\winxp\system32\nvdata.bin 2009-06-10 14:03 . 2009-06-10 14:03 151552 ----a-w- c:\winxp\system32\nvcodins.dll 2009-06-10 14:03 . 2009-06-10 14:03 151552 ----a-w- c:\winxp\system32\nvcod.dll 2009-06-10 14:03 . 2009-06-10 14:03 1310720 ----a-w- c:\winxp\system32\nvcuvenc.dll 2009-06-10 03:58 . 2009-06-10 03:58 3510272 ----a-w- c:\winxp\system32\nvgames.dll 2009-06-10 03:58 . 2009-06-10 03:58 5890048 ----a-w- c:\winxp\system32\nvdispsr.dll 2009-06-10 03:58 . 2009-06-10 03:58 4022272 ----a-w- c:\winxp\system32\nvdisps.dll 2009-06-10 03:58 . 2009-06-10 03:58 86016 ----a-w- c:\winxp\system32\nvmctray.dll 2009-06-10 03:58 . 2009-06-10 03:58 168004 ----a-w- c:\winxp\system32\nvsvc32.exe 2009-06-10 03:58 . 2009-06-10 03:58 143360 ----a-w- c:\winxp\system32\nvcolor.exe 2009-06-10 03:58 . 2009-06-10 03:58 13758464 ----a-w- c:\winxp\system32\nvcpl.dll 2009-06-10 03:58 . 2009-06-10 03:58 229376 ----a-w- c:\winxp\system32\nvmccs.dll 2009-06-09 10:13 . 2009-06-23 17:40 37376 ----a-w- c:\winxp\system32\RtkCoInstXP.dll 2009-06-04 12:09 . 2009-06-23 17:45 457248 ----a-w- c:\winxp\system32\NVUNINST.EXE 2009-06-03 09:32 . 2009-06-23 17:40 1482752 ----a-w- c:\winxp\RtlUpd.exe 2009-06-01 09:41 . 2009-06-01 09:41 9728 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DA\Buddy.dll 2009-06-01 09:41 . 2009-06-01 09:41 8704 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DA\Events.dll 2009-06-01 09:41 . 2009-06-01 09:41 7168 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DA\Talk.dll 2009-06-01 09:41 . 2009-06-01 09:41 6656 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DA\Trillian.dll 2009-06-01 09:41 . 2009-06-01 09:41 2048 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DA\Toolkit.dll 2009-06-01 09:41 . 2009-06-01 09:41 7168 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DE\Trillian.dll 2009-05-29 12:22 . 2009-05-29 12:22 204800 ----a-w- c:\winxp\system32\xvidvfw.dll 2009-05-29 12:17 . 2009-05-29 12:17 881664 ----a-w- c:\winxp\system32\xvidcore.dll 2009-05-29 00:41 . 2009-05-29 00:41 85504 ----a-w- c:\winxp\system32\ff_vfw.dll 2009-05-15 03:20 . 2009-05-15 03:20 2373416 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero\Nero 9\DrWeb\DrWeb32.dll 2009-05-07 15:32 . 2008-04-14 09:00 348160 ----a-w- c:\winxp\system32\localspl.dll 2009-04-29 04:42 . 2008-12-20 21:31 827392 ----a-w- c:\winxp\system32\wininet.dll 2009-04-29 04:41 . 2008-12-10 13:31 78336 ----a-w- c:\winxp\system32\ieencode.dll 2009-04-28 05:25 . 2009-04-28 05:25 70936 ----a-w- c:\winxp\system32\PhysXLoader.dll 2009-07-17 12:56 . 2009-07-02 14:07 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll . ------- Sigcheck ------- [-] 2008-12-10 13:31 1571840 451D0981F4CCA5697307AF90D799BDC3 c:\winxp\system32\sfcfiles.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656] "RocketDock"="d:\programme\RocketDock\RocketDock\RocketDock.exe" [2007-09-02 495616] "ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360] "EVEREST AutoStart"="c:\programme\Lavalys\EVEREST Ultimate Edition\everest.exe" [2009-03-29 2363488] "USB Safely Remove"="d:\programme\USBSafelyRemove.4.0.9.779\USB Safely Remove\USBSafelyRemove.exe" [2009-04-16 1148688] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2009-06-10 86016] "NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2009-06-10 13758464] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "RTHDCPL"="RTHDCPL.EXE" - c:\winxp\RTHDCPL.EXE [2009-06-12 17887232] "nwiz"="nwiz.exe" - c:\winxp\system32\nwiz.exe [2009-06-10 1657376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "_nltide_2"="shell32" [X] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB] 2001-12-20 19:04 24576 ----a-w- d:\programme\AlienGUIse\fastload.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\winxp\system32\wbsys.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "hpqSRMon"=c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe "HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe "WinampAgent"=d:\programme\Winamp\winampa.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "e:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "e:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "e:\\Spiele\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= "c:\\WINXP\\system32\\PnkBstrA.exe"= "c:\\WINXP\\system32\\PnkBstrB.exe"= "c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "e:\\Spiele\\CoJBiBGame_x86.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpiscnapp.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpqkygrp.exe"= "d:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\FlashFXP\\FlashFXP.exe"= "e:\\Spiele\\CoD5-WaW\\CoDWaW.exe"= "e:\\Spiele\\CoD5-WaW\\CoDWaWmp.exe"= R0 Lbd;Lbd;c:\winxp\system32\drivers\Lbd.sys [19.07.2009 12:40 64160] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.06.2009 18:33 108289] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 19:19 1029456] R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\winxp\system32\TUProgSt.exe [26.06.2009 14:57 604416] R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\winxp\system32\drivers\l1e51x86.sys [24.06.2009 00:26 36864] S2 USBSafelyRemoveService;USB Safely Remove Assistant;d:\programme\USB Safely Remove\USBSRService.exe --> d:\programme\USB Safely Remove\USBSRService.exe [?] S3 Ambfilt;Ambfilt;c:\winxp\system32\drivers\Ambfilt.sys [23.06.2009 22:10 1684736] S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [24.06.2009 18:26 26224] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-07-19 c:\winxp\Tasks\1-Klick-Wartung.job - d:\programme\TuneUp 2009\OneClickStarter.exe [2009-04-27 10:09] 2009-07-19 c:\winxp\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49] . - - - - Entfernte verwaiste Registrierungseinträge - - - - ShellIconOverlayIdentifiers-{8D2223A2-B3C6-4e32-B096-CDD11F628C60} - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Mozilla\Firefox\Profiles\abjjngf2.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q= FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - prefs.js: browser.startup.homepage - hxxp://www.google.de FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q= FF - component: c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Mozilla\Firefox\Profiles\abjjngf2.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\programme\Veetle\Player\npvlc.dll FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll FF - plugin: c:\programme\VistaCodecPack\rm\browser\plugins\nppl3260.dll FF - plugin: c:\programme\VistaCodecPack\rm\browser\plugins\nprpjplug.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-19 17:33 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver] "ImagePath"="\??\c:\programme\Lavalys\EVEREST Ultimate Edition\kerneld.wnt" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-448539723-1957994488-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:56,fb,a6,60,61,26,35,ba,f7,f4,45,88,e5,b7,4d,e6,66,9b,05,cb,00,b2,66, 8b,ee,8d,7c,d1,19,1f,ad,51,6d,f5,b9,a1,8e,9e,1d,7a,75,74,12,9b,7b,3e,81,f1,\ "??"=hex:42,3a,25,db,84,9a,da,84,75,44,a2,14,4e,60,9b,80 [HKEY_USERS\S-1-5-21-448539723-1957994488-682003330-1003\Software\SecuROM\License information*] "datasecu"=hex:7e,e6,57,7d,ea,d7,ef,28,03,f3,52,98,7b,b5,49,17,d8,78,43,14,ca, c3,14,25,fe,4c,3e,39,70,3d,e4,6d,bd,14,bb,73,42,99,b6,b6,c5,89,f1,b9,29,9d,\ "rkeysecu"=hex:e2,25,04,5f,97,87,9d,97,27,70,57,4c,9b,98,98,a0 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1076) d:\programme\AlienGUIse\fastload.dll . Zeit der Fertigstellung: 2009-07-19 17:34 ComboFix-quarantined-files.txt 2009-07-19 13:03 Vor Suchlauf: 7.536.721.920 Bytes frei Nach Suchlauf: 7.510.736.896 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINXP [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 416 |
|
|
|
|
|
|
19.07.2009, 18:31
Moderator
Beiträge: 7805 |
#4
Meldet ein aktualisierte Mbam und Antivir noch Schaedlinge?
Pruefe bitte noch c:\winxp\system32\sfcfiles.dll bei Virustotal und poste den Link zum Ergebniss Du solltest noch einen Gmer Report erstellen und posten: Lade es von hier http://www.gmer.net/download.php starte die Datei, druecke im Reiter Rootkits auf scan. Nach ende des Scans bitte mit Hilfe von Copy den Report in den eigenen Thread einfuegen... __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
19.07.2009, 19:47
...neu hier
Themenstarter Beiträge: 10 |
#5
Hi!
Ja vielen Dank erstmal für die schnelle Hilfe. Hier der Link zu VirusTotal: http://www.virustotal.com/de/analisis/fbc08d7a59eb8b0e26d2b549042b6f690268b583aae98ba4f04ce3b3b7c84c08-1248024785 und jetzt noch der Gmer-Report: GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-07-19 19:44:58 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT B86E6CB6 ZwCreateKey SSDT B86E6CAC ZwCreateThread SSDT B86E6CBB ZwDeleteKey SSDT B86E6CC5 ZwDeleteValueKey SSDT sprc.sys ZwEnumerateKey [0xB7EC5CA4] SSDT sprc.sys ZwEnumerateValueKey [0xB7EC6032] SSDT B86E6CCA ZwLoadKey SSDT sprc.sys ZwOpenKey [0xB7EA70C0] SSDT B86E6C98 ZwOpenProcess SSDT B86E6C9D ZwOpenThread SSDT sprc.sys ZwQueryKey [0xB7EC610A] SSDT sprc.sys ZwQueryValueKey [0xB7EC5F8A] SSDT B86E6CD4 ZwReplaceKey SSDT B86E6CCF ZwRestoreKey SSDT B86E6CC0 ZwSetValueKey SSDT B86E6CA7 ZwTerminateProcess INT 0x63 ? 8A70BBF8 INT 0x63 ? 8A70BBF8 INT 0x63 ? 8A70BBF8 INT 0x63 ? 8A70BBF8 INT 0x63 ? 8A46DCD8 INT 0x63 ? 8A70BBF8 INT 0x83 ? 8A70BBF8 INT 0x83 ? 8A70BBF8 INT 0x83 ? 8A46DCD8 INT 0x83 ? 8A70BBF8 INT 0x94 ? 8A46DCD8 INT 0x94 ? 8A46DCD8 INT 0x94 ? 8A46DCD8 INT 0x94 ? 8A46DCD8 INT 0xA4 ? 8A46DCD8 INT 0xB4 ? 8A46DCD8 Code \??\C:\DOKUME~1\RobLong\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- ? sprc.sys Das System kann die angegebene Datei nicht finden. ! ? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B6E138AC 5 Bytes JMP 8A46D2B8 .text aaf71c2u.SYS B6D78386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...] .text aaf71c2u.SYS B6D783AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...] .text aaf71c2u.SYS B6D783C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH} .text aaf71c2u.SYS B6D783C9 1 Byte [30] .text aaf71c2u.SYS B6D783C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL} .text ... ? C:\DOKUME~1\RobLong\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINXP\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE[3840] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 32605436 C:\Programme\Gemeinsame Dateien\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation) ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EA8042] sprc.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EA813E] sprc.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EA80C0] sprc.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EA8800] sprc.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EA86D6] sprc.sys IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!READ_PORT_UCHAR] 1C8D9E88 IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KeGetCurrentIrql] 9E880000 IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KfRaiseIrql] 00001CA9 IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KfLowerIrql] 0E798366 IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!HalGetInterruptVector] 74AAB000 IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!HalTranslateBusAddress] 8186C636 IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KfReleaseSpinLock] 1C8386C6 IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000 IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!READ_PORT_USHORT] 001C8E86 IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200 IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CAA IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[WMILIB.SYS!WmiSystemControl] 8800001C IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB19E ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\explorer.exe [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A70A1F8 Device \FileSystem\Fastfat \FatCdrom 89958500 Device \Driver\PCI_PNP2692 \Device\00000041 sprc.sys Device \Driver\usbuhci \Device\USBPDO-0 8A4681F8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A69A1F8 Device \Driver\dmio \Device\DmControl\DmConfig 8A69A1F8 Device \Driver\dmio \Device\DmControl\DmPnP 8A69A1F8 Device \Driver\dmio \Device\DmControl\DmInfo 8A69A1F8 Device \Driver\usbehci \Device\USBPDO-1 8A43C1F8 Device \Driver\usbuhci \Device\USBPDO-2 8A4681F8 Device \Driver\usbuhci \Device\USBPDO-3 8A4681F8 Device \Driver\usbuhci \Device\USBPDO-4 8A4681F8 AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) Device \Driver\usbuhci \Device\USBPDO-5 8A4681F8 Device \Driver\usbehci \Device\USBPDO-6 8A43C1F8 Device \Driver\Ftdisk \Device\HarddiskVolume1 8A70C1F8 Device \Driver\usbuhci \Device\USBPDO-7 8A4681F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8A70C1F8 Device \Driver\Cdrom \Device\CdRom0 8A3FE1F8 Device \Driver\Cdrom \Device\CdRom1 8A3FE1F8 Device \Driver\Ftdisk \Device\HarddiskVolume3 8A70C1F8 Device \Driver\Ftdisk \Device\HarddiskVolume4 8A70C1F8 Device \Driver\USBSTOR \Device\00000075 89D4C500 Device \Driver\USBSTOR \Device\00000077 89D4C500 Device \Driver\NetBT \Device\NetBt_Wins_Export 8995C500 Device \Driver\NetBT \Device\NetbiosSmb 8995C500 Device \Driver\sptd \Device\286222692 sprc.sys Device \Driver\NetBT \Device\NetBT_Tcpip_{E2D1ACAF-C5C5-4E12-9429-1F72E180B9C0} 8995C500 Device \Driver\usbuhci \Device\USBFDO-0 8A4681F8 Device \Driver\usbuhci \Device\USBFDO-1 8A4681F8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89957500 Device \Driver\usbuhci \Device\USBFDO-2 8A4681F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89957500 Device \Driver\usbehci \Device\USBFDO-3 8A43C1F8 Device \Driver\usbuhci \Device\USBFDO-4 8A4681F8 Device \Driver\Ftdisk \Device\FtControl 8A70C1F8 Device \Driver\usbuhci \Device\USBFDO-5 8A4681F8 Device \Driver\usbuhci \Device\USBFDO-6 8A4681F8 Device \Driver\usbehci \Device\USBFDO-7 8A43C1F8 Device \Driver\aaf71c2u \Device\Scsi\aaf71c2u1Port6Path0Target0Lun0 8A3CE1F8 Device \Driver\aaf71c2u \Device\Scsi\aaf71c2u1 8A3CE1F8 Device \FileSystem\Fastfat \Fat 89958500 AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs 8A3143A0 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x25 0x34 0xF1 0xC0 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x5E 0x16 0x84 0x93 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x7A 0xA4 0x12 0xB6 ... ---- EOF - GMER 1.0.15 ---- Nun hab ich noch zwei Fragen: 1. wie krieg ich diese .exe Datei denn nun gelöscht? jedesmal wenn ich sie löschen will, poppt ein Fenster auf und will mir vermitteln, dass diese Datei zzt noch von einem anderen Programm benutzt wird und daher nicht gelöscht werden kann, de facto hat sie aber 0 Kbyte.. Und 2.: wie kann ich in Zukunft meinen Rechner vor sowas schützen, gibts da spezielle Programme oder Einstellungen, die ich vornehmen kann, damit ich weitgehend verschont bleib von solchen Aggro-Tools? Vielen Dank, cpk |
|
|
|
|
|
|
19.07.2009, 20:07
Moderator
Beiträge: 7805 |
#6
Zu 1. Welche Datei wird genau von wem, wo gemeldet.
zu 2. Es liegt im grossen und ganzen an dem eigenen Verhalten, wie gut man geschuetzt ist. In deinem Fall kann man ja schon am Dateinamen "riechen", das da irgendwas nicht so ganz passen kann. Im Grunde ist Verstand einschalten, etwas Ueberlegung schon mehr als die 3/4tel Miete..... Software sollte man nur aus vertrauenswuerdigen Quellen beziehen, P2P gehoert nicht zu dieser Art Quellen. Desweiteren sollte man sich ueberlegen, ob man Software wirklich braucht, bevor man sie installiert. Deinstalliere bitte noch Combofix via start/ausfuehren und dort combofix /u eingeben und enter druecken. Poste bitte auch noch ein neuen Hijackthis Report. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
19.07.2009, 20:39
...neu hier
Themenstarter Beiträge: 10 |
#7
Okay, Combofix ist deinstalliert und hier kommt der HJT-Log:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:32:40, on 19.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\nvsvc32.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\PnkBstrA.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\TUProgSt.exe C:\WINXP\System32\svchost.exe D:\Programme\RocketDock\RocketDock\RocketDock.exe C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE C:\WINXP\system32\ctfmon.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe D:\Programme\Trillian\trillian.exe C:\WINXP\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\RobLong\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe O4 - HKCU\..\Run: [USB Safely Remove] D:\Programme\USBSafelyRemove.4.0.9.779\USB Safely Remove\USBSafelyRemove.exe /startup O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O20 - AppInit_DLLs: C:\WINXP\system32\wbsys.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe O23 - Service: USB Safely Remove Assistant (USBSafelyRemoveService) - Unknown owner - D:\Programme\USB Safely Remove\USBSRService.exe (file missing) -- End of file - 5775 bytes Nochmal kurz zu meinen Fragen: das programm sitzt irgendwo, ich habs als .exe Datei auf dem Desktop und in meinem Download-Ordner. Jedesmal wenn ich versuche, dieses Icon in den Papierkorb zu verschieben kommt eben diese Meldung, wenn es hilft kann ich mal n Screenshot meines Desktops machen, damit man sehen kann was das ist. Ich weiß leider nicht von wem das angezeigt wird, es ist halt da und nur lästig. Wenn ich zB mit nem Shredder-Programm dieses löschen will, macht es das aber das Icon verschwindet einfach nicht, auch nicht nach mehrmaligem Neustart.. Ich möchte dieses Programm einfach nur vom PC weg haben, gibt es da evtl n anderes Programm oder ne Massnahme, wie ich das wieder wegkriegen kann? Ach ja: Du meintest im vorherigen Post das ich Daten aufm Rechner hab, die man anhand ihres Namens schon als verdächtig erkennen würde, verrätst Du mir welche das sind? Ich hab ja anfangs schon zugegeben, dass ich mich da ab und an auf dubiosen Seiten rumgetrieben hatte, aber welche sonderbare Software Du meinst, versteh ich nicht..FXP oder die SFT-Loader? Klär mich doch bitte auf.. Der unwissende...capkom P.S.: Ich hab Dir mal nen Screenshot meines Desktops angehängt, vielleicht kannst Du das jetzt besser analysieren... Die Datei um die es geht ist oben links..  Dieser Beitrag wurde am 19.07.2009 um 20:47 Uhr von capkom editiert.
|
|
|
|
|
|
|
19.07.2009, 22:58
Ehrenmitglied
 Beiträge: 6028 |
#8
Kennst du USB Safely Remove.4.0.9.779 ?
Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme " Klicke "Programm ausführen " unter FileASSASSIN Suche Usenext_Account_Generatorv1.2 und klicke OK __________ MfG Argus |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe seit einigen Tagen ein dickes Problem und hoffe das ihr mir beim Beseitigen helfen könnt.
Ich muß zugeben, daß ich mich in letzter Zeit mehrmals auf einigen dubiosen Seiten herumgetrieben habe, ohne zu ahnen, was das für Probleme mit sich bringen kann. Dabei hat sich auf meinem Rechner ein Programm installiert (Usenext_Account_Generatorv1.2..exe) und dieses hat sich eigenständig in meine Registry eingebunden.
Ich habe auch schon mehrere versuche unternommen, dieses Programm mittels diverser Programme wie z.B. Ad-Aware, Spybot oder auch Malwarebytes zu löschen bzw. erstmal zu lokalisieren. Alle programme haben mir auch einige Schädlinge angezeigt, jedoch komplett gelöscht hat es keines können.
Von daher bin ich mit meinem Know-How echt am Ende - und da ihr mir hier schoneinmal habt helfen können, bitte ich Euch nun um Rat. Meine HJT-Logfile, sowie den Scan der Mbam hefte ich Euch mal mit dran.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:37:58, on 19.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINXP\Explorer.EXE
C:\WINXP\RTHDCPL.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\RocketDock\RocketDock\RocketDock.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\USBSafelyRemove.4.0.9.779\USB Safely Remove\USBSafelyRemove.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\TUProgSt.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\RobLong\Desktop\HiJackThis.exe
D:\Programme\Skype\Toolbars\Shared\SkypeNames.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKCU\..\Run: [USB Safely Remove] D:\Programme\USBSafelyRemove.4.0.9.779\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe
O23 - Service: USB Safely Remove Assistant (USBSafelyRemoveService) - Unknown owner - D:\Programme\USB Safely Remove\USBSRService.exe (file missing)
--
End of file - 6608 bytes
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2462
Windows 5.1.2600 Service Pack 3
19.07.2009 14:23:04
mbam-log-2009-07-19 (14-22-59).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 85553
Laufzeit: 1 minute(s), 21 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\WINXP\system32\nnnkKdbc.dll (Backdoor.Agent) -> No action taken.
Falls noch etwas gebraucht wird, bitte mitteilen!
Vielen Dank,
cpk