Virenscan findet ein verstecktes ObjektThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
02.08.2009, 15:36
Moderator
Beiträge: 5694 |
||
|
||
03.08.2009, 14:44
Member
Themenstarter Beiträge: 22 |
#17
hallo Swiss,
Urlaub brauchen wir halt alle mal. Hier der SDFIX Report SDFix: Version 1.240 Run by Klaus on 03.08.2009 at 13:14 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : C:\WINDOWS :FA2B358953DE984C 24 Total size: 24 bytes. WINDOWS: deleted 24 bytes in 1 streams. Checking for remaining Streams C:\WINDOWS No streams found. Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-03 13:36:05 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272c2e49d] "000d440b6ba3"=hex:16,78,ca,24,da,33,ac,4f,6f,a8,49,87,5e,df,bf,65 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a3a5c3b6f] "000272c2e49d"=hex:8b,db,24,74,66,40,55,6e,47,7b,24,17,3b,99,7c,0d "001237ce4d4a"=hex:31,93,32,02,1f,51,ee,0b,3a,2c,d0,83,fc,c1,0d,80 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000272c2e49d] "000d440b6ba3"=hex:16,78,ca,24,da,33,ac,4f,6f,a8,49,87,5e,df,bf,65 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000a3a5c3b6f] "000272c2e49d"=hex:8b,db,24,74,66,40,55,6e,47,7b,24,17,3b,99,7c,0d "001237ce4d4a"=hex:31,93,32,02,1f,51,ee,0b,3a,2c,d0,83,fc,c1,0d,80 scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed"=dword:0000023e "TracesSuccessful"=dword:0000000e [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A66C5C80-CDD0-F5DC-6E6C-53CDDF523A31}] "paolimbkpgcgekmbekhmbnjiaehjakaa"=hex:61,62,6a,61,6a,69,6b,6c,6d,69,66,6e,6c,6f,69,6c,69,63,67,70,6e,.. scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Toshiba\\ConfigFree\\CFSServB.exe"="C:\\Programme\\Toshiba\\ConfigFree\\CFSServB.exe:*:Enabled:ConfigFree(TM) Search for Wireless Devices Version 4.50" "C:\\Programme\\WebCallDirect.com\\WebCallDirect\\WebCallDirect.exe"="C:\\Programme\\WebCallDirect.com\\WebCallDirect\\WebCallDirect.exe:*:Enabled:WebCallDirect" "C:\\Dreambox\\DCC282\\DCC.exe"="C:\\Dreambox\\DCC282\\DCC.exe:*:Enabledreambox Control Center" "C:\\Demo\\totalcmd\\TOTALCMD.EXE"="C:\\Demo\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows" "C:\\Dreambox\\DCC\\DCC.exe"="C:\\Dreambox\\DCC\\DCC.exe:*:Enabledreambox Control Center" "C:\\Dokumente und Einstellungen\\Klaus\\Desktop\\FRITZ.Box_Fon_WLAN_7141.04.50.recover-image.exe"="C:\\Dokumente und Einstellungen\\Klaus\\Desktop\\FRITZ.Box_Fon_WLAN_7141.04.50.recover-image.exe:*:Enabled:AvmRecover" "C:\\Programme\\FRITZ!fax\\FriFax32.exe"="C:\\Programme\\FRITZ!fax\\FriFax32.exe:*:Enabled:FRITZ!fax" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Dokumente und Einstellungen\\Klaus\\Lokale Einstellungen\\Temp\\WZSE0.TMP\\SymNRT.exe"="C:\\Dokumente und Einstellungen\\Klaus\\Lokale Einstellungen\\Temp\\WZSE0.TMP\\SymNRT.exe:*:Enabled:Norton Removal Tool" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : Files with Hidden Attributes : Thu 12 Aug 2004 232,492 A..H. --- "C:\Demo\PDFzuWord Professional\pdf2wordconv.exe" Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe" Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" Wed 22 Oct 2008 962,896 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Tools.dll" Wed 14 Jan 2009 23 A.SH. --- "C:\WINDOWS\system32\eeadafb_z.dll" Wed 14 Jan 2009 23 A.SH. --- "C:\WINDOWS\system32\Kopie von eeadafb_z.dll" Thu 15 Nov 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Wed 30 Jul 2008 201 ..SHR --- "C:\Programme\CARSOFT\BMW\BS65.904\CCONTROL.SYS" Fri 25 May 2007 120,320 ...H. --- "C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\Microsoft\Vorlagen\~WRL0083.tmp" Fri 25 May 2007 118,272 ...H. --- "C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\Microsoft\Vorlagen\~WRL0561.tmp" Fri 25 May 2007 119,808 ...H. --- "C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\Microsoft\Vorlagen\~WRL1482.tmp" Sun 20 May 2007 114,688 ...H. --- "C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\Microsoft\Vorlagen\~WRL1858.tmp" Fri 18 May 2007 113,152 ...H. --- "C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\Microsoft\Vorlagen\~WRL2811.tmp" Thu 15 Jan 2009 1,048,576 A..H. --- "C:\Dokumente und Einstellungen\Klaus\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt" Finished! Hier fsbl Blacklight report 08/03/09 14:27:15 [Info]: BlackLight Engine 2.2.1092 initialized 08/03/09 14:27:15 [Info]: OS: 5.1 build 2600 (Service Pack 3) 08/03/09 14:27:15 [Note]: 7019 4 08/03/09 14:27:15 [Note]: 7005 0 08/03/09 14:27:24 [Note]: 7006 0 08/03/09 14:27:24 [Note]: 7011 2080 08/03/09 14:27:24 [Note]: 7035 0 08/03/09 14:27:24 [Note]: 7026 0 08/03/09 14:27:24 [Note]: 7026 0 08/03/09 14:27:27 [Note]: FSRAW library version 1.7.1024 08/03/09 14:37:16 [Note]: 2000 1012 08/03/09 14:37:16 [Note]: 2000 1012 08/03/09 14:39:40 [Note]: 7007 0 Grüße Klaus |
|
|
||
03.08.2009, 15:52
Moderator
Beiträge: 5694 |
#18
>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: C:\WINDOWS\system32\eeadafb_z.dll Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate: http://www.virus-protect.org/datfindbat.html Gruss Swiss |
|
|
||
03.08.2009, 17:18
Member
Themenstarter Beiträge: 22 |
#19
vorab die Datei mit Virustotal getestet
keine Fehler gefunden Datei eeadafb_z.dll empfangen 2009.08.03 14:21:37 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.08.03 - AhnLab-V3 5.0.0.2 2009.08.01 - AntiVir 7.9.0.238 2009.08.03 - Antiy-AVL 2.0.3.7 2009.08.03 - Authentium 5.1.2.4 2009.08.02 - Avast 4.8.1335.0 2009.08.03 - AVG 8.5.0.406 2009.08.03 - BitDefender 7.2 2009.08.03 - CAT-QuickHeal 10.00 2009.08.03 - ClamAV 0.94.1 2009.08.03 - Comodo 1851 2009.08.03 - DrWeb 5.0.0.12182 2009.08.03 - eSafe 7.0.17.0 2009.08.03 - eTrust-Vet 31.6.6655 2009.08.03 - F-Prot 4.4.4.56 2009.08.02 - F-Secure 8.0.14470.0 2009.08.03 - Fortinet 3.120.0.0 2009.08.03 - GData 19 2009.08.03 - Ikarus T3.1.1.64.0 2009.08.03 - Jiangmin 11.0.800 2009.08.03 - K7AntiVirus 7.10.808 2009.08.01 - Kaspersky 7.0.0.125 2009.08.03 - McAfee 5696 2009.08.02 - McAfee+Artemis 5696 2009.08.02 - McAfee-GW-Edition 6.8.5 2009.08.03 - Microsoft 1.4903 2009.08.03 - NOD32 4300 2009.08.03 - Norman 6.01.09 2009.08.03 - nProtect 2009.1.8.0 2009.08.03 - Panda 10.0.0.14 2009.08.03 - PCTools 4.4.2.0 2009.08.03 - Prevx 3.0 2009.08.03 - Rising 21.41.02.00 2009.08.03 - Sophos 4.44.0 2009.08.03 - Sunbelt 3.2.1858.2 2009.08.03 - Symantec 1.4.4.12 2009.08.03 - TheHacker 6.3.4.3.375 2009.08.01 - TrendMicro 8.950.0.1094 2009.08.03 - VBA32 3.12.10.9 2009.08.03 - ViRobot 2009.8.3.1865 2009.08.03 - VirusBuster 4.6.5.0 2009.08.02 - weitere Informationen File size: 23 bytes MD5...: fe65e7f6d4c28d131b73a2fe5b4fd662 SHA1..: 18faa72a58635dd59763442cda71c626a2a896a7 SHA256: c9806c1ea06f8f386a87245ad6de54477cd796bcebacfef0a2ea478639b7c2b2 ssdeep: 3:gbTiR8Y/M:gyR8Y/M PEiD..: - TrID..: File type identification Unknown! PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set - Bat Datei liegt als Anhang bei Anhang: dirdat3mon.txt Dieser Beitrag wurde am 03.08.2009 um 17:59 Uhr von mist editiert.
|
|
|
||
03.08.2009, 18:05
Moderator
Beiträge: 5694 |
#20
Mal schauen was Combofix zu diesem Eintrag sagt.
>> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html Gruss Swiss Für mich: Zitat RegLock:: |
|
|
||
03.08.2009, 19:37
Member
Themenstarter Beiträge: 22 |
||
|
||
03.08.2009, 23:23
Moderator
Beiträge: 5694 |
#22
>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden >> poste das Neue Log von Combofix >> Aktualisiere jegliche Programme mit Secunia. Gruss Swiss |
|
|
||
04.08.2009, 17:26
Member
Themenstarter Beiträge: 22 |
#23
hallo Swiss,
das Log wieder als Anhang wegen den Tabs Und mit Secunia das möchte ich erst beginnen wenn hier nix böses drauf ist. Grüße Klaus Anhang: cflogscript.txt
|
|
|
||
04.08.2009, 17:46
Moderator
Beiträge: 5694 |
||
|
||
05.08.2009, 17:59
Member
Themenstarter Beiträge: 22 |
#25
hallo Swiss,
das CureIT hat nichts gefunden deswegen wurde auch keine CSV Datei geschrieben. Das Log ist ca 1MB groß Brauchst Du das? Das Avira Log ist 4 MB groß ich habe zuerst Rootkit Profil gestartet, dann mit ja den Rest des Systems scannen lassen kein Fund außer immer noch das versteckte Ob jekt was weiter oben gedruckt ist. Der Eintrag ist genau der gleiche Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 5. August 2009 08:43 Es wird nach 1593888 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Computername : Versionsinformationen: BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00 AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:44 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 19:08:48 ANTIVIR2.VDF : 7.1.5.60 2235904 Bytes 03.08.2009 06:41:58 ANTIVIR3.VDF : 7.1.5.71 100864 Bytes 04.08.2009 06:41:58 Engineversion : 8.2.0.240 AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04 AESCRIPT.DLL : 8.1.2.22 450938 Bytes 30.07.2009 22:45:06 AESCN.DLL : 8.1.2.4 127348 Bytes 25.07.2009 06:35:54 AERDL.DLL : 8.1.2.4 430452 Bytes 19.07.2009 11:45:34 AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 21.06.2009 00:25:29 AEHEUR.DLL : 8.1.0.147 1884536 Bytes 30.07.2009 22:45:05 AEHELP.DLL : 8.1.5.3 233846 Bytes 25.07.2009 06:35:54 AEGEN.DLL : 8.1.1.54 356723 Bytes 05.08.2009 06:41:59 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.7.6 184694 Bytes 25.07.2009 06:35:52 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Suche nach Rootkits Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp Protokollierung.......................: hoch Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: aus Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Erweiterte Sucheinstellungen..........: 0x00300922 Beginn des Suchlaufs: Mittwoch, 5. August 2009 08:43 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_USERS\S-1-5-21-616017547-3680707749-1469849038-1011\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A66C5C80-CDD0-F5DC-6E6C-53CDDF523A31}\paolimbkpgcgekmbekhmbnjiaehjakaa [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '541105' Objekte überprüft, '1' versteckte Objekte wurden gefunden. Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:' Brauchst Du auch das gesamte LOG ~4MB? Hier noch das HJT Log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:56:43, on 05.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Treiber\yakumo-blue\bin\btwdins.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TOSHIBA\TME3\Tmesbs32.exe C:\Programme\TOSHIBA\TME3\Tmesrv31.exe C:\Programme\TOSHIBA\TME3\TMEEJME.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\00THotkey.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\system32\TFNF5.exe C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE C:\Programme\TOSHIBA\TME3\TMESBS32.EXE C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\Toshiba\TAudEffect\TAudEff.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\System32\drivers\PhiBtn.exe C:\WINDOWS\System32\drivers\Tray900.exe C:\WINDOWS\system32\TPSMain.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\TPSBattM.exe C:\WINDOWS\system32\ctfmon.exe C:\Treiber\yakumo-blue\BTTray.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Intel\Wireless\bin\iFrmewrk.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Klaus\Desktop\Utilitys\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [TAudEffect] C:\Programme\Toshiba\TAudEffect\TAudEff.exe /run O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [PhiBtn] %SystemRoot%\System32\drivers\PhiBtn.exe O4 - HKLM\..\Run: [Traymin900] %SystemRoot%\System32\drivers\Tray900.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [StarMoneyRunEntry] "C:\Programme\StarMoney Business 3.0 Deutsche Bank Edition\oflagent.exe" O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Quicken 2007 Zahlungserinnerung.lnk = C:\Alt-prog\Intuit\Qiucken14\billmind.exe O8 - Extra context menu item: add to &BOM - C:\\Demos\\BIET-O~1\\\\AddToBOM.hta O8 - Extra context menu item: Senden an &Bluetooth - C:\Treiber\yakumo-blue\btsendto_ie_ctx.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Web Entry - {B4E30F61-16D9-11D3-85D1-005004229569} - C:\lotus\org6\organize\bandobjs.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Treiber\yakumo-blue\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Treiber\yakumo-blue\btsendto_ie.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230225342238 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Treiber\yakumo-blue\bin\btwdins.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 10201 bytes Grüße Klaus |
|
|
||
06.08.2009, 00:24
Moderator
Beiträge: 5694 |
#26
Hast Du denn ausser diesem Eintrag von Avira noch irgendwelche Probleme oder auffalende Symptome auf dem System?
Gruss swiss |
|
|
||
06.08.2009, 10:24
Member
Themenstarter Beiträge: 22 |
#27
guten Morgen Swiss,
danke erst mal für Deine lange Hilfestellung. Ich habe keine Auffälligkeiten allerdings habe ich auf meinem zwei anderen Computern, die alle wesentlich mehr Daten, Programme etc. drauf haben, nirgends ein verstecktes Objekt. Und ich hatte mal gelesen, daß versteckte Objekte meistens einen Rootkit Trojaner bedeuten. Wir hatten ja mal nach dem paolimbkpgcgekmbekhmbnjiaehjakaa auf Dein Anraten in der Registry gesucht. Es wurde aber nicht gefunden. Also ist es verdächtig? Da ich Laie bin, hatte ich wegen des versteckten Objektes bei euch angefragt. Gruß Klaus |
|
|
||
07.08.2009, 18:01
Moderator
Beiträge: 5694 |
#28
Hast Du irgendwelche Spiele installiert, welche du spielst auf dem System. Der Eintrag ist wohl kaum schädlich. Aber wenn man ihn entfernt, kann es sein, dass ein Spiel oder so nicht mehr richtig läuft.
Gruss swiss |
|
|
||
08.08.2009, 08:03
Member
Themenstarter Beiträge: 22 |
#29
hi Swiss,
nein ich habe kein Spiel installiert. Ich spiele auch nie am oder auf meinen Rechnern. Gerne hätte ich das Objekt weg, weiß aber nicht, welches Programm es mir installiert hat. Weiß also auch nicht was ich deinstallieren sollte Grüsse Klaus |
|
|
||
08.08.2009, 12:53
Moderator
Beiträge: 5694 |
#30
Von wo Du es hast kann ich Dir auch nicht sagen. Aber so solltest du es wegbringen:
Wede dieses Combofix-Script an: Zitat KILLALL::Schau ob es nun weg ist. Gruss Swiss |
|
|
||
>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html
>>
Scanne mit Blacklight und poste das Log:
http://virus-protect.org/artikel/tools/blacklight.html
Gruss Swiss