Virenscan findet ein verstecktes Objekt

Thema ist geschlossen!
Thema ist geschlossen!
#0
02.08.2009, 15:36
Moderator

Beiträge: 5694
#16 Sorry, war einige Zeit nicht hier.

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html


>>
Scanne mit Blacklight und poste das Log:
http://virus-protect.org/artikel/tools/blacklight.html

Gruss Swiss
Seitenanfang Seitenende
03.08.2009, 14:44
Member

Themenstarter

Beiträge: 22
#17 hallo Swiss,

Urlaub brauchen wir halt alle mal.

Hier der SDFIX Report

SDFix: Version 1.240
Run by Klaus on 03.08.2009 at 13:14

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :

C:\WINDOWS
:FA2B358953DE984C 24
Total size: 24 bytes.
WINDOWS: deleted 24 bytes in 1 streams.

Checking for remaining Streams

C:\WINDOWS
No streams found.



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-03 13:36:05
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272c2e49d]
"000d440b6ba3"=hex:16,78,ca,24,da,33,ac,4f,6f,a8,49,87,5e,df,bf,65
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a3a5c3b6f]
"000272c2e49d"=hex:8b,db,24,74,66,40,55,6e,47,7b,24,17,3b,99,7c,0d
"001237ce4d4a"=hex:31,93,32,02,1f,51,ee,0b,3a,2c,d0,83,fc,c1,0d,80
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000272c2e49d]
"000d440b6ba3"=hex:16,78,ca,24,da,33,ac,4f,6f,a8,49,87,5e,df,bf,65
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000a3a5c3b6f]
"000272c2e49d"=hex:8b,db,24,74,66,40,55,6e,47,7b,24,17,3b,99,7c,0d
"001237ce4d4a"=hex:31,93,32,02,1f,51,ee,0b,3a,2c,d0,83,fc,c1,0d,80

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000023e
"TracesSuccessful"=dword:0000000e
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A66C5C80-CDD0-F5DC-6E6C-53CDDF523A31}]
"paolimbkpgcgekmbekhmbnjiaehjakaa"=hex:61,62,6a,61,6a,69,6b,6c,6d,69,66,6e,6c,6f,69,6c,69,63,67,70,6e,..

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Toshiba\\ConfigFree\\CFSServB.exe"="C:\\Programme\\Toshiba\\ConfigFree\\CFSServB.exe:*:Enabled:ConfigFree(TM) Search for Wireless Devices Version 4.50"
"C:\\Programme\\WebCallDirect.com\\WebCallDirect\\WebCallDirect.exe"="C:\\Programme\\WebCallDirect.com\\WebCallDirect\\WebCallDirect.exe:*:Enabled:WebCallDirect"
"C:\\Dreambox\\DCC282\\DCC.exe"="C:\\Dreambox\\DCC282\\DCC.exe:*:Enabled;)reambox Control Center"
"C:\\Demo\\totalcmd\\TOTALCMD.EXE"="C:\\Demo\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"
"C:\\Dreambox\\DCC\\DCC.exe"="C:\\Dreambox\\DCC\\DCC.exe:*:Enabled;)reambox Control Center"
"C:\\Dokumente und Einstellungen\\Klaus\\Desktop\\FRITZ.Box_Fon_WLAN_7141.04.50.recover-image.exe"="C:\\Dokumente und Einstellungen\\Klaus\\Desktop\\FRITZ.Box_Fon_WLAN_7141.04.50.recover-image.exe:*:Enabled:AvmRecover"
"C:\\Programme\\FRITZ!fax\\FriFax32.exe"="C:\\Programme\\FRITZ!fax\\FriFax32.exe:*:Enabled:FRITZ!fax"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Dokumente und Einstellungen\\Klaus\\Lokale Einstellungen\\Temp\\WZSE0.TMP\\SymNRT.exe"="C:\\Dokumente und Einstellungen\\Klaus\\Lokale Einstellungen\\Temp\\WZSE0.TMP\\SymNRT.exe:*:Enabled:Norton Removal Tool"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Thu 12 Aug 2004 232,492 A..H. --- "C:\Demo\PDFzuWord Professional\pdf2wordconv.exe"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Tools.dll"
Wed 14 Jan 2009 23 A.SH. --- "C:\WINDOWS\system32\eeadafb_z.dll"
Wed 14 Jan 2009 23 A.SH. --- "C:\WINDOWS\system32\Kopie von eeadafb_z.dll"
Thu 15 Nov 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 30 Jul 2008 201 ..SHR --- "C:\Programme\CARSOFT\BMW\BS65.904\CCONTROL.SYS"
Fri 25 May 2007 120,320 ...H. --- "C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\Microsoft\Vorlagen\~WRL0083.tmp"
Fri 25 May 2007 118,272 ...H. --- "C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\Microsoft\Vorlagen\~WRL0561.tmp"
Fri 25 May 2007 119,808 ...H. --- "C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\Microsoft\Vorlagen\~WRL1482.tmp"
Sun 20 May 2007 114,688 ...H. --- "C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\Microsoft\Vorlagen\~WRL1858.tmp"
Fri 18 May 2007 113,152 ...H. --- "C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\Microsoft\Vorlagen\~WRL2811.tmp"
Thu 15 Jan 2009 1,048,576 A..H. --- "C:\Dokumente und Einstellungen\Klaus\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt"

Finished!




Hier fsbl Blacklight report

08/03/09 14:27:15 [Info]: BlackLight Engine 2.2.1092 initialized
08/03/09 14:27:15 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/03/09 14:27:15 [Note]: 7019 4
08/03/09 14:27:15 [Note]: 7005 0
08/03/09 14:27:24 [Note]: 7006 0
08/03/09 14:27:24 [Note]: 7011 2080
08/03/09 14:27:24 [Note]: 7035 0
08/03/09 14:27:24 [Note]: 7026 0
08/03/09 14:27:24 [Note]: 7026 0
08/03/09 14:27:27 [Note]: FSRAW library version 1.7.1024
08/03/09 14:37:16 [Note]: 2000 1012
08/03/09 14:37:16 [Note]: 2000 1012
08/03/09 14:39:40 [Note]: 7007 0

Grüße
Klaus
Seitenanfang Seitenende
03.08.2009, 15:52
Moderator

Beiträge: 5694
#18 >>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\eeadafb_z.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

Gruss Swiss
Seitenanfang Seitenende
03.08.2009, 17:18
Member

Themenstarter

Beiträge: 22
#19 vorab die Datei mit Virustotal getestet

keine Fehler gefunden

Datei eeadafb_z.dll empfangen 2009.08.03 14:21:37 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.03 -
AhnLab-V3 5.0.0.2 2009.08.01 -
AntiVir 7.9.0.238 2009.08.03 -
Antiy-AVL 2.0.3.7 2009.08.03 -
Authentium 5.1.2.4 2009.08.02 -
Avast 4.8.1335.0 2009.08.03 -
AVG 8.5.0.406 2009.08.03 -
BitDefender 7.2 2009.08.03 -
CAT-QuickHeal 10.00 2009.08.03 -
ClamAV 0.94.1 2009.08.03 -
Comodo 1851 2009.08.03 -
DrWeb 5.0.0.12182 2009.08.03 -
eSafe 7.0.17.0 2009.08.03 -
eTrust-Vet 31.6.6655 2009.08.03 -
F-Prot 4.4.4.56 2009.08.02 -
F-Secure 8.0.14470.0 2009.08.03 -
Fortinet 3.120.0.0 2009.08.03 -
GData 19 2009.08.03 -
Ikarus T3.1.1.64.0 2009.08.03 -
Jiangmin 11.0.800 2009.08.03 -
K7AntiVirus 7.10.808 2009.08.01 -
Kaspersky 7.0.0.125 2009.08.03 -
McAfee 5696 2009.08.02 -
McAfee+Artemis 5696 2009.08.02 -
McAfee-GW-Edition 6.8.5 2009.08.03 -
Microsoft 1.4903 2009.08.03 -
NOD32 4300 2009.08.03 -
Norman 6.01.09 2009.08.03 -
nProtect 2009.1.8.0 2009.08.03 -
Panda 10.0.0.14 2009.08.03 -
PCTools 4.4.2.0 2009.08.03 -
Prevx 3.0 2009.08.03 -
Rising 21.41.02.00 2009.08.03 -
Sophos 4.44.0 2009.08.03 -
Sunbelt 3.2.1858.2 2009.08.03 -
Symantec 1.4.4.12 2009.08.03 -
TheHacker 6.3.4.3.375 2009.08.01 -
TrendMicro 8.950.0.1094 2009.08.03 -
VBA32 3.12.10.9 2009.08.03 -
ViRobot 2009.8.3.1865 2009.08.03 -
VirusBuster 4.6.5.0 2009.08.02 -
weitere Informationen
File size: 23 bytes
MD5...: fe65e7f6d4c28d131b73a2fe5b4fd662
SHA1..: 18faa72a58635dd59763442cda71c626a2a896a7
SHA256: c9806c1ea06f8f386a87245ad6de54477cd796bcebacfef0a2ea478639b7c2b2
ssdeep: 3:gbTiR8Y/M:gyR8Y/M

PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Bat Datei liegt als Anhang bei

Dieser Beitrag wurde am 03.08.2009 um 17:59 Uhr von mist editiert.
Seitenanfang Seitenende
03.08.2009, 18:05
Moderator

Beiträge: 5694
#20 Mal schauen was Combofix zu diesem Eintrag sagt.

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

Für mich:

Zitat

RegLock::
[HKEY_USERS\S-1-5-21-616017547-3680707749-1469849038-1011\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A66C5C80-CDD0-F5DC-6E6C-53CDDF523A31}]
Seitenanfang Seitenende
03.08.2009, 19:37
Member

Themenstarter

Beiträge: 22
#21 hallo Swiss

ds CF killt auch die Netzverbindungen, deshalb konnte die Wiederherstellungskonsole nicht installiert werden und CF machte nach Fehlermeldung mit Malwaresuche weiter.
Das Log zum besseren Lesen als Anhang

Anhang: CFlog.txt
Seitenanfang Seitenende
03.08.2009, 23:23
Moderator

Beiträge: 5694
#22 >>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
GVTVCZF

File::
c:\dokume~1\Klaus\LOKALE~1\Temp\GVTVCZF.exe

RegLock::
[HKEY_USERS\S-1-5-21-616017547-3680707749-1469849038-1011\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A66C5C80-CDD0-F5DC-6E6C-53CDDF523A31}]
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

>>
poste das Neue Log von Combofix

>>
Aktualisiere jegliche Programme mit Secunia.

Gruss Swiss
Seitenanfang Seitenende
04.08.2009, 17:26
Member

Themenstarter

Beiträge: 22
#23 hallo Swiss,

das Log wieder als Anhang wegen den Tabs

Und mit Secunia das möchte ich erst beginnen wenn hier nix böses drauf ist.

Grüße
Klaus

Seitenanfang Seitenende
04.08.2009, 17:46
Moderator

Beiträge: 5694
#24 Scanne mit CureIT und poste das Log.

Danach ein neues Log von Avira und HJT.

Gruss Swiss
Seitenanfang Seitenende
05.08.2009, 17:59
Member

Themenstarter

Beiträge: 22
#25 hallo Swiss,

das CureIT hat nichts gefunden deswegen wurde auch keine CSV Datei geschrieben. Das Log ist ca 1MB groß
Brauchst Du das?

Das Avira Log ist 4 MB groß ich habe zuerst Rootkit Profil gestartet, dann mit ja den Rest des Systems scannen lassen
kein Fund außer immer noch das versteckte Ob jekt was weiter oben gedruckt ist.
Der Eintrag ist genau der gleiche


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 5. August 2009 08:43

Es wird nach 1593888 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername :
Computername :
Versionsinformationen:
BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:44
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 19:08:48
ANTIVIR2.VDF : 7.1.5.60 2235904 Bytes 03.08.2009 06:41:58
ANTIVIR3.VDF : 7.1.5.71 100864 Bytes 04.08.2009 06:41:58
Engineversion : 8.2.0.240
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04
AESCRIPT.DLL : 8.1.2.22 450938 Bytes 30.07.2009 22:45:06
AESCN.DLL : 8.1.2.4 127348 Bytes 25.07.2009 06:35:54
AERDL.DLL : 8.1.2.4 430452 Bytes 19.07.2009 11:45:34
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 21.06.2009 00:25:29
AEHEUR.DLL : 8.1.0.147 1884536 Bytes 30.07.2009 22:45:05
AEHELP.DLL : 8.1.5.3 233846 Bytes 25.07.2009 06:35:54
AEGEN.DLL : 8.1.1.54 356723 Bytes 05.08.2009 06:41:59
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 25.07.2009 06:35:52
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: hoch
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Erweiterte Sucheinstellungen..........: 0x00300922

Beginn des Suchlaufs: Mittwoch, 5. August 2009 08:43

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-616017547-3680707749-1469849038-1011\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A66C5C80-CDD0-F5DC-6E6C-53CDDF523A31}\paolimbkpgcgekmbekhmbnjiaehjakaa
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '541105' Objekte überprüft, '1' versteckte Objekte wurden gefunden.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'

Brauchst Du auch das gesamte LOG ~4MB?


Hier noch das HJT Log


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:43, on 05.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Treiber\yakumo-blue\bin\btwdins.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TOSHIBA\TME3\Tmesbs32.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
C:\Programme\TOSHIBA\TME3\TMESBS32.EXE
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Toshiba\TAudEffect\TAudEff.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\System32\drivers\PhiBtn.exe
C:\WINDOWS\System32\drivers\Tray900.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Treiber\yakumo-blue\BTTray.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Intel\Wireless\bin\iFrmewrk.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Klaus\Desktop\Utilitys\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TAudEffect] C:\Programme\Toshiba\TAudEffect\TAudEff.exe /run
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [PhiBtn] %SystemRoot%\System32\drivers\PhiBtn.exe
O4 - HKLM\..\Run: [Traymin900] %SystemRoot%\System32\drivers\Tray900.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StarMoneyRunEntry] "C:\Programme\StarMoney Business 3.0 Deutsche Bank Edition\oflagent.exe"
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Quicken 2007 Zahlungserinnerung.lnk = C:\Alt-prog\Intuit\Qiucken14\billmind.exe
O8 - Extra context menu item: add to &BOM - C:\\Demos\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Senden an &Bluetooth - C:\Treiber\yakumo-blue\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Web Entry - {B4E30F61-16D9-11D3-85D1-005004229569} - C:\lotus\org6\organize\bandobjs.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Treiber\yakumo-blue\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Treiber\yakumo-blue\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230225342238
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Treiber\yakumo-blue\bin\btwdins.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 10201 bytes


Grüße
Klaus
Seitenanfang Seitenende
06.08.2009, 00:24
Moderator

Beiträge: 5694
#26 Hast Du denn ausser diesem Eintrag von Avira noch irgendwelche Probleme oder auffalende Symptome auf dem System?

Gruss swiss
Seitenanfang Seitenende
06.08.2009, 10:24
Member

Themenstarter

Beiträge: 22
#27 guten Morgen Swiss,

danke erst mal für Deine lange Hilfestellung.

Ich habe keine Auffälligkeiten allerdings habe ich auf meinem zwei anderen Computern, die alle wesentlich mehr Daten, Programme etc. drauf haben, nirgends ein verstecktes Objekt.
Und ich hatte mal gelesen, daß versteckte Objekte meistens einen Rootkit Trojaner bedeuten.
Wir hatten ja mal nach dem paolimbkpgcgekmbekhmbnjiaehjakaa
auf Dein Anraten in der Registry gesucht. Es wurde aber nicht gefunden.
Also ist es verdächtig? Da ich Laie bin, hatte ich wegen des versteckten Objektes bei euch angefragt.

Gruß
Klaus
Seitenanfang Seitenende
07.08.2009, 18:01
Moderator

Beiträge: 5694
#28 Hast Du irgendwelche Spiele installiert, welche du spielst auf dem System. Der Eintrag ist wohl kaum schädlich. Aber wenn man ihn entfernt, kann es sein, dass ein Spiel oder so nicht mehr richtig läuft.

Gruss swiss
Seitenanfang Seitenende
08.08.2009, 08:03
Member

Themenstarter

Beiträge: 22
#29 hi Swiss,

nein ich habe kein Spiel installiert. Ich spiele auch nie am oder auf meinen Rechnern.
Gerne hätte ich das Objekt weg, weiß aber nicht, welches Programm es mir installiert hat. Weiß also auch nicht was ich deinstallieren sollte

Grüsse
Klaus
Seitenanfang Seitenende
08.08.2009, 12:53
Moderator

Beiträge: 5694
#30 Von wo Du es hast kann ich Dir auch nicht sagen. Aber so solltest du es wegbringen:

Wede dieses Combofix-Script an:

Zitat

KILLALL::

reglockdel::
[HKEY_USERS\S-1-5-21-616017547-3680707749-1469849038-1011\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A66C5C80-CDD0-F5DC-6E6C-53CDDF523A31}]
Schau ob es nun weg ist.

Gruss Swiss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: