IE autostart + manche Installationen starten nichtThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
20.08.2009, 23:11
Member
Beiträge: 15 |
||
|
||
21.08.2009, 00:12
Ehrenmitglied
Beiträge: 6028 |
#2
Reinige dein Rechner mit CCleaner
MalwareBytes' Anti-Malware Platform: Windows NT/2000/XP/2003 Server/Vista/2008 Server Download MalwareBytes' Anti-Malware Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Wähle bei Reiter: “Scanner”>> "Quick-scan durchführen". Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! Später kann man noch ein "Vollständiger Suchlauf“durchführen Und wieder ein log von Hijack This __________ MfG Argus |
|
|
||
21.08.2009, 00:46
Member
Themenstarter Beiträge: 15 |
#3
Malwarebytes lässt sich nun installieren, startet aber nicht
|
|
|
||
21.08.2009, 01:20
Ehrenmitglied
Beiträge: 6028 |
#4
Benenne die mbam.exe aus C:\Programme\Malwarebytes' Anti-Malware mal in test.exe um und versuche es dann...
__________ MfG Argus |
|
|
||
21.08.2009, 02:18
Member
Themenstarter Beiträge: 15 |
#5
Ok hab jetzt alles im abgesicherten modus gemacht und es hat scheinbar geklappt (zumindest versucht IE nicht mehr zu starten)
MBAM log: Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2551 Windows 5.1.2600 Service Pack 2 21.08.2009 02:08:36 mbam-log-2009-08-21 (02-08-36).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 102422 Laufzeit: 2 minute(s), 23 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: F:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Not selected for removal. Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: F:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot. _____________________________________________________ Hijack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:17:12, on 21.08.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\ZoneLabs\vsmon.exe F:\Programme\Lavasoft\Ad-Aware\AAWService.exe F:\WINDOWS\system32\spoolsv.exe F:\Programme\Avira\AntiVir Desktop\sched.exe F:\WINDOWS\system32\svchost.exe F:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe F:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe F:\WINDOWS\System32\svchost.exe F:\Programme\CDBurnerXP\NMSAccessU.exe F:\WINDOWS\system32\nvsvc32.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\Explorer.EXE F:\Programme\Analog Devices\Core\smax4pnp.exe F:\Programme\Analog Devices\SoundMAX\smax4.exe F:\WINDOWS\system32\RUNDLL32.EXE F:\Programme\Avira\AntiVir Desktop\avgnt.exe F:\Programme\DAEMON Tools Lite\daemon.exe F:\Programme\Codebox\BitMeter\BitMeter2.exe F:\WINDOWS\System32\svchost.exe F:\Programme\Mozilla Firefox\firefox.exe F:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com?o=15183&l=dis R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - F:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - F:\Programme\HP\Smart Web Printing\hpswp_framework.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - F:\Programme\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - F:\Programme\Windows Live\Toolbar\wltcore.dll (file missing) O4 - HKLM\..\Run: [SoundMAXPnP] F:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "F:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [a-squared] "F:\Programme\a-squared Anti-Malware\a2guard.exe" O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "F:\Programme\Malwarebytes' Anti-Malware\winlogon.exe.exe" /runcleanupscript O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Bitmeter2.lnk = F:\Programme\Codebox\BitMeter\BitMeter2.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - F:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - F:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - F:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - F:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212587922996 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212588038715 O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - F:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O20 - Winlogon Notify: Antiwpa - F:\WINDOWS\SYSTEM32\antiwpa.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - F:\DOKUME~1\tommy\LOKALE~1\Temp\AVSETUP_49cf19ba\basic\avupgsvc.exe (file missing) O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - G:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - F:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LVCOMSer - Logitech Inc. - F:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - F:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: NMSAccessU - Unknown owner - F:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe O23 - Service: SeaPort - Unknown owner - F:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7723 bytes |
|
|
||
21.08.2009, 04:05
Ehrenmitglied
Beiträge: 6028 |
#6
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssbKlicke Fixed checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Update Malwarebytes' Anti-Malware Datenbank Version: 2551 Meins Datenbank Version: 2667 Und scanne nochmal Poste die Daten von http://board.protecus.de/t23188.htm Unter Punkt 4 , 6 und ein Log von ComboFix ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Download link 1 ComboFix Download link 2 ComboFix Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte combofix.exe Folge den Instruktionen in das Fenster Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Befolge diese Anleitung __________ MfG Argus |
|
|
||
21.08.2009, 20:49
Member
Themenstarter Beiträge: 15 |
#7
So da bin ich wieder, war nen hartes stück arbeit (zeit)
Anmerkung: Ich hab die schädlichen datein ,so gut wie ich es mit malewarebytes/GMER/Hijackthis konnte, beseitigt und am ende Combofix gestartet, falls es da unreimheiten in den einzelnen informationen geben sollte Uninstall Liste Code 32 Bit HP CIO Components Installer____________________________________________________ GMER log Code GMER 1.0.15.15077 [lykvqh5n.exe] - http://www.gmer.net_____________________________________________________ Combofix log Code ComboFix 09-08-20.03 - Administrator 21.08.2009 20:36.1.2 - NTFSx86 MINIMAL Dieser Beitrag wurde am 21.08.2009 um 20:53 Uhr von Etris editiert.
|
|
|
||
22.08.2009, 01:25
Moderator
Beiträge: 5694 |
#8
Dein Masterbootrecorder wurde infiziert. Zudem hast DU Rootkits auf Deinem System.
Falls Du Ebanking machst oder heikle Daten auf dem System hast, dann sichere diese und setze das System komplett Neu auf. Eine Reinigung wäre möglich, aber mit viel Arbeit verbunden und man hat auch nicht die Sicherheit, dass bereits unbefugte Zutritt auf das System verschaffen haben. Nun liegt es an Dir. Neu Aufsetzen oder Reinigen? Falls Reinigen, dann mach foglendes: >> Versteckte Dateien sichtbar machen: 1. Klicke unter Start auf Arbeitsplatz. 2. Klicke im Menü Extras auf Ordneroptionen. 3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen 4. Geschützte und Systemdateien ausblenden --> Haken entfernen 5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. http://virus-protect.org/invisible.html >> Lasse folgende Datei bei VIRUSTOTAL prüfen und poste das Ergebnis: f:\windows\system32\SVKP.sys Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat drivers to disable:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> MBR Deaktiviere bitte alle Hintergrundwächter (antiviren Programm usw) Lade Dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus. Poste bitte das Logfile Halte dich dafür bitte an diese Anleitung: rootkit in master boot record Gruss Swiss |
|
|
||
22.08.2009, 02:59
Member
Themenstarter Beiträge: 15 |
#9
Mit "system neu aufsetzen" ist gemeint das ich alle partitionen lösche oder nur die ,auf der windows liegt?
Ich versuchs erstmal auf die harte tour , wenn in 2 tagen keine besserung in sicht ist, windows-kill |
|
|
||
22.08.2009, 03:00
Moderator
Beiträge: 5694 |
||
|
||
22.08.2009, 06:25
Member
Themenstarter Beiträge: 15 |
#11
Code Logfile of The Avenger Version 2.0, (c) by Swandog46_______________________________________________________ alle partitionen versucht, kam immer dieser log Code Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net_____________________________________________________________ aber neuerdings meldet sich antivir jetzt immer mit einem Virus TR/Alureon.BF.2' [trojan] egal ob ich lösche, alle 1-2 std kommt ein fund |
|
|
||
22.08.2009, 11:39
Moderator
Beiträge: 5694 |
#12
>>
Was ist damit: Zitat Lasse folgende Datei bei VIRUSTOTAL prüfen und poste das Ergebnis:>> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Scanne mit Superantispyware und poste das Log: http://board.protecus.de/t31252.htm >> Rootkitscan mit RootRepeal * Gehe hierhin, scrolle runter und downloade RootRepeal.zip. * Entpacke die Datei auf Deinen Desktop. * Doppelklicke die RootRepeal.exe, um den Scanner zu starten. * Klicke auf den Reiter Report und dann auf den Button Scan. * Mache einen Haken bei den folgenden Elementen und klicke Ok. . Drivers Files Processes SSDT Stealth Objects Hidden Services . * Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. * Wähle C:\ und klicke wieder Ok. * Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. * Wenn der Suchlauf beendet ist, klicke auf Save Report. * Speichere das Logfile als RootRepeal.txt auf dem Desktop. * Kopiere den Inhalt hier in den Thread. >> Scanne erneut mit GMER und poste das neue Log. |
|
|
||
23.08.2009, 02:01
Member
Themenstarter Beiträge: 15 |
#13
oh sorry ! virustotal
MD5: f05028b163b92c302a74409d683ac9b0 First received: 2006.05.24 17:39:54 UTC Datum 2009.08.17 17:28:01 UTC [>5D] Ergebnisse 0/41 |
|
|
||
23.08.2009, 02:04
Member
Themenstarter Beiträge: 15 |
#14
muss viel arbeiten deswegen zieht sich das alles so hin, den rest werd ich morgen nachreichen
|
|
|
||
24.08.2009, 15:05
Member
Themenstarter Beiträge: 15 |
#15
So, mein system lief bis jetzt problemlos und schnell
bei Rootrepeal frierte das system unter dem punkt Files ein, hab es deswegen ausgelassen Code ROOTREPEAL (c) AD, 2007-2009________________________________________________________ GMER log Code GMER 1.0.15.15077 [lykvqh5n.exe] - http://www.gmer.net______________________________________________________ Superantispy log Code SUPERAntiSpyware Scan Log |
|
|
||
seit kurzem hab ich auch das problem mit dem startendem IE nur kommt dabei die fehlermeldung das iertutil.dll nicht gefunden wurde (benutze firefox)
Ausserdem lassen sich viele .exe nicht starten (1sek. sanduhr ,das wars, keine fehlermeldung nichts)
Angefangen hats als ich ein browsergame gespielt habe auf dieser adresse
hxxp://armorgames.com/play/2377/straw-hat-samurai
nach 5 min ca. hatte ich 7 viren meldungen im Temp ordner
F:\Dokumente und Einstellungen\tommy\Lokale Einstellungen\Temp\maccsnet.tmp
[FUND] Ist das Trojanische Pferd TR/FraudPack.qfj
F:\Dokumente und Einstellungen\tommy\Lokale Einstellungen\Temp\prun.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
F:\Dokumente und Einstellungen\tommy\Lokale Einstellungen\Temp\rasesnet.tmp
[FUND] Ist das Trojanische Pferd TR/TDss.aoif
F:\Dokumente und Einstellungen\tommy\Lokale Einstellungen\Temp\rasvsnet.tmp
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wgdu.1
F:\Dokumente und Einstellungen\tommy\Lokale Einstellungen\Temp\wrascnomxe.tmp
[FUND] Ist das Trojanische Pferd TR/FraudPack.qfj
F:\Dokumente und Einstellungen\tommy\Lokale Einstellungen\Temp\xcpbetrqqy.tmp
[FUND] Ist das Trojanische Pferd TR/TDss.aoif
F:\Dokumente und Einstellungen\tommy\Lokale Einstellungen\Temp\xpre.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
ist scheinbar einer der ganz fiesen sorte darum bitte ich als laie um etwas hilfe danke im vorraus
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:50:31, on 20.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir Desktop\sched.exe
F:\WINDOWS\system32\svchost.exe
F:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
F:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\CDBurnerXP\NMSAccessU.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
F:\Programme\Analog Devices\Core\smax4pnp.exe
F:\Programme\Analog Devices\SoundMAX\smax4.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Programme\Avira\AntiVir Desktop\avgnt.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com?o=15183&l=dis
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - F:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - F:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - F:\Programme\rpbrowserrecordplugin.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - F:\WINDOWS\system32\msxml71.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - F:\Programme\Windows Live\Toolbar\wltcore.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] F:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "F:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Monopod] F:\DOKUME~1\tommy\LOKALE~1\Temp\7.tmp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bitmeter2.lnk = F:\Programme\Codebox\BitMeter\BitMeter2.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - F:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - F:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - F:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - F:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212587922996
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212588038715
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - F:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: Antiwpa - F:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - F:\DOKUME~1\tommy\LOKALE~1\Temp\AVSETUP_49cf19ba\basic\avupgsvc.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - G:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LVCOMSer - Logitech Inc. - F:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - F:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NMSAccessU - Unknown owner - F:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SeaPort - Unknown owner - F:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 7501 bytes