TR/Dropper.Gen gefunden und bereinigt ? |
||
---|---|---|
#0
| ||
31.08.2009, 09:29
...neu hier
Beiträge: 9 |
||
|
||
31.08.2009, 09:33
Member
Beiträge: 35 |
#2
Hijackthis
Hijackthis downloaden und anwenden,anschliesend das Logfile posten. Hier ist eine bebilderte Anleitung+Downloadlink Hijackthis __________ Leet´s get ready to SUCK IT !!! |
|
|
||
31.08.2009, 09:43
...neu hier
Themenstarter Beiträge: 9 |
#3
Hi,
danke für die schnelle Antwort! Hab' das Logfile auch bei hijackthis.de auswerten lassen und es schien okay, allerdings zeigt der Antivir-Suchlauf gerade 2 Funde. Poste das Log, sobald er fertig ist. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:42:57, on 31.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\Explorer.EXE C:\Programme\Bluetooth Software\bin\btwdins.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Opera\Opera.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\Programme\Java\jre1.6.0_01\bin\javaw.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.citibank.de/DEGCB/JSO/signon/DisplayUsernameSignon.do R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: (no name) - AutorunsDisabled - (no file) O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Edit with Altova X&MLSpy - C:\Programme\Altova\XMLSpy2008\spy.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI69DF~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Validate XML - C:\WINDOWS\web\msxmlval.htm O8 - Extra context menu item: View XSL Output - C:\WINDOWS\web\msxmlvw.htm O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2008\spy.htm O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2008\spy.htm O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI69DF~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {594ECDD4-A991-4208-A7B7-00DDAD9BE328} (Photosynth Class) - http://media.labs.live.com/all/ps/_code_/Photosynth.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- End of file - 8326 bytes |
|
|
||
31.08.2009, 09:54
Member
Beiträge: 35 |
#4
MalwareBytes' Anti-Malware
Download:MalwareBytes' Anti-Malware Anwendbar auf Windows 2000, XP und Vista. Installiere das Programm in den vorgegebenen Pfad. Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten. Lasse es online updaten (Reiter Updates), wenn das nicht automatisch passiert (ca. 1 MB). Aktiviere "Quick Scan" => Scan. Wähle alle verfügbaren Laufwerke aus und starte den Scan. Wenn der Scan beendet ist, klicke auf "Zeige Resultate". Versichere Dich, dass alle Funde markiert sind und drücke "Löschen". Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread. Nachträglich kannst du den Bericht unter "Scan-Berichte" finden. __________ Leet´s get ready to SUCK IT !!! |
|
|
||
31.08.2009, 10:30
...neu hier
Themenstarter Beiträge: 9 |
#5
Hi,
Hier das Anti-Malware Log: Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2720 Windows 5.1.2600 Service Pack 3 31.08.2009 10:29:52 mbam-log-2009-08-31 (10-29-52).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 90835 Laufzeit: 3 minute(s), 59 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\MD\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully. |
|
|
||
31.08.2009, 10:35
Member
Beiträge: 35 |
||
|
||
31.08.2009, 13:32
...neu hier
Themenstarter Beiträge: 9 |
#7
Vielen Dank nochmal!
ComboFix Log: ComboFix 09-08-30.04 - MD 31.08.2009 13:26.1.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3070.2580 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\MD\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Installer\33f62b.msi c:\windows\Installer\33f62c.msi c:\windows\Installer\ac1cb0.msi c:\windows\Installer\c5a17.msi c:\windows\Installer\c5a18.msi c:\windows\jestertb.dll c:\windows\system32\nsprs.dll c:\windows\system32\ssprs.dll . ((((((((((((((((((((((( Dateien erstellt von 2009-07-28 bis 2009-08-31 )))))))))))))))))))))))))))))) . 2009-08-31 07:09 . 2009-08-31 07:09 -------- d-----w- c:\dokumente und einstellungen\MD\Anwendungsdaten\Malwarebytes 2009-08-31 07:09 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-31 07:09 . 2009-08-31 07:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-08-31 07:09 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-08-31 07:09 . 2009-08-31 07:09 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-08-31 06:48 . 2009-08-31 06:49 -------- d-----w- c:\programme\CCleaner 2009-08-31 06:31 . 2009-08-31 06:31 -------- d-----w- c:\programme\Trend Micro 2009-08-15 18:12 . 2009-08-15 18:12 -------- d-----w- c:\programme\Reference Assemblies 2009-08-15 18:12 . 2009-08-15 18:12 -------- d-----w- C:\7472d1c8f38d7df5ab6df01f7b 2009-08-12 23:28 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll 2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-31 11:17 . 2007-01-05 21:24 -------- d-----w- c:\programme\FlashGet 2009-08-31 07:25 . 2007-07-05 15:15 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-08-16 10:48 . 2007-01-05 17:35 68768 ----a-w- c:\dokumente und einstellungen\MD\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-08-15 18:15 . 2002-12-31 12:00 81126 ----a-w- c:\windows\system32\perfc007.dat 2009-08-15 18:15 . 2002-12-31 12:00 452300 ----a-w- c:\windows\system32\perfh007.dat 2009-08-15 11:03 . 2007-01-05 22:09 -------- d-----w- c:\dokumente und einstellungen\MD\Anwendungsdaten\Azureus 2009-08-07 19:58 . 2007-01-05 20:10 -------- d-----w- c:\programme\EvilLyrics 2009-08-05 09:14 . 2009-03-17 17:03 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-05 08:59 . 2002-12-31 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll 2009-07-31 00:17 . 2009-07-31 00:17 -------- d-----w- c:\dokumente und einstellungen\MD\Anwendungsdaten\FFSJ 2009-07-31 00:16 . 2009-07-31 00:16 4030 ----a-w- c:\windows\unins000.dat 2009-07-31 00:16 . 2009-07-31 00:16 794906 ----a-w- c:\windows\unins000.exe 2009-07-27 19:54 . 2009-07-27 19:54 -------- d-----w- c:\dokumente und einstellungen\MD\Anwendungsdaten\Quantumfrog 2009-07-27 13:28 . 2009-07-27 13:28 -------- d-----w- c:\programme\SmartTools 2009-07-27 13:28 . 2009-07-27 13:28 -------- d-----w- c:\dokumente und einstellungen\MD\Anwendungsdaten\SmartTools 2009-07-17 19:01 . 2002-12-31 12:00 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-13 21:43 . 2002-12-31 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll 2009-07-10 08:23 . 2007-11-26 10:12 -------- d-----w- c:\programme\Notepad++ 2009-06-29 15:55 . 2002-12-31 12:00 827392 ----a-w- c:\windows\system32\wininet.dll 2009-06-29 15:55 . 2002-12-31 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-06-29 15:55 . 2002-12-31 12:00 17408 ----a-w- c:\windows\system32\corpol.dll 2009-06-16 14:36 . 2002-12-31 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-16 14:36 . 2002-12-31 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-15 10:43 . 2002-12-31 12:00 78848 ----a-w- c:\windows\system32\telnet.exe 2009-06-15 10:43 . 2002-12-31 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe 2009-06-10 14:13 . 2002-12-31 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-06-10 07:19 . 2007-01-05 17:26 2066432 ----a-w- c:\windows\system32\mstscax.dll 2009-06-10 06:14 . 2002-12-31 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll 2009-06-03 19:09 . 2002-12-31 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll 2009-03-24 21:09 . 2009-03-24 21:09 0 --sh--w- c:\windows\S0ABB5B8A.tmp 2006-05-03 10:06 . 2007-04-08 15:01 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 11:47 . 2007-04-08 15:01 31744 --sh--r- c:\windows\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2008-09-05 1794048] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] backup=c:\windows\pss\BTTray.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MixMeister Studio.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\MixMeister Studio.lnk backup=c:\windows\pss\MixMeister Studio.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MP3DirectCut.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\MP3DirectCut.lnk backup=c:\windows\pss\MP3DirectCut.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk] backup=c:\windows\pss\Privoxy.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^MD^Startmenü^Programme^Autostart^dmaupd32.exe] path=c:\dokumente und einstellungen\MD\Startmenü\Programme\Autostart\dmaupd32.exe backup=c:\windows\pss\dmaupd32.exeStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^MD^Startmenü^Programme^Autostart^WinMySQLadmin.lnk] path=c:\dokumente und einstellungen\MD\Startmenü\Programme\Autostart\WinMySQLadmin.lnk backup=c:\windows\pss\WinMySQLadmin.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Tomcat5"=3 (0x3) "FirebirdServerMAGIXInstance"=3 (0x3) "Bonjour Service"=2 (0x2) "WMPNetworkSvc"=3 (0x3) "usnjsvc"=3 (0x3) "FLEXnet Licensing Service"=3 (0x3) "Apple Mobile Device"=2 (0x2) "btwdins"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programme\\FlashGet\\flashget.exe"= "c:\\Programme\\Azureus\\Azureus.exe"= "c:\\Programme\\mIRC\\mirc.exe"= "c:\\Programme\\TVUPlayer\\TVUPlayer.exe"= "c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\PPStream\\PPStream.exe"= "c:\\Programme\\PPMate\\ppmate.exe"= "c:\\Programme\\SopCast\\SopCast.exe"= "c:\\Dokumente und Einstellungen\\MD\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\Java\\jre1.6.0\\bin\\javaw.exe"= "c:\\Programme\\TVAnts\\Tvants.exe"= "c:\\Programme\\Java\\jdk1.6.0\\bin\\rmiregistry.exe"= "c:\\Programme\\Java\\jdk1.6.0\\bin\\javaw.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\Trillian\\trillian.exe"= "c:\\xampp\\mysql\\bin\\mysqld.exe"= "c:\\xampp\\apache\\bin\\apache.exe"= "c:\\Programme\\Zattoo\\zattood.exe"= "c:\\Programme\\Zattoo\\Zattoo2.exe"= "c:\\Programme\\Zattoo\\Zattoo1.exe"= "c:\\Programme\\Zend\\Zend Studio for Eclipse - 6.0.0\\ZendStudio.exe"= "c:\\Programme\\Zattoo\\Zattoo.exe"= "c:\\Programme\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\Java\\jre1.6.0_01\\launch4j-tmp\\JDownloader.exe"= "c:\\WINDOWS\\system32\\java.exe"= "c:\\Programme\\Sacred 2 - Fallen Angel\\system\\s2gs.exe"= "c:\\Programme\\Sacred 2 - Fallen Angel\\system\\sacred2.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\Programme\\IEPro\\MiniDM.exe"= "c:\\Programme\\Electronic Arts\\BattleForge\\Bootstrapper.exe"= "c:\\Programme\\Electronic Arts\\BattleForge\\BattleForge.exe"= "c:\\Programme\\Java\\jre1.6.0_01\\bin\\javaw.exe"= "c:\\Programme\\Java\\jre1.6.0_01\\bin\\java.exe"= "c:\\xampp\\xampp-control.exe"= "c:\\xampp\\apache\\bin\\httpd.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "2799:UDP"= 2799:UDP:Altova License Metering Port (UDP) "2799:TCP"= 2799:TCP:Altova License Metering Port (TCP) "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R1 SSHDRV85;SSHDRV85;c:\windows\system32\drivers\SSHDRV85.sys [13.05.2007 13:00 78848] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.03.2009 19:03 108289] R2 atjsgt;atjsgt;c:\windows\system32\drivers\atjsgt.sys [25.03.2009 11:04 165504] R2 linsgt;linsgt;c:\windows\system32\drivers\linsgt.sys [25.03.2009 11:04 16000] R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [31.10.2008 20:52 93184] R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [05.01.2007 19:41 265088] S2 Ca504av;Mega Camera, WDM Video Capture;c:\windows\system32\Drivers\Ca504av.sys --> c:\windows\system32\Drivers\Ca504av.sys [?] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [28.04.2009 10:11 4352] S3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\drivers\LCcfltr.sys [28.05.2009 19:49 14095] S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [05.02.2009 16:46 89256] S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [05.02.2009 16:46 15016] S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [05.02.2009 16:46 120744] S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [05.02.2009 16:46 110632] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.02.2009 16:36 90408] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.02.2009 16:37 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.02.2009 16:37 122024] S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.02.2009 16:38 115368] S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.02.2009 16:39 25768] S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.02.2009 16:38 111784] S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.02.2009 16:38 117544] S3 USBCamera;Mega Camera Still Image Capture, Version 1.00;c:\windows\system32\Drivers\Bulk504.sys --> c:\windows\system32\Drivers\Bulk504.sys [?] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5084F01D-458E-45EB-A6FD-692D4C9D2789}] c:\windows\system32\msiexec.exe /qn /fpu {5084F01D-458E-45EB-A6FD-692D4C9D2789} . . ------- Zusätzlicher Suchlauf ------- . uStart Page = https://www.citibank.de/DEGCB/JSO/signon/DisplayUsernameSignon.do uInternet Settings,ProxyOverride = *.local IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html IE: Edit with Altova X&MLSpy - c:\programme\Altova\XMLSpy2008\spy.htm IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MI69DF~1\Office12\EXCEL.EXE/3000 IE: Senden an &Bluetooth - c:\programme\Bluetooth Software\btsendto_ie_ctx.htm IE: Validate XML - c:\windows\web\msxmlval.htm IE: View XSL Output - c:\windows\web\msxmlvw.htm DPF: {594ECDD4-A991-4208-A7B7-00DDAD9BE328} - hxxp://media.labs.live.com/all/ps/_code_/Photosynth.cab FF - ProfilePath - c:\dokumente und einstellungen\MD\Anwendungsdaten\Mozilla\Firefox\Profiles\nw1v3sl5.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de FF - prefs.js: network.proxy.http - localhost FF - prefs.js: network.proxy.http_port - 8118 FF - prefs.js: network.proxy.socks - localhost FF - prefs.js: network.proxy.socks_port - 9050 FF - prefs.js: network.proxy.ssl - localhost FF - prefs.js: network.proxy.ssl_port - 8118 FF - prefs.js: network.proxy.type - 2 FF - component: c:\dokumente und einstellungen\MD\Anwendungsdaten\Mozilla\Firefox\Profiles\nw1v3sl5.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll FF - component: c:\dokumente und einstellungen\MD\Anwendungsdaten\Mozilla\Firefox\Profiles\nw1v3sl5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll FF - plugin: c:\programme\Opera\program\plugins\nppl3260.dll FF - plugin: c:\programme\Opera\program\plugins\nprpjplug.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-31 13:29 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-2052111302-484061587-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_USERS\S-1-5-21-2052111302-484061587-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:63,32,83,53,a3,49,17,11,3b,d8,9d,c4,17,2d,bc,c3,78,44,99,f2,10,a6,30, 0d,9f,6a,dd,ef,92,8c,30,7d,5d,d5,f8,90,66,3e,25,ba,2f,21,22,e6,1a,33,e9,ce,\ "??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50 [HKEY_USERS\S-1-5-21-2052111302-484061587-839522115-1003\Software\SecuROM\License information*] "datasecu"=hex:53,6f,49,e6,c2,ba,9f,47,c9,78,b4,e9,e8,02,2f,d3,c1,d6,8a,07,a9, a8,68,0e,9b,06,9c,b7,ea,4d,4a,50,43,0b,df,33,3a,ef,78,d2,31,f0,3e,10,f5,d5,\ "rkeysecu"=hex:3f,f4,38,f2,26,96,8e,7c,25,fc,73,cd,73,93,6b,e8 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(740) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-08-31 13:31 ComboFix-quarantined-files.txt 2009-08-31 11:30 Vor Suchlauf: 10 Verzeichnis(se), 38.224.101.376 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 38.138.916.864 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn 248 --- E O F --- 2009-08-28 14:05 |
|
|
||
31.08.2009, 15:04
Member
Beiträge: 35 |
||
|
||
31.08.2009, 16:41
...neu hier
Themenstarter Beiträge: 9 |
#9
Kommt sofort:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:40:49, on 31.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Opera\Opera.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.citibank.de/DEGCB/JSO/signon/DisplayUsernameSignon.do R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: (no name) - AutorunsDisabled - (no file) O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Edit with Altova X&MLSpy - C:\Programme\Altova\XMLSpy2008\spy.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI69DF~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Validate XML - C:\WINDOWS\web\msxmlval.htm O8 - Extra context menu item: View XSL Output - C:\WINDOWS\web\msxmlvw.htm O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2008\spy.htm O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2008\spy.htm O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI69DF~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {594ECDD4-A991-4208-A7B7-00DDAD9BE328} (Photosynth Class) - http://media.labs.live.com/all/ps/_code_/Photosynth.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- End of file - 7652 bytes |
|
|
||
31.08.2009, 17:06
Member
Beiträge: 35 |
#10
ok folgende einträge bitte fixen:
Zitat O2 - BHO: (no name) - AutorunsDisabled - (no file) Zitat O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) Zitat O9 - Extra button: (no name) - AutorunsDisabled - (no file)Danach lass mal folgende datei bei Virustotal prüfen: Zitat C:\WINDOWS\web\msxmlvw.htm __________ Leet´s get ready to SUCK IT !!! |
|
|
||
31.08.2009, 18:45
...neu hier
Themenstarter Beiträge: 9 |
#11
Okay Einträge sind gefixt, Virustotal ergab:
Datei msxmlvw.htm empfangen 2009.08.31 16:43:12 (UTC) Status: Beendet Ergebnis: 0/40 (0%) |
|
|
||
31.08.2009, 19:06
Member
Beiträge: 35 |
||
|
||
31.08.2009, 19:29
...neu hier
Themenstarter Beiträge: 9 |
#13
Schon da:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:28:21, on 31.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Opera\Opera.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\BSplayerPro\bsplayer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.citibank.de/DEGCB/JSO/signon/DisplayUsernameSignon.do R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Edit with Altova X&MLSpy - C:\Programme\Altova\XMLSpy2008\spy.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI69DF~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Validate XML - C:\WINDOWS\web\msxmlval.htm O8 - Extra context menu item: View XSL Output - C:\WINDOWS\web\msxmlvw.htm O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2008\spy.htm O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2008\spy.htm O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI69DF~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {594ECDD4-A991-4208-A7B7-00DDAD9BE328} (Photosynth Class) - http://media.labs.live.com/all/ps/_code_/Photosynth.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- End of file - 7516 bytes |
|
|
||
31.08.2009, 19:43
Member
Beiträge: 35 |
||
|
||
31.08.2009, 19:51
...neu hier
Themenstarter Beiträge: 9 |
||
|
||
habe durch eine Anleitung eine betroffene Dateien gefunden und gelöscht und einige Registryeinträge gelöscht.
Wie kann ich, von Antivir abgesehen, am besten herausfinden, ob das System noch infiziert ist?
Vielen Dank