hijack trotz neuinstallation |
||
---|---|---|
#0
| ||
23.04.2010, 22:10
...neu hier
Beiträge: 7 |
||
|
||
23.04.2010, 22:51
Moderator
Beiträge: 5694 |
#2
Hallo und herzlich Willkommen auf Protecus.de
Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte: • Halte Dich an die Anweisungen des jeweiligen Helfers. • Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an. • Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden. • Bitte arbeite jeden Schritt der Reihe nach ab. • Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben. • Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt. • Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist. • Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden. • Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden. • Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird. • Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert. • Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät. • In letzter Instanz ist dann immer der User welcher entscheidet. Vista und Win7 User: Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen. Schritt 1 Malwarebytes Anti-Malware Lade MBAM herunter, installiere es und wähle bei Reiter: -> “Update“> “Suche nach Aktualisierungen“ -> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“ -> “Scanner”> "Quickscan durchfuehren". Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu Schritt 2 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop >Doppelklick auf die OTL.exe -->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen >Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output >Unter Extra Registry, wähle bitte Use SafeList >Klicke nun auf Run Scan links oben >Wenn der Scan beendet wurde werden 2 Logfiles erstellt >Poste die Logfiles in Code-Tags hier in den Thread. |
|
|
||
24.04.2010, 08:44
...neu hier
Themenstarter Beiträge: 7 |
#3
hallo,
MBAM wird leider immer abgebrochen. insofern keine ahnung ob es was findet. hier die logfiles: Code OTL Extras logfile created on: 24.04.2010 08:23:59 - Run 1 Code OTL logfile created on: 24.04.2010 08:23:58 - Run 1 |
|
|
||
24.04.2010, 11:04
Moderator
Beiträge: 5694 |
#4
Schritt 1
Wende Fixwareout an: Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt Schritt 2 Betreibst Du Deinen Rechner in einem Netzwerk? Schritt 3 abgesicherter Modus Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast. Wähle hier:Abgesicherter Modus mit Netzwerktreibern Nun versuche so mit Malwarebytes zu scannen. Danach wechsle wieder in de Normalmodus. Schritt 4 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en: • alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein, • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen), • nichts am Rechner getan werden, • nach jedem Scan der Rechner neu gestartet werden. • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten! Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern. • Gmer ist geeignet für => NT/W2K/XP/VISTA. • Alle anderen Programme sollen geschlossen sein. • Starte gmer.exe (hat einen willkürlichen Programm-Namen). • Vista-User mit Rechtsklick und als Administrator starten. • Gmer startet automatisch einen ersten Scan. • Sollte sich ein Fenster mit folgender Warnung öffnen: Code WARNING !!! • Unbedingt auf "No" klicken, anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren. • Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein. . • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware", • Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files. • Wichtig: "Show all" darf nicht angehakt sein! • Starte den Scan durch Drücken des Buttons "Scan". Mache nichts am Computer während der Scan läuft. • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. • Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V). Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst! Nun das Logfile in Code-Tags posten. |
|
|
||
24.04.2010, 21:49
...neu hier
Themenstarter Beiträge: 7 |
#5
hier der report:
Username "berit" - 24.04.2010 17:34:17 [Fixwareout edited 9/01/2007] ~~~~~ Prerun check Der DNS-Auflösungscache wurde geleert. System was rebooted successfully. ~~~~~ Postrun check .... .... ~~~~~ Misc files. .... ~~~~~ Checking for older varients. .... ~~~~~ Current runs (hklm hkcu "run" Keys Only) [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Mobile Partner"="\"C:\\Programme\\Mobile Partner\\Mobile Partner.exe\"" "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater] .... Hosts file was reset, If you use a custom hosts file please replace it... ~~~~~ End report ~~~~~ |
|
|
||
24.04.2010, 21:50
...neu hier
Themenstarter Beiträge: 7 |
#6
und der gmer logfile:
GMER 1.0.15.15281 - http://www.gmer.net Rootkit quick scan 2010-04-24 19:54:37 Windows 5.1.2600 Service Pack 3 Running: 7wcwszpi.exe; Driver: C:\DOKUME~1\berit\LOKALE~1\Temp\fxtyqpod.sys ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (WDF Dynamic/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-04-24 21:45:44 Windows 5.1.2600 Service Pack 3 Running: 7wcwszpi.exe; Driver: C:\DOKUME~1\berit\LOKALE~1\Temp\fxtyqpod.sys ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\winlogon.exe[232] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DF4 .text C:\WINDOWS\system32\winlogon.exe[232] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\system32\winlogon.exe[232] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E78 .text C:\WINDOWS\system32\winlogon.exe[232] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\system32\winlogon.exe[232] WS2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\system32\winlogon.exe[232] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\system32\winlogon.exe[232] WS2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\system32\winlogon.exe[232] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\services.exe[284] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DF4 .text C:\WINDOWS\system32\services.exe[284] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\system32\services.exe[284] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E78 .text C:\WINDOWS\system32\services.exe[284] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\system32\services.exe[284] ws2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\system32\services.exe[284] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\system32\services.exe[284] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\system32\services.exe[284] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\lsass.exe[296] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DF4 .text C:\WINDOWS\system32\lsass.exe[296] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\system32\lsass.exe[296] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E78 .text C:\WINDOWS\system32\lsass.exe[296] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\system32\lsass.exe[296] WS2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\system32\lsass.exe[296] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\system32\lsass.exe[296] WS2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\system32\lsass.exe[296] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\svchost.exe[468] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DF4 .text C:\WINDOWS\system32\svchost.exe[468] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\system32\svchost.exe[468] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E78 .text C:\WINDOWS\system32\svchost.exe[468] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\system32\svchost.exe[468] ws2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\system32\svchost.exe[468] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\system32\svchost.exe[468] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\system32\svchost.exe[468] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\svchost.exe[604] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DF4 .text C:\WINDOWS\system32\svchost.exe[604] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\system32\svchost.exe[604] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E78 .text C:\WINDOWS\system32\svchost.exe[604] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\system32\svchost.exe[604] ws2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\system32\svchost.exe[604] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\system32\svchost.exe[604] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\system32\svchost.exe[604] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\Explorer.EXE[884] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DF4 .text C:\WINDOWS\Explorer.EXE[884] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\Explorer.EXE[884] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E78 .text C:\WINDOWS\Explorer.EXE[884] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\Explorer.EXE[884] ws2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\Explorer.EXE[884] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\Explorer.EXE[884] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\Explorer.EXE[884] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C .text C:\WINDOWS\system32\NOTEPAD.EXE[1052] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DF4 .text C:\WINDOWS\system32\NOTEPAD.EXE[1052] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C3C .text C:\WINDOWS\system32\NOTEPAD.EXE[1052] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E78 .text C:\WINDOWS\system32\NOTEPAD.EXE[1052] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AF0 .text C:\WINDOWS\system32\NOTEPAD.EXE[1052] ws2_32.dll!send 71A14C27 5 Bytes JMP 10003264 .text C:\WINDOWS\system32\NOTEPAD.EXE[1052] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F8 .text C:\WINDOWS\system32\NOTEPAD.EXE[1052] ws2_32.dll!recv 71A1676F 5 Bytes JMP 1000278C .text C:\WINDOWS\system32\NOTEPAD.EXE[1052] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A9C ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (WDF Dynamic/Microsoft Corporation) Device \FileSystem\Fastfat \Fat F695CD20 ---- EOF - GMER 1.0.15 ---- |
|
|
||
25.04.2010, 12:55
Moderator
Beiträge: 5694 |
||
|
||
25.04.2010, 16:48
...neu hier
Themenstarter Beiträge: 7 |
#8
ist ganz unterschiedlich.
ich werde z.B. zu ebayangeboten weitergeleitet, aber auch zu russischen schmudellseiten. sowohl mit dem ie als auch mit firefox. das problem ist aber eher dass irgendetwas die webseiten die ich betreue angreift. d.h. meine ftp zugangsdaten irgendwie weitergeleitet wurden, un den seiten schädlicher code implementiert wurde. der hoster nimmt die seiten nun regelmässig aus dem netzt - da diese kommerzeill betrieben werden allerdings ganzschön doof für mich :-( |
|
|
||
25.04.2010, 20:56
Moderator
Beiträge: 5694 |
#9
Also du betreust mit Deinem System eine Website? Und wirst jedoch auf deinem System weiter geleitet?
Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop. • BleepingComputer • ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird** • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen. • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen. • Bitte füge das C:\ComboFix.txt Log in deiner Antwort im Forum bei, so dass wir uns diese analysieren können. |
|
|
||
26.04.2010, 07:29
...neu hier
Themenstarter Beiträge: 7 |
#10
^^âllerdings werd ich nicht auf die betreuten seiten oder davon weggeleitet.
hier der combobox logfile: ComboFix 10-04-21.01 - berit 26.04.2010 7:10.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.529 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\berit\Desktop\xxxxx.exe AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokume~1\berit\LOKALE~1\Temp\pfsq.old c:\dokumente und einstellungen\berit\Lokale Einstellungen\Temp\pfsq.old c:\recycler\S-1-5-21-1659004503-789336058-299502267-1003 c:\windows\system32\~.exe c:\windows\system32\lowsec c:\windows\system32\lowsec\user.ds.lll c:\windows\system32\Thumbs.db c:\windows\system32\WORK.DAT . ((((((((((((((((((((((( Dateien erstellt von 2010-03-26 bis 2010-04-26 )))))))))))))))))))))))))))))) . 2010-04-25 17:00 . 2010-04-25 17:00 -------- d-----w- c:\dokumente und einstellungen\berit\Anwendungsdaten\Canon 2010-04-25 16:59 . 2008-04-13 22:15 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys 2010-04-25 16:59 . 2008-04-13 22:15 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys 2010-04-25 16:56 . 2010-04-25 16:56 -------- d-----w- C:\CanoScan 2010-04-25 16:56 . 2005-02-24 17:14 274432 ----a-w- c:\windows\system32\CNQL1212.dll 2010-04-25 16:56 . 2005-02-02 07:20 57344 ----a-w- c:\windows\system32\CNQU111.DLL 2010-04-24 15:33 . 2010-04-24 15:38 -------- d-----w- C:\fixwareout 2010-04-23 19:55 . 2010-04-23 19:55 -------- d-----w- c:\programme\Trend Micro 2010-04-23 19:40 . 2010-04-23 19:40 -------- d-----w- c:\dokumente und einstellungen\berit\Anwendungsdaten\Malwarebytes 2010-04-23 19:40 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-23 19:40 . 2010-04-23 19:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-04-23 19:40 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-23 19:40 . 2010-04-24 06:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-04-21 11:51 . 2010-04-21 11:51 -------- d-----w- c:\dokumente und einstellungen\berit\Anwendungsdaten\Xerox 2010-04-18 11:36 . 2010-04-18 11:36 -------- d-----w- c:\dokumente und einstellungen\berit\Lokale Einstellungen\Anwendungsdaten\Help 2010-04-16 08:13 . 2010-04-16 08:13 -------- d-----w- c:\windows\system32\wbem\Repository 2010-04-11 17:59 . 2010-04-16 08:13 -------- d-----w- c:\windows\system32\NtmsData 2010-04-10 16:07 . 2010-04-10 16:07 24024 ---ha-w- c:\windows\system32\mlfcache.dat 2010-04-09 12:38 . 2007-03-21 21:22 2781184 ----a-w- c:\dokumente und einstellungen\berit\Anwendungsdaten\Adobe\Dreamweaver 9\Configuration\Flash Player\authplay.dll 2010-04-09 11:24 . 2010-04-10 16:06 -------- d-----w- c:\dokumente und einstellungen\berit\Anwendungsdaten\Apple Computer 2010-04-09 11:24 . 2009-05-18 12:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys 2010-04-09 11:24 . 2008-04-17 11:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll 2010-04-09 11:22 . 2010-04-09 11:22 -------- d-----w- c:\programme\iPod 2010-04-09 11:22 . 2010-04-09 11:24 -------- d-----w- c:\programme\iTunes 2010-04-09 11:22 . 2010-04-09 11:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} 2010-04-09 11:21 . 2010-04-09 11:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2010-04-09 11:20 . 2010-04-09 11:20 -------- d-----w- c:\programme\Apple Software Update 2010-04-09 11:19 . 2010-04-09 11:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2010-04-09 11:19 . 2010-04-09 11:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple 2010-04-09 11:19 . 2010-04-24 10:17 -------- d-----w- c:\dokumente und einstellungen\berit\Lokale Einstellungen\Anwendungsdaten\Apple Computer 2010-04-09 11:04 . 2010-04-09 11:04 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2010-04-09 11:03 . 2010-04-09 11:03 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2010-04-09 11:03 . 2010-04-09 11:04 -------- d-----r- c:\programme\Skype 2010-04-09 06:09 . 2010-04-09 06:09 1956656 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player_ax.exe 2010-04-09 06:09 . 2010-04-09 10:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS 2010-04-09 06:01 . 2010-04-09 06:01 -------- d-----w- c:\dokumente und einstellungen\berit\Anwendungsdaten\Avira 2010-04-09 06:00 . 2010-04-09 06:00 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google 2010-04-08 19:18 . 2010-04-08 19:18 -------- d-----w- c:\dokumente und einstellungen\berit\Lokale Einstellungen\Anwendungsdaten\Identities 2010-04-08 18:52 . 2010-04-23 19:20 -------- d-----w- c:\dokumente und einstellungen\berit\Anwendungsdaten\FileZilla 2010-04-08 18:52 . 2010-04-08 18:52 -------- d-----w- c:\programme\FileZilla FTP Client 2010-04-08 18:40 . 2010-04-08 18:44 -------- d-----w- c:\dokumente und einstellungen\berit\Lokale Einstellungen\Anwendungsdaten\Temp 2010-04-08 18:40 . 2010-04-08 18:40 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google 2010-04-08 18:39 . 2010-04-08 18:46 -------- d-----w- c:\dokumente und einstellungen\berit\Lokale Einstellungen\Anwendungsdaten\Google 2010-04-08 18:39 . 2010-04-08 18:45 -------- d-----w- c:\programme\Google 2010-04-08 18:34 . 2010-03-01 07:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-04-08 18:34 . 2009-05-11 09:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2010-04-08 18:34 . 2010-02-16 11:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-04-08 18:34 . 2009-05-11 09:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2010-04-08 18:34 . 2010-04-08 18:34 -------- d-----w- c:\programme\Avira 2010-04-08 18:34 . 2010-04-08 18:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2010-04-08 18:28 . 2010-04-26 04:57 -------- d-----w- c:\dokumente und einstellungen\berit\Anwendungsdaten\skypePM 2010-04-08 18:23 . 2010-04-26 05:23 -------- d-----w- c:\dokumente und einstellungen\berit\Anwendungsdaten\Skype 2010-04-08 18:15 . 2010-04-08 18:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Nemetschek 2010-04-08 18:06 . 2010-04-08 18:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet 2010-04-08 18:03 . 2010-04-08 18:03 -------- d-----w- c:\programme\Gemeinsame Dateien\Control Panels 2010-04-08 18:01 . 2010-04-08 18:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM 2010-04-08 17:56 . 2010-04-09 11:21 -------- d-----w- c:\programme\QuickTime 2010-04-08 17:51 . 2007-02-20 14:04 190696 ----a-w- c:\windows\system32\NPSWF32_FlashUtil.exe 2010-04-08 17:51 . 2007-02-20 14:04 2463976 ----a-w- c:\windows\system32\NPSWF32.dll 2010-04-08 17:45 . 2010-04-09 11:22 -------- d-----w- c:\programme\Bonjour 2010-04-08 17:42 . 2010-04-08 17:42 -------- d-----w- c:\programme\Gemeinsame Dateien\Macrovision Shared 2010-04-08 17:35 . 2010-01-28 18:35 1692288 ----a-w- c:\windows\system32\BootMan.exe 2010-04-08 17:35 . 2010-01-20 14:53 13192 ----a-w- c:\windows\system32\epmntdrv.sys 2010-04-08 17:35 . 2010-01-20 14:53 86408 ----a-w- c:\windows\system32\setupempdrv03.exe 2010-04-08 17:35 . 2010-01-20 14:53 8456 ----a-w- c:\windows\system32\EuGdiDrv.sys 2010-04-08 17:35 . 2010-01-20 14:52 14848 ----a-w- c:\windows\system32\EuEpmGdi.dll 2010-04-08 17:35 . 2010-04-08 17:35 -------- d-----w- c:\programme\EASEUS 2010-04-08 17:29 . 2008-08-26 14:17 113664 ----a-w- c:\windows\system32\drivers\ewusbnet.sys 2010-04-08 17:29 . 2008-07-24 10:02 101376 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys 2010-04-08 17:29 . 2008-04-14 07:36 621056 ----a-w- c:\windows\system32\drivers\mod7700.sys 2010-04-08 17:29 . 2007-08-09 02:13 24448 ----a-w- c:\windows\system32\drivers\ewdcsc.sys 2010-04-08 17:29 . 2010-04-08 17:30 -------- d-----w- c:\programme\Mobile Partner 2010-04-08 17:23 . 2009-04-29 01:14 -------- d-----r- c:\windows\system32\config\systemprofile\Eigene Dateien 2010-04-08 17:23 . 2009-04-24 15:15 -------- d-----w- c:\windows\system32\config\systemprofile\Bluetooth Software 2010-04-08 17:23 . 2009-04-24 15:12 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\InstallShield 2010-04-08 17:23 . 2009-04-29 01:14 -------- d-----r- c:\dokumente und einstellungen\Default User\Eigene Dateien 2010-04-08 17:23 . 2009-04-24 15:15 -------- d-----w- c:\dokumente und einstellungen\Default User\Bluetooth Software 2010-04-08 17:22 . 2001-08-18 02:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys 2010-04-08 17:22 . 2008-04-13 22:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-25 16:56 . 2009-04-24 15:10 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-04-17 17:12 . 2010-04-08 17:24 31408 ----a-w- c:\dokumente und einstellungen\berit\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-04-10 07:30 . 2009-04-16 08:52 76487 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2010-04-09 16:54 . 2009-04-16 08:40 75740 ----a-w- c:\windows\system32\perfc007.dat 2010-04-09 16:54 . 2009-04-16 08:40 416376 ----a-w- c:\windows\system32\perfh007.dat 2010-04-09 11:03 . 2009-04-24 15:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2010-04-08 18:28 . 2010-04-08 18:28 32 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat 2010-04-08 18:13 . 2010-04-08 18:13 -------- d-----w- c:\programme\Nemetschek 2010-04-08 18:05 . 2009-04-24 15:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-04-08 17:28 . 2010-04-08 17:24 138 ----a-w- c:\dokumente und einstellungen\berit\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Mobile Partner"="c:\programme\Mobile Partner\Mobile Partner.exe" [2008-11-27 114688] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-04-06 26102056] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072] "AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-12-04 114688] "AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592] "AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-01-15 1418536] "SynAsusAcpi"="c:\programme\Synaptics\SynTP\SynAsusAcpi.exe" [2009-01-15 79144] "Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-01-22 141608] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\berit\Startmen\Programme\Autostart\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2010-4-8 295606] Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872] BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776] SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-4-24 376832] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "midi9"=c:\dokume~1\berit\LOKALE~1\Temp\pfsq.old 2yAPFDOFNF [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [08.04.2010 20:34 135336] R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [01.04.2009 04:41 38912] R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [01.04.2009 04:41 39040] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.04.2010 20:39 136176] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [24.04.2009 17:10 1684736] S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [08.04.2010 19:35 13192] S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [08.04.2010 19:35 8456] . Inhalt des "geplante Tasks" Ordners 2010-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-04-08 18:39] 2010-04-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-04-08 18:39] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000 IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll TCP: {476319D5-3BDB-43C0-A482-D6C8A0D514BB} = 193.189.244.225 193.189.244.206 . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-04-26 07:23 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(1124) c:\windows\system32\btmmhook.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\btncopy.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\programme\Avira\AntiVir Desktop\avshadow.exe c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe c:\windows\RTHDCPL.EXE c:\windows\system32\igfxsrvc.exe c:\windows\system32\igfxext.exe c:\windows\system32\wscntfy.exe c:\programme\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe c:\programme\iPod\bin\iPodService.exe c:\programme\Skype\Plugin Manager\skypePM.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-04-26 07:27:06 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-04-26 05:27 Vor Suchlauf: 6 Verzeichnis(se), 12.355.899.392 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 12.540.448.768 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - B2C24F7D1D9BEC366C97551AED79A844 |
|
|
||
26.04.2010, 18:22
Moderator
Beiträge: 5694 |
#11
Also hier hattest Du nen Backdoor drauf. Wie sollte dieser dann auf Dein System gekommen sein wenn du es frisch formatiert hast? Um was für Seiten handelt es sich denn?
Und wie hast Du formatiert? Komplett? Oder nur das Betriebssystem darüber installiert? |
|
|
||
26.04.2010, 19:01
...neu hier
Themenstarter Beiträge: 7 |
#12
habe komplett formatiert.
ich vermute mal dass sich das ganze nun auch auf meinen eigenen seiten eingeschlichen hat und ich es dort immer wieder runterlade...mal sehen wie ich die noch updaten kann ohne mich wieder zu infizieren.... danke erstmal für die hilfe!!! |
|
|
||
26.04.2010, 23:09
Moderator
Beiträge: 5694 |
#13
Also das beste ist wenn Du die kompletten Daten bei deinem Host löscht und die seite komlpett neu von einem sauberen Rechner hochlädst.
|
|
|
||
seit ca. 2 wochen werde ich beim suchen mit google auf andere seiten wietergeleitet.
letzte woche habe ich eine mail von 1und1 bekommen, dass die von mir betreuten webseiten angegriffen wurden.
daraufhin habe ich den rechner mit mehreren viren/malwarescannern gescannt und meine webseiten neu aufgesetzt. die scans blieben ohne ergebnis.
als das problem bei google nicht aufgehört hat habe ich gestern kurzerhand den rechner formatiert und windows neu aufgespielt.
leider ist das weiterleitungsproblem bereits während der neuinstallation wieder aufgetaucht - und auch die webseiten enthalten bereits wieder malware.
vielen dank für eure hilfe!
hier der hijack log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:55:44, on 23.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\EeePC\ACPI\AsTray.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Mobile Partner\Mobile Partner.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynAsusAcpi] C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\Mobile Partner\Mobile Partner.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
--
End of file - 9627 bytes