was schlimmes eingefangen!
Themenstarter
Benutzer
seit: 13.04.2008
Beiträge: 11
was schlimmes eingefangen!
Hallo an Euch Profis
mein Computer läuft extrem langsam ( CPU überlastet bei explorer.exe), ständig kommen irgendwelche hinweise auf einen Virus. Meine Internetexplorer Startseite wurde automatisch verändert ( und ändert sich bei jedem Neustart wieder zurück, obwohl ich ständig lösche). Ich habe drei Programme geladen bekommen ( von wem auch immer)"ErrorCleaner" "Privacy Protect" und einen Spyware,Malware Finder. Ich wollte dann einfach einen Systemwiederherstellungszeitpunkt finden wo noch alles OK war, doch es gibt keine mehr. Ich kann im Kalender gar nicht mehr zurückblättern.
Nun gut jetzt habe ich Spybot Search & Destroy drüberlaufen lassen, und HijackThis.
hier mein logfile:
Logfile of HijackThis v1.99.1
Scan saved at 15:25:16, on 13.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: (no name) - {02715E47-5A8E-495B-8F63-0D30470B8E72} - C:\WINDOWS\system32\xxyxUnnk.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {2A19F993-92A0-4018-B651-8B67B4EF1844} - C:\WINDOWS\system32\iifcBsrS.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: DVA Media - {82B8E0B5-45F5-4779-966A-C474164F8F7F} - C:\WINDOWS\temlxopqgdk.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\kbileslu.dll",b
O4 - HKLM\..\RunOnce: [SpybotDeletingA8791] command /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC776] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3426] command /c del "C:\WINDOWS\system32\cbXNDUKA.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5999] cmd /c del "C:\WINDOWS\system32\cbXNDUKA.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA826] command /c del "C:\WINDOWS\system32\iifcBsrS.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7283] cmd /c del "C:\WINDOWS\system32\iifcBsrS.dll_old"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB4771] command /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4090] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2053] command /c del "C:\WINDOWS\system32\cbXNDUKA.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3260] cmd /c del "C:\WINDOWS\system32\cbXNDUKA.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2932] command /c del "C:\WINDOWS\system32\iifcBsrS.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6500] cmd /c del "C:\WINDOWS\system32\iifcBsrS.dll_old"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C :\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xxyxUnnk - C:\WINDOWS\SYSTEM32\xxyxUnnk.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: qdnkewfa - {A12382A8-27F0-465F-8387-7143E4AAE3D1} - C:\WINDOWS\qdnkewfa.dll
O21 - SSODL: mgsvflkw - {A8CE76A7-CBD7-4408-962B-0B02693022EA} - C:\WINDOWS\mgsvflkw.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
kann mir jemand helfen?
Trau mich nämlich momentan in kein Passwortgeschütztes Programm
Danke im Vorraus
Hiddenbayboy
Benutzer
seit: 07.01.2005
Beiträge: 12.171
Re: was schlimmes eingefangen!
Hallöchen,
Spybot hat da einige Dateien zum Löschen beim nächsten Neustart markiert. Hast du den Neustart denn mal ausgeführt? Wenn nicht, dann einfach mal machen und anschließend ein neues Logfile erstellen.
Und beim Erstellen des Logfiles möglichst keine Programme geöffnet haben...
Themenstarter
Benutzer
seit: 13.04.2008
Beiträge: 11
Re: was schlimmes eingefangen!
das ging ja schnell!!
hier der nächste Versuch:
Logfile of HijackThis v1.99.1
Scan saved at 20:25:31, on 13.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Casio\Plauto.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\kbileslu.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C :\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: qdnkewfa - {A12382A8-27F0-465F-8387-7143E4AAE3D1} - C:\WINDOWS\qdnkewfa.dll
O21 - SSODL: mgsvflkw - {A8CE76A7-CBD7-4408-962B-0B02693022EA} - C:\WINDOWS\mgsvflkw.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
Spybot bringt immer noch Meldungen wo er alte und neue Dateien tauschen will
soll ich die immer Erlauben?? ich glaube die wiederholen sich langsam auch (kann mich auch täuschen)
mfg
hiddenbayboy
Benutzer
seit: 18.01.2008
Beiträge: 174
Re: was schlimmes eingefangen!
Hallo
Spybot Teatimer diesen erstmal dauerhaft abstellen (Erweitert -> Werkzeuge -> Resident --> Häkchen bei Teatimer entfernen -> PC Neustart).
Nun:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
C:\WINDOWS\vnbptxlf.dll
C:\WINDOWS\system32\kbileslu.dll
C:\WINDOWS\qdnkewfa.dll
C:\WINDOWS\mgsvflkw.dll
Diese Datei/Dateien hier scannen lassen:
https://www.virustotal.com/de
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V ) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - und hier vollständig posten
WindowsScan
https://virus-protect.org/artikel/tools/windowsscan.html
laden,
ausführen, Report posten
poste einen neuen HijackThis log
Themenstarter
Benutzer
seit: 13.04.2008
Beiträge: 11
Re: was schlimmes eingefangen!
Hallo Humdinger
Danke daß Du dich meiner Sorgen annimmst.
Ich habe jetzt den ersten Teil meiner Aufgabe erfüllt (so gut es ging)
diese tyzwjars datei hab ich nur unter Windows/Prefetch gefunden,
und diese kbileslu.dll gibt es bei mir nicht !?
alles andere hab ich mal jetzt gepostet ( blickst Du da wirklich durch?? RESPEKT ehrlich) für mich böhmische Dörfer.
werde mich jetzt meiner zweiten Aufgabe widmen
Danke
viele Grüße
Hiddenbayboy
Datei TYZWJARS.EXE-337764FC.pf empfangen 2008.04.14 20:26:30 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)
Filter
Drucken der Ergebnisse
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
AntivirusVersionletzte aktualisierungErgebnis
AhnLab-V32008.4.15.02008.04.14-
AntiVir7.6.0.852008.04.14-
Authentium4.93.82008.04.13-
Avast4.8.1169.02008.04.14-
AVG7.5.0.5162008.04.14-
BitDefender7.22008.04.14-
CAT-QuickHeal9.502008.04.14-
ClamAV0.92.12008.04.14-
DrWeb4.44.0.091702008.04.14-
eSafe7.0.15.02008.04.09-
eTrust-Vet31.3.56972008.04.14-
Ewido4.02008.04.14-
F-Prot4.4.2.542008.04.14-
F-Secure6.70.13260.02008.04.14-
FileAdvisor12008.04.14-
Fortinet3.14.0.02008.04.14-
IkarusT3.1.1.262008.04.14-
Kaspersky7.0.0.1252008.04.14-
McAfee52732008.04.14-
Microsoft1.34082008.04.14-
NOD32v230252008.04.14-
Norman5.80.022008.04.14-
Panda9.0.0.42008.04.14-
Prevx1V22008.04.14-
Rising20.40.02.002008.04.14-
Sophos4.28.02008.04.14-
Sunbelt3.0.1041.02008.04.12-
Symantec102008.04.14-
TheHacker6.2.92.2772008.04.14-
VBA323.12.6.42008.04.14-
VirusBuster4.3.26:92008.04.14-
Webwasher-Gateway6.6.22008.04.14-
weitere Informationen
File size: 32246 bytes
MD5...: 56622f170b4f04952897c2bceb95b098
SHA1..: 070336e2e9f8d36f1c7dd86bf57c93d1b4e9df6a
SHA256: 162a0fa4704ca8e830bb2fa7aa542fe0f35071d5f82ff74dfc 3a3b07252017cc
SHA512: b26155b864098ee8d7efbbb441544ac0a465da84a86a2f2f05 d6f2c99bfdf256
41c92cf8857fc97cfd265cbf4d5a5d00484d8a46e9ad6c7d93 fecacd25b2308d
PEiD..: -
PEInfo: -
Datei vnbptxlf.dll empfangen 2008.04.14 20:19:57 (CET)
Status: Beendet
Ergebnis: 12/32 (37.5%)
Filter
Drucken der Ergebnisse
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
AntivirusVersionletzte aktualisierungErgebnis
AhnLab-V32008.4.15.02008.04.14-
AntiVir7.6.0.852008.04.14ADSPY/AdSpy.Gen
Authentium4.93.82008.04.13-
Avast4.8.1169.02008.04.14Win32:Vapsup-BZ
AVG7.5.0.5162008.04.14Downloader.Zlob.VQ
BitDefender7.22008.04.14-
CAT-QuickHeal9.502008.04.14-
ClamAV0.92.12008.04.14-
DrWeb4.44.0.091702008.04.14-
eSafe7.0.15.02008.04.09-
eTrust-Vet31.3.56972008.04.14-
Ewido4.02008.04.14-
F-Prot4.4.2.542008.04.14-
F-Secure6.70.13260.02008.04.14-
FileAdvisor12008.04.14-
Fortinet3.14.0.02008.04.14-
IkarusT3.1.1.26.02008.04.14AdWare.NetAdware.CW
Kaspersky7.0.0.1252008.04.14not-a-virus:AdWare.Win32.Vapsup.dvd
McAfee52732008.04.14AdClicker-FC
Microsoft1.34082008.04.14Trojan:Win32/Zlob.AD
NOD32v230252008.04.14-
Norman5.80.022008.04.14W32/Vapsup.gen3
Panda9.0.0.42008.04.14-
Prevx1V22008.04.14Downloader.Zlob.VQ
Rising20.40.02.002008.04.14Trojan.DL.Win32.Zlob.GEN
Sophos4.28.02008.04.14-
Sunbelt3.0.1041.02008.04.12-
Symantec102008.04.14-
TheHacker6.2.92.2772008.04.14-
VBA323.12.6.42008.04.14suspected of Downloader.Zlob.7
VirusBuster4.3.26:92008.04.14-
Webwasher-Gateway6.6.22008.04.14Ad-Spyware.AdSpy.Gen
weitere Informationen
File size: 184320 bytes
MD5...: cb0a12306fe8c2f38bab610b4287c187
SHA1..: 51012ec1f42e3bbdb64bc4f0df37a5c9c4e0f8d7
SHA256: e97d1bee0a4c9c64d301e45a30e3d0b47cfb54fbd0d7aecb85 989e33180b25fa
SHA512: b007cad1fd1f9287a672064dd20bf91785f1f9c3b512a1fca6 0d6a639f9d6c25
d8d8228a7edab61bb52b4b024ad7ce333aff0db00799f5df02 483ed4312b82f3
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x100121a9
timedatestamp.....: 0x47ff8063 (Fri Apr 11 15:14:43 200
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1de29 0x1e000 6.51 e4225586e5382172273d8d2dcb62f6eb
.rdata 0x1f000 0x6dc5 0x7000 5.34 1329ce8e867873ed335a2f49f04ce8bc
.data 0x26000 0x3900 0x2000 3.69 a52e0ead743741e7dbe546c6e6462d0a
.rsrc 0x2a000 0x1d20 0x2000 4.32 73d142f759411015f0c1c23f5edccdb1
.reloc 0x2c000 0x276a 0x3000 4.32 3285ceb5f7304414a08aad735b7c8ec0
( 6 imports )
> COMCTL32.dll: ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Create, ImageList_Destroy
> KERNEL32.dll: GetLastError, RaiseException, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, lstrcmpiW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetCurrentThreadId, FlushInstructionCache, GetModuleHandleW, SetLastError, FlushFileBuffers, CloseHandle, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, lstrlenW, InterlockedIncrement, InitializeCriticalSection, DisableThreadLibraryCalls, GetModuleFileNameW, InterlockedDecrement, LoadLibraryW, GetProcAddress, GetCurrentProcess, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, InterlockedCompareExchange, HeapFree, GetProcessHeap, HeapAlloc, LoadLibraryA, IsProcessorFeaturePresent, VirtualFree, VirtualAlloc, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, LocalFree, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, HeapReAlloc, GetCommandLineA, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, WriteFile, GetStdHandle, GetModuleFileNameA, HeapDestroy, HeapCreate, ExitProcess, Sleep, HeapSize, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW
> USER32.dll: SetWindowLongW, ShowWindow, GetClassInfoExW, UnregisterClassA, RegisterClassExW, CreateWindowExW, GetClientRect, CharNextW, CallWindowProcW, GetWindowLongW, LoadCursorW, GetSysColor, SendMessageW, IsWindow, DestroyWindow, DefWindowProcW
> ADVAPI32.dll: RegCreateKeyExW, RegDeleteValueW, RegDeleteKeyW, RegCloseKey, RegQueryInfoKeyW, RegEnumKeyExW, RegOpenKeyExW, RegSetValueExW
> ole32.dll: CoTaskMemRealloc, StringFromGUID2, CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -
( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Prevx info: https://info.prevx.com/aboutprogramtext. ... 00C2B0C2BC
Datei qdnkewfa.dll empfangen 2008.04.14 20:07:21 (CET)
Status: Beendet
Ergebnis: 9/32 (28.13%)
Filter
Drucken der Ergebnisse
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
AntivirusVersionletzte aktualisierungErgebnis
AhnLab-V32008.4.15.02008.04.14-
AntiVir7.6.0.852008.04.14ADSPY/Vapsup.dvd
Authentium4.93.82008.04.13-
Avast4.8.1169.02008.04.14-
AVG7.5.0.5162008.04.14Downloader.Adload.FX
BitDefender7.22008.04.14Trojan.Zlob.CIP
CAT-QuickHeal9.502008.04.14-
ClamAV0.92.12008.04.14-
DrWeb4.44.0.091702008.04.14-
eSafe7.0.15.02008.04.09-
eTrust-Vet31.3.56972008.04.14-
Ewido4.02008.04.14-
F-Prot4.4.2.542008.04.14-
F-Secure6.70.13260.02008.04.14-
FileAdvisor12008.04.14-
Fortinet3.14.0.02008.04.14-
IkarusT3.1.1.26.02008.04.14Virus.Win32.Agent.LTS
Kaspersky7.0.0.1252008.04.14not-a-virus:AdWare.Win32.Vapsup.dvd
McAfee52732008.04.14-
Microsoft1.34082008.04.14Trojan:Win32/Zlob.AI
NOD32v230252008.04.14-
Norman5.80.022008.04.14W32/Vapsup.CUK
Panda9.0.0.42008.04.14-
Prevx1V22008.04.14-
Rising20.40.02.002008.04.14-
Sophos4.28.02008.04.14-
Sunbelt3.0.1041.02008.04.12-
Symantec102008.04.14-
TheHacker6.2.92.2772008.04.14-
VBA323.12.6.42008.04.14suspected of Downloader.Zlob.7
VirusBuster4.3.26:92008.04.14-
Webwasher-Gateway6.6.22008.04.14Ad-Spyware.Vapsup.dvd
weitere Informationen
File size: 299008 bytes
MD5...: eae3bb3a096441de25cf184cc6a54246
SHA1..: db4e7ba9a574efdcdb9381f1601b46f5492c3efa
SHA256: 41209d78e2cfd199568d8afeb9d43c149242a17b0d81ee27a7 aae472d5934b63
SHA512: b821bd95af7ff33d2ed47d78572a9b0b94f9f798ca7b130a17 5b224b757925f1
1aecfe620a7c729e48f8cf36aa3ea8e0a21bb5abeb151c413e de779b335a15d8
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1002f631
timedatestamp.....: 0x47ff735d (Fri Apr 11 14:19:09 200
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x41b30 0x42000 6.42 7d21846c6ef0107b4dbfe4ee870127b6
.data 0x43000 0x370c 0x2000 1.62 1b363147096e4e4058689647671a7a77
.rsrc 0x47000 0x10 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.reloc 0x48000 0x2e4a 0x3000 5.41 37995b76573f79be3e333011b9c80576
( 4 imports )
> KERNEL32.dll: Sleep, CloseHandle, GetLastError, GetSystemTime, WaitForSingleObject, CreateEventW, MultiByteToWideChar, MoveFileW, GetModuleFileNameW, GetTempPathW, LoadLibraryW, SystemTimeToFileTime, GetFileAttributesW, CreateFileW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, CreateDirectoryW, SetFileTime, WriteFile, GetProcAddress, CopyFileW, FindFirstFileW, SetFilePointer, FindClose, SetEndOfFile, GetTimeZoneInformation, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, RaiseException, HeapFree, FileTimeToSystemTime, FileTimeToLocalFileTime, FindNextFileW, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, DebugBreak, LoadLibraryA, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, HeapSize, FlushFileBuffers, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, FreeLibrary, VirtualQuery, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, InitializeCriticalSection, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, CreateFileA
> ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW
> ole32.dll: CoInitialize
> SHLWAPI.dll: SHDeleteKeyW
( 0 exports )
Datei mgsvflkw.dll empfangen 2008.04.14 20:12:25 (CET)
Status: Beendet
Ergebnis: 11/32 (34.38%)
Filter
Drucken der Ergebnisse
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
AntivirusVersionletzte aktualisierungErgebnis
AhnLab-V32008.4.15.02008.04.14-
AntiVir7.6.0.852008.04.14ADSPY/Agent.PB
Authentium4.93.82008.04.13-
Avast4.8.1169.02008.04.14Win32:Agent-LTS
AVG7.5.0.5162008.04.14Downloader.Adload.FU
BitDefender7.22008.04.14Trojan.Zlob.CIP
CAT-QuickHeal9.502008.04.14-
ClamAV0.92.12008.04.14-
DrWeb4.44.0.091702008.04.14-
eSafe7.0.15.02008.04.09-
eTrust-Vet31.3.56972008.04.14-
Ewido4.02008.04.14-
F-Prot4.4.2.542008.04.14-
F-Secure6.70.13260.02008.04.14-
FileAdvisor12008.04.14-
Fortinet3.14.0.02008.04.14-
IkarusT3.1.1.262008.04.14Virus.Win32.Agent.LTS
Kaspersky7.0.0.1252008.04.14not-a-virus:AdWare.Win32.Vapsup.dvd
McAfee52732008.04.14-
Microsoft1.34082008.04.14Trojan:Win32/Zlob.AI
NOD32v230252008.04.14-
Norman5.80.022008.04.14W32/Vapsup.CUJ
Panda9.0.0.42008.04.14-
Prevx1V22008.04.14Generic.Malware
Rising20.40.02.002008.04.14-
Sophos4.28.02008.04.14-
Sunbelt3.0.1041.02008.04.12-
Symantec102008.04.14-
TheHacker6.2.92.2772008.04.14-
VBA323.12.6.42008.04.14suspected of Downloader.Zlob.7
VirusBuster4.3.26:92008.04.14-
Webwasher-Gateway6.6.22008.04.14Ad-Spyware.Agent.PB
weitere Informationen
File size: 262144 bytes
MD5...: 3bb1bb84e04c5494c66fcbfa0eafcef7
SHA1..: aeeb469b6bd8cfb264a0eb2206a74d78e09438a6
SHA256: c5ebc1707b6252526063ca8cf39f3e926068559ef061f0e39d be9714027ff3ae
SHA512: 38ae89e6e3c199c994e3ab2e6c95fcd6e3f5a056d6001c1184 62ef4b274ee0b9
d90fac4592bba68a543da58acceb681e0074f6c23be9b90f3f e174efefc7b088
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x100118d6
timedatestamp.....: 0x47ff7919 (Fri Apr 11 14:43:37 200
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x33608 0x34000 6.47 19525453051277004671fdf3b780bf60
.data 0x35000 0x32a8 0x2000 2.59 dea96489a742ffe3dee862c4c5aa0937
.rsrc 0x39000 0x51e0 0x6000 4.10 c635f01becc366a20c8be777155ed89e
.reloc 0x3f000 0x24b0 0x3000 4.09 49abb82e9939182685618e2c99921c4b
( 5 imports )
> KERNEL32.dll: CreateDirectoryW, MoveFileW, WaitForSingleObject, Sleep, FindFirstFileW, FindClose, GetProcAddress, LoadLibraryW, GetLastError, MultiByteToWideChar, CloseHandle, SetFilePointer, SystemTimeToFileTime, GetFileAttributesW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, SetFileTime, SetEndOfFile, WriteFile, CreateFileW, lstrcpynW, GetSystemTime, GetLocaleInfoA, FindNextFileW, FileTimeToSystemTime, FileTimeToLocalFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetTimeZoneInformation, HeapSize, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, CreateFileA
> USER32.dll: MessageBoxW, GetDesktopWindow, GetWindow
> ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW
> ole32.dll: CoInitialize
> SHLWAPI.dll: SHDeleteKeyW
( 0 exports )
Prevx info: https://info.prevx.com/aboutprogramtext. ... 003785C39D
Themenstarter
Benutzer
seit: 13.04.2008
Beiträge: 11
Re: was schlimmes eingefangen!
zweite Aufgabe
Windowsscan:
Die 30 neuesten Dateien im Ordner Windows:
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****
14.04.2008 XxHPonnn.ini 20 46:21.921
14.04.2008 XxHPonnn.ini2 20 44:19.018
14.04.2008 wpa.dbl 19 46:2.422
14.04.2008 lckfldservicelog.txt 19 45:4.160
14.04.2008 glujynqv.exe 19 06:90.112
14.04.2008 clkcnt.txt 18 40:0
14.04.2008 nnnoPHxX.dll 18 40:273.408
13.04.2008 llkkknpo.ini 22 17:90.005
13.04.2008 sdhocqib.ini 22 16:708.567
13.04.2008 llkkknpo.ini2 22 16:89.699
13.04.2008 srojujil.exe 20 40:102.400
13.04.2008 yupvejbb.dll 20 24:3.648
13.04.2008 SrsBcfii.ini 15 08:85.784
13.04.2008 SrsBcfii.ini2 15 07:85.947
13.04.2008 ulselibk.ini 14 55:708.496
13.04.2008 nksmdliu.dll 14 15:3.648
13.04.2008 perfh009.dat 13 56:314.508
13.04.2008 perfc009.dat 13 56:40.836
13.04.2008 perfh007.dat 13 56:320.104
13.04.2008 perfc007.dat 13 56:49.166
13.04.2008 PerfStringBackup.INI 13 56:729.990
12.04.2008 AKUDNXbc.ini 23 12:87.713
12.04.2008 AKUDNXbc.ini2 23 09:87.713
12.04.2008 crbxhqxk.ini 22 57:1.416.744
12.04.2008 kxqhxbrc.dll 22 56:86.592
12.04.2008 ipqmvxuc.dll 22 35:3.648
12.04.2008 enexaomx.ini 22 29:708.603
Die 50 neuesten Dateien im Ordner Windows\system32:
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****
14.04.2008 XxHPonnn.ini 20 49:24.303
14.04.2008 XxHPonnn.ini2 20 48:24.319
14.04.2008 wpa.dbl 19 46:2.422
14.04.2008 lckfldservicelog.txt 19 45:4.160
14.04.2008 glujynqv.exe 19 06:90.112
14.04.2008 clkcnt.txt 18 40:0
14.04.2008 nnnoPHxX.dll 18 40:273.408
13.04.2008 llkkknpo.ini 22 17:90.005
13.04.2008 sdhocqib.ini 22 16:708.567
13.04.2008 llkkknpo.ini2 22 16:89.699
13.04.2008 srojujil.exe 20 40:102.400
13.04.2008 yupvejbb.dll 20 24:3.648
13.04.2008 SrsBcfii.ini 15 08:85.784
13.04.2008 SrsBcfii.ini2 15 07:85.947
13.04.2008 ulselibk.ini 14 55:708.496
13.04.2008 nksmdliu.dll 14 15:3.648
13.04.2008 perfh009.dat 13 56:314.508
13.04.2008 perfc009.dat 13 56:40.836
13.04.2008 perfh007.dat 13 56:320.104
13.04.2008 perfc007.dat 13 56:49.166
13.04.2008 PerfStringBackup.INI 13 56:729.990
12.04.2008 AKUDNXbc.ini 23 12:87.713
12.04.2008 AKUDNXbc.ini2 23 09:87.713
12.04.2008 crbxhqxk.ini 22 57:1.416.744
12.04.2008 kxqhxbrc.dll 22 56:86.592
12.04.2008 ipqmvxuc.dll 22 35:3.648
12.04.2008 enexaomx.ini 22 29:708.603
12.04.2008 dpggccwj.dll 02 07:3.648
12.04.2008 xkvubexi.exe 01 10:94.208
12.04.2008 xxyxUnnk.dll 01 10:39.936
09.04.2008 FNTCACHE.DAT 13 48:399.144
02.04.2008 jupdate-1.6.0_05-b13.log 19 21:6.583
20.03.2008 win32k.sys 10 03:1.845.376
03.03.2008 mslck.dat 21 44:0
03.03.2008 Mlkf.dll 21 43:10
03.03.2008 FldLckINSTALL.LOG 21 40:5.634
01.03.2008 mshtml.dll 18 24:3.591.680
01.03.2008 webcheck.dll 14 54:233.472
01.03.2008 wininet.dll 14 54:826.368
01.03.2008 pngfilt.dll 14 54:44.544
01.03.2008 urlmon.dll 14 54:1.159.680
01.03.2008 url.dll 14 54:105.984
01.03.2008 occache.dll 14 54:102.912
01.03.2008 msrating.dll 14 54:193.024
01.03.2008 mstime.dll 14 54:671.232
01.03.2008 mshtmled.dll 14 54:478.208
01.03.2008 msfeedsbs.dll 14 53:52.224
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****
Microsoft Windows XP [Version 5.1.2600]
https://www.paules-pc-forum.de
***** Malware Team *****
***** Ende des Scans 14.04.2008 um 20:50:30,73 ***
viele Grüße
Hiddenbayboy
Themenstarter
Benutzer
seit: 13.04.2008
Beiträge: 11
Re: was schlimmes eingefangen!
Hallo Humdinger
habe meine letzte Aufgabe erfüllt
hier mein Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 20:59:35, on 14.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\WINDOWS\system32\srojujil.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Casio\Plauto.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\WINDOWS\explorer.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\biqcohds.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [vehgaaqi] C:\WINDOWS\system32\srojujil.exe
O4 - HKCU\..\Run: [eolwnesq] C:\WINDOWS\system32\glujynqv.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C :\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: qdnkewfa - {A12382A8-27F0-465F-8387-7143E4AAE3D1} - C:\WINDOWS\qdnkewfa.dll
O21 - SSODL: mgsvflkw - {A8CE76A7-CBD7-4408-962B-0B02693022EA} - C:\WINDOWS\mgsvflkw.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
hoffe es hat was gebracht
viele Grüße
Hiddenbayboy
Benutzer
seit: 18.01.2008
Beiträge: 174
Re: was schlimmes eingefangen!
Hallo
Alle Dateien anzeigen
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
Diese bitte zur weiteren Analyse
per Mail (möglichst als ZIP Datei) mit dem Betreff
malware hiddenbayboy Dirks Computerforum
schicken an:
MalwareTEAM@t-online.de
Ich melde mich dann morgen wieder wie es weiter geht. Bitte nun keine Scans mehr durchführen.
Moderator
seit: 20.10.2006
Beiträge: 8.272
Re: was schlimmes eingefangen!
Hallo,
merkt eigentlich außer mir niemand, dass das hier wieder so ein Monster-Thread ist? Ich brauche ja Ewigkeiten, um ganz nach unten zu scrollen.
Ich erwähne nun zum vierten Mal die zur Übersicht beitragenden -Tags.
Benutzer
seit: 18.01.2008
Beiträge: 174
Re: was schlimmes eingefangen!
@Fabi
Zitat von
Fabi
Hallo,
merkt eigentlich außer mir niemand, dass das hier wieder so ein Monster-Thread ist? Ich brauche ja Ewigkeiten, um ganz nach unten zu scrollen.
Monster? Bei 8 Beiträgen? Ist sicherlich übertrieben diese Anmerkung. Für eine effektive Reinigung ist es leider erforderlich die Übeltäter erstmal zu identifizieren. Erst nach der Analyse und der Kenntnis mit was hat man es zu tun, kann man auch eine Bereinigung versuchen. Mit dem vorhandenen Virenscanner wurde das ja schon vergeblich versucht und mit dem Hinweis im abgesicherten Modus zu scannen sollte man auch vorsichtig sein, da man auch dort nicht alle infizierten Dateien einfach löschen darf.
Wenn man also hier der Meinung ist, lange Beiträge sind unerwünscht, so muss man dieses mir nur mitteilen, dann halte ich mich halt raus In der Kürze geht es halt meistens nicht wirklich gründlich. Damit ist das Forum schlecht bedient und dem User letztlich nicht geholfen.
Zitat von
Fabi
Ich erwähne nun zum vierten Mal die zur Übersicht beitragenden
-Tags.
Ich glaube dazu gibt es hier keine Verpflichtung. Persönlich finde ich es eher schlecht für die Auswertung, da ohne es für mich übersichtlicher ist.
Ich muss schon die meisten meiner Vorlagen für dieses Forum vor dem posten umgestalten, da diese nicht kompatibel sind mit der Forensoftware, da werde ich mir hier nicht weitere Hürden auferlegen. Ich bitte um Verständnis.
@hiddenbayboy
Danke für die übersandte Datei. Nach der Analyse werde ich mich dazu melden.
Moderator
seit: 20.10.2006
Beiträge: 8.272
Re: was schlimmes eingefangen!
Hallo,
naja...wenn der Inhalt der -Tags schwer zu lesen sein soll, dann weiß ich auch nicht... Schließlich kann man sich den Inhalt bei Bedarf kopieren und z.B. in MS Word lesen. Aber mach was du willst.
Benutzer
seit: 18.01.2008
Beiträge: 174
Re: was schlimmes eingefangen!
Hallo
öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\biqcohds.dll",b
O4 - HKCU\..\Run: [vehgaaqi] C:\WINDOWS\system32\srojujil.exe
O4 - HKCU\..\Run: [eolwnesq] C:\WINDOWS\system32\glujynqv.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O21 - SSODL: qdnkewfa - {A12382A8-27F0-465F-8387-7143E4AAE3D1} - C:\WINDOWS\qdnkewfa.dll
O21 - SSODL: mgsvflkw - {A8CE76A7-CBD7-4408-962B-0B02693022EA} - C:\WINDOWS\mgsvflkw.dll
Avenger laden
https://virus-protect.org/artikel/tools/avenger.html
kopiere rein:
Files to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
C:\WINDOWS\system32\srojujil.exe
C:\WINDOWS\vnbptxlf.dll
C:\WINDOWS\system32\biqcohds.dll
C:\WINDOWS\system32\srojujil.exe
C:\WINDOWS\system32\glujynqv.exe
C:\WINDOWS\qdnkewfa.dll
C:\WINDOWS\mgsvflkw.dll
C:\WINDOWS\vnbptxlf.dll
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
nach dem Neustart wird ein Log vom AVENGER erscheinen - poste es hier
C:\avenger\backup.zip <-- nun direkt löschen
CCleaner ausführen
https://www.paules-pc-infothek.de/ppf2/v ... php?t=1138
Kaspersky laden, scanne damit im abgesicherten Modus (bei Neustart F8 drücken)
https://www.virus-protect.org/artikel/to ... ersky.html
alle Funde löschen, nach Neustart Report hier posten.
poste einen neuen HijackThis log
Themenstarter
Benutzer
seit: 13.04.2008
Beiträge: 11
Re: was schlimmes eingefangen!
Hallo Humdinger
ich habe jetzt das Löschen bei HijackThis gemacht. Das mit dem Avenger klappt so nicht.
Wenn ich die Files laden will zeigt er mir in der Auswahl nur (.txt) Dateien an, exe und dll stehen nicht zur Auswahl.
mfg
hiddenbayboy
Benutzer
seit: 18.01.2008
Beiträge: 174
Re: was schlimmes eingefangen!
Nehme dann statt Avenger dieses:
https://virus-protect.org/artikel/tools/otmoveIt.html
auf dem Desktop speichern!
OTMoveIt.exe klicken zum Starten.[/*:m:3tvfn9bh] Unregister Dll's and Ocx's sollen markiert sein![/*:m:3tvfn9bh] Folgende Dateien kopieren & in Paste List oft Files/Folders to be Moved rein!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
C:\WINDOWS\system32\srojujil.exe
C:\WINDOWS\vnbptxlf.dll
C:\WINDOWS\system32\biqcohds.dll
C:\WINDOWS\system32\srojujil.exe
C:\WINDOWS\system32\glujynqv.exe
C:\WINDOWS\qdnkewfa.dll
C:\WINDOWS\mgsvflkw.dll
C:\WINDOWS\vnbptxlf.dll
[/*:m:3tvfn9bh] Movelt klicken zum Löschen.[/*:m:3tvfn9bh]Lösche den Ordner C:\_OTMoveIt\ -->Papierkorb leeren[/*:m:3tvfn9bh] Papierkorb leeren![/*:m:3tvfn9bh] # PC neustarten
dann weiter wie beschrieben mit CCleaner und Kaspersky
Themenstarter
Benutzer
seit: 13.04.2008
Beiträge: 11
Re: was schlimmes eingefangen!
Hallo Humdinger
irgendetwas scheint bei mir (oder bei meinem Rechner) nicht ganz so einfach zu sein.
Ich habe das mit dem OTMoveIt gemacht, aber er findet einige dateien nicht und zwar:
C:\WINDOWS\vnbptxlf.dll
C:\WINDOWS\system32\biqcohds.dll
C:\WINDOWS\system32\srojujil.exe
C:\WINDOWS\system32\glujynqv.exe
C:\WINDOWS\qdnkewfa.dll
C:\WINDOWS\mgsvflkw.dll
C:\WINDOWS\vnbptxlf.dll
eine war auch bei Dir doppelt aufgeführt wenn ich mich nicht täusche(C:\WINDOWS\system32\srojujil.exe)
aber die komische tyzwjars.exe hat er zwar gemovt, doch die lässt sich nicht in den Papierkorb verschieben, weil sie anscheinend gerade benutzt wird ( schreibgeschützt ist sie nicht)
ich habe Dir nochmal einen HiJack Log gemacht, auch auf die Gefahr hin, dass wir wieder angemotzt werden weil ich zu viel poste
vielen Dank nochmal
Grüße
hiddenbayboy
Logfile of HijackThis v1.99.1
Scan saved at 00:03:52, on 16.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
D:\Programme\Casio\Plauto.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\WINDOWS\explorer.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 8 für hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\nwushomf.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C :\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: mgsvflkw - {86C9EE65-CB40-45A1-B0A0-F713E9FE9824} - C:\WINDOWS\mgsvflkw.dll
O21 - SSODL: qdnkewfa - {7B2FF58C-CEAC-4406-9C13-71B40F2DA2F4} - C:\WINDOWS\qdnkewfa.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
Benutzer
seit: 18.01.2008
Beiträge: 174
Re: was schlimmes eingefangen!
öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\nwushomf.dll",b
Dann so weitermachen:
Zitat von
Humdinger
Themenstarter
Benutzer
seit: 13.04.2008
Beiträge: 11
Re: was schlimmes eingefangen!
Hallo Humdinger
habe alles ausgeführt
hier der Report von Kaspersky
Scan
----
Scanned:629510
Detected:15
Untreated:0
Start time:16.04.2008 20:04:54
Duration:09:53:02
Finish time:17.04.2008 05:57:56
Detected
--------
StatusObject
------------
will be deleted when the computer is restarted: adware not-a-virus:AdWare.Win32.Virtumonde.nqpFile: C:\WINDOWS\system32\xxyxUnnk.dll
deleted: adware not-a-virus:AdWare.Win32.Vapsup.dvdFile: c:\windows\mgsvflkw.dll
deleted: adware not-a-virus:AdWare.Win32.Vapsup.dvdFile: c:\windows\qdnkewfa.dll
deleted: adware not-a-virus:AdWare.Win32.Vapsup.dvdFile: c:\windows\temlxopqgdk.dll
deleted: adware not-a-virus:AdWare.Win32.SmartPops.aFile: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3F956A95.DLL//CryptFF
deleted: adware not-a-virus:AdWare.Win32.NewDotNetFile: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\6C1C7F4C.exe//CryptFF
deleted: Trojan program Trojan-Dropper.MSPPoint.Agent.ayFile: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\{10CA79F7-485A-4BE5-8BE2-311A7FA949B6}\00000003.URM
deleted: Trojan program Trojan.Win32.Obfuscated.xvFile: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.zip/tyzwjars.exe
deleted: adware not-a-virus:AdWare.Win32.Vapsup.dvdFile: C:\WINDOWS\apoxqwfv.exe
deleted: adware not-a-virus:AdWare.Win32.Vapsup.dvdFile: C:\WINDOWS\vnbptxlf.dll
deleted: Trojan program Trojan.Win32.KillAV.rfFile: C:\WINDOWS\system32\dfqbtbrc.dll
deleted: adware not-a-virus:AdWare.Win32.Virtumonde.nvfFile: C:\WINDOWS\system32\kvfycgbs.dll//PE_Patch
deleted: Trojan program Trojan.Win32.KillAV.rfFile: C:\WINDOWS\system32\nksmdliu.dll
deleted: Trojan program Trojan.Win32.KillAV.rfFile: C:\WINDOWS\system32\yupvejbb.dll
deleted: Trojan program Trojan.Win32.Obfuscated.xvFile: C:\_OTMoveIt\MovedFiles\04152008_233934\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
Events
------
TimeNameStatusReason
--------------------
Statistics
----------
ObjectScannedDetectedUntreatedDeletedMoved to QuarantineArchivesPacked filesPassword protectedCorrupted
-------------------------------------------------------------------------------------------------------
Settings
--------
ParameterValue
--------------
Security LevelRecommended
ActionPrompt for action when the scan is complete
Run modeManually
File typesScan all files
Scan only new and changed filesNo
Scan archivesAll
Scan embedded OLE objectsAll
Skip if object is larger thanNo
Skip if scan takes longer thanNo
Parse email formatsNo
Scan password-protected archivesNo
Enable iChecker technologyNo
Enable iSwift technologyNo
Show detected threats on "Detected" tabYes
Quarantine
----------
StatusObjectSizeAdded
---------------------
Backup
------
StatusObjectSize
----------------
und hier mein Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 06:14:35, on 17.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
D:\Programme\Casio\Plauto.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AVP] "C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C :\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: setup_7.0.0.180_16.04.2008_19-42 - Unknown owner - C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" -r (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
viele Grüße
hiddenbayboy
Benutzer
seit: 18.01.2008
Beiträge: 174
Re: was schlimmes eingefangen!
Hallo
Gut gemacht!
Leider ist noch was drauf.
Boote in den abgesicherten Modus, lösche erstmal das Kaspersky Tool nun direkt.
öffne nun im abgesicherten Modus das HijackThis -- Button "scan" -- vor diesen Eintrag ein Häkchen setzen -- Button "Fix checked" -- PC neustarten
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
Nach dem Neustart:
Malwarebytes
https://www.virus-protect.org/artikel/to ... bytes.html
anwenden, alle Funde löschen lassen + Report posten
CCleaner nochmal laufen lassen zum bereinigen
https://www.paules-pc-infothek.de/ppf2/v ... php?t=1138
ComboFix ausführen:
https://virus-protect.org/artikel/tools/combofix.html
auf dem Desktop speichern.
Beende nun dein Antiviren- & evtl. Antispywareprogramme <-- !!!!
Doppelklick auf: combofix.exe
Warnmeldung ignorieren
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.
Die Datenträgerbereinigung abwarten / kein Mausklick machen! (bis ca. 20 Min/ Neustart kann erfolgen)
mit der rechten Maustaste den Text markieren -> kopieren -> vollständig posten
Themenstarter
Benutzer
seit: 13.04.2008
Beiträge: 11
Re: was schlimmes eingefangen!
Hallo Humdinger
hat wieder alles super geklappt ( perfekt erklärt)
fühle mich langsam auch schon besser
hier meine files
malwarebytes:
Malwarebytes' Anti-Malware 1.11
Datenbank Version: 642
Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 92910
Scan Dauer: 1 hour(s), 28 minute(s), 58 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 21
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 48
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
c:\WINDOWS\system32\xxyxUnnk.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\albwiwdi.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\nnnoPHxX.dll (Trojan.Vundo) -> Unloaded module successfully.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{02715e47-5a8e-495b-8f63-0d30470b8e72} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{02715e47-5a8e-495b-8f63-0d30470b8e72} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyxunnk (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{a6d8e6f9-cc5b-46d2-b447-fc35bb755bf7} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{a6d8e6f9-cc5b-46d2-b447-fc35bb755bf7} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorertoolbar (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\mwc (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vnbptxlf.bvot (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vnbptxlf.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MSVPS.MSVPSApp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin (Trojan.Fakealert) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{02715e47-5a8e-495b-8f63-0d30470b8e72} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\c020a0eb (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\SharedTaskScheduler\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnophxx -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnophxx -> Delete on reboot.
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Andreas\Desktopvirii (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
Infizierte Dateien:
c:\WINDOWS\system32\xxyxUnnk.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\albwiwdi.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\idwiwbla.ini (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\kxqhxbrc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\crbxhqxk.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nnnoPHxX.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\XxHPonnn.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\XxHPonnn.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nwushomf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fmohsuwn.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FSWV5B8U\kriv[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0145529.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0145530.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0146808.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0146907.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0147499.dll (Trojan.AVKiller) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0147501.dll (Trojan.AVKiller) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0147502.dll (Trojan.AVKiller) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0147503.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\glujynqv.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xkvubexi.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\04152008_233934\WINDOWS\sy stem32\srojujil.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\Desktopvirii\Trojan-Downloader.Win32.Agent.bl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\Desktopvirii\Trojan-Downloader.Win32.Agent.p.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\Desktopvirii\Trojan-Downloader.Win32.Agent.r.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\Desktopvirii\Trojan-Downloader.Win32.Agent.t.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\Desktopvirii\Trojan-Downloader.Win32.Agent.v.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\System32bdn.com (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\System32hxiwlgpm.dat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\System32ssvchost.com (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\System32taack.dat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\System32VBIEWER.OCX (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\Desktopblackbird.jpg (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\DesktopEditorFKWP1.5.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\DesktopEditorFKWP2.0.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\Desktopfilemanagerclient.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\Desktopfkwp1.5.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\Desktopfkwp2.0.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\Desktopfwebd.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\DesktopFWebdEditor.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andreas\DesktopTrojan.Win32.BlackBir d.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\extra\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
--------------------------------------------------------------------------------------------------------------------
combofix:
ComboFix 08-04-16.5 - Anja 2008-04-17 21:58:26.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.627 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Anja\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\AKUDNXbc.ini
C:\WINDOWS\system32\AKUDNXbc.ini2
C:\WINDOWS\system32\albwiwdi.dll
C:\WINDOWS\system32\enexaomx.ini
C:\WINDOWS\system32\idwiwbla.ini
C:\WINDOWS\system32\llkkknpo.ini
C:\WINDOWS\system32\llkkknpo.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\Mlkf.dll
C:\WINDOWS\system32\nnnoPHxX.dll
C:\WINDOWS\system32\sbgcyfvk.ini
C:\WINDOWS\system32\sdhocqib.ini
C:\WINDOWS\system32\SrsBcfii.ini
C:\WINDOWS\system32\SrsBcfii.ini2
C:\WINDOWS\system32\ulselibk.ini
C:\WINDOWS\system32\XxHPonnn.ini
C:\WINDOWS\system32\XxHPonnn.ini2
C:\WINDOWS\system32\xxyxUnnk.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-03-17 bis 2008-04-17 ))))))))))))))))))))))))))))))
.
2008-04-17 19:24 . 2008-04-17 19:24<DIR>d--------C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Malwarebytes
2008-04-17 19:23 . 2008-04-17 19:23<DIR>d--------C:\Programme\Malwarebytes' Anti-Malware
2008-04-17 19:23 . 2008-04-17 19:23<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-16 19:58 . 2008-04-17 22:04284,704--ahs----C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-16 19:58 . 2008-04-17 22:025,432--ahs----C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-16 19:56 . 2008-04-16 19:56<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-04-16 19:37 . 2008-04-16 19:37<DIR>d--------C:\Programme\Yahoo!
2008-04-15 23:12 . 2008-04-15 23:12<DIR>d--------C:\_OTMoveIt
2008-04-15 23:02 . 2008-04-15 23:021,602,593---hs----C:\WINDOWS\system32\rhnjblqh.ini
2008-04-13 15:05 . 2008-04-13 22:21375--a------C:\WINDOWS\wininit.ini
2008-04-13 14:04 . 2008-04-13 21:28<DIR>d--------C:\Programme\Spybot - Search & Destroy
2008-04-13 14:04 . 2008-04-14 18:41<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-12 22:35 . 2008-04-12 22:353,648--a------C:\WINDOWS\system32\ipqmvxuc.dll
2008-04-12 20:26 . 2008-04-16 20:00<DIR>d--------C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\TmpRecentIcons
2008-04-12 20:02 . 2008-04-12 20:02<DIR>d--------C:\Dokumente und Einstellungen\extra\Anwendungsdaten\TmpRecentIcons
2008-04-12 20:00 . 2008-04-12 20:01<DIR>dr-------C:\Dokumente und Einstellungen\extra\Eigene Dateien
2008-04-12 19:59 . 2006-12-15 19:36<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Vorlagen
2008-04-12 19:59 . 2006-12-15 19:25<DIR>dr-------C:\Dokumente und Einstellungen\extra\Startmen
2008-04-12 19:59 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Netzwerkumgebung
2008-04-12 19:59 . 2008-04-17 22:00<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Lokale Einstellungen
2008-04-12 19:59 . 2008-04-13 15:09<DIR>dr-------C:\Dokumente und Einstellungen\extra\Favoriten
2008-04-12 19:59 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Druckumgebung
2008-04-12 19:59 . 2008-02-24 21:07<DIR>d--------C:\Dokumente und Einstellungen\extra\Anwendungsdaten\Apple Computer
2008-04-12 19:59 . 2008-04-12 20:24<DIR>dr-h-----C:\Dokumente und Einstellungen\extra\Anwendungsdaten
2008-04-12 19:59 . 2008-04-12 20:00<DIR>d--------C:\Dokumente und Einstellungen\extra
2008-04-12 09:18 . 2006-12-15 19:36<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-12 09:18 . 2006-12-15 19:25<DIR>dr-------C:\Dokumente und Einstellungen\Administrator\Startmen
2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-12 09:18 . 2008-04-17 22:00<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-12 09:18 . 2008-02-24 21:07<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-04-12 09:18 . 2008-02-24 21:07<DIR>dr-h-----C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-12 09:18 . 2008-04-12 09:18<DIR>d--------C:\Dokumente und Einstellungen\Administrator
2008-04-12 02:07 . 2008-04-12 02:073,648--a------C:\WINDOWS\system32\dpggccwj.dll
2008-04-12 01:10 . 2008-04-15 23:39<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2008-04-17 20:05---------d-----wC:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-13 11:29---------d-----wC:\Programme\Google
2008-04-10 04:30---------d-----wC:\Programme\a-squared Free
2008-04-08 16:28---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-04-07 16:5494,208----a-wC:\WINDOWS\DUMPedff.tmp
2008-04-02 17:21---------d-----wC:\Programme\Java
2008-03-20 08:031,845,376----a-wC:\WINDOWS\system32\win32k.sys
2008-03-06 20:32706----a-wC:\WINDOWS\system32\drivers\COH_Mon.inf
2008-03-06 20:3223,904----a-wC:\WINDOWS\system32\drivers\COH_Mon.sys
2008-03-06 20:3210,537----a-wC:\WINDOWS\system32\drivers\COH_Mon.cat
2008-03-03 19:42---------d-----wC:\Programme\FolderAccess
2008-03-01 19:07---------d-----wC:\Programme\QuickTime
2008-03-01 12:54826,368----a-wC:\WINDOWS\system32\wininet.dll
2008-02-24 18:27---------d-----wC:\Programme\Picasa2
2008-02-24 18:08---------d-----wC:\Programme\iTunes
2008-02-24 18:08---------d-----wC:\Programme\iPod
2008-02-24 18:07---------d-----wC:\Programme\Bonjour
2008-02-24 18:07---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-02-24 18:03---------d-----wC:\Programme\Apple Software Update
2008-02-24 18:02---------d-----wC:\Programme\Gemeinsame Dateien\Apple
2008-02-24 18:02---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-02-20 06:50282,624----a-wC:\WINDOWS\system32\gdi32.dll
2008-02-20 05:3345,568----a-wC:\WINDOWS\system32\dnsrslvr.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2A19F993-92A0-4018-B651-8B67B4EF1844}]
C:\WINDOWS\system32\iifcBsrS.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DBE9B725-4F74-430A-A475-ED52B0DB77D6}]
C:\WINDOWS\system32\opnkkkll.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\G oogleToolbarNotifier.exe" [2007-07-27 19:35 68856]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"CTSysVol"="C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe" [2003-09-17 11:43 57344]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 12:50 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2006-10-22 13:22 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_0 5\bin\jusched.exe" [2008-02-22 04:25 144784]
"PDUiP6600DMon"="C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe" [2005-05-25 10:35 69632]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10 409600]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33 57344]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetecto r.exe" [2007-06-16 01:15 366400]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 23:59 115816]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2001-08-27 15:44 1838592]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-02-06 01:52 849280]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"Cmaudio"="cmicnfg.cpl" []
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-02 19:27 185896]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.e xe" [2008-02-19 14:10 267048]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"AVP"="C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer\run]
"WiH7LajRFL"= C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~ 1.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2002-02-13 13:18]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSch edulerSvc.exe" [2007-09-26 11:53]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmpor t.sys [2001-10-23 00:00]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-06-08 02:00]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2005-06-08 03:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2005-06-08 02:00]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2005-06-08 03:00]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2002-02-13 13:18]
S2 setup_7.0.0.180_16.04.2008_19-42;setup_7.0.0.180_16.04.2008_19-42;"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" -r []
*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-02-24 18:03:56 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
************************************************** ************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, https://www.gmer.net
Rootkit scan 2008-04-17 22:05:38
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
D:\Programme\Casio\Plauto.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\imapi.exe
.
************************************************** ************************
.
Zeit der Fertigstellung: 2008-04-17 22:11:51 - machine was rebooted [Anja]
ComboFix-quarantined-files.txt 2008-04-17 20:11:30
10 Verzeichnis(se), 19,507,855,360 Bytes frei
13 Verzeichnis(se), 19,428,413,440 Bytes frei
.
2008-04-09 04:42:54--- E O F ---
viele Grüße
hiddenbayboy
Benutzer
seit: 18.01.2008
Beiträge: 174
Re: was schlimmes eingefangen!
Hallo
Start-ausführen-tippe: notepad
--> Ok drücken
kopiere rein (ohne das Wort Code, nur das grüne, scrolle auch etwas runter):
Code:
KILLALL::
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2A19F993-92A0-4018-B651-8B67B4EF1844}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DBE9B725-4F74-430A-A475-ED52B0DB77D6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"WiH7LajRFL"=-
File::
C:\WINDOWS\system32\dpggccwj.dll
C:\WINDOWS\system32\iifcBsrS.dll
C:\WINDOWS\system32\opnkkkll.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo
Speichere die Datei als cfscript.txt (all files/alle Dateien) auf dem Desktop
boote in den abgesicherten Modus
cfscript.txt nun im abgesicherten Modus mit der rechten Maustaste auf das Symbol von Combofix ziehen
https://www.kabusoft.de/paules-upload...2/cfscript.gif
Combofix nun direkt nochmal ausführen im abgesicherten Modus - tippe 1
Nach Neustart in den Normalmodus:
ComboFix nun entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
CounterSpy installieren, update , boote in den abgesicherten Modus, Starte CounterSpy, voller Scan, wähle immer REMOVE
https://www.paules-pc-infothek.de/ppf2/v ... php?t=1201
Nach Neustart poste den Report hier
Scanreport finden:
klicke : View details
diesen Report kann man abkopieren: [mit der linken Maus-Taste über den Text fahren -> rechte Maustaste -> kopieren -> hier im Thread -> rechte Maustaste -> einfügen]
Scanne Online mit Bitdefender
https://www.bitdefender.com/scan8/ie.html
Internetexplorer (auf I agree klicken / active x zulassen)
Report posten
Ändere nun alle wichtigen Passwörter
poste einen neuen HijackThis log
Themenstarter
Benutzer
seit: 13.04.2008
Beiträge: 11
Re: was schlimmes eingefangen!
hallo humdinger
alles erledigt
hier meine posts
ComboFix 08-04-16.5 - Anja 2008-04-18 20:29:08.2 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.823 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Anja\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Anja\Desktop\cfscript.txt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
C:\WINDOWS\system32\dpggccwj.dll
C:\WINDOWS\system32\iifcBsrS.dll
C:\WINDOWS\system32\opnkkkll.dll
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.zip
C:\WINDOWS\system32\dpggccwj.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 ))))))))))))))))))))))))))))))
.
2008-04-17 19:24 . 2008-04-17 19:24<DIR>d--------C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Malwarebytes
2008-04-17 19:23 . 2008-04-17 19:23<DIR>d--------C:\Programme\Malwarebytes' Anti-Malware
2008-04-17 19:23 . 2008-04-17 19:23<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-16 19:58 . 2008-04-18 20:36505,888--ahs----C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-16 19:58 . 2008-04-18 20:267,976--ahs----C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-16 19:56 . 2008-04-16 19:56<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-04-16 19:37 . 2008-04-16 19:37<DIR>d--------C:\Programme\Yahoo!
2008-04-15 23:12 . 2008-04-15 23:12<DIR>d--------C:\_OTMoveIt
2008-04-15 23:02 . 2008-04-15 23:021,602,593---hs----C:\WINDOWS\system32\rhnjblqh.ini
2008-04-13 15:05 . 2008-04-13 22:21375--a------C:\WINDOWS\wininit.ini
2008-04-13 14:04 . 2008-04-13 21:28<DIR>d--------C:\Programme\Spybot - Search & Destroy
2008-04-13 14:04 . 2008-04-14 18:41<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-12 22:35 . 2008-04-12 22:353,648--a------C:\WINDOWS\system32\ipqmvxuc.dll
2008-04-12 20:26 . 2008-04-16 20:00<DIR>d--------C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\TmpRecentIcons
2008-04-12 20:02 . 2008-04-12 20:02<DIR>d--------C:\Dokumente und Einstellungen\extra\Anwendungsdaten\TmpRecentIcons
2008-04-12 20:00 . 2008-04-12 20:01<DIR>dr-------C:\Dokumente und Einstellungen\extra\Eigene Dateien
2008-04-12 19:59 . 2006-12-15 19:36<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Vorlagen
2008-04-12 19:59 . 2006-12-15 19:25<DIR>dr-------C:\Dokumente und Einstellungen\extra\Startmen
2008-04-12 19:59 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Netzwerkumgebung
2008-04-12 19:59 . 2008-04-17 22:11<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Lokale Einstellungen
2008-04-12 19:59 . 2008-04-13 15:09<DIR>dr-------C:\Dokumente und Einstellungen\extra\Favoriten
2008-04-12 19:59 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Druckumgebung
2008-04-12 19:59 . 2008-02-24 21:07<DIR>d--------C:\Dokumente und Einstellungen\extra\Anwendungsdaten\Apple Computer
2008-04-12 19:59 . 2008-04-12 20:24<DIR>dr-h-----C:\Dokumente und Einstellungen\extra\Anwendungsdaten
2008-04-12 19:59 . 2008-04-12 20:00<DIR>d--------C:\Dokumente und Einstellungen\extra
2008-04-12 09:18 . 2006-12-15 19:36<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-12 09:18 . 2006-12-15 19:25<DIR>dr-------C:\Dokumente und Einstellungen\Administrator\Startmen
2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-12 09:18 . 2008-04-17 22:11<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-12 09:18 . 2008-02-24 21:07<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-04-12 09:18 . 2008-02-24 21:07<DIR>dr-h-----C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-12 09:18 . 2008-04-12 09:18<DIR>d--------C:\Dokumente und Einstellungen\Administrator
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2008-04-17 20:08---------d-----wC:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-13 11:29---------d-----wC:\Programme\Google
2008-04-10 04:30---------d-----wC:\Programme\a-squared Free
2008-04-08 16:28---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-04-07 16:5494,208----a-wC:\WINDOWS\DUMPedff.tmp
2008-04-02 17:21---------d-----wC:\Programme\Java
2008-03-20 08:031,845,376----a-wC:\WINDOWS\system32\win32k.sys
2008-03-06 20:32706----a-wC:\WINDOWS\system32\drivers\COH_Mon.inf
2008-03-06 20:3223,904----a-wC:\WINDOWS\system32\drivers\COH_Mon.sys
2008-03-06 20:3210,537----a-wC:\WINDOWS\system32\drivers\COH_Mon.cat
2008-03-03 19:42---------d-----wC:\Programme\FolderAccess
2008-03-01 19:07---------d-----wC:\Programme\QuickTime
2008-03-01 12:54826,368----a-wC:\WINDOWS\system32\wininet.dll
2008-02-24 18:27---------d-----wC:\Programme\Picasa2
2008-02-24 18:08---------d-----wC:\Programme\iTunes
2008-02-24 18:08---------d-----wC:\Programme\iPod
2008-02-24 18:07---------d-----wC:\Programme\Bonjour
2008-02-24 18:07---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-02-24 18:03---------d-----wC:\Programme\Apple Software Update
2008-02-24 18:02---------d-----wC:\Programme\Gemeinsame Dateien\Apple
2008-02-24 18:02---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-02-20 06:50282,624----a-wC:\WINDOWS\system32\gdi32.dll
2008-02-20 05:3345,568----a-wC:\WINDOWS\system32\dnsrslvr.dll
.
((((((((((((((((((((((((((((( snapshot@2008-04-17_22.11.00.89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-17 20:03:582,048--s-a-wC:\WINDOWS\bootstat.dat
+ 2008-04-18 18:32:482,048--s-a-wC:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\G oogleToolbarNotifier.exe" [2007-07-27 19:35 68856]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"CTSysVol"="C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe" [2003-09-17 11:43 57344]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 12:50 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2006-10-22 13:22 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_0 5\bin\jusched.exe" [2008-02-22 04:25 144784]
"PDUiP6600DMon"="C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe" [2005-05-25 10:35 69632]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10 409600]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33 57344]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetecto r.exe" [2007-06-16 01:15 366400]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 23:59 115816]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2001-08-27 15:44 1838592]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-02-06 01:52 849280]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"Cmaudio"="cmicnfg.cpl" []
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-02 19:27 185896]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.e xe" [2008-02-19 14:10 267048]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"AVP"="C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~ 1.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2002-02-13 13:18]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSch edulerSvc.exe" [2007-09-26 11:53]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmpor t.sys [2001-10-23 00:00]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-06-08 02:00]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2005-06-08 03:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2005-06-08 02:00]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2005-06-08 03:00]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2002-02-13 13:18]
S2 setup_7.0.0.180_16.04.2008_19-42;setup_7.0.0.180_16.04.2008_19-42;"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" -r []
*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-02-24 18:03:56 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
************************************************** ************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, https://www.gmer.net
Rootkit scan 2008-04-18 20:35:15
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Casio\Plauto.exe
.
************************************************** ************************
.
Zeit der Fertigstellung: 2008-04-18 20:44:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-18 18:44:23
ComboFix2.txt 2008-04-17 20:11:53
10 Verzeichnis(se), 20,523,991,040 Bytes frei
13 Verzeichnis(se), 19,434,975,232 Bytes frei
.
2008-04-09 04:42:54--- E O F --- ---------------------------------------------------------------------------------------
Counterspy
Scan History Details
Start Date: 18.04.2008 21:37:19
End Date: 18.04.2008 22:50:13
Total Time: 72 Min 54 Sec
Detected security risks
KaZaA P2P Program more information...
Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted
Registry entries detected
HKEY_USERS\S-1-5-21-515967899-1993962763-1343024091-1005\SOFTWARE\KAZAA
HKEY_USERS\S-1-5-21-515967899-1993962763-1343024091-1005\SOFTWARE\KAZAA\LocalContent
CWS.DesktopHijack Adware (General) more information...
Details: CWS.DesktopHijack hijacks the Internet Explorer home page and search page, installs a toolbar, and hijacks the desktop to display deceptive ads for rogue security products.
Status: Deleted
Registry entries detected
HKEY_USERS\S-1-5-21-515967899-1993962763-1343024091-1005\SOFTWARE\MICROSOFT\INTERNET EXPLORER\DESKTOP\GENERAL
Bifrost Backdoor more information...
Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers.
Status: Deleted
Registry entries detected
HKEY_USERS\S-1-5-21-515967899-1993962763-1343024091-1005\SOFTWARE\WGET
Cookie: Tracking Cookies Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted
Cookies detected
c:\dokumente und einstellungen\andreas\cookies\andreas@888[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@ad.yieldmana ger[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@adriver[2].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@ads.pointrol l[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@amazon[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@amazon[2].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@apmebf[2].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@atdmt[2].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@doubleclick[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@emjcd[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@geo[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@geocities[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@go[2].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@impresionesw eb[2].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@list[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@mediaplex[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@overture[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@partygaming. 122.2o7[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@partypoker[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@revsci[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@sextracker[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@statcounter[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@www.miniclip[1].txt
c:\dokumente und einstellungen\andreas\cookies\andreas@xiti[1].txt
BitDefender Online Scanner
Scan report generated at: Sat, Apr 19, 2008 - 00:43:08
Scan path: A:\;C:\;D:\;E:\;F:\;
Statistics
Time01:25:38
Files264561
Folders5989
Boot Sectors3
Archives5150
Packed Files13481
Results
Identified Viruses 1
Infected Files 1
Suspect Files 0
Warnings0
Disinfected0
Deleted Files1
Engines Info
Virus Definitions1160198
Engine buildAVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Scan plugins16
Archive plugins41
Unpack plugins7
E-mail plugins6
System plugins5
Scan Settings
First ActionDisinfect
Second ActionDelete
HeuristicsYes
Enable WarningsYes
Scanned Extensions*;
Exclude Extensions
Scan EmailsYes
Scan ArchivesYes
Scan PackedYes
Scan FilesYes
Scan BootYes
Scanned File Status
C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Prof iles\y75znkuu.default\Cache\C2152591d01=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexeDetected with: Spyware.Tool.Nircmd.A
C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Prof iles\y75znkuu.default\Cache\C2152591d01=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexeDeleted
C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Prof iles\y75znkuu.default\Cache\C2152591d01=>(RAR Sfx o)Update failed
Logfile of HijackThis v1.99.1
Scan saved at 05:31:13, on 19.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
D:\Programme\Casio\Plauto.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AVP] "C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C :\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - https://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: setup_7.0.0.180_16.04.2008_19-42 - Unknown owner - C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" -r (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
gruß
hiddenbayboy
Benutzer
seit: 18.01.2008
Beiträge: 174
Re: was schlimmes eingefangen!
Hallo
Sehr gut gemacht
Info zu diesem Fund:
Bifrost Backdoor more information...
Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers.
Status: Deleted
Registry entries detected
HKEY_USERS\S-1-5-21-515967899-1993962763-1343024091-1005\SOFTWARE\WGET
Das ist eine Fehlerkennung von CounterSpy, Es handelt sich nicht um Bifrost, sondern wird durch den Einsatz von ComboFix verursacht. Ist also harmlos.
Mach noch folgendes:
Falls noch nicht gemacht:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten
O4 - HKLM\..\Run: [AVP] "C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - https://download.bitdefender.com/resourc ... oscan8.cab
O23 - Service: setup_7.0.0.180_16.04.2008_19-42 - Unknown owner - C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" -r (file missing)
Nun zuerst die
Systemwiederherstellung
https://support.microsoft.com/default.as ... ;de;310405
zuerst deaktivieren , dann wieder aktivieren
Wenn der Computer z. B. mit einem Virus infiziert ist, kann es sein, dass der Virus durch die Systemwiederherstellung gesichert wird. Windows verhindert standardmäßig, dass die Systemwiederherstellung von anderen Programmen verändert wird. Es ist daher möglich, dass eine mit einem Virus infizierte Datei versehentlich wiederhergestellt wird.
Es sollte dann wieder in Ordnung sein.
Die hier verwendeten Programme können dann wieder deinstalliert/entfernt werden. CounterSpy kann man zwei Wochen verwenden, dann entweder kaufen (ist schon sehr gut) oder deinstallieren.
Tipp: Nutze in Zukunft immer zusätzlich die Freeware Sandboxie, damit sich das System nichts mehr einfängt. Bei einigen Virenscannern muss das unter vertrauenswürdige Anwendungen eingetragen werden, bzw. in der verwendeten Firewall freigegeben werden.
https://www.paules-pc-infothek.de/ppf2/v ... php?t=1136
Lese auch mal: Zusammenstellung: Wie mache ich meinen PC sicher?
https://www.paules-pc-infothek.de/ppf2/v ... .php?t=872
Danke für die tolle Umsetzung meiner Anleitung
Alles Gute.
Themenstarter
Benutzer
seit: 13.04.2008
Beiträge: 11
Re: was schlimmes eingefangen!
hallo Humdinger
vielen Dank nochmal für Deine Mühe und Zeit. Es hat echt prima geklappt ( Du hast mich ja auch quasi "an der Hand geführt")
eine Frage noch:
weißt Du ein gutes Programm ( evtl. free)mit dem ich Windows bzw. den Bootvorgang schneller machen kann?
ich hatte mal Norton System Works (One Button Checkup). So was ähnliches suche ich. Ich glaube das war ganz gut.
Also nochmals Danke
vielleicht liest man ja mal wieder was voneinander
Du bist ja oft im Forum
liebe Grüße
hiddenbayboy
Benutzer
seit: 18.01.2008
Beiträge: 174
Re: was schlimmes eingefangen!
Sowas kenne ich nicht. Microsoft hat nicht ohne Grund sein eigenes Tool Bootvis damals vom Markt genommen. Also nicht verwenden. Was helfen kann, ist das System im abgesicherten Modus mal vollständig zu defragmentieren.
Ach ja, die Norton Produkte verlangsamen das System, ich würde das deinstallieren und nicht mehr verwenden.
Ähnliche Themen
Von bernd im Forum Antivirus und PC Sicherheit
Antworten: 4
Letzter Beitrag: 14.04.2013, 17:19
Von Mr.Cheese im Forum Antivirus und PC Sicherheit
Antworten: 6
Letzter Beitrag: 14.01.2011, 07:50
Von noname im Forum Antivirus und PC Sicherheit
Antworten: 3
Letzter Beitrag: 25.12.2010, 18:56
Von kosta17 im Forum Antivirus und PC Sicherheit
Antworten: 13
Letzter Beitrag: 20.08.2010, 22:58
Von im Forum Antivirus und PC Sicherheit
Antworten: 5
Letzter Beitrag: 04.04.2006, 12:19