Trojaner oder nichts?
- Ersteller Madmax
- Erstellt am
- Registriert
- Aug. 2007
- Beiträge
- 12.618
backdoor klingt nich gut wenns eine is, die musste schnell beseitigen^^
mach mal n hijackthis log und uploade die auf www.hijackthis.de guck obs da auch aktiv is...
dann haste noch ne gewissheit...
ich komm mir vor wie n werbeträger für malwarebytes aber scann damit^^
das findet bei fast jedem wo ich das andreh etwas (nich wie norton fake viren) und zwar mehr als spybot adaware oder antivir
mein neuer lieblings scanner der schnell is und auch hält was er verspricht, hab auch mal ne backdoor gehabt nach n windows neu machen, noch mal neu machen kam nich in frage also hab ich das mit allen scannern gejagt und beseitigt, keine neuen fundeegal womit ich jez scann....
ps spybot wird überall gehyped, taugt aber im endefekt nichts sorry das ich das so sage hab mich mit vielen leuten drum gestritten aber so ein post wie dieser beweist das ja mal wieder
edit: mächstes mal n key googlen und kein keygen nehmen
mach mal n hijackthis log und uploade die auf www.hijackthis.de guck obs da auch aktiv is...
dann haste noch ne gewissheit...
ich komm mir vor wie n werbeträger für malwarebytes aber scann damit^^
das findet bei fast jedem wo ich das andreh etwas (nich wie norton fake viren) und zwar mehr als spybot adaware oder antivir
mein neuer lieblings scanner der schnell is und auch hält was er verspricht, hab auch mal ne backdoor gehabt nach n windows neu machen, noch mal neu machen kam nich in frage also hab ich das mit allen scannern gejagt und beseitigt, keine neuen fundeegal womit ich jez scann....
ps spybot wird überall gehyped, taugt aber im endefekt nichts sorry das ich das so sage hab mich mit vielen leuten drum gestritten aber so ein post wie dieser beweist das ja mal wieder
edit: mächstes mal n key googlen und kein keygen nehmen
Zuletzt bearbeitet:
- Registriert
- März 2002
- Beiträge
- 3.838
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:17:19, on 14.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Fast.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\Widgets\YahooWidgetEngine.exe
C:\Programme\Widgets\YahooWidgetEngine.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\a-squared Free\a2free.exe
C:\Programme\TuneUp Utilities 2009\UninstallManager.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] e:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DSL 16.000.lnk = ?
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Widgets\YahooWidgetEngine.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164893489109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165428708890
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03148B7F-2406-476A-B793-399F5E4B86D4}: NameServer = 213.191.92.86 62.109.123.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{05AF7C42-E680-49F5-9340-FBF682945487}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{03148B7F-2406-476A-B793-399F5E4B86D4}: NameServer = 213.191.92.86 62.109.123.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{03148B7F-2406-476A-B793-399F5E4B86D4}: NameServer = 213.191.92.86 62.109.123.7
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Abugpgon - Emsi Software GmbH - (no file)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
--
End of file - 7774 bytes
seh hier nichts, aber kenn mich mit hijackthis nicht so aus.
Scan saved at 23:17:19, on 14.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Fast.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\Widgets\YahooWidgetEngine.exe
C:\Programme\Widgets\YahooWidgetEngine.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\a-squared Free\a2free.exe
C:\Programme\TuneUp Utilities 2009\UninstallManager.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] e:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DSL 16.000.lnk = ?
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Widgets\YahooWidgetEngine.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164893489109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165428708890
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03148B7F-2406-476A-B793-399F5E4B86D4}: NameServer = 213.191.92.86 62.109.123.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{05AF7C42-E680-49F5-9340-FBF682945487}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{03148B7F-2406-476A-B793-399F5E4B86D4}: NameServer = 213.191.92.86 62.109.123.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{03148B7F-2406-476A-B793-399F5E4B86D4}: NameServer = 213.191.92.86 62.109.123.7
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Abugpgon - Emsi Software GmbH - (no file)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
--
End of file - 7774 bytes
seh hier nichts, aber kenn mich mit hijackthis nicht so aus.
Zuletzt bearbeitet:
- Registriert
- Aug. 2007
- Beiträge
- 12.618
hmm bin kein profi was das betrift ich guck auch imma in der liste auf hijackthis de aber soweit sieht es bis auf paar fragwürdige sachen gut aus... wie gesgt jag mal malwarebytes drüber... auf 7 rechner hat der auf 5 was gefunden... teils auch auf offensichtlich versäuchten systemen das hat alle rechner sauber bekommen... kann nich anderes empfehlen... das topt antivir und alles was ich hatte... gdata, antivir, adaware, spybot ...nur mal so n paar werden alle getopt davon wenn der nix findet is es sicher sauber^^
aber wenn schon das schrottige MS tool sagt das eine backdoor dann ises auch eine das findet ja nur gezielte dinger die schon drauf sind...
aber wenn schon das schrottige MS tool sagt das eine backdoor dann ises auch eine das findet ja nur gezielte dinger die schon drauf sind...
- Registriert
- März 2002
- Beiträge
- 3.838
malwarebytes hab ich vor 2 stunden scho, beim kurzscan war glaub ich was, dann hab ich mit AVG Quarantäne und Löschen gemacht, dann malwarebytes Langtest, aber nachd er Startfestplatte (eine normale exe gemeldet) abgebrochen.
Werd ich morgen nochmal laufen lassen.
a-squared findet nichts.
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1653
Windows 5.1.2600 Service Pack 3
14.01.2009 23:44:41
mbam-log-2009-01-14 (23-44-41).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 55838
Laufzeit: 5 minute(s), 15 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Werd ich morgen nochmal laufen lassen.
a-squared findet nichts.
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1653
Windows 5.1.2600 Service Pack 3
14.01.2009 23:44:41
mbam-log-2009-01-14 (23-44-41).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 55838
Laufzeit: 5 minute(s), 15 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Zuletzt bearbeitet von einem Moderator:
(Beiträge zusammengeführt.)
- Registriert
- Juni 2007
- Beiträge
- 7.274
Waere mir neu, wenn Spybot - Search & Destroy Trojaner und aehnliches finden wuerde. Soweit ich weiss, findet es "nur" Spyware und Adware. Ansonsten kannst du ja auch mal die neue Kaspersky Rescue CD und die Avira Rescue CD probieren, wenn du dafuer einen CD-R(W) nutzen willst. Die von Kaspersky ist aber nur auf englisch, wenn ich mich nicht irre.
Btw. so eben wurde Malwarebytes' Anti-Malware 1.33 released.
Btw. so eben wurde Malwarebytes' Anti-Malware 1.33 released.
- Registriert
- März 2002
- Beiträge
- 3.838
Dann test ich heute Abend mal die Kaspersky-CD und mach einen kompletten Scan mit Malwarebytes' Anti-Malware 1.33
naja spybot is halt gegen Schädlinge laut deren Aussage, da schließe ich mal Trojaner mit ein
naja spybot is halt gegen Schädlinge laut deren Aussage, da schließe ich mal Trojaner mit ein
Zuletzt bearbeitet:
- Registriert
- Juni 2007
- Beiträge
- 7.274
Madmax schrieb:naja spybot is halt gegen Schädlinge laut deren UAssage, da schließe ich mal Trojaner mit ein
Hast recht. Steht so im Wiki auf deren Seite (auf der Hauptseite hatte ich nur Spyware gelesen). Aber Trojaner hat das Ding bei mir noch nie gefunden.
- Registriert
- März 2002
- Beiträge
- 3.838
Also hab gestern einen Scan-Marathon hinter mir 
Start mit der Kaspersky-Rescue-CD und Komplettscan: kein Befund!
Start im abgesicherten Modus: Systemwiederherstellung aus; Scan mit AVG (abgesicherter Modus, keine normale Oberfläche, eher DOS) und mit a-squared Free. Letzteres hat ein paar Sachen wie exe oder mein Amazon.url gefunden, leider war das Programm irgendwann zu und ich konnte nix in Quarantäne einsehen. AVG hat was gefunden: Windowsdatei svchost.exe, die mir AVG die letzten Monate schon mehrfach angezeigt hat Leider bestand auch bei AVG im abgesicherten Modus keine Chance in die Quarantäne zu schaun oder was zu löschen, da frag ich mich was des soll, da laufen die Programme 3 stunden und dann kann man nix machen…
Daher bin ich in den Quarantäne-Ordner von AVG auf der Platte (nicht im AVG-Ordner) und hab da die Dateien gelöscht. War natürlich ein Risiko, weil was wichtiges drin sein kann.
Naja Neustart in normalen Modus. Scan mir AVG, Malware, a-squared. NICHTS gefunden.
Hab mit AVG jetzt nur den Temp-Ordner gescannt.
Dazu muss ich sagen, dass alles vom Temp ausging, wenn es ein Trojaner ist/war. Das habe ich gemerkt, weil TuneUp Utilities 2009 beim 1-Klick-Säubern den Temp-Ordner entleert und DA ist AVG immer angesprungen,weil es Dateien wie mdm.exe und hmunmlcn15.exe findet und nicht löschen kann, hier der Screenshot https://www.computerbase.de/forum/attachments/11111111-jpg.118148/. NUR sieht man die im Temp NICHT!!
Siehe hier:
https://www.computerbase.de/forum/t...t-und-schon-gibts-ne-trojaner-meldung.413438/
Werde heute nochmal scannen.
Hab keine Ahnung ob ich was schädliches drauf hab
Der einzige Google-Treffer http://www.trojaner-board.de/64289-...der-im-temp-ordner-wie-krieg-ich-den-weg.html
Kann es sein, dass es gereicht hat, dass ich die Systemwiederherstellung aus gemacht und den AVG Quarantäne-Ordner nach dem Scan gelöscht hab???
Start mit der Kaspersky-Rescue-CD und Komplettscan: kein Befund!
Start im abgesicherten Modus: Systemwiederherstellung aus; Scan mit AVG (abgesicherter Modus, keine normale Oberfläche, eher DOS) und mit a-squared Free. Letzteres hat ein paar Sachen wie exe oder mein Amazon.url gefunden, leider war das Programm irgendwann zu und ich konnte nix in Quarantäne einsehen. AVG hat was gefunden: Windowsdatei svchost.exe, die mir AVG die letzten Monate schon mehrfach angezeigt hat Leider bestand auch bei AVG im abgesicherten Modus keine Chance in die Quarantäne zu schaun oder was zu löschen, da frag ich mich was des soll, da laufen die Programme 3 stunden und dann kann man nix machen…
Daher bin ich in den Quarantäne-Ordner von AVG auf der Platte (nicht im AVG-Ordner) und hab da die Dateien gelöscht. War natürlich ein Risiko, weil was wichtiges drin sein kann.
Naja Neustart in normalen Modus. Scan mir AVG, Malware, a-squared. NICHTS gefunden.
Hab mit AVG jetzt nur den Temp-Ordner gescannt.
Dazu muss ich sagen, dass alles vom Temp ausging, wenn es ein Trojaner ist/war. Das habe ich gemerkt, weil TuneUp Utilities 2009 beim 1-Klick-Säubern den Temp-Ordner entleert und DA ist AVG immer angesprungen,weil es Dateien wie mdm.exe und hmunmlcn15.exe findet und nicht löschen kann, hier der Screenshot https://www.computerbase.de/forum/attachments/11111111-jpg.118148/. NUR sieht man die im Temp NICHT!!
Siehe hier:
https://www.computerbase.de/forum/t...t-und-schon-gibts-ne-trojaner-meldung.413438/
Werde heute nochmal scannen.
Hab keine Ahnung ob ich was schädliches drauf hab
Der einzige Google-Treffer http://www.trojaner-board.de/64289-...der-im-temp-ordner-wie-krieg-ich-den-weg.html
Kann es sein, dass es gereicht hat, dass ich die Systemwiederherstellung aus gemacht und den AVG Quarantäne-Ordner nach dem Scan gelöscht hab???
Zuletzt bearbeitet:
- Registriert
- Juni 2007
- Beiträge
- 7.274
Wenn das Ding nur in TEMP war und nun geloescht wurde, sollte es weg sein. Die Frage ist aber immer, ob das Ding nicht was unbekanntes hinterlassen hat.
- Registriert
- März 2002
- Beiträge
- 3.838
Wenns was hinterlassen hat dann könnte man es ja finden?
Das ist auch interessant http://www.pcqanda.com/dc/dcboard.p..._id=495243&mesg_id=495243&listing_type=&page=
http://board.protecus.de/t35082.htm
http://www.google.de/search?hl=de&c...ll&resnum=1&ct=result&cd=1&q=hmunmlcl&spell=1
http://www.grabsteinschubser.de/2008/10/17/hmunmlclexe/ speziell diese Beschreibung muss ich mal testen: Firewall installieren und die Dateien aus c:\Users\Gool\AppData\Roaming\Microsoft löschen, wenn da welche sind.
Vllt. hats geholfen den Temp/Quarantäne im Abgesicherten Modus ohne Systemwiederherst. zu löschen...
Das ist auch interessant http://www.pcqanda.com/dc/dcboard.p..._id=495243&mesg_id=495243&listing_type=&page=
http://board.protecus.de/t35082.htm
http://www.google.de/search?hl=de&c...ll&resnum=1&ct=result&cd=1&q=hmunmlcl&spell=1
http://www.grabsteinschubser.de/2008/10/17/hmunmlclexe/ speziell diese Beschreibung muss ich mal testen: Firewall installieren und die Dateien aus c:\Users\Gool\AppData\Roaming\Microsoft löschen, wenn da welche sind.
Vllt. hats geholfen den Temp/Quarantäne im Abgesicherten Modus ohne Systemwiederherst. zu löschen...
Zuletzt bearbeitet:
- Registriert
- März 2002
- Beiträge
- 3.838
Logdatei von Combofix:
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
((((((((((((((((((((((( Dateien erstellt von 2008-12-16 bis 2009-01-16 ))))))))))))))))))))))))))))))
.
2009-01-16 15:31 . 2009-01-16 15:47 2,949,216 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-01-16 15:31 . 2009-01-16 15:44 35,516 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-01-16 15:19 . 2009-01-16 15:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-01-16 15:19 . 2008-08-21 20:41 72,592 --a------ c:\windows\zllsputility.exe
2009-01-16 15:19 . 2009-01-16 15:21 4,212 --ah----- c:\windows\system32\zllictbl.dat
2009-01-16 15:18 . 2009-01-16 15:19 <DIR> d-------- c:\windows\system32\ZoneLabs
2009-01-16 15:18 . 2008-08-21 20:41 1,221,008 --a------ c:\windows\system32\zpeng25.dll
2009-01-16 15:18 . 2009-01-16 15:46 348,389 --a------ c:\windows\system32\vsconfig.xml
2009-01-16 15:17 . 2009-01-16 15:42 <DIR> d-------- c:\windows\Internet Logs
2009-01-15 19:51 . 2009-01-15 19:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-01-14 22:53 . 2009-01-16 15:25 <DIR> d-------- c:\programme\a-squared Free
2009-01-14 22:16 . 2009-01-14 22:16 <DIR> d-------- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2009-01-14 22:16 . 2009-01-14 22:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-14 22:16 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-14 22:16 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-14 21:54 . 2009-01-14 21:54 <DIR> d-------- c:\programme\Trend Micro
2009-01-14 17:36 . 2009-01-14 17:36 197 --a------ c:\windows\system32\MRT.INI
2009-01-13 22:45 . 2009-01-13 22:45 54,156 --ah----- c:\windows\QTFont.qfn
2009-01-13 22:45 . 2009-01-13 22:45 1,409 --a------ c:\windows\QTFont.for
2009-01-09 15:39 . 2009-01-09 15:39 <DIR> d-------- C:\Downloads
2009-01-09 15:38 . 2009-01-09 15:38 <DIR> d-------- c:\programme\RSD_0.59
2009-01-05 20:39 . 2009-01-05 20:40 <DIR> d-------- c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2008-12-20 03:44 . 2009-01-16 15:46 <DIR> d-------- c:\dokumente und einstellungen\xxx\Tracing
2008-12-19 23:26 . 2008-12-19 23:26 <DIR> d-------- c:\programme\Microsoft
2008-12-19 19:23 . 2008-12-19 19:23 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-12-19 19:23 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll
2008-12-16 22:36 . 2008-12-16 22:36 60,819 --a------ C:\DSCF3291 (Medium).jpg
2008-12-16 22:36 . 2008-12-16 22:36 53,556 --a------ C:\DSCF3293 (Medium).jpg
2008-12-16 22:34 . 2009-01-02 17:44 98,304 --ahs---- C:\Thumbs.db
2008-12-16 22:34 . 2009-01-02 17:44 7,168 --ahs---- c:\windows\Thumbs.db
2008-12-16 21:49 . 2008-12-16 21:49 1,484,660 --a------ C:\DSCF3315.jpg
2008-12-16 21:49 . 2008-12-16 21:49 1,476,599 --a------ C:\DSCF3314.jpg
2008-12-16 21:34 . 2008-12-16 21:34 1,499,686 --a------ C:\DSCF3312.jpg
2008-12-16 21:34 . 2008-12-16 21:34 1,496,134 --a------ C:\DSCF3310.jpg
2008-12-16 21:34 . 2008-12-16 21:34 1,496,026 --a------ C:\DSCF3311.jpg
2008-12-16 21:22 . 2008-12-16 21:22 1,491,644 --a------ C:\DSCF3306.jpg
2008-12-16 21:22 . 2008-12-16 21:22 1,478,066 --a------ C:\DSCF3305.jpg
2008-12-16 21:22 . 2008-12-16 21:22 1,442,894 --a------ C:\DSCF3307.jpg
2008-12-16 21:21 . 2008-12-16 21:21 1,521,240 --a------ C:\DSCF3302.jpg
2008-12-16 21:21 . 2008-12-16 21:21 1,520,786 --a------ C:\DSCF3304.jpg
2008-12-16 21:20 . 2008-12-16 21:20 1,487,664 --a------ C:\DSCF3300.jpg
2008-12-16 21:20 . 2008-12-16 21:20 1,478,272 --a------ C:\DSCF3301.jpg
2008-12-16 21:14 . 2008-12-16 21:14 1,539,835 --a------ C:\DSCF3299.jpg
2008-12-16 21:14 . 2008-12-16 21:14 1,505,278 --a------ C:\DSCF3296.jpg
2008-12-16 21:14 . 2008-12-16 21:14 1,504,581 --a------ C:\DSCF3297.jpg
2008-12-16 20:54 . 2008-12-16 22:35 2,642,801 --a------ C:\DSCF3293.jpg
2008-12-16 20:54 . 2008-12-16 20:54 1,504,996 --a------ C:\DSCF3292.jpg
2008-12-16 20:54 . 2008-12-16 20:54 1,499,933 --a------ C:\DSCF3291.jpg
2008-12-16 20:54 . 2008-12-16 20:54 1,496,525 --a------ C:\DSCF3295.jpg
2008-12-16 20:54 . 2008-12-16 20:54 1,454,409 --a------ C:\DSCF3294.jpg
2008-12-16 20:53 . 2008-12-16 20:53 1,469,114 --a------ C:\DSCF3289.jpg
2008-12-16 20:36 . 2008-12-16 20:36 1,484,114 --a------ C:\DSCF3288.jpg
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2008-12-02 3882312]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-29 1261336]
"ZoneAlarm Client"="e:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-08-21 981904]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
--a------ 2007-08-31 17:38 140568 c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
--a------ 2007-08-31 17:43 907040 d:\programme\Acronis\TrueImageHome\TimounterMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 01:38 34672 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BackgroundSwitcher]
--a------ 2001-10-19 12:14 19520 c:\windows\system32\bgswitch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CoolSwitch]
--a--c--- 2001-10-19 12:14 45632 c:\windows\system32\TaskSwitch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 11:48 157592 d:\programme\DAEMON Tools\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 17:17 159744 c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2008-08-01 14:23 61440 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-04-22 19:47 1271032 d:\spiele\Steam\Steam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 03:25 144784 c:\programme\Java\jre1.6.0_05\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
--a------ 2007-08-31 17:35 2622232 d:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2007-04-11 14:32 56080 c:\windows\KHALMNPR.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-07-27 17:01 68096 c:\windows\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"idsvc"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"ATI Smart"=2 (0x2)
"Adobe LM Service"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"FastUser"=c:\windows\system32\fast.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiSpyWareDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Programme\\Emule\\emule.exe"=
"d:\\Programme\\LeapFTP\\LeapFTP.exe"=
"d:\\Spiele\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"d:\\Programme\\Hamachi\\hamachi.exe"=
"d:\\Spiele\\Soldier of Fortune II - Double Helix\\SoF2MP.exe"=
"d:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"d:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"d:\\Spiele\\MOHAA\\moh_spearhead.exe"=
"d:\\Spiele\\Moto GP 2 (c) THQ\\motogp2.exe"=
"d:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"d:\\Programme\\Unreal Tournament 3 Demo\\Binaries\\UT3Demo.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"=
"d:\\Spiele\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=
"d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"e:\\Programme\\utorrent-1.8-alpha-8205.upx.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"d:\\Programme\\SopCast\\SopCast.exe"=
"d:\\Programme\\TVAnts\\Tvants.exe"=
"d:\\Programme\\Codemasters\\GRID Demo\\GRID.exe"=
"d:\\Programme\\Zattoo\\zattood.exe"=
"d:\\Programme\\Zattoo\\Zattoo2.exe"=
"d:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"e:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-01-21 21512]
R0 JAHCI;JAHCI;c:\windows\system32\drivers\JAHCI.sys [2006-11-30 33280]
R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [2006-11-30 45056]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-11-23 97928]
R3 SaiH0109;SaiH0109;c:\windows\system32\drivers\SaiH0109.sys [2004-07-26 56576]
R3 SaiU0109;SaiU0109;c:\windows\system32\drivers\SaiU0109.sys [2004-07-26 19584]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [2006-11-30 28672]
R4 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-23 231704]
S3 Abugpgon;Abugpgon; [x]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-01-21 26248]
S3 jatmlano;jatmlano;\??\c:\dokume~1\MARTIN~1\LOKALE~1\Temp\jatmlano.sys --> c:\dokume~1\MARTIN~1\LOKALE~1\Temp\jatmlano.sys [?]
S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [2008-01-25 25088]
S3 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-11-30 603904]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c78c566e-4397-11dd-8f27-00138f6da0f4}]
\Shell\AutoRun\command - J:\LaunchU3.exe -a
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {3CBBEE47-C8F4-316A-92FF-ED7E3DFAE41E} /qb
.
Inhalt des "geplante Tasks" Ordners
2009-01-16 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
ShellExecuteHooks-{935FA400-243D-11D3-B06E-857B2AE2BE64} - (no file)
MSConfigStartUp-AnyDVD - c:\programme\AnyDVD\AnyDVDtray.exe
MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
MSConfigStartUp-Comodo Firewall - c:\programme\Comodo\Firewall\CPF.exe
MSConfigStartUp-GMX SMS-Manager - d:\programme\GMX\GMX SMS-Manager\SMSMngr.exe
MSConfigStartUp-Load - c:\windows\System32\drivers\cisvc.exe
MSConfigStartUp-NeroFilterCheck - c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
MSConfigStartUp-Skype - c:\programme\Skype\Phone\Skype.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://www.yahoo.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {03148B7F-2406-476A-B793-399F5E4B86D4} = 213.191.92.86 62.109.123.7
TCP: {05AF7C42-E680-49F5-9340-FBF682945487} = 192.168.0.1
c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\dokumente und einstellungen\Martin Zabransky\Anwendungsdaten\Mozilla\Firefox\Profiles\s3oote1l.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.wieistmeineip.de/start/?673ee2059e393bf258f5b08fb0191137
FF - component: c:\programme\AVG\AVG8\Firefox\components\avgssff.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1399.3742\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll
---- FIREFOX POLICIES ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-16 15:46:21
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_USERS\S-1-5-21-854245398-448539723-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:7a,30,da,be,d5,24,ab,b1,33,e1,2e,36,c6,c0,38,7e,09,35,97,fd,e0,93,1c,
ac,81,5d,33,86,e9,bd,4f,3a,01,3d,f8,25,23,d3,61,c8,54,d3,1a,41,de,f7,62,e9,\
"??"=hex:59,e5,97,70,47,08,a5,1e,f6,13,83,cc,52,0d,a6,6c
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1328)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'lsass.exe'(1400)
c:\windows\system32\relog_ap.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\programme\a-squared Free\a2service.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\oodag.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Widgets\YahooWidgetEngine.exe
c:\programme\Widgets\YahooWidgetEngine.exe
c:\programme\Windows Live\Contacts\wlcomm.exe
c:\programme\AVG\AVG8\avgrsx.exe
c:\programme\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-16 15:49:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-16 14:49:47
Vor Suchlauf: 3.354.533.888 Bytes frei
Nach Suchlauf: 3,286,212,608 Bytes frei
314 --- E O F --- 2009-01-14 16:38:24
AVG findet nix mehr
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
((((((((((((((((((((((( Dateien erstellt von 2008-12-16 bis 2009-01-16 ))))))))))))))))))))))))))))))
.
2009-01-16 15:31 . 2009-01-16 15:47 2,949,216 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-01-16 15:31 . 2009-01-16 15:44 35,516 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-01-16 15:19 . 2009-01-16 15:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-01-16 15:19 . 2008-08-21 20:41 72,592 --a------ c:\windows\zllsputility.exe
2009-01-16 15:19 . 2009-01-16 15:21 4,212 --ah----- c:\windows\system32\zllictbl.dat
2009-01-16 15:18 . 2009-01-16 15:19 <DIR> d-------- c:\windows\system32\ZoneLabs
2009-01-16 15:18 . 2008-08-21 20:41 1,221,008 --a------ c:\windows\system32\zpeng25.dll
2009-01-16 15:18 . 2009-01-16 15:46 348,389 --a------ c:\windows\system32\vsconfig.xml
2009-01-16 15:17 . 2009-01-16 15:42 <DIR> d-------- c:\windows\Internet Logs
2009-01-15 19:51 . 2009-01-15 19:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-01-14 22:53 . 2009-01-16 15:25 <DIR> d-------- c:\programme\a-squared Free
2009-01-14 22:16 . 2009-01-14 22:16 <DIR> d-------- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2009-01-14 22:16 . 2009-01-14 22:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-14 22:16 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-14 22:16 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-14 21:54 . 2009-01-14 21:54 <DIR> d-------- c:\programme\Trend Micro
2009-01-14 17:36 . 2009-01-14 17:36 197 --a------ c:\windows\system32\MRT.INI
2009-01-13 22:45 . 2009-01-13 22:45 54,156 --ah----- c:\windows\QTFont.qfn
2009-01-13 22:45 . 2009-01-13 22:45 1,409 --a------ c:\windows\QTFont.for
2009-01-09 15:39 . 2009-01-09 15:39 <DIR> d-------- C:\Downloads
2009-01-09 15:38 . 2009-01-09 15:38 <DIR> d-------- c:\programme\RSD_0.59
2009-01-05 20:39 . 2009-01-05 20:40 <DIR> d-------- c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2008-12-20 03:44 . 2009-01-16 15:46 <DIR> d-------- c:\dokumente und einstellungen\xxx\Tracing
2008-12-19 23:26 . 2008-12-19 23:26 <DIR> d-------- c:\programme\Microsoft
2008-12-19 19:23 . 2008-12-19 19:23 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-12-19 19:23 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll
2008-12-16 22:36 . 2008-12-16 22:36 60,819 --a------ C:\DSCF3291 (Medium).jpg
2008-12-16 22:36 . 2008-12-16 22:36 53,556 --a------ C:\DSCF3293 (Medium).jpg
2008-12-16 22:34 . 2009-01-02 17:44 98,304 --ahs---- C:\Thumbs.db
2008-12-16 22:34 . 2009-01-02 17:44 7,168 --ahs---- c:\windows\Thumbs.db
2008-12-16 21:49 . 2008-12-16 21:49 1,484,660 --a------ C:\DSCF3315.jpg
2008-12-16 21:49 . 2008-12-16 21:49 1,476,599 --a------ C:\DSCF3314.jpg
2008-12-16 21:34 . 2008-12-16 21:34 1,499,686 --a------ C:\DSCF3312.jpg
2008-12-16 21:34 . 2008-12-16 21:34 1,496,134 --a------ C:\DSCF3310.jpg
2008-12-16 21:34 . 2008-12-16 21:34 1,496,026 --a------ C:\DSCF3311.jpg
2008-12-16 21:22 . 2008-12-16 21:22 1,491,644 --a------ C:\DSCF3306.jpg
2008-12-16 21:22 . 2008-12-16 21:22 1,478,066 --a------ C:\DSCF3305.jpg
2008-12-16 21:22 . 2008-12-16 21:22 1,442,894 --a------ C:\DSCF3307.jpg
2008-12-16 21:21 . 2008-12-16 21:21 1,521,240 --a------ C:\DSCF3302.jpg
2008-12-16 21:21 . 2008-12-16 21:21 1,520,786 --a------ C:\DSCF3304.jpg
2008-12-16 21:20 . 2008-12-16 21:20 1,487,664 --a------ C:\DSCF3300.jpg
2008-12-16 21:20 . 2008-12-16 21:20 1,478,272 --a------ C:\DSCF3301.jpg
2008-12-16 21:14 . 2008-12-16 21:14 1,539,835 --a------ C:\DSCF3299.jpg
2008-12-16 21:14 . 2008-12-16 21:14 1,505,278 --a------ C:\DSCF3296.jpg
2008-12-16 21:14 . 2008-12-16 21:14 1,504,581 --a------ C:\DSCF3297.jpg
2008-12-16 20:54 . 2008-12-16 22:35 2,642,801 --a------ C:\DSCF3293.jpg
2008-12-16 20:54 . 2008-12-16 20:54 1,504,996 --a------ C:\DSCF3292.jpg
2008-12-16 20:54 . 2008-12-16 20:54 1,499,933 --a------ C:\DSCF3291.jpg
2008-12-16 20:54 . 2008-12-16 20:54 1,496,525 --a------ C:\DSCF3295.jpg
2008-12-16 20:54 . 2008-12-16 20:54 1,454,409 --a------ C:\DSCF3294.jpg
2008-12-16 20:53 . 2008-12-16 20:53 1,469,114 --a------ C:\DSCF3289.jpg
2008-12-16 20:36 . 2008-12-16 20:36 1,484,114 --a------ C:\DSCF3288.jpg
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2008-12-02 3882312]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-29 1261336]
"ZoneAlarm Client"="e:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-08-21 981904]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
--a------ 2007-08-31 17:38 140568 c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
--a------ 2007-08-31 17:43 907040 d:\programme\Acronis\TrueImageHome\TimounterMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 01:38 34672 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BackgroundSwitcher]
--a------ 2001-10-19 12:14 19520 c:\windows\system32\bgswitch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CoolSwitch]
--a--c--- 2001-10-19 12:14 45632 c:\windows\system32\TaskSwitch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 11:48 157592 d:\programme\DAEMON Tools\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 17:17 159744 c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2008-08-01 14:23 61440 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-04-22 19:47 1271032 d:\spiele\Steam\Steam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 03:25 144784 c:\programme\Java\jre1.6.0_05\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
--a------ 2007-08-31 17:35 2622232 d:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2007-04-11 14:32 56080 c:\windows\KHALMNPR.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-07-27 17:01 68096 c:\windows\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"idsvc"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"ATI Smart"=2 (0x2)
"Adobe LM Service"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"FastUser"=c:\windows\system32\fast.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiSpyWareDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Programme\\Emule\\emule.exe"=
"d:\\Programme\\LeapFTP\\LeapFTP.exe"=
"d:\\Spiele\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"d:\\Programme\\Hamachi\\hamachi.exe"=
"d:\\Spiele\\Soldier of Fortune II - Double Helix\\SoF2MP.exe"=
"d:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"d:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"d:\\Spiele\\MOHAA\\moh_spearhead.exe"=
"d:\\Spiele\\Moto GP 2 (c) THQ\\motogp2.exe"=
"d:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"d:\\Programme\\Unreal Tournament 3 Demo\\Binaries\\UT3Demo.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"=
"d:\\Spiele\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=
"d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"e:\\Programme\\utorrent-1.8-alpha-8205.upx.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"d:\\Programme\\SopCast\\SopCast.exe"=
"d:\\Programme\\TVAnts\\Tvants.exe"=
"d:\\Programme\\Codemasters\\GRID Demo\\GRID.exe"=
"d:\\Programme\\Zattoo\\zattood.exe"=
"d:\\Programme\\Zattoo\\Zattoo2.exe"=
"d:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"e:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-01-21 21512]
R0 JAHCI;JAHCI;c:\windows\system32\drivers\JAHCI.sys [2006-11-30 33280]
R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [2006-11-30 45056]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-11-23 97928]
R3 SaiH0109;SaiH0109;c:\windows\system32\drivers\SaiH0109.sys [2004-07-26 56576]
R3 SaiU0109;SaiU0109;c:\windows\system32\drivers\SaiU0109.sys [2004-07-26 19584]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [2006-11-30 28672]
R4 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-23 231704]
S3 Abugpgon;Abugpgon; [x]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-01-21 26248]
S3 jatmlano;jatmlano;\??\c:\dokume~1\MARTIN~1\LOKALE~1\Temp\jatmlano.sys --> c:\dokume~1\MARTIN~1\LOKALE~1\Temp\jatmlano.sys [?]
S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [2008-01-25 25088]
S3 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-11-30 603904]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c78c566e-4397-11dd-8f27-00138f6da0f4}]
\Shell\AutoRun\command - J:\LaunchU3.exe -a
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {3CBBEE47-C8F4-316A-92FF-ED7E3DFAE41E} /qb
.
Inhalt des "geplante Tasks" Ordners
2009-01-16 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
ShellExecuteHooks-{935FA400-243D-11D3-B06E-857B2AE2BE64} - (no file)
MSConfigStartUp-AnyDVD - c:\programme\AnyDVD\AnyDVDtray.exe
MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
MSConfigStartUp-Comodo Firewall - c:\programme\Comodo\Firewall\CPF.exe
MSConfigStartUp-GMX SMS-Manager - d:\programme\GMX\GMX SMS-Manager\SMSMngr.exe
MSConfigStartUp-Load - c:\windows\System32\drivers\cisvc.exe
MSConfigStartUp-NeroFilterCheck - c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
MSConfigStartUp-Skype - c:\programme\Skype\Phone\Skype.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://www.yahoo.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {03148B7F-2406-476A-B793-399F5E4B86D4} = 213.191.92.86 62.109.123.7
TCP: {05AF7C42-E680-49F5-9340-FBF682945487} = 192.168.0.1
c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\dokumente und einstellungen\Martin Zabransky\Anwendungsdaten\Mozilla\Firefox\Profiles\s3oote1l.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.wieistmeineip.de/start/?673ee2059e393bf258f5b08fb0191137
FF - component: c:\programme\AVG\AVG8\Firefox\components\avgssff.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1399.3742\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll
---- FIREFOX POLICIES ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-16 15:46:21
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_USERS\S-1-5-21-854245398-448539723-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:7a,30,da,be,d5,24,ab,b1,33,e1,2e,36,c6,c0,38,7e,09,35,97,fd,e0,93,1c,
ac,81,5d,33,86,e9,bd,4f,3a,01,3d,f8,25,23,d3,61,c8,54,d3,1a,41,de,f7,62,e9,\
"??"=hex:59,e5,97,70,47,08,a5,1e,f6,13,83,cc,52,0d,a6,6c
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1328)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'lsass.exe'(1400)
c:\windows\system32\relog_ap.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\programme\a-squared Free\a2service.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\oodag.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Widgets\YahooWidgetEngine.exe
c:\programme\Widgets\YahooWidgetEngine.exe
c:\programme\Windows Live\Contacts\wlcomm.exe
c:\programme\AVG\AVG8\avgrsx.exe
c:\programme\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-16 15:49:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-16 14:49:47
Vor Suchlauf: 3.354.533.888 Bytes frei
Nach Suchlauf: 3,286,212,608 Bytes frei
314 --- E O F --- 2009-01-14 16:38:24
AVG findet nix mehr
Zuletzt bearbeitet:
- Registriert
- Juni 2007
- Beiträge
- 7.274
Die oben angegebene Datei wuerde ich mal per Email an newvirus@kaspersky.com schicken und dann loeschen. Sieht sehr nach Trojaner aus (und google bestaetigt mich da).
- Registriert
- März 2002
- Beiträge
- 3.838
- Registriert
- Juni 2007
- Beiträge
- 7.274
Die Dateien, die da im Temp-Ordner noch zu sehen sind, sollten harmlose, normale temporaere Dateien sein. Loeschen kannste die aber ruhig.
- Registriert
- März 2002
- Beiträge
- 3.838
Beide Temp-Ordner sind leer.
Am Samstag is AVG mal angesprungen wegen diesem System Volume.. Inf. Ordner (glaub der wars), der mit den Daten der Systemwiederherstellung. Die is war zwar aus, aber 800MB Daten noch da, die hab ich gelöscht mit TuneUp, allerdings konnte er 1 Datei nicht löschen, die grad benutzt wird.
Hab SA/SO noch viel gescannt mit AVG, Malware....FINDET NICHTS!!
Außerdem positiv: hab Firewall (Zone Alarm) installiert und hab DEFINITIV KEINEN unerklärlichen/gefährlichen Traffic nach außen
Am Samstag is AVG mal angesprungen wegen diesem System Volume.. Inf. Ordner (glaub der wars), der mit den Daten der Systemwiederherstellung. Die is war zwar aus, aber 800MB Daten noch da, die hab ich gelöscht mit TuneUp, allerdings konnte er 1 Datei nicht löschen, die grad benutzt wird.
Hab SA/SO noch viel gescannt mit AVG, Malware....FINDET NICHTS!!
Außerdem positiv: hab Firewall (Zone Alarm) installiert und hab DEFINITIV KEINEN unerklärlichen/gefährlichen Traffic nach außen
- Registriert
- Juni 2007
- Beiträge
- 7.274
Dann sollte das System jetzt wieder sauber sein. Bei mir war ZoneAlarm aber so nett und hat das Internet extrem verlangsamt, ist aber auch schon ein paar Monate (Version 6.x Free) her, dass ich ZoneAlarm getestet hatte.
- Registriert
- März 2002
- Beiträge
- 3.838
Mit ZoneAlarm hatte ich mal Speedprobleme, aber momentan merk ich nix.
Also alle Scanner finden jetzt nix mehr (außer mal ne Programm-exe) und nach draussen wird nix gesendet, hab den Virus scheinbar besiegt. Danke an alle.
System ist ok, aber unter Beobachtung.
Also alle Scanner finden jetzt nix mehr (außer mal ne Programm-exe) und nach draussen wird nix gesendet, hab den Virus scheinbar besiegt. Danke an alle.
System ist ok, aber unter Beobachtung.
Ähnliche Themen
