HijackThis.de Support Board

HijackThis.de Support Board http://www.hijackthis-forum.de/ Besucher können hier HijackThis Logfiles kostenlos und automatisch auswerten. de Tue, 09 Feb 2010 11:22:07 GMT vBulletin 60 http://www.hijackthis-forum.de/images/misc/rss.png HijackThis.de Support Board http://www.hijackthis-forum.de/ Kritische Lücke in Novell NetStorage http://www.hijackthis-forum.de/security-newsticker/42457-kritische-luecke-novell-netstorage.html Tue, 09 Feb 2010 11:00:14 GMT Novell hat auf eine kritische Sicherheitslücke in NetStorage hingewiesen, durch die ein Angreifer ein System aus der Ferne kompromittieren kann. Ein Patch schließt die Lücke.Bild: http://rss.feedsportal.com/c/32407/f/463925/s/907c0f1/mf.gif Bild: http://rss.feedsportal.com/images/emailthis2.gif ... Novell hat auf eine kritische Sicherheitslücke in NetStorage hingewiesen, durch die ein Angreifer ein System aus der Ferne kompromittieren kann. Ein Patch schließt die Lücke.

Weiterlesen... ]]> Security Newsticker Newsbot http://www.hijackthis-forum.de/security-newsticker/42457-kritische-luecke-novell-netstorage.html Windows XP Überprüfung meines LogFiles http://www.hijackthis-forum.de/hijackthis-logfiles/42456-uberpruefung-meines-logfiles.html Tue, 09 Feb 2010 10:16:58 GMT Hi... da ich ein totaler Laie bin, was PC´s betrifft möchte ich gerne jemanden bitten über mein LogFile zu schauen was nicht in Ordnung ist bzw. was gelöscht werden kann... Mfg FredvonEd Hi...

da ich ein totaler Laie bin, was PC´s betrifft möchte ich gerne jemanden bitten über mein LogFile zu schauen was nicht in Ordnung ist bzw. was gelöscht werden kann...

Mfg
FredvonEd

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:56:27, on 09.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Drivers\web'n'walk Manager\DataCardMonitor.exe
D:\Drivers\iTunesHelper.exe
C:\Programme\OneClick Spyware Expert\spywareexpert.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Drivers\web'n'walk Manager\WTGU.exe
C:\Dokumente und Einstellungen\CarstenHome\Anwendungsdaten\Dropbox\bin\Dropbo x.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programme\Bonjour\mDNSResponder.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DataCardMonitor] D:\Drivers\web'n'walk Manager\DataCardMonitor.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Drivers\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [OC SpywareExpert] "C:\Programme\OneClick Spyware Expert\spywareexpert.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\CarstenHome\Anwendungsdaten\Dropbox\bin\Dropbo x.exe
O4 - Global Startup: WTGU.lnk = D:\Drivers\web'n'walk Manager\WTGU.exe
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 7110 bytes ]]> HijackThis Logfiles FredvonEd http://www.hijackthis-forum.de/hijackthis-logfiles/42456-uberpruefung-meines-logfiles.html Adobe entschuldigt sich für ungepatchte Schwachstelle in Flash http://www.hijackthis-forum.de/security-newsticker/42455-adobe-entschuldigt-sich-fuer-ungepatchte-schwachstelle-flash.html Tue, 09 Feb 2010 10:00:08 GMT Adobe tritt die Flucht nach vorne an und entschuldigt sich offiziell dafür, dass es einen seit 2008 bekannten Fehler im Flash-Plug-in nicht beseitigt hat. Grund der Verzögerung seien Problem bei der internen Abstimmung gewesen.Bild: http://rss.feedsportal.com/c/32407/f/463925/s/9076d80/mf.gif Bild:... Adobe tritt die Flucht nach vorne an und entschuldigt sich offiziell dafür, dass es einen seit 2008 bekannten Fehler im Flash-Plug-in nicht beseitigt hat. Grund der Verzögerung seien Problem bei der internen Abstimmung gewesen.

Weiterlesen... ]]> Security Newsticker Newsbot http://www.hijackthis-forum.de/security-newsticker/42455-adobe-entschuldigt-sich-fuer-ungepatchte-schwachstelle-flash.html Windows 7 Bitte um Kontrollblick http://www.hijackthis-forum.de/hijackthis-logfiles/42454-bitte-um-kontrollblick.html Tue, 09 Feb 2010 08:54:39 GMT Hallo nach größeren Angriff über verseuchte I.Seite (Phising) wollte ich mal fragen ob jemand einen Blick übers Logfile machen könnte. Kaspersky meldet keinen Befall. Laut Fragen an Betroffene hatten sie beim Besuch der Seite auch keine Abfrage nach irgendwelchen Downloads oder ähnlichen und... Hallo nach größeren Angriff über verseuchte I.Seite (Phising) wollte ich mal fragen ob jemand einen Blick übers Logfile machen könnte. Kaspersky meldet keinen Befall. Laut Fragen an Betroffene hatten sie beim Besuch der Seite auch keine Abfrage nach irgendwelchen Downloads oder ähnlichen und trotzdem wurden ihre Chatnicks geklaut und weitere Unfug damit getrieben. Schadcode soll wohl in Systemdateien abgelegt worden sein. Als Tip wurde genannt Java deinstallieren und anschließen neu installieren (ich denke es ging um Temp. Dateien, die ich sowieso nicht auf dem Rechner belasse).
hier das Logfile:

Code:

         

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:26:43, on 09.02.2010

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16385)

Boot mode: Normal



Running processes:

C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe

C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe

C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe

C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

C:\Program Files (x86)\HP\Digital Imaging\smart web printing\hpswp_clipbook.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: LEC - {4A241D35-F7EB-401b-8C5B-A904A50F280E} - C:\Program Files (x86)\Power Translator 12\Applications\LEC IE Translation Extension.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files (x86)\WOT\WOT.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll

O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files (x86)\WOT\WOT.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"

O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r

O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files (x86)\ASUS\SmartDoctor\SmartDoctor.exe  /start

O4 - HKCU\..\Run: [Remote Control Editor] "C:\Program Files (x86)\Common Files\TerraTec\Remote\TTTvRc.exe"

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O9 - Extra button: HP Smart Web Printing ein- oder ausblenden - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O13 - Gopher Prefix: 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BFA685A3-9C99-4D4B-944D-9944DEAB43B2}: NameServer = 192.168.2.1

O18 - Protocol: haufereader - (no CLSID) - (no file)

O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Program Files (x86)\WOT\WOT.dll

O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)

O23 - Service: ASDR - Unknown owner - C:\Windows\SysWOW64\ASDR.exe

O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: ATK Fast User Switch Service (ATKFUSService) - Unknown owner - C:\Windows\system32\ATKFUSService.exe (file missing)

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\FABS.exe

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\fbserver.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\Windows\SysWOW64\drivers\pclepci.sys

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\SysWOW64\PSIService.exe

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010\RpcAgentSrv.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)



--

End of file - 12901 bytes

Danke fürs schauen ]]> HijackThis Logfiles nemo http://www.hijackthis-forum.de/hijackthis-logfiles/42454-bitte-um-kontrollblick.html Windows XP Win XP braucht sehr lange zum Booten http://www.hijackthis-forum.de/allgemeine-probleme/42450-win-xp-braucht-sehr-lange-zum-booten.html Mon, 08 Feb 2010 19:35:20 GMT Win XP Prof. braucht sehr lange zum Booten. Betriebssystem (XP Pro) sehr Unstabil und macht bei diversen Programmstarts Fehler, dies macht sich optisch bemerkbar- auf dem Dialogfenster entstehen Fehler, z.B sind die Buttons ohne Bezeichnung, wie "ok" , "speichern?", "abbrechen" usw., es sind lediglich zwei Balken übereinander zu sehen, im übrigen Fensterbereich entstehen auch unterschiedliche Fehler. Ausserdem sieht man den Mauszeiger manchmal gar nicht. Bei Multitasking Performaceabfall usw.

Ich bitte um Hilfe!

Gruss
Sailor ]]> Allgemeine Probleme sailor777 http://www.hijackthis-forum.de/allgemeine-probleme/42450-win-xp-braucht-sehr-lange-zum-booten.html Windows XP Partitionierte Festplatte zusammenfügen und wieder partitionieren http://www.hijackthis-forum.de/allgemeine-probleme/42449-partitionierte-festplatte-zusammenfuegen-und-wieder-partitionieren.html Mon, 08 Feb 2010 19:15:01 GMT Hallo, ich weiß nicht, ob ich mit dem Problem hier richtig bin...wenn nicht, wäre es schön, wenn ihr mich woanders hinverweisen könnt. Ich habe einen Laptop mit XP als Betriebssystem und möchte jetzt Windows 7 Professional installieren (und vorher natürlich den gesamten Laptop platt machen, da... Hallo, ich weiß nicht, ob ich mit dem Problem hier richtig bin...wenn nicht, wäre es schön, wenn ihr mich woanders hinverweisen könnt.

Ich habe einen Laptop mit XP als Betriebssystem und möchte jetzt Windows 7 Professional installieren (und vorher natürlich den gesamten Laptop platt machen, da er langsam und voll beladen, etc. ist).
Meine Daten habe ich alle schon gesichert.

Jetzt habe ich das Problem, dass die Festplatte (anscheinend) schon partitioniert ist, aber nicht als NTFSystem (welches ich für Windows 7 brauche). Deswegen denke ich, dass ich die Platte zusammenfügen muss und dann neu partitionieren.

Ist das richtig? Und wenn ja, wie mach ich das?:o

Vielen Dank für Eure Hilfe! ]]> Allgemeine Probleme vicky2504 http://www.hijackthis-forum.de/allgemeine-probleme/42449-partitionierte-festplatte-zusammenfuegen-und-wieder-partitionieren.html Windows XP mehrere Trojaner und spyware.possible_website_hijack http://www.hijackthis-forum.de/hijackthis-logfiles/42448-mehrere-trojaner-und-spyware-possible_website_hijack.html Mon, 08 Feb 2010 18:13:23 GMT Hallo liebe User des Forum, habe hier mal die Logfile. Es wurden mehrere Trojaner gefunden, unter anderem: Trojan-downloader: - Agent.BDBU -Zlob.ABMQ zlob. znx oder so ähnlich spyware.possible_website_hijack Hallo liebe User des Forum, habe hier mal die Logfile. Es wurden mehrere Trojaner gefunden, unter anderem:

Trojan-downloader:

- Agent.BDBU
-Zlob.ABMQ
zlob. znx oder so ähnlich

spyware.possible_website_hijack

ich habe versucht die im abgesicherten modus mit spydocter zu entfernen und scheinte auch erst zu funktioniert zu haben. Obwohl ich vorab die systemwiederherstellung auf allen Laufwerken deaktiviert hatte, kam er zurück. Hatte auch im abgesicherten modus mit netzwerktreibern mal den online scanner von trendmicro rüber laufen lassen, der hatte allerdings auch nix gefunden. Das sichtbare problem an dem ganzen ist, dass der virus ständig rauf und runterscrollt und immer wenn man was einstellen will die einstellungen verändert wie z.b. die Sprache bei der installation eines Programms...

EDIT:

Nachdem ich den PC neugestartet habe waren die Spackungen weg...die systemwiederherstellung habe ich noch ausgelassen. Ich hoffe mal, der Virus wird nicht wieder aktiv. wäre entt wenn trotzdem jemand über die logfiles guckt und mir vl sagen kann ob der virus wiederkommen wird?der pc ist nämlich nicht von mir,sondern von einem Bekannten der mit dem PC beruflich arbeiten muss und dadurch sehr viel zeit verliert...

logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:06:47, on 08.02.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16981)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\CAS-Software\Server\GWADSyncService.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe

C:\Programme\Gemeinsame Dateien\CAS-Software\Server\CASServerService.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\Programme\Gemeinsame Dateien\MSDE\MSSQL\Binn\sqlservr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Spyware Doctor\pctsAuxs.exe

C:\Programme\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Wacom_Tablet.exe

C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Programme\Spyware Doctor\pctsTray.exe

C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe

C:\WINDOWS\system32\Wacom_Tablet.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Mindjet\MindManager 8\MMReminderService.exe

C:\Programme\HP\HP UT\bin\hppusg.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINDOWS\system32\dllhost.exe

C:\Programme\Spyware Doctor\TFEngine\TFService.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\msdtc.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\dllhost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\CCleaner\ccleaner.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\WINDOWS\system32\SearchFilterHost.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe



O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 8\MMReminderService.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HPPQVideo] "C:\Programme\HP\ScheduledLaunch\HP Color LaserJet CM2320 MFP Series\bin\hppschlnch.exe" -r SOFTWARE\Hewlett-Packard\ScheduledLaunch\CLJ_CM2320_MFP_Series -f PQOptimizerVideo.xml -o remindLater

O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on /tmcp:on

O4 - HKLM\..\Run: [HPUsageTracking] "C:\Programme\HP\HP UT\bin\hppusg.exe" "C:\Programme\HP\HP UT\"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\Logitech WebCam Software\LWS.exe" /hide

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Logitech Vid] "C:\Programme\Logitech\Logitech Vid\Vid.exe" -bootmode

O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"

O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: An Mindjet MindManager senden - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: CAS Active Directory Synchronisation Service (ADSSyncService) - CAS Software AG - C:\Programme\Gemeinsame Dateien\CAS-Software\Server\GWADSyncService.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe

O23 - Service: CAS Server Manager (CASServerManager) - CAS Software AG - C:\Programme\Gemeinsame Dateien\CAS-Software\Server\CASServerService.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: MySql - Unknown owner - C:/Programme/Brieftaubenscout-Professional/Mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

O23 - Service: ThreatFire - PC Tools - C:\Programme\Spyware Doctor\TFEngine\TFService.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe



--

End of file - 9749 bytes

wäre euch sehr dankbar für hilfe

habe mal malwarebytes durchlaufe lassen. der hat noch trojaner.delf gefunden. hier die logfile:

Code:

Malwarebytes' Anti-Malware 1.44

Datenbank Version: 3709

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.11



08.02.2010 19:37:01

mbam-log-2010-02-08 (19-37-01).txt



Scan-Methode: Quick-Scan

Durchsuchte Objekte: 133912

Laufzeit: 10 minute(s), 14 second(s)



Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0



Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)



Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)



Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{adeeaf15-7fe8-dedd-3fff-4df56ebb1dfb} (Trojan.Delf) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{adeeaf15-7fe8-dedd-3fff-4df56ebb1dfb} (Trojan.Delf) -> Quarantined and deleted successfully.



Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)



Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)



Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)



Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

]]> HijackThis Logfiles henne87 http://www.hijackthis-forum.de/hijackthis-logfiles/42448-mehrere-trojaner-und-spyware-possible_website_hijack.html windows xp http://www.hijackthis-forum.de/allgemeines/42447-windows-xp.html Mon, 08 Feb 2010 14:58:36 GMT Hallo,ich habe eine Frage.Ich benutze IE und Firefox,nur leider funktioniert meine rechte maustast enur beim Firefox nicht, woran könnte das Problemliegen?MFG Hallo,ich habe eine Frage.Ich benutze IE und Firefox,nur leider funktioniert meine rechte maustast enur beim Firefox nicht,
woran könnte das Problemliegen?MFG ]]> Allgemeines mado.w http://www.hijackthis-forum.de/allgemeines/42447-windows-xp.html Polizei schließt größte chinesische Hacker-Site http://www.hijackthis-forum.de/security-newsticker/42446-polizei-schliesst-groesste-chinesische-hacker-site.html Mon, 08 Feb 2010 14:20:04 GMT Drei Betreiber wurden festgenommen. Über Black Hawk Safety Net sollen Trojaner und andere Schadprogramme verteilt worden sein. Zudem wurden Hacking-Kurse angeboten. Die Site hatte 182.000 Mitglieder. Weiterlesen...... Drei Betreiber wurden festgenommen. Über Black Hawk Safety Net sollen Trojaner und andere Schadprogramme verteilt worden sein. Zudem wurden Hacking-Kurse angeboten. Die Site hatte 182.000 Mitglieder.

Weiterlesen... ]]> Security Newsticker Newsbot http://www.hijackthis-forum.de/security-newsticker/42446-polizei-schliesst-groesste-chinesische-hacker-site.html <![CDATA[Schwachstelle in Samba ermöglicht Zugriff auf Dateien [Update]]]> http://www.hijackthis-forum.de/security-newsticker/42445-schwachstelle-samba-ermoeglicht-zugriff-auf-dateien-update.html Mon, 08 Feb 2010 13:30:03 GMT Eine Schwachstelle beim Anlegen symbolischer Links lässt sich ausnutzen, um außerhalb der erlaubten Pfade Zugriff auf Dateien zu erhalten. Die Lücke ist aber nur ausnutzbar, wenn ein Angreifer auf einem Share Schreibrechte hat.Bild: http://rss.feedsportal.com/c/32407/f/463925/s/9044b44/mf.gif Bild:... Eine Schwachstelle beim Anlegen symbolischer Links lässt sich ausnutzen, um außerhalb der erlaubten Pfade Zugriff auf Dateien zu erhalten. Die Lücke ist aber nur ausnutzbar, wenn ein Angreifer auf einem Share Schreibrechte hat.

Weiterlesen... ]]> Security Newsticker Newsbot http://www.hijackthis-forum.de/security-newsticker/42445-schwachstelle-samba-ermoeglicht-zugriff-auf-dateien-update.html Windows XP bitte logfile auswerten http://www.hijackthis-forum.de/hijackthis-logfiles/42444-bitte-logfile-auswerten.html Mon, 08 Feb 2010 13:03:17 GMT hallöchen ihr lieben, ich habe mal ein logfile angefertigt weil kaspersky bei einer datei rumspinnt, wohin gegen hijackthis da nichts gefunden hat. dieses logfile habe ich von so einem automatischen auswertungssystem begutachten lassen und das einzige was er anmeckert ist die winsys2.exe, ich... hallöchen ihr lieben,

ich habe mal ein logfile angefertigt weil kaspersky bei einer datei rumspinnt, wohin gegen hijackthis da nichts gefunden hat. dieses logfile habe ich von so einem automatischen auswertungssystem begutachten lassen und das einzige was er anmeckert ist die winsys2.exe, ich habe aber mal bisschen gegoogelt und da scheiden sich die geister was es mit der datei auf sich hat! ich würde mich trotzdem freuen wenn jemand hier mal einen blick drauf werfen könnte.

liebe grüßle
steffen

edit: habe die winsys2.exe von jottis testen lassen, bis auf einen von 20!! antivirenprogrammen, gibts da auch keine probleme!

logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:37:01, on 08.02.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\LOGI_MWX.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe

C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe

C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

C:\Programme\Keyboard Driver\StartAutorun.exe

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

C:\Programme\Keyboard Driver\KMConfig.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

C:\Programme\ATITool\ATITool.exe

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

C:\Programme\Nero\Nero8\InCD\InCDsrv.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Keyboard Driver\KMWDSrv.exe

C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

C:\Programme\Keyboard Driver\KMProcess.exe

C:\WINDOWS\system32\UAService.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\rundll32.exe

D:\HiJackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://trojaner-board.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://trojaner-board.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://trojaner-board.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://trojaner-board.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://trojaner-board.de

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\WINDOWS\TEMP\E_S91.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AdVantage Setup] C:\DOKUME~1\Stoffel\LOKALE~1\Temp\is-BLVI3.tmp\AdVantageSetup.exe

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe

O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Keyboard Driver\StartAutorun.exe KMConfig.exe

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: ATITool.lnk = C:\Programme\ATITool\ATITool.exe

O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Spiele\Voll\Denkspiele\PartyPoker\PartyPokerNet\RunPF.exe

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Spiele\Voll\Denkspiele\PartyPoker\PartyPokerNet\RunPF.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://trojaner-board.de

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://trojaner-board.de

O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://trojaner-board.de

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://trojaner-board.de

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://trojaner-board.de

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://trojaner-board.de

O17 - HKLM\System\CCS\Services\Tcpip\..\{4583C9EF-9D4A-4609-A0B3-5D3C47A5F640}: NameServer = 217.0.43.81 217.0.43.65

O17 - HKLM\System\CS1\Services\Tcpip\..\{4583C9EF-9D4A-4609-A0B3-5D3C47A5F640}: NameServer = 217.0.43.81 217.0.43.65

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll

O20 - Winlogon Notify: winmfu32 - winmfu32.dll (file missing)

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero8\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Keyboard Driver\KMWDSrv.exe

O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe



--

End of file - 10170 bytes

]]> HijackThis Logfiles SKArabäus69 http://www.hijackthis-forum.de/hijackthis-logfiles/42444-bitte-logfile-auswerten.html <![CDATA[Schwachstelle in Samba ermöglicht Zugriff auf beliebige Dateien [Update]]]> http://www.hijackthis-forum.de/security-newsticker/42443-schwachstelle-samba-ermoeglicht-zugriff-auf-beliebige-dateien-update.html Mon, 08 Feb 2010 12:30:08 GMT Eine Schwachstelle beim Anlegen symbolischer Links lässt sich ausnutzen, um außerhalb der erlaubten Pfade Zugriff auf Dateien zu erhalten. Die Lücke ist aber nur ausnutzbar, wenn ein Angreifer auf einem Share Schreibrechte hat.Bild: http://rss.feedsportal.com/c/32407/f/463925/s/903e8a9/mf.gif Bild:... Eine Schwachstelle beim Anlegen symbolischer Links lässt sich ausnutzen, um außerhalb der erlaubten Pfade Zugriff auf Dateien zu erhalten. Die Lücke ist aber nur ausnutzbar, wenn ein Angreifer auf einem Share Schreibrechte hat.

Weiterlesen... ]]> Security Newsticker Newsbot http://www.hijackthis-forum.de/security-newsticker/42443-schwachstelle-samba-ermoeglicht-zugriff-auf-beliebige-dateien-update.html China schließt Cracker-Webseite http://www.hijackthis-forum.de/security-newsticker/42442-china-schliesst-cracker-webseite.html Mon, 08 Feb 2010 11:20:12 GMT Die chinesischen Behörden haben die nach ihren Angaben "größte Trainingswebseite für Hacker" in China geschlossen. Mitglieder sollen ihr Wissen für Angriffe auf private Zugangsdaten für Spiele- und andere Unterhaltungsseiten benutzt haben.

Weiterlesen... ]]> Security Newsticker Newsbot http://www.hijackthis-forum.de/security-newsticker/42442-china-schliesst-cracker-webseite.html Windows XP Rundll Fehler beim Start http://www.hijackthis-forum.de/hijackthis-logfiles/42441-rundll-fehler-beim-start.html Mon, 08 Feb 2010 10:26:08 GMT Hallo an das Forum,

ich habe das Problem mit der aufpoppenden Fehlermeldung "RunDLL" im Zusammenhang mit einem Pfad der nicht mehr gefunden wird.

Nachdem mir Avira AntiVir ständig neue Trojaner-Meldungen schickte, entschied ich mich die Trojaner selbst zu bekämpfen. Leider bin ich überhaupt kein Experte, ich las in ein paar Foren dazu, dass man die infizierten Dateien/Orte selbst löschen könnte etc. Einer der Trojaner schien im Verzeichnis

C:/Dokumente und Einstellungen/Christian/Anwendungsdaten/Adobe/Update/inxret.dat

zu lauern, also löschte ich es, und dachte mir ebenfalls, den Adobe-Reader komplett zu deinstallieren. -->Und jetzt also diese Fehlermeldung. Ich habe mir eben HijackThis runtergeladen und folgenden Bericht (siehe unten) bekommen. Dort findet sich auch der genannte Eintrag!!

-Muss ich den jetzt löschen? Evtl. noch andere bzw. ist da noch mehr im Argen? Ich bedanke mich für jeden Hinweis von euch!!

Beste Grüße!

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:36:45, on 08.02.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Canon\IJPLM\IJPLMSVC.EXE

C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

C:\Programme\FreePDF_XP\fpassist.exe

C:\Programme\dvd43\dvd43_tray.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\QuickTime\QTTask.exe

C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe

C:\Programme\D-Link\AirPlus G\AirGCFG.exe

C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\PRISMSTA.EXE

C:\WINDOWS\Dit.exe

C:\WINDOWS\mHotkey.exe

C:\Programme\Canon\MyPrinter\BJMyPrt.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE

C:\Programme\phonostar\ps_agent.exe

C:\Programme\phonostar\ps_timer.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\DitExp.exe

C:\WINDOWS\CNYHKey.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: metaspinner GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\BUYERT~1\IEBUTT~2.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\BUYERT~1\IEBUTT~1.DLL

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background

O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe

O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe

O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [Guiprn] C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Adobe\Update\32wnd.exe

O4 - HKCU\..\Run: [Prngui] rundll32.exe "C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Adobe\Update\inxret.dat""

O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe

O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe

O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: amazon Suche - C:\Programme\Buyertools Reminder\Searchamazon.htm

O8 - Extra context menu item: amazon Suche starten - C:\Programme\Buyertools Reminder\Searchamazon.htm

O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Buyertools Reminder\SearchEbaymein.htm

O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Buyertools Reminder\SearchEbaypower.htm

O8 - Extra context menu item: eBay - Startseite - C:\Programme\Buyertools Reminder\SearchEbay.htm

O8 - Extra context menu item: eBay Suche starten - C:\Programme\Buyertools Reminder\SearchEbay.htm

O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O8 - Extra context menu item: Google Suche - C:\Programme\Buyertools Reminder\SearchGoogle.htm

O8 - Extra context menu item: Google Suche starten - C:\Programme\Buyertools Reminder\SearchGoogle.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools Reminder\ReminderIE.exe

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)

O9 - Extra button: Supreme Auction - {DFE4453A-65DF-47d5-BF37-3D0FD37FBDBB} - C:\Programme\Supreme Auction\SupremeAuction.exe (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://www.wiso-sparbuch.de/yahoo/Download/wficat.cab

O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://www.fujidirekt.de/ips-opdata/objects/jordan-canvasx.cab

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.de/ImageUploader5.cab

O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab

O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://assets.photobox.com/assets/activex/uploader_uni.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4851/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F8390EE1-4D3F-4AA4-B23F-AF346183D5CC}: NameServer = 192.168.0.1

O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



--

End of file - 11575 bytes

]]> HijackThis Logfiles bia http://www.hijackthis-forum.de/hijackthis-logfiles/42441-rundll-fehler-beim-start.html Blackberry-Spyware ermöglicht Fernsteuerung per SMS-Befehl http://www.hijackthis-forum.de/security-newsticker/42440-blackberry-spyware-ermoeglicht-fernsteuerung-per-sms-befehl.html Mon, 08 Feb 2010 10:00:07 GMT Ein Angreifer kann beispielsweise Nachrichten und Kontaktdaten stehlen. Zudem lässt sich die Position eines Nutzers via GPS ermitteln. Der Autor des Exploit Code hält RIMs Sicherheitsvorkehrungen für unzureichend. Weiterlesen...... Ein Angreifer kann beispielsweise Nachrichten und Kontaktdaten stehlen. Zudem lässt sich die Position eines Nutzers via GPS ermitteln. Der Autor des Exploit Code hält RIMs Sicherheitsvorkehrungen für unzureichend.

Weiterlesen... ]]> Security Newsticker Newsbot http://www.hijackthis-forum.de/security-newsticker/42440-blackberry-spyware-ermoeglicht-fernsteuerung-per-sms-befehl.html