#1 2. Februar 2010 Hi, eine Freundin hat ein Foto geöffnet, das halt keins war und irgendwas hat sich ihrer Meinung nach installiert und jetzt geht ihre Webcam an ohne ihr Beitun. Hab jetzt mal ein Hjackthis Log machen lassen, vllt. könnt ihr was finden: Bw ist kla Spoiler Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:10:30, on 02.02.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ7.0\ICQ.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Dokumente und Einstellungen\spitfire\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\GoogleCrashHandler.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Windows Live\Contacts\wlcomm.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\spitfire\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\spitfire\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\spitfire\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Dokumente und Einstellungen\spitfire\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\spitfire\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\spitfire\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Key] C:\WINDOWS\system32\file.exe O4 - HKLM\..\Run: [startkey] C:\svchost.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\spitfire\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.0\ICQ.exe" silent loginmode=4 O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Key] C:\WINDOWS\system32\file.exe O4 - HKCU\..\Run: [startkey] C:\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: WgaLogon,Logoff,0,WLEventLogoff - C:\WINDOWS\ O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe -- End of file - 6212 Penisbytes //Edit1: anscheinend hat sie mir nicht alles geschickt, OMG, ich liefer den Rest nach //Edit2: So jetzt ist es drinne + Multi-Zitat Zitieren
#2 2. Februar 2010 AW: Getarnte Fotodatei Das was zusehen ist ist unbedenklich + Multi-Zitat Zitieren
#3 2. Februar 2010 AW: Getarnte Fotodatei Thx BW raus, hattest du das auch gelesen nachdem ich den Rest gepostet hatte? + Multi-Zitat Zitieren
#4 2. Februar 2010 AW: Getarnte Fotodatei O4 - HKLM\..\Run: [Key] C:\WINDOWS\system32\file.exe <-- keine Standard System Datei O4 - HKCU\..\Run: [startkey] C:\svchost.exe <-- seit wann liegt die auf C:\ Wuerde bei beidem von Schadprogrammen ausgehen, besonders von letzderem.. //edit: + Multi-Zitat Zitieren
#5 2. Februar 2010 AW: Getarnte Fotodatei Würde an deiner Stelle die folgenden vier löschen! R3 - URLSearchHook: O4 - HKCU\..\Run: [startkey] C:\svchost.exe O4 - HKLM\..\Run: [startkey] C:\svchost.exe O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} + Multi-Zitat Zitieren
#6 2. Februar 2010 AW: Getarnte Fotodatei ok thx, werd ich ihr mal schreiben, man muss ihr das blos zwei mal erklären bw raus + Multi-Zitat Zitieren
#7 2. Februar 2010 AW: Getarnte Fotodatei Da war noch net alles da Deswegen auch "das was zusehen ist". Hast natürlich Recht + Multi-Zitat Zitieren
#8 2. Februar 2010 AW: Getarnte Fotodatei Das hat sie grad noch geschrieben: Code: sie (00:46:15 2/02/2010) Kamera Face Tracking Error --------------------------- Bitte stellen Sie die Kamera so ein das ihr Kopf an der oberen Kante des Kamerafenster ist damit die Bewegungserkennung Ordnungsgemäß arbeiten kann! sie (00:46:27 2/02/2010) das kommt immer dann schließt sich alles o.o allerdings weiß ich nicht ob sie schon alles gefixt hat... + Multi-Zitat Zitieren
#9 2. Februar 2010 AW: Getarnte Fotodatei Dann soll sie mal schaune das sie alles gefixed hat + Multi-Zitat Zitieren
#10 2. Februar 2010 AW: Getarnte Fotodatei ok sie beobachtet das ganze, bws sind schon mal raus + Multi-Zitat Zitieren
#11 3. Februar 2010 AW: Getarnte Fotodatei ich empfehle auch den download von malwarebytes antimalware um mal richtig zu prüfen HJT findet auch nicht unbedingt alles + Multi-Zitat Zitieren
#12 9. April 2010 AW: Getarnte Fotodatei Auch hier: Lade dir Avast runter und mache eine Boot-Zeit-Prüfung, alles was du in der GUI machst ist sinnlos. + Multi-Zitat Zitieren