Trojaner zugelassen

haskan · 27.03.2008, 22:55

Hallo und einen schönen Abend euch ich habe einen fatalen Fehler begangen
Ich hab ein Programm auf meinen pc gehabt den ich starten wollte was ich auch getan habe
Nachdem ich es gestartet habe kam eine Meldung von kaspersky und meldet mir das diese Datei versucht in die autoeinrtäge sich einzutragen also das es denn mit Windows mit startet da wollte ich es natürlich verbieten lassen aber da ich vor schock falsch geklickt hatte und das Programm gestartet wurde war es mir klar das die Fehlermeldung vom Programm ein Trojaner nur sein kann.
Darauf hin habe ich versucht es rückgängig zu machen was ich nicht hinbekommen hab nachdem ich mit kaspersky nicht mehr klar kam habe ich ein weiteres Programm namens trojan remover zu Hilfe genommen der mir den 2 laufende Programme beendet und gelöscht hat .nachdem löschen musste ich meinen pc neustarten was ich auch getan habe dann war ich mir nicht mehr sicher ob ich noch befallen bin oder nicht deswegen habe ich meine hijackthis Auswertungen auswerten lassen der mir nur etwas angezeigt hatte aber was ich nicht fixen soll und das ist dieser eintrag

O17 - HKLM\System\CS2\Services\Tcpip\..\{12EE2597-C322-4C24-BC1D-2306B1FE9531}: NameServer = 24.129.114.64,66.92.233.130

Kennen Sie die IP oder die Domäne '24.129.114.64,66.92.233.130' nicht, fixen.
Der Rest war sehr sicher was die Seite meinte

Nun frage ich euch ob ihr noch was findet oder ob der Trojaner überhaupt weg ist
Hier meine Auswertungen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:58, on 27.03.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\Sys\steam.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{12EE2597-C322-4C24-BC1D-2306B1FE9531}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DE46FBF-6997-4EB6-8900-16EACCA008E0}: NameServer = 212.19.48.14
O17 - HKLM\System\CS1\Services\Tcpip\..\{12EE2597-C322-4C24-BC1D-2306B1FE9531}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{12EE2597-C322-4C24-BC1D-2306B1FE9531}: NameServer = 24.129.114.64,66.92.233.130
O17 - HKLM\System\CS3\Services\Tcpip\..\{12EE2597-C322-4C24-BC1D-2306B1FE9531}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 7221 bytes

Hoffe das die beschreibung und all das hier so ist wie ihr es euch Vorgestellt habt
Mfg

Franz1968 · 28.03.2008, 08:41

Hallo,

Zitat:

Nachdem ich es gestartet habe kam eine Meldung von kaspersky und meldet mir das diese Datei versucht in die autoeinrtäge sich einzutragen

die Frage ist natürlich, welche Datei in welchem Pfad Kaspersky genannt hat und ob es auch einen bestimmten Schädling genannt hat. Sieh bitte noch mal nach.

Außerdem gehe zu Virustotal und lade dort die folgende Datei hoch:

Zitat:

C:\WINDOWS\system32\Sys\steam.exe

Danach poste hier die kompletten Ergebnisse, inkl. der MD5- und SHA1-Werte, die Virustotal mitliefert.

haskan · 28.03.2008, 13:56

Hallo und Danke Franz das du bereit bis mir zu helfen

Also kaspersky hat keinen Schädling genannt nur das er mit Windows starten wollte.

Dieses Steam.exe kam mir auch suspekt vor da ich kein Steam habe

Hier die Ergebnisse

Datei steam.exe empfangen 2008.03.28 13:44:20 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 23/32 (71.88%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.26.0 2008.03.28 -
AntiVir 7.6.0.78 2008.03.28 SPR/Ardamax.24.82
Authentium 4.93.8 2008.03.28 -
Avast 4.7.1098.0 2008.03.28 Win32:Ardamax-AG
AVG 7.5.0.516 2008.03.27 Potentially harmful program Ardamax.KZ
BitDefender 7.2 2008.03.28 Trojan.Spy.Agent.OL
CAT-QuickHeal 9.50 2008.03.28 -
ClamAV 0.92.1 2008.03.28 Trojan.Spy.Ardamax-30
DrWeb 4.44.0.09170 2008.03.28 -
eSafe 7.0.15.0 2008.03.18 Spyware.Gen
eTrust-Vet 31.3.5651 2008.03.28 -
Ewido 4.0 2008.03.28 Not-A-Virus.Monitor.Win32.Ardamax.24
F-Prot 4.4.2.54 2008.03.27 W32/Monitor.KY
F-Secure 6.70.13260.0 2008.03.28 -
FileAdvisor 1 2008.03.28 High threat detected
Fortinet 3.14.0.0 2008.03.28 W32/Ardamax.B!tr.spy
Ikarus T3.1.1.20 2008.03.28 not-a-virus:Monitor.Win32.Ardamax.25
Kaspersky 7.0.0.125 2008.03.28 not-a-virus:Monitor.Win32.Ardamax.24
McAfee 5261 2008.03.27 Keylog-Ardamax.dll
Microsoft 1.3301 2008.03.28 MonitoringTool:Win32/Ardamax
NOD32v2 2981 2008.03.28 Win32/KeyLogger.Ardamax
Norman 5.80.02 2008.03.26 W32/Ardamax.BWN
Panda 9.0.0.4 2008.03.28 Generic Trojan
Prevx1 V2 2008.03.28 Generic.Malware
Rising 20.37.41.00 2008.03.28 -
Sophos 4.27.0 2008.03.28 Ardamax
Sunbelt 3.0.978.0 2008.03.18 Ardamax Keylogger
Symantec 10 2008.03.28 Spyware.Ardakey
TheHacker 6.2.92.257 2008.03.27 Aplicacion/Ardamax.24
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.27 -
Webwasher-Gateway 6.6.2 2008.03.28 Riskware.Ardamax.24.82
weitere Informationen
File size: 470528 bytes
MD5: 4db1b69341dc88b901d85be34278a634
SHA1: 0d55d2852a58b597c96c1dcec25efc961d882ba1
PEiD: -
Bit9 info: Bit9 FileAdvisor - Search Results
Prevx info: VT.TROJAN.AGENT.GEN-4DB1B69341DC88B901D85BE34278A634.VIR - Prevx

Ich würde sagen Löschen aber die werden sich sicherlich selbs Wiederherstellen denn muss ich doch jetzt die Wiederherstellung abstellen oder?? aber bevor ich was mache warte ich lieber auf eure Antworten und eure meinungen

Mfg

haskan · 29.03.2008, 13:36

sry für den Doppelpost aber es hat niemand mehr geantwortet

Habe ich was Falsch gemacht damit keiner mehr Antwortet?

Franz1968 · 30.03.2008, 10:18

Lade dir zunächst Combofix. Beachte die Anleitung, lasse es scannen und poste den Report.

haskan · 30.03.2008, 14:04

Ok habe ich gemacht hier das Ergebniss .Meinen namen habe ich durch **** ersetzt denke mal das es richtig gemacht

Mfg

ComboFix 08-03-30.2 - **** 2008-03-30 14:56:18.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1618 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-30 ))))))))))))))))))))))))))))))
.

2008-03-30 14:48 . 2008-03-30 14:48 <DIR> d-------- C:\Programme\CCleaner
2008-03-27 23:23 . 2008-03-28 14:59 <DIR> d--hs---- C:\WINDOWS\system32\Sys
2008-03-25 16:54 . 2008-03-25 16:54 <DIR> d-------- C:\Programme\uTorrent
2008-03-25 16:54 . 2008-03-27 06:11 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\uTorrent
2008-03-24 23:42 . 2008-03-24 23:42 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\MSNInstaller
2008-03-24 23:26 . 2008-03-30 14:35 20,432 --a------ C:\WINDOWS\system32\oodbs.lor
2008-03-24 23:24 . 2008-03-24 23:24 0 --a------ C:\WINDOWS\oodcnt.INI
2008-03-24 20:12 . 2008-03-24 20:12 <DIR> d-------- C:\WINDOWS\system32\oodag
2008-03-24 19:49 . 2008-03-24 19:49 <DIR> d-------- C:\Programme\OO Software
2008-03-24 05:36 . 2008-03-24 05:36 <DIR> d-------- C:\Programme\SystemRequirementsLab
2008-03-24 05:32 . 2008-03-24 05:36 <DIR> d-------- C:\Dokumente und Einstellungen\***\SystemRequirementsLab
2008-03-20 23:59 . 2008-03-20 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\MAGIX
2008-03-20 23:59 . 2008-03-27 17:07 28 --a------ C:\WINDOWS\Robota.INI
2008-03-20 23:56 . 2008-03-20 23:58 <DIR> d-------- C:\Programme\MAGIX
2008-03-20 23:56 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-03-06 00:28 . 2008-03-20 23:52 <DIR> d-------- C:\Programme\Babylon
2008-03-06 00:28 . 2008-03-24 21:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Babylon
2008-03-06 00:28 . 2008-03-24 21:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
2008-03-01 21:19 . 2008-03-01 21:19 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-03-01 21:19 . 2008-03-01 21:19 <DIR> d-------- C:\Programme\Veoh Networks
2008-02-27 15:51 . 2008-02-27 15:51 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Simply Super Software
2008-02-27 15:51 . 2008-02-27 15:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
2008-02-27 15:51 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-02-27 15:51 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-02-27 15:51 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-02-27 15:51 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-02-27 15:51 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-02-26 00:03 . 2008-03-04 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\****\Tracing
2008-02-23 01:38 . 2008-02-23 01:38 33 --a------ C:\WINDOWS\Multimedia manager.INI
2008-02-20 23:38 . 2008-02-20 23:48 162,816 --a------ C:\WINDOWS\system32\fmod.dll
2008-02-16 12:27 . 2008-02-17 16:57 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Hamachi
2008-02-16 12:26 . 2008-02-16 12:26 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-02-16 02:11 . 2006-10-26 20:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-02-16 02:08 . 2008-02-16 02:08 <DIR> d-------- C:\Programme\Microsoft Works
2008-02-16 02:07 . 2008-02-16 02:07 <DIR> d-------- C:\Programme\MSBuild
2008-02-16 02:06 . 2008-02-16 02:06 <DIR> d-------- C:\Programme\Microsoft.NET
2008-02-16 02:03 . 2008-02-16 02:03 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2008-02-16 02:02 . 2008-02-16 02:14 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-02-16 02:02 . 2008-03-12 13:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-02-16 02:01 . 2008-02-16 02:01 <DIR> dr-h----- C:\MSOCache
2008-02-13 15:54 . 2008-03-29 17:24 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-13 15:52 . 2008-03-29 17:25 <DIR> d-------- C:\Programme\Trojan Remover
2008-02-09 00:57 . 2002-12-31 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-02-09 00:47 . 2008-02-09 00:47 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-02-09 00:45 . 2006-12-29 01:31 19,569 --a------ C:\WINDOWS\002906_.tmp
2008-02-06 20:51 . 2007-07-30 20:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-02-06 20:51 . 2007-07-30 20:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-02-06 20:51 . 2007-07-30 20:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-02-05 19:18 . 2008-02-05 19:19 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-02-05 19:17 . 2008-02-05 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-30 12:58 32,051,744 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-30 12:58 2,312,480 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-03-30 12:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-03-30 03:56 432,344 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-30 03:56 218,648 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-03-27 22:04 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-03-27 17:19 --------- d-----w C:\Programme\No23 Recorder
2008-03-20 21:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-16 16:20 --------- d-----w C:\Programme\StuffPlug3
2008-03-04 22:26 --------- d-----w C:\Programme\Windows Live
2008-03-01 19:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-07 22:40 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\UseNeXT
2008-01-31 21:11 91,700 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-12-29 16:42 737,280 ----a-w C:\WINDOWS\iun6002.exe
2007-12-18 16:32 13,312 --sha-w C:\WINDOWS\system32\nadmt.sys
2007-12-11 22:50 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-12-04 13:20 700,416 ----a-w C:\WINDOWS\system32\mgxoschk.dll
2007-12-04 01:33 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-12-04 01:33 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-12-04 01:33 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-12-04 01:33 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2007-12-01 01:51 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe
2007-12-01 01:49 92,424 ----a-w C:\WINDOWS\system32\rdpdd.dll
2007-12-01 01:49 87,176 ----a-w C:\WINDOWS\system32\rdpwsx.dll
2007-12-01 01:49 299,520 ----a-w C:\WINDOWS\system32\drmclien.dll
2007-12-01 01:49 12,168 ----a-w C:\WINDOWS\system32\tsddd.dll
2007-12-01 01:47 99,840 ----a-w C:\WINDOWS\system32\loadperf.dll
2007-12-01 01:46 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll
2007-12-01 01:46 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
2007-12-01 01:46 101,888 ----a-w C:\WINDOWS\system32\dpcdll.dll
2007-12-01 01:45 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll
2007-12-01 01:45 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll
2007-12-01 01:45 3,584 ----a-w C:\WINDOWS\system32\msafd.dll
2007-12-01 01:11 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll
2007-12-01 01:11 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2007-12-01 01:11 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2007-12-01 01:07 93,184 ------w C:\WINDOWS\system32\msxml6r.dll
2007-12-01 01:07 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll
2007-12-01 01:07 51,712 ----a-w C:\WINDOWS\system32\inetres.dll
2007-12-01 01:06 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll
2007-12-01 01:04 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2007-12-01 01:04 1,843,968 ----a-w C:\WINDOWS\system32\win32k.sys
2007-12-01 01:02 68,096 ----a-w C:\WINDOWS\system32\browselc.dll
2007-11-09 15:41 22,328 ----a-w C:\Dokumente und Einstellungen\****\Anwendungsdaten\PnkBstrK.sys
2007-12-18 16:32 13,312 --sha-w C:\WINDOWS\system32\nadmt.sys
.

------- Sigcheck -------

2007-08-20 11:48 825344 283d85f8192fa54f2ca978b659965739 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
2007-10-11 01:20 825344 6a1aef7b9e513acb566b16b0ba133c7c C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
2002-12-31 14:00 662016 b1a1da99c4a6ebfd59f86a453bf02f39 C:\WINDOWS\ie7\wininet.dll
2007-08-13 18:54 818688 a4a0fc92358f39538a6494c42ef99fe9 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
2007-08-20 11:55 824832 cafc9797228843012ced767d24d8dcfc C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
2007-12-01 03:48 671744 209d7d0b65df0bcf188f8d4276eb7d3d C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2007-10-11 01:46 824832 fa5fa22e6f36f8453e9377810b3f9939 C:\WINDOWS\system32\wininet.dll
2007-10-11 01:46 824832 fa5fa22e6f36f8453e9377810b3f9939 C:\WINDOWS\system32\dllcache\wininet.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2007-12-01 03:48 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-10 15:49 7286784]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-10-10 15:49 86016]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 11:09 77824 C:\WINDOWS\SOUNDMAN.EXE]
"NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [2005-01-17 07:43 84480]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51 218376]
"TrojanScanner"="C:\Programme\Trojan Remover\Trjscan.exe" [2008-03-02 21:52 868432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-12-01 03:48 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-10-10 15:49 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"UleadBurningHelper"=2 (0x2)
"PnkBstrA"=2 (0x2)
"FirebirdServerMAGIXInstance"=3 (0x3)
"Capture Device Service"=2 (0x2)
"WLSetupSvc"=3 (0x3)
"SVPNStarter"=2 (0x2)
"FileZilla Server"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"UVS11 Preload"=C:\Programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"FlashIcon"=C:\Programme\Generic\USB Card Reader Driver v2.3\FlashIcon.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
"TrojanScanner"=C:\Programme\Trojan Remover\Trjscan.exe
"Babylon Client"=C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
"OODefragTray"=C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\RemoteMSNRobot\\RemoteMSNRobot.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Programme\\Counter-Strike Source\\hl2.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2007-12-01 03:48]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []
S3 filter;filter;C:\WINDOWS\system32\drivers\filter.sys [2004-07-05 08:21]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 15:18]
S3 sscdmdfl;SAMSUNG CDMA Modem Filter;C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys [2005-12-22 13:24]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2007-02-15 19:48]
S4 SVPNStarter;Steganos VPN Starter Service;"C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe" [2007-02-16 15:35]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-03-28 16:16:43 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-30 14:58:59
Windows 5.1.2600 Service Pack 3, v.3264 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-30 14:59:36
ComboFix-quarantined-files.txt 2008-03-30 12:59:27
10 Verzeichnis(se), 44,059,815,936 Bytes frei
13 Verzeichnis(se), 44,040,228,864 Bytes frei
.
2008-03-12 11:25:13 --- E O F ---

haskan · 01.04.2008, 22:13

keine antworten mehr?

haskan · 06.04.2008, 13:11

wenn ihr mir nicht helfen wollt den sagt es mir ruhig und lässt mich nicht tagelang auf eine antwort warten .ich schaue jeden tag mir dieses thema an ob doch villt jetzt noch hilfe bzw. antwort kommt

MFG

**Sunny** · 06.04.2008, 13:50

Zitat:

Zitat von haskan

wenn ihr mir nicht helfen wollt den sagt es mir ruhig und lässt mich nicht tagelang auf eine antwort warten .ich schaue jeden tag mir dieses thema an ob doch villt jetzt noch hilfe bzw. antwort kommt

Immer langsam mit den "wilden Pferden".

Hier wird jedem geholfen, und da Franz1968 scheinbar nicht online ist, ist somit dein Beitrag etwas "untergegangen".
Jeder hier in diesem Forum leistet seine Hilfe freiwillig, niemand wird zu irgendwas gezwungen!
Wer in einem Beitrag Hilfe leistet bringt ihn bei "uns" auch (meist!) zu Ende.

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:

C:\WINDOWS\system32\Sys\steam.exe

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

haskan · 06.04.2008, 14:25

erstmal danke das du weitermachst und deinen vorgänger unter die arme greifst

villt kam es von mir grad blöde rüber aber es war nicht so gemeint weil ich hab ja schon geduld und sowas aber ich dachte einfach nur halt ich wurde vergessen

also es tut mir leid wenn es falch rüber kamm

also ich tuhe gerade das was du mir gesagt hast ich hab selber kaspersky brauche ich denn noch den online scann nein oder??

ps: das logfile vom oldmoveit2(oldtimer)

C:\WINDOWS\system32\Sys\steam.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.0 log created on 04062008_150826

**Sunny** · 06.04.2008, 14:38

Zitat:

Zitat von haskan

also ich tuhe gerade das was du mir gesagt hast ich hab selber kaspersky brauche ich denn noch den online scann nein oder??

Sicherheitshalber solltest du schon den Scan durchführen, er wird mit Sicherheit mehr finden als dein eigenes AV-Programm.

haskan · 06.04.2008, 14:42

ok wird gemacht

aber warum wird er mehr finden als mein kaspersky?? sind doch alle gleich die signaturen oder??

also ich finde kaspersky ist kaspersky

PS anti malware ist noch in arbeit und die logs kommen noch

EDIT: hier die logfiles also er hat 3 eintröge gefunden die ich denn gelöscht hab

Malwarebytes' Anti-Malware 1.10
Datenbank Version: 594

Scan Art: Komplett Scan (A:\|C:\|G:\|)
Objekte gescannt: 274726
Scan Dauer: 1 hour(s), 7 minute(s), 8 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{51CDC7E5-2C3F-4768-92CA-8864C7015C00}\RP113\A0018193.exe (Backdoor.Bot) -> No action taken.

haskan · 07.04.2008, 13:15

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 6. April 2008 23:26:09
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3, v.3264 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 6/04/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 686440
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 245310
Viren gefunden: 10
Infizierte Objekte gefunden: 26
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 06:41:22

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\Report\2de4_File_Monitoring_eventlog.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\Report\2de6_Web_Monitoring_eventlog.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\Report\2deb_AdBlocker_eventcritlog.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\Report\2deb_AdBlocker_eventlog.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\Report\2def_pdm_eventcritlog.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\Report\2def_pdm_eventlog.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\Report\2def_pdm_eventlog_reg.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\Report\detected.idx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\Report\detected.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\Report\eventlog.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\Report\report.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\elwg2id5.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\elwg2id5.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\elwg2id5.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\elwg2id5.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\elwg2id5.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\elwg2id5.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Desktop\EvilMSN_3.0.6.rar/EvilMSN 3.0.6/EvilMSN 3.0.6 Setup.exe Infizierte Objekte: Trojan-Dropper.Win32.Binder.ac übersprungen
C:\Dokumente und Einstellungen\\Desktop\EvilMSN_3.0.6.rar RAR: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\\Eigene Dateien\MS.Pass.rar/MS.Pas/mspass.exe Infizierte Objekte: not-a-virus:PSWTool.Win32.Messen.a übersprungen
C:\Dokumente und Einstellungen\\Eigene Dateien\MS.Pass.rar RAR: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\@gmx.net\SharingMetadata\Logs\Dfsr00005.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\@gmx.net\SharingMetadata\pending.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\@gmx.net\SharingMetadata\Working\database_566C_45C6_6C45_A19B\dfsr.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\@gmx.net\SharingMetadata\Working\database_566C_45C6_6C45_A19B\fsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\@gmx.net\SharingMetadata\Working\database_566C_45C6_6C45_A19B\fsrtmp.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\@gmx.net\SharingMetadata\Working\database_566C_45C6_6C45_A19B\tmp.edb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\@gmx.net\real\members.stg Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\@gmx.net\shadow\members.stg Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\elwg2id5.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\elwg2id5.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\elwg2id5.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\elwg2id5.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\~DFD36.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\~DFE8A.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\~DFF396.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\~DFF3BA.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008040620080407\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\DAEMON Tools\SetupDTSB.exe Infizierte Objekte: not-a-virus:AdTool.Win32.WhenU.a übersprungen
C:\Programme\PDF Password Remover v3.0\winDecrypt.exe Infizierte Objekte: not-a-virus:PSWTool.Win32.PdfCracker.c übersprungen
C:\Programme\RemoteMSNRobot\RemoteMSNRobot.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.MSN.a übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{51CDC7E5-2C3F-4768-92CA-8864C7015C00}\RP163\A0032053.exe/crack.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.jbe übersprungen
C:\System Volume Information\_restore{51CDC7E5-2C3F-4768-92CA-8864C7015C00}\RP163\A0032053.exe ZIP: infiziert - 1 übersprungen
C:\System Volume Information\_restore{51CDC7E5-2C3F-4768-92CA-8864C7015C00}\RP163\A0032054.exe/crack.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.jbe übersprungen
C:\System Volume Information\_restore{51CDC7E5-2C3F-4768-92CA-8864C7015C00}\RP163\A0032054.exe ZIP: infiziert - 1 übersprungen
C:\System Volume Information\_restore{51CDC7E5-2C3F-4768-92CA-8864C7015C00}\RP188\A0041820.exe Infizierte Objekte: not-a-virus:PSWTool.Win32.PasswordRecovery.a übersprungen
C:\System Volume Information\_restore{51CDC7E5-2C3F-4768-92CA-8864C7015C00}\RP190\A0042295.exe Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.k übersprungen
C:\System Volume Information\_restore{51CDC7E5-2C3F-4768-92CA-8864C7015C00}\RP195\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox2.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox2.idx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\Sys\steam.006.vir Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.24 übersprungen
C:\WINDOWS\system32\Sys\steam.007.vir Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.24 übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\_OTMoveIt\MovedFiles\04062008_150826\WINDOWS\system32\Sys\steam.exe Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.24 übersprungen

Die Untersuchung wurde abgeschlossen.

iich hab sehr persönliche dinge wie mein pc name,email adressen und vetrauliche daten von dem logfile gelöscht

**Sunny** · 08.04.2008, 16:14

Nun solltest du nochmal deine Systemwiederherstellung deaktivieren und dann sollte es das eigentlich gewesen sein.

Schädlinge im Ordner der Systemwiederherstellung:

Deaktiviere die Systemwiederherstellung -> So wird es gemacht.

(Systemwiederherstellung kann nun wieder aktiviert werden.)

30.03.2008, 10:18	#5
Franz1968 /// Helfer-Team	Trojaner zugelassen Lade dir zunächst Combofix. Beachte die Anleitung, lasse es scannen und poste den Report. __________________ Alle Tipps und Anleitungen ohne Gewähr

Trojaner zugelassen

Plagegeister aller Art und deren Bekämpfung: Trojaner zugelassen