| |
| |||||||
Log-Analyse und Auswertung: Win32 Trojan-Gen oder falscher Alarm GDATA?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
06.10.2008, 20:18
| #1 |
| Gast |  Win32 Trojan-Gen oder falscher Alarm GDATA? Hallo! Bin noch ganz neu hier, deshalb weiss ich nicht, ob ich alles richtig mache. Vor 2 Wochen hatte ich einen Trojaner namens Virtumonde in Windows/System32, der dazu führte, dass ich keine automatischen Updates durchführen konnte (Service Pack 3) und im Explorer wurde ich mit Warnmeldungen bombardiert, mein System sei infiziert. Außerdem lief das System sehr langsam. Ich habe im abgesicherten Modus Spybot laufen lassen, da er sich im normalen Modus bei "Virtumonde.dll" immer aufgehängt hat. Dann konnte ich die Infektionen entfernen, habe auch noch GDATA durchlaufen lassen und alles war ok. Seit zwei Tagen kommt aber immer, wenn ich den PC hochfahre, die Meldung "es wurde versucht, auf eine infizierte Datei zuzugreifen, Win32 Trojan-Gen, die Datei heisst "agqhpq.dll" Führe ich einen Virenscan durch, selbst im abgesicherten Modus, und versuche ich, die Datei zu desinfizieren oder löschen, stürzt mein System ab. Habe auch versucht, die Datei mit Unlocker zu löschen, was aber zum selben Ergebnis führte. Der Spybot sagt, keine Spione vorhanden. Soweit läuft auch alles normal. Habe mal ein bißchen gegoogelt und in einem Forum wurde gesagt, dass G-Data manchmal einen Trojaner findet, wo es gar keinen gibt aufgrund von geänderten Virensignaturen. Dort handelte es sich aber um userdll oder so ähnlich. ich poste mal Hijack-This: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:12:44, on 06.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\PROGRA~1\Magentic\bin\MgApp.exe C:\Programme\IncrediMail\bin\IMApp.exe C:\Programme\G DATA AntiVirus\AVK\AVKService.exe C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\Opera\Opera.exe C:\Programme\IncrediMail\bin\IncMail.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O1 - Hosts: 80.190.241.30 home.edonkey.com O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {0AFB563C-C86B-4423-A36F-97B9D9316FBD} - (no file) O2 - BHO: (no name) - {0CDBD96B-E2D6-4661-9A55-041B20BDC6DA} - (no file) O2 - BHO: (no name) - {103F6042-20BD-4276-822F-6F50FEAB61A5} - (no file) O2 - BHO: (no name) - {3C464F14-0F23-4B1D-8893-ADAFB2DB4582} - (no file) O2 - BHO: (no name) - {464E435A-510E-4329-9E16-55C0B7B53729} - (no file) O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {545732E8-6743-4544-890A-C64EE82B1468} - (no file) O2 - BHO: (no name) - {5B90B3AC-FF08-41FC-9E5B-EDD0DACAC8B9} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {858FDE05-345A-4182-B40A-FC23A3A56924} - (no file) O2 - BHO: (no name) - {995268A4-D26F-4104-8CBF-48BEBB4E03B5} - (no file) O2 - BHO: (no name) - {BBCB207B-7C46-4E9A-A678-CCDFEF891078} - (no file) O2 - BHO: (no name) - {C0D4C48A-8769-4741-BFF3-BD28BB64E20C} - (no file) O2 - BHO: (no name) - {CB83E7BA-8E12-4C98-8D23-786CC3C1564F} - (no file) O2 - BHO: (no name) - {DB1A5022-5ECE-42B6-B460-44F732A1F8EA} - (no file) O2 - BHO: {191aec32-8b24-121a-4b34-c0f95073a4cd} - {dc4a3705-9f0c-43b4-a121-42b823cea191} - C:\WINDOWS\system32\agqhpq.dll O2 - BHO: (no name) - {DF8EDEBE-93C9-47F0-BA90-C5CEE7E8598B} - (no file) O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131018820546 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326 O17 - HKLM\System\CCS\Services\Tcpip\..\{F1B1983D-0A39-4DE5-AABB-47254AF45139}: NameServer = 192.168.122.252,192.168.122.253 O18 - Filter hijack: text/html - (no CLSID) - (no file) O20 - AppInit_DLLs: pnvyse.dll oduroo.dll agqhpq.dll O20 - Winlogon Notify: pmnkKeBS - pmnkKeBS.dll (file missing) O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 9844 bytes Kann jemand mir helfen? Vielen Dank im Voraus! |
|
07.10.2008, 10:40
| #2 |
| /// AVZ-Toolkit Guru   | Win32 Trojan-Gen oder falscher Alarm GDATA? Hallo Melanika
__________________ Erstmal ein allgemeiner Tip: Du solltest deinen Autostart mal ein bischen aufräumen. Da laufen viel zu viele Prozesse die du wahrscheinlich garnicht ständig brauchst. Deinstalliere außerdem bitte Spybot! Dann zum Virtumonde Problem: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Scanne den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs. Räume mit dem CCleaner auf (Punkte 1&2) und poste danach ein frisches HJT log.
__________________ |
|
08.10.2008, 16:09
| #3 |
| Gast | Win32 Trojan-Gen oder falscher Alarm GDATA? Ich würde gerne die angeforderten Logs posten, aber Trojaner Board sagt mir immer, das wären zu viele Zeichen!
__________________Gibt es noch eine andere Möglichkeit, oder muss ich meine Antwort stückeln?  |
|
08.10.2008, 16:14
| #4 |
| Gast | Win32 Trojan-Gen oder falscher Alarm GDATA? Hallo! Erstmal vielen Dank für die Mühe! Ich habe mir Deine Anleitung ausgedruckt und versucht zu befolgen. Leider habe ich am Anfang etwas falsch verstanden:  Ich habe zuerst den ComboFix gestartet und dann erst den CCCleaner! Als ich es gemerkt habe, habe ich nochmal den ComboFix laufen lassen ich hoffe, ich habe damit nicht alles verhauen! Log 1 vor CC Cleaner: ComboFix 08-10-07.01 - Martina Berlau 2008-10-07 20:23:13.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.431 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Martina Berlau\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\inst.exe C:\WINDOWS\BM35388df2.txt C:\WINDOWS\BM35388df2.xml C:\WINDOWS\Fonts\acrsecB.fon C:\WINDOWS\Fonts\acrsecI.fon C:\WINDOWS\pi.exe C:\WINDOWS\system32\agqhpq.dll C:\WINDOWS\system32\clbubwtr.ini C:\WINDOWS\system32\iropicqs.dll C:\WINDOWS\system32\jTtAJRqr.ini C:\WINDOWS\system32\jTtAJRqr.ini2 C:\WINDOWS\system32\nioblniv.ini C:\WINDOWS\system32\oegarcpr.ini C:\WINDOWS\system32\pAycIRqr.ini C:\WINDOWS\system32\pAycIRqr.ini2 C:\WINDOWS\system32\qyprlm.dll C:\WINDOWS\system32\tkcdujxr.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-09-07 bis 2008-10-07 )))))))))))))))))))))))))))))) . 2008-10-01 21:59 . 2008-10-01 21:59 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-10-01 21:59 . 2008-10-01 21:59 <DIR> d-------- C:\WINDOWS\system32\de 2008-10-01 21:59 . 2008-10-01 21:59 <DIR> d-------- C:\WINDOWS\system32\bits 2008-10-01 21:59 . 2008-10-01 21:59 <DIR> d-------- C:\WINDOWS\l2schemas 2008-10-01 21:51 . 2008-10-01 22:00 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-10-01 21:38 . 2008-10-01 21:38 <DIR> d-------- C:\WINDOWS\EHome 2008-10-01 21:19 . 2004-08-03 22:29 25,471 --------- C:\WINDOWS\system32\drivers\watv10nt.sys 2008-10-01 21:19 . 2004-08-03 22:29 22,271 --------- C:\WINDOWS\system32\drivers\watv06nt.sys 2008-10-01 21:19 . 2004-08-03 22:29 11,935 --------- C:\WINDOWS\system32\drivers\wadv11nt.sys 2008-10-01 21:19 . 2004-08-03 22:29 11,871 --------- C:\WINDOWS\system32\drivers\wadv09nt.sys 2008-10-01 21:19 . 2004-08-03 22:29 11,807 --------- C:\WINDOWS\system32\drivers\wadv07nt.sys 2008-10-01 21:19 . 2004-08-03 22:29 11,295 --------- C:\WINDOWS\system32\drivers\wadv08nt.sys 2008-10-01 21:15 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-10-01 18:26 . 2005-10-20 13:07 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-10-01 18:26 . 2005-10-20 13:59 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-10-01 18:26 . 2005-10-20 13:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-10-01 18:26 . 2008-10-07 20:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-10-01 18:26 . 2005-10-20 13:59 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-10-01 18:26 . 2005-10-20 13:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-10-01 18:26 . 2005-10-20 13:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-10-01 18:26 . 2008-10-01 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-09-30 21:00 . 2008-09-30 21:00 <DIR> d-------- C:\VundoFix Backups 2008-09-30 19:56 . 2008-09-30 19:56 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-09-30 19:56 . 2008-09-30 19:56 1,409 --a------ C:\WINDOWS\QTFont.for 2008-09-30 19:38 . 2008-09-30 19:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools 2008-09-28 18:18 . 2008-09-28 18:22 <DIR> d-------- C:\Programme\Unlocker 2008-09-28 13:23 . 2008-09-28 13:23 <DIR> d-------- C:\Programme\Trend Micro 2008-09-25 17:07 . 2008-09-25 17:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM 2008-09-25 17:04 . 2008-09-25 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail 2008-09-22 20:22 . 2008-09-22 20:26 <DIR> d-------- C:\Programme\Microsoft Works 2008-09-22 19:59 . 1999-09-04 21:23 91,136 -ra------ C:\WINDOWS\system32\msls2.dll 2008-09-18 19:50 . 2008-09-27 10:34 <DIR> d-------- C:\Programme\Kathedrale 3D Bildschirmschoner 2008-09-18 19:44 . 2008-09-27 10:36 <DIR> d-------- C:\Programme\TOPOS 2008-09-18 19:41 . 2008-09-18 19:41 <DIR> d-------- C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\EleFun Desktops 2008-09-18 19:41 . 2008-09-18 19:41 2,262,648 --a------ C:\WINDOWS\system32\Flash9b.ocx 2008-09-18 19:12 . 2008-09-18 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\DeskSoft . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-07 18:20 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-10-07 18:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-10-07 15:03 --------- d-----w C:\Programme\Haushaltsbuch80 2008-10-06 13:54 --------- d-----w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\Canon 2008-10-01 18:29 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-09-28 17:15 --------- d-----w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\Spybot - Search & Destroy 2008-09-28 11:19 47,360 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\pcouffin.sys 2008-09-28 11:19 --------- d-----w C:\Programme\VSO 2008-09-28 11:19 --------- d-----w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\Vso 2008-09-27 08:39 --------- d-----w C:\Programme\Google 2008-09-25 15:07 --------- d-----w C:\Programme\IncrediMail 2008-08-27 17:38 --------- d-----w C:\Programme\Print Shop Premier 5.0 2008-08-14 08:10 --------- d-----w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\SolSuite 2008-08-03 19:07 61,894,144 ----a-w C:\Programme\sister act0005.avi 2008-08-03 18:58 46,155,264 ----a-w C:\Programme\sister act0004.avi 2008-08-03 18:55 1,381,888 ----a-w C:\Programme\sister act0003.avi 2008-08-03 18:53 1,034,752 ----a-w C:\Programme\sister act0002.avi 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-05-02 18:08 92,064 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmmdm.sys 2008-05-02 18:08 9,232 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmmdfl.sys 2008-05-02 18:08 79,328 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmserd.sys 2008-05-02 18:08 66,656 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmbus.sys 2008-05-02 18:08 6,208 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmcmnt.sys 2008-05-02 18:08 5,936 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmwhnt.sys 2008-05-02 18:08 4,048 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmcr.sys 2008-05-02 18:08 25,600 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\usbsermptxp.sys 2008-05-02 18:08 22,768 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\usbsermpt.sys 2008-03-01 12:37 18 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\sys386lk.dat 2007-12-15 11:34 37,372 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\mdb.bin 2007-06-08 15:12 220,672 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\dvtloggerupdate.exe 2007-03-21 11:22 589,824 ----a-w C:\Programme\PRINTKEY.EXE 2006-02-11 21:50 208 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\CloneDVD.reg 2002-07-25 09:32 100 ----a-w C:\Programme\CamRes.xxx 2002-07-25 09:16 638,976 ----a-w C:\Programme\HyperCam.exe 2002-07-25 09:16 100 ----a-w C:\Programme\HyperCam.xxx 2002-07-25 09:09 65,536 ----a-w C:\Programme\CamRes.dll 2002-07-25 08:34 759 ----a-w C:\Programme\HyperCam.cnt 2002-07-25 08:34 297,867 ----a-w C:\Programme\HyperCam.hlp 2002-07-25 08:34 12,558 ----a-w C:\Programme\readme.txt 2002-06-21 12:38 5,232 ----a-w C:\Programme\HyperCam.tlb 2002-04-11 12:12 316 ----a-w C:\Programme\file_id.diz 2002-02-22 10:04 45,056 ----a-w C:\Programme\MClick.dll 2001-11-23 04:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL 1999-06-24 09:38 956 ----a-w C:\Programme\16-44100u.wav . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2008-09-24 243072] "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" [2006-10-02 305152] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2008-03-09 480648] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CloneDVDElbyDelay"="C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" [2002-11-02 45056] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-07 196608] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 7700480] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-06-17 180269] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 86016] "AVKTray"="C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe" [2007-08-14 603720] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208] "UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-04-28 98304] "nwiz"="nwiz.exe" [2007-04-19 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968] C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\ FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2006-08-05 651264] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2005-10-20 450560] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=pnvyse.dll oduroo.dll agqhpq.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= ffdshow.ax [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\IncrediMail\\bin\\IMApp.exe"= "C:\\Programme\\IncrediMail\\bin\\IncMail.exe"= "C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"= "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "C:\\Programme\\Die 7 beliebtesten Kartenspiele\\bin\\cards.exe"= "C:\\Programme\\IncrediMail\\bin\\ImLc.exe"= "C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"= "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Opera\\Opera.exe"= "C:\\Programme\\Firstload\\firstload.exe"= "C:\\Programme\\Magentic\\bin\\MgImp.exe"= "C:\\Programme\\Magentic\\bin\\Magentic.exe"= "C:\\Programme\\Magentic\\bin\\MgApp.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Zattoo\\zattood.exe"= "C:\\Programme\\Zattoo\\Zattoo2.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4662:TCP"= 4662:TCP:192.168.122.29 "6881:TCP"= 6881:TCP:Bittorrent "6889:TCP"= 6889:TCP:Bittorrent "4244:TCP"= 4244:TCP:Edonkey "4711:TCP"= 4711:TCP:Emule "4672:UDP"= 4672:UDP:Emule "24992:TCP"= 24992:TCP:utorrent "119:TCP"= 119:TCP:firstload "1080:TCP"= 1080:TCP:firstload "1080:UDP"= 1080:UDP:firstload "119:UDP"= 119:UDP:firstload "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2006-02-27 81408] R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2005-03-04 28160] R2 AVKProxy;G DATA AntiVirus Proxy;C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2007-08-15 689736] R2 AVKService;AVK Service;C:\Programme\G DATA AntiVirus\AVK\AVKService.exe [2007-04-02 407376] R2 AVKWCtl;AVK Wächter;C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe [2007-07-17 1115720] R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2004-05-24 59520] R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2007-12-27 41928] R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2006-04-13 162432] R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2006-04-13 12032] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2003-10-16 53120] R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2003-10-16 39808] R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2003-10-16 38992] R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-04-18 15104] R3 FDS2BASE;AVM FRITZ!Card DSL v2.0 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fds2base.sys [2003-10-16 707840] R3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2007-12-27 47184] R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2007-12-27 31432] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 361472] S3 I97DRIVER;I97DRIVER;C:\Programme\VCOM\Fix-It\dgs.sys [ ] S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [ ] S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys [2007-01-04 61536] S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\sea1mdfl.sys [2007-01-04 9360] S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\sea1mdm.sys [2007-01-04 97088] S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\sea1mgmt.sys [2007-01-04 88624] S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);C:\WINDOWS\system32\DRIVERS\sea1nd5.sys [2007-01-04 18704] S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\sea1obex.sys [2007-01-04 86432] S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);C:\WINDOWS\system32\DRIVERS\sea1unic.sys [2007-01-04 90800] S3 TridVid;Video Grabber;C:\WINDOWS\system32\DRIVERS\TridVid.sys [2006-09-22 100352] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2008-08-22 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 19:58] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{0AFB563C-C86B-4423-A36F-97B9D9316FBD} - (no file) BHO-{0CDBD96B-E2D6-4661-9A55-041B20BDC6DA} - (no file) BHO-{103F6042-20BD-4276-822F-6F50FEAB61A5} - (no file) BHO-{3C464F14-0F23-4B1D-8893-ADAFB2DB4582} - (no file) BHO-{464E435A-510E-4329-9E16-55C0B7B53729} - (no file) BHO-{545732E8-6743-4544-890A-C64EE82B1468} - (no file) BHO-{5B90B3AC-FF08-41FC-9E5B-EDD0DACAC8B9} - (no file) BHO-{858FDE05-345A-4182-B40A-FC23A3A56924} - (no file) BHO-{995268A4-D26F-4104-8CBF-48BEBB4E03B5} - (no file) BHO-{BBCB207B-7C46-4E9A-A678-CCDFEF891078} - (no file) BHO-{C0D4C48A-8769-4741-BFF3-BD28BB64E20C} - (no file) BHO-{CB83E7BA-8E12-4C98-8D23-786CC3C1564F} - (no file) BHO-{DB1A5022-5ECE-42B6-B460-44F732A1F8EA} - (no file) BHO-{dc4a3705-9f0c-43b4-a121-42b823cea191} - C:\WINDOWS\system32\agqhpq.dll BHO-{DF8EDEBE-93C9-47F0-BA90-C5CEE7E8598B} - (no file) HKLM-Run-Cmaudio - cmicnfg.cpl ShellExecuteHooks-{858FDE05-345A-4182-B40A-FC23A3A56924} - (no file) Notify-pmnkKeBS - pmnkKeBS.dll . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\Mozilla\Firefox\Profiles\5e1jo42e.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - www.t-online.de . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-07 20:35:49 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\WINDOWS\explorer.exe -> C:\WINDOWS\system32\nview.dll -> C:\Programme\Unlocker\UnlockerHook.dll . ------------------------ Weitere laufende Prozesse ------------------------ . C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\PROGRA~1\Magentic\bin\MgApp.exe C:\Programme\IncrediMail\bin\IMApp.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-07 20:43:56 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-07 18:43:28 Vor Suchlauf: 19 Verzeichnis(se), 48.270.667.776 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 48,216,547,328 Bytes frei 287 --- E O F --- 2008-10-02 17:13:56 weitere Seite folgt! |
|
08.10.2008, 16:18
| #5 |
| Gast | Win32 Trojan-Gen oder falscher Alarm GDATA? Log 2 nach dem Cleaner: ComboFix 08-10-07.01 - Martina Berlau 2008-10-07 20:53:59.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.433 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Martina Berlau\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-09-07 bis 2008-10-07 )))))))))))))))))))))))))))))) . 2008-10-07 20:46 . 2008-10-07 20:46 <DIR> d-------- C:\Programme\CCleaner 2008-10-01 21:59 . 2008-10-01 21:59 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-10-01 21:59 . 2008-10-01 21:59 <DIR> d-------- C:\WINDOWS\system32\de 2008-10-01 21:59 . 2008-10-01 21:59 <DIR> d-------- C:\WINDOWS\system32\bits 2008-10-01 21:59 . 2008-10-01 21:59 <DIR> d-------- C:\WINDOWS\l2schemas 2008-10-01 21:51 . 2008-10-01 22:00 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-10-01 21:38 . 2008-10-01 21:38 <DIR> d-------- C:\WINDOWS\EHome 2008-10-01 21:19 . 2004-08-03 22:29 25,471 --------- C:\WINDOWS\system32\drivers\watv10nt.sys 2008-10-01 21:19 . 2004-08-03 22:29 22,271 --------- C:\WINDOWS\system32\drivers\watv06nt.sys 2008-10-01 21:19 . 2004-08-03 22:29 11,935 --------- C:\WINDOWS\system32\drivers\wadv11nt.sys 2008-10-01 21:19 . 2004-08-03 22:29 11,871 --------- C:\WINDOWS\system32\drivers\wadv09nt.sys 2008-10-01 21:19 . 2004-08-03 22:29 11,807 --------- C:\WINDOWS\system32\drivers\wadv07nt.sys 2008-10-01 21:19 . 2004-08-03 22:29 11,295 --------- C:\WINDOWS\system32\drivers\wadv08nt.sys 2008-10-01 21:15 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-10-01 18:26 . 2005-10-20 13:07 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-10-01 18:26 . 2005-10-20 13:59 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-10-01 18:26 . 2005-10-20 13:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-10-01 18:26 . 2008-10-07 20:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-10-01 18:26 . 2005-10-20 13:59 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-10-01 18:26 . 2005-10-20 13:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-10-01 18:26 . 2005-10-20 13:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-10-01 18:26 . 2008-10-01 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-09-30 21:00 . 2008-09-30 21:00 <DIR> d-------- C:\VundoFix Backups 2008-09-30 19:56 . 2008-09-30 19:56 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-09-30 19:56 . 2008-09-30 19:56 1,409 --a------ C:\WINDOWS\QTFont.for 2008-09-30 19:38 . 2008-09-30 19:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools 2008-09-28 18:18 . 2008-09-28 18:22 <DIR> d-------- C:\Programme\Unlocker 2008-09-28 13:23 . 2008-09-28 13:23 <DIR> d-------- C:\Programme\Trend Micro 2008-09-25 17:07 . 2008-09-25 17:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM 2008-09-25 17:04 . 2008-09-25 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail 2008-09-22 20:22 . 2008-09-22 20:26 <DIR> d-------- C:\Programme\Microsoft Works 2008-09-22 19:59 . 1999-09-04 21:23 91,136 -ra------ C:\WINDOWS\system32\msls2.dll 2008-09-18 19:50 . 2008-09-27 10:34 <DIR> d-------- C:\Programme\Kathedrale 3D Bildschirmschoner 2008-09-18 19:44 . 2008-09-27 10:36 <DIR> d-------- C:\Programme\TOPOS 2008-09-18 19:41 . 2008-09-18 19:41 <DIR> d-------- C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\EleFun Desktops 2008-09-18 19:41 . 2008-09-18 19:41 2,262,648 --a------ C:\WINDOWS\system32\Flash9b.ocx 2008-09-18 19:12 . 2008-09-18 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\DeskSoft . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-07 18:20 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-10-07 18:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-10-07 15:03 --------- d-----w C:\Programme\Haushaltsbuch80 2008-10-06 13:54 --------- d-----w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\Canon 2008-10-01 18:29 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-09-28 17:15 --------- d-----w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\Spybot - Search & Destroy 2008-09-28 11:19 47,360 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\pcouffin.sys 2008-09-28 11:19 --------- d-----w C:\Programme\VSO 2008-09-28 11:19 --------- d-----w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\Vso 2008-09-27 08:39 --------- d-----w C:\Programme\Google 2008-09-25 15:07 --------- d-----w C:\Programme\IncrediMail 2008-08-27 17:38 --------- d-----w C:\Programme\Print Shop Premier 5.0 2008-08-14 08:10 --------- d-----w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\SolSuite 2008-08-03 19:07 61,894,144 ----a-w C:\Programme\sister act0005.avi 2008-08-03 18:58 46,155,264 ----a-w C:\Programme\sister act0004.avi 2008-08-03 18:55 1,381,888 ----a-w C:\Programme\sister act0003.avi 2008-08-03 18:53 1,034,752 ----a-w C:\Programme\sister act0002.avi 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-05-02 18:08 92,064 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmmdm.sys 2008-05-02 18:08 9,232 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmmdfl.sys 2008-05-02 18:08 79,328 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmserd.sys 2008-05-02 18:08 66,656 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmbus.sys 2008-05-02 18:08 6,208 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmcmnt.sys 2008-05-02 18:08 5,936 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmwhnt.sys 2008-05-02 18:08 4,048 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\mqdmcr.sys 2008-05-02 18:08 25,600 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\usbsermptxp.sys 2008-05-02 18:08 22,768 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\usbsermpt.sys 2008-03-01 12:37 18 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\sys386lk.dat 2007-12-15 11:34 37,372 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\mdb.bin 2007-06-08 15:12 220,672 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\dvtloggerupdate.exe 2007-03-21 11:22 589,824 ----a-w C:\Programme\PRINTKEY.EXE 2006-02-11 21:50 208 ----a-w C:\Dokumente und Einstellungen\Martina Berlau\CloneDVD.reg 2002-07-25 09:32 100 ----a-w C:\Programme\CamRes.xxx 2002-07-25 09:16 638,976 ----a-w C:\Programme\HyperCam.exe 2002-07-25 09:16 100 ----a-w C:\Programme\HyperCam.xxx 2002-07-25 09:09 65,536 ----a-w C:\Programme\CamRes.dll 2002-07-25 08:34 759 ----a-w C:\Programme\HyperCam.cnt 2002-07-25 08:34 297,867 ----a-w C:\Programme\HyperCam.hlp 2002-07-25 08:34 12,558 ----a-w C:\Programme\readme.txt 2002-06-21 12:38 5,232 ----a-w C:\Programme\HyperCam.tlb 2002-04-11 12:12 316 ----a-w C:\Programme\file_id.diz 2002-02-22 10:04 45,056 ----a-w C:\Programme\MClick.dll 2001-11-23 04:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL 1999-06-24 09:38 956 ----a-w C:\Programme\16-44100u.wav . ((((((((((((((((((((((((((((( snapshot@2008-10-07_20.42.29.53 ))))))))))))))))))))))))))))))))))))))))) . + 2008-10-07 18:47:37 57,244 ----a-w C:\WINDOWS\temp\cteng_1_1_101223392457.dat + 2008-10-07 18:47:37 81,188 ----a-w C:\WINDOWS\temp\cteng_1_1_111223096627.dat + 2008-10-07 18:47:38 70,920 ----a-w C:\WINDOWS\temp\cteng_1_1_121223019222.dat + 2008-10-07 18:47:39 84,040 ----a-w C:\WINDOWS\temp\cteng_1_1_131223393356.dat + 2008-10-07 18:47:40 80,936 ----a-w C:\WINDOWS\temp\cteng_1_1_141223399168.dat + 2008-10-07 18:47:41 64,628 ----a-w C:\WINDOWS\temp\cteng_1_1_161223368427.dat + 2008-10-07 18:47:41 67,888 ----a-w C:\WINDOWS\temp\cteng_1_1_181223313256.dat + 2008-10-07 18:47:42 84,276 ----a-w C:\WINDOWS\temp\cteng_1_1_201223313117.dat + 2008-10-07 18:47:43 82,308 ----a-w C:\WINDOWS\temp\cteng_1_1_211223011121.dat + 2008-10-07 18:47:44 82,352 ----a-w C:\WINDOWS\temp\cteng_1_1_41223392295.dat + 2008-10-07 18:47:44 77,520 ----a-w C:\WINDOWS\temp\cteng_1_1_71223386329.dat + 2008-10-07 18:47:45 76,596 ----a-w C:\WINDOWS\temp\cteng_1_1_81223392620.dat + 2008-10-07 18:47:46 77,972 ----a-w C:\WINDOWS\temp\cteng_1_1_91223271228.dat + 2008-10-07 18:47:47 282,140 ----a-w C:\WINDOWS\temp\cteng_1_2_131223367528.dat + 2008-10-07 18:47:48 242,320 ----a-w C:\WINDOWS\temp\cteng_1_2_141223387879.dat + 2008-10-07 18:47:50 190,324 ----a-w C:\WINDOWS\temp\cteng_1_2_151223383080.dat + 2008-10-07 18:47:51 239,860 ----a-w C:\WINDOWS\temp\cteng_1_2_161223385873.dat + 2008-10-07 18:47:52 246,824 ----a-w C:\WINDOWS\temp\cteng_1_2_171223272125.dat + 2008-10-07 18:48:00 267,904 ----a-w C:\WINDOWS\temp\cteng_1_2_181223379706.dat + 2008-10-07 18:48:01 299,072 ----a-w C:\WINDOWS\temp\cteng_1_2_201223382903.dat + 2008-10-07 18:48:02 336,344 ----a-w C:\WINDOWS\temp\cteng_1_2_211223390215.dat + 2008-10-07 18:48:04 298,172 ----a-w C:\WINDOWS\temp\cteng_1_2_221223378834.dat + 2008-10-07 18:48:05 313,280 ----a-w C:\WINDOWS\temp\cteng_1_2_231223383974.dat + 2008-10-07 18:48:07 226,292 ----a-w C:\WINDOWS\temp\cteng_1_2_241223365732.dat + 2008-10-07 18:48:08 245,312 ----a-w C:\WINDOWS\temp\cteng_1_2_41223386275.dat + 2008-10-07 18:48:09 292,204 ----a-w C:\WINDOWS\temp\cteng_1_2_71223386321.dat + 2008-10-07 18:48:09 16,804 ----a-w C:\WINDOWS\temp\cteng_8_2_11223394495.dat + 2008-10-07 18:48:10 7,128 ----a-w C:\WINDOWS\temp\cteng_8_2_21223395474.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2008-09-24 243072] "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" [2006-10-02 305152] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2008-03-09 480648] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CloneDVDElbyDelay"="C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" [2002-11-02 45056] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-07 196608] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 7700480] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-06-17 180269] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 86016] "AVKTray"="C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe" [2007-08-14 603720] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208] "UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-04-28 98304] "nwiz"="nwiz.exe" [2007-04-19 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968] C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\ FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2006-08-05 651264] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2005-10-20 450560] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=pnvyse.dll oduroo.dll agqhpq.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= ffdshow.ax [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\IncrediMail\\bin\\IMApp.exe"= "C:\\Programme\\IncrediMail\\bin\\IncMail.exe"= "C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"= "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "C:\\Programme\\Die 7 beliebtesten Kartenspiele\\bin\\cards.exe"= "C:\\Programme\\IncrediMail\\bin\\ImLc.exe"= "C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"= "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Opera\\Opera.exe"= "C:\\Programme\\Firstload\\firstload.exe"= "C:\\Programme\\Magentic\\bin\\MgImp.exe"= "C:\\Programme\\Magentic\\bin\\Magentic.exe"= "C:\\Programme\\Magentic\\bin\\MgApp.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Zattoo\\zattood.exe"= "C:\\Programme\\Zattoo\\Zattoo2.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4662:TCP"= 4662:TCP:192.168.122.29 "6881:TCP"= 6881:TCP:Bittorrent "6889:TCP"= 6889:TCP:Bittorrent "4244:TCP"= 4244:TCP:Edonkey "4711:TCP"= 4711:TCP:Emule "4672:UDP"= 4672:UDP:Emule "24992:TCP"= 24992:TCP:utorrent "119:TCP"= 119:TCP:firstload "1080:TCP"= 1080:TCP:firstload "1080:UDP"= 1080:UDP:firstload "119:UDP"= 119:UDP:firstload "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2006-02-27 81408] R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2005-03-04 28160] R2 AVKProxy;G DATA AntiVirus Proxy;C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2007-08-15 689736] R2 AVKService;AVK Service;C:\Programme\G DATA AntiVirus\AVK\AVKService.exe [2007-04-02 407376] R2 AVKWCtl;AVK Wächter;C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe [2007-07-17 1115720] R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2004-05-24 59520] R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2007-12-27 41928] R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2006-04-13 162432] R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2006-04-13 12032] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2003-10-16 53120] R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2003-10-16 39808] R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2003-10-16 38992] R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-04-18 15104] R3 FDS2BASE;AVM FRITZ!Card DSL v2.0 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fds2base.sys [2003-10-16 707840] R3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2007-12-27 47184] R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2007-12-27 31432] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 361472] S3 I97DRIVER;I97DRIVER;C:\Programme\VCOM\Fix-It\dgs.sys [ ] S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [ ] S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys [2007-01-04 61536] S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\sea1mdfl.sys [2007-01-04 9360] S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\sea1mdm.sys [2007-01-04 97088] S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\sea1mgmt.sys [2007-01-04 88624] S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);C:\WINDOWS\system32\DRIVERS\sea1nd5.sys [2007-01-04 18704] S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\sea1obex.sys [2007-01-04 86432] S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);C:\WINDOWS\system32\DRIVERS\sea1unic.sys [2007-01-04 90800] S3 TridVid;Video Grabber;C:\WINDOWS\system32\DRIVERS\TridVid.sys [2006-09-22 100352] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners 2008-08-22 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 19:58] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-RunOnce-<NO NAME> - (no file) . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Martina Berlau\Anwendungsdaten\Mozilla\Firefox\Profiles\5e1jo42e.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - www.t-online.de . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-07 20:55:59 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-07 20:57:48 ComboFix-quarantined-files.txt 2008-10-07 18:57:31 ComboFix2.txt 2008-10-07 18:43:59 Vor Suchlauf: 19 Verzeichnis(se), 48.260.096.000 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 48,247,681,024 Bytes frei 263 --- E O F --- 2008-10-02 17:13:56 |
|
08.10.2008, 16:19
| #6 |
| Gast | Win32 Trojan-Gen oder falscher Alarm GDATA? Dann habe ich den Rechner mit SUPERAntiSpyware gescannt: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 10/07/2008 at 11:20 PM Application Version : 4.21.1004 Core Rules Database Version : 3591 Trace Rules Database Version: 1578 Scan type : Complete Scan Total Scan Time : 02:11:58 Memory items scanned : 398 Memory threats detected : 0 Registry items scanned : 5426 Registry threats detected : 3 File items scanned : 130458 File threats detected : 26 Unclassified.Unknown Origin HKLM\Software\Classes\CLSID\{4D1C4E89-A32A-416b-BCDB-33B3EF3617D3} HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3} HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}\Programmable Adware.Vundo/Variant C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144033.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144035.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144040.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144041.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144042.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144044.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144045.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP536\A0156103.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP536\A0156104.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP537\A0157296.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP537\A0157297.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP538\A0159403.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP538\A0159404.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP539\A0160425.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165415.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165416.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165417.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165418.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165419.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165420.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165421.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP543\A0167513.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP543\A0167515.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP543\A0167520.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP543\A0167521.DLL Trojan.Downloader-CREW C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144046.DLL Ich habe die gefundenen Einträge gelöscht (irgendwie ging das gar nicht anders) und dann anschließend Malware laufen lassen: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1240 Windows 5.1.2600 Service Pack 3 08.10.2008 04:44:33 mbam-log-2008-10-08 (04-44-33).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 165259 Laufzeit: 2 hour(s), 25 minute(s), 6 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 11 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\aosmtp.fastsender (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{ff14b02b-6ee4-400f-a729-b0ea35f921c2} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{1ecc44fb-970d-4bc8-90e3-002da4dd21b8} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{63bd4ee4-660b-434d-a54b-7c1f53e2fedd} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{6d2c09c4-ec95-4251-81fd-1cd01fd8ae44} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d622e87a-35f9-4fb2-afee-4f5bf8407c7a} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{69620165-77dd-44ee-995c-3632e525a22b} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{f8d07b72-b4b4-46a0-acc0-c771d4614b82} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\aosmtp.fastsender.1 (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\aosmtp.mail (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\aosmtp.mail.1 (Spyware.Banker) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\AOSMTP.dll (Spyware.Banker) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\agqhpq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\iropicqs.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\qyprlm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\tkcdujxr.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{36FBD960-35CC-4863-873B-E9145AF11A77}\RP535\A0153190.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{36FBD960-35CC-4863-873B-E9145AF11A77}\RP512\A0127518.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully. Anschließend HJT: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1240 Windows 5.1.2600 Service Pack 3 08.10.2008 04:44:33 mbam-log-2008-10-08 (04-44-33).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 165259 Laufzeit: 2 hour(s), 25 minute(s), 6 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 11 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\aosmtp.fastsender (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{ff14b02b-6ee4-400f-a729-b0ea35f921c2} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{1ecc44fb-970d-4bc8-90e3-002da4dd21b8} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{63bd4ee4-660b-434d-a54b-7c1f53e2fedd} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{6d2c09c4-ec95-4251-81fd-1cd01fd8ae44} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d622e87a-35f9-4fb2-afee-4f5bf8407c7a} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{69620165-77dd-44ee-995c-3632e525a22b} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{f8d07b72-b4b4-46a0-acc0-c771d4614b82} (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\aosmtp.fastsender.1 (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\aosmtp.mail (Spyware.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\aosmtp.mail.1 (Spyware.Banker) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\AOSMTP.dll (Spyware.Banker) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\agqhpq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\iropicqs.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\qyprlm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\tkcdujxr.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{36FBD960-35CC-4863-873B-E9145AF11A77}\RP535\A0153190.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{36FBD960-35CC-4863-873B-E9145AF11A77}\RP512\A0127518.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully. Muss die Nachricht teilen, sind zuviele Zeichen! Ich habe zur Sicherheit heute nochmal das SUPERAntiSpyware laufen lassen und es hat nichts gefunden: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 10/08/2008 at 01:00 PM Application Version : 4.21.1004 Core Rules Database Version : 3592 Trace Rules Database Version: 1579 Scan type : Complete Scan Total Scan Time : 01:40:24 Memory items scanned : 398 Memory threats detected : 0 Registry items scanned : 5430 Registry threats detected : 0 File items scanned : 121198 File threats detected : 0 und auch anschließend Malware: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1240 Windows 5.1.2600 Service Pack 3 08.10.2008 16:38:09 mbam-log-2008-10-08 (16-38-09).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 161148 Laufzeit: 1 hour(s), 53 minute(s), 31 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Und noch einmal ein aktuelles HJT Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:53:54, on 08.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\G DATA AntiVirus\AVK\AVKService.exe C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\QuickTime\qttask.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\PROGRA~1\Magentic\bin\MgApp.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\IncrediMail\bin\IMApp.exe C:\Programme\IncrediMail\bin\IncMail.exe C:\Programme\Opera\Opera.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131018820546 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326 O17 - HKLM\System\CCS\Services\Tcpip\..\{F1B1983D-0A39-4DE5-AABB-47254AF45139}: NameServer = 192.168.122.252,192.168.122.253 O20 - AppInit_DLLs: pnvyse.dll oduroo.dll agqhpq.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 8289 bytes Bedeutet das jetzt, das mein Computer wieder sauber ist? Oder kann der Trojaner sich noch mal neu generieren? Ach, und soll ich jetzt den Spybot nicht mehr neu installieren sondern besser SUPERAntiSpyware und Malware kaufen? Und noch zwei letzte Fragen: 1. Wie räume ich Autostart auf 2. Welche Antivirensoftware sollte ich am besten installieren, da GDATA ja bald abläuft? Vielen Dank im Voraus für Deine Mühe! Melanika |
|
08.10.2008, 17:50
| #7 | |
| /// AVZ-Toolkit Guru | Win32 Trojan-Gen oder falscher Alarm GDATA? Wer so "professionell" saugt wie du das tust der ist selber schuld. Da noch unsere Hilfe hier in Anspruch nehmen ist schon dreist. Setzte den Rechner neu auf. Er ist kompromitiert und wird nie wieder sicher sein wenn du ihn nicht platt machst. Kein AV-Prog dieser Welt kann dich vor Dateien schützen die du illegal aus dem Netz saugst! Bereinigung nach einer Kompromitierung Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
| Themen zu Win32 Trojan-Gen oder falscher Alarm GDATA? |
| abgesicherten modus, adobe, antivirus, askbar, aufgehängt, bho, ctfmon.exe, desinfizieren, dsl, entfernen, excel, explorer, g data, g-data, gdata, google, handel, helfen, hijack-this, hijackthis, hkus\s-1-5-18, infiziert., infizierte, infizierte datei, internet, internet explorer, locker, nvidia, object, opera, programme, rundll, scan, software, trojaner, updates, virtumonde, virtumonde.dll, warnmeldungen, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
