Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner!? System rettbar?

Trojaner!? System rettbar?


Log-Analyse und Auswertung: Trojaner!? System rettbar?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Seite 1 von 3 1 23
Alt 12.05.2009, 13:56   #1
blueminotaur
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Hallo Zusammen,

vor einigen Tagen hat Malware mein Windows befallen: Antivir deaktiviert, blinkende Hintergrundgrafik auf dem Desktop, im Explorer keine Dateiendungen mehr, eingeschränkte Ordneroptionen, regelmässige Verbindungsversuche von Firefox mit Webseiten von "Sicherheits"-Software (Verbindung zum Netz ist seit Auftreten des Befalls gekappt), Fehlermeldungen bei Öffnen von Flash-Videos, PDFs und anderen Dateien.
Im folgenden seht Ihr ein HiJackThis-LogFile; ich wäre Euch dankbar, wenn Ihr einen Blick darauf werfen könntet. Insbesondere "477464178.exe" kommt mir merkwürdig vor (Suche ergab keine Ergebnisse), sowie natürlich der Eintrag in Zeile O7.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:32:37, on 12.05.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Programme\Dantz\Retrospect\retrorun.exe

C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\WDBtnMgr.exe

C:\Programme\WDC\SetIcon.exe

C:\WINDOWS\TBPanel.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Windows Defender\MSASCui.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE

C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Programme\avmwlanstick\FRITZWLANMini.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\DOKUME~1\Matze\LOKALE~1\Temp\477464178.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\OpenOffice.org 3\program\soffice.exe

C:\Programme\OpenOffice.org 3\program\soffice.bin

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Filzip\Filzip.exe

C:\DOKUME~1\Matze\LOKALE~1\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL

O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe

O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe

O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"

O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Diagnostic Manager] C:\DOKUME~1\Matze\LOKALE~1\Temp\477464178.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\1604462724.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe

O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe



--

End of file - 6959 bytes


Danke im Voraus für jede Hilfe

Matze

Alt 14.05.2009, 20:14   #2
blueminotaur
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Hab ich beim Posten irgendwas vergessen oder nicht beachtet?
Wäre nett, wenn mal jemand durch das LogFile sehen könnte.
Vielen Dank im Voraus.
__________________
Alt 14.05.2009, 20:32   #3
john.doe
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Hallo und

1.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
O4 - HKCU\..\Run: [Diagnostic Manager] C:\DOKUME~1\Matze\LOKALE~1\Temp\477464178.exe
O4 - HKUS\S-1-5-18\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\1604462724.exe (User 'SYSTEM')
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
=> Fix checked => Neustart

2.) Lade alle ausführbaren Dateien (.exe), die sich in diesem Ordner befinden:
Code:
ATTFilter
C:\DOKUMEnte und Einstellungen\Matze\LOKALE Einstellungen\Temp\
gemäß dieser Anleitung bei uns hoch.

3.) Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas
__________________
__________________
Alt 14.05.2009, 21:51   #4
blueminotaur
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Danke für die Antwort. Werde das morgen im Laufe des Tages abarbeiten, und mich dann wieder melden.

Grüße

Matze

Alt 14.05.2009, 21:54   #5
john.doe
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?




ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 15.05.2009, 18:59   #6
blueminotaur
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Hi Andreas,

hier, soweit möglich oder vorhanden, die Ergebnisse der empfohlenen Schritte:
-die Registry-Objekte
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
und
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
waren erst nach dem dritten Durchgang und Neustart mit HJT gefixt.

Antimalware gab folgendes Logfile:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2135
Windows 5.1.2600 Service Pack 2

15.05.2009 19:23:58
mbam-log-2009-05-15 (19-23-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|I:\|)
Durchsuchte Objekte: 198726
Laufzeit: 21 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\Matze\Desktop\backups\backup-20090515-174729-162.dll (Roorkit.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Matze\Desktop\backups\backup-20090515-175500-754.dll (Roorkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ak1.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\frmwrk32.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\loader266.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yhs783ijfo3fe.dll (Roorkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5UJO9UB\lsp[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\userinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ftp_non_crp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\p2hhr.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\loader49.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Vor dem Durchlauf waren der Ordner C:\DOKUMEnte und Einstellungen\Matze\LOKALE Einstellungen\Temp\ sowie der Punkt "Ordneroptionen" im Arbeitsplatz verschwunden; die Dateiendungen bei bekannten Dateien ausgeblendet.

Hier die Uninstall-List von HJT:

ABBYY FineReader 5.0 Sprint Plus
ACDSee 6.0 Standard
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.2 - Deutsch
Apple Software Update
Audacity 1.3.6 (Unicode)
Audiograbber 1.83 SE
Avira AntiVir Personal - Free Antivirus
Build Your Own Net Dream (remove only)
CCleaner (remove only)
DMIView
DVD Solution
EPSON CardMonitor
EPSON Copy Utility
EPSON Photo Print
EPSON PhotoStarter3.1
EPSON PRINT Image Framer Tool2.1
EPSON Scan
EPSON Smart Panel
EPSON-Drucker-Software
ETC B06.0828.01
EXPERTool
Feurio! CD-Writer
ffdshow [rev 2033] [2008-07-05]
Filzip 3.06
FLV Player
FLV Player 2.0 (build 25)
Fritz7
GIMP 2.6.5
Gothic II
Gothic II - Die Nacht des Raben
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB914440)
Hotfix für Windows XP (KB935448)
Hotfix für Windows XP (KB952287)
ICQ 5.1
Indeo® Software
IrfanView (remove only)
iTunes
J2SE Runtime Environment 5.0 Update 7
Java(TM) 6 Update 13
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Malwarebytes' Anti-Malware
MediaShow 3.0
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Baseline Security Analyzer 2.0.1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office PowerPoint Viewer 2007 (English)
Microsoft RAW Image Thumbnailer and Viewer for Windows XP Version 1.0 (Build 50)
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Virtual PC 2007
Microsoft Visual C++ 2005 Redistributable
MozBackup 1.4.9
Mozilla Firefox (3.0.8)
Mozilla Thunderbird (2.0.0.21)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
muvee autoProducer 3.5 magicMoments
NVIDIA Drivers
OpenOffice.org 3.0
PC Inspector File Recovery
PhotoNow! 1.0
PIF DESIGNER2.1
Power2Go 5.0
PowerBackup 2.5
PowerDVD
PowerProducer
Prime95
Prism Video Converter
QuickTime
Real Alternative 1.52
Realtek High Definition Audio Driver
Retrospect 6.5
Samsung ML-1610 Series
ScanToWeb
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933566)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB937894)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB948881)
Sicherheitsupdate für Windows XP (KB950749)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
SilverFast DC-VLT CD Dokumentation 6.4.0
SilverFast DC-VLT Dokumentation 6.4.0
SilverFast DC-VLT-SAMSUNG
Simplyzip (remove only)
SpeedFan (remove only)
Stronghold
SUPER © Version 2008.bld.30 (Mar 22, 2008)
TerraTec Home Cinema
Thermal Analysis Tool
Update für Windows XP (KB894391)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB927891)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB932823-v3)
Update für Windows XP (KB933360)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
V1.1b
VideoLAN VLC media player 0.8.6a
Virtual Cable Tester
WD Media Center Driver
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Defender
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 2
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
XviD MPEG-4 Codec

Sollte ich was vergessen haben, bitte melden.

Viele Grüße

Matze

Alt 15.05.2009, 19:13   #7
space23
Gast
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Bitte surfe in der Zukunft vorsichtiger nachdem John dir geholfen hat
Hast dir echt nen riesiegen Malware Berg angeschafft

Alt 15.05.2009, 19:20   #8
blueminotaur
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Ja, böse...

Dabei hatte ich schon einiges getan, um dem zu entgehen: ntsvcfg abgearbeitet, regelmässig upgedated etc.
Ich weiß ehrlich gesagt nicht so recht, wo der ganze Mist herkommt.
Grösster und blödester Fehler war, aus Bequemlichkeit kein eingeschränktes Benutzerkonto eingerichtet zu haben...

Alt 15.05.2009, 19:54   #9
john.doe
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Zitat:
Vor dem Durchlauf waren der Ordner C:\DOKUMEnte und Einstellungen\Matze\LOKALE Einstellungen\Temp\ sowie der Punkt "Ordneroptionen" im Arbeitsplatz verschwunden; die Dateiendungen bei bekannten Dateien ausgeblendet
Ja, die sind mies, alles, was denen gefährlich werden kann, wird abgeschaltet oder kann erst gar nicht gestartet werden.
Zitat:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Der sorgt dafür, dass du regedit nicht mehr starten darfst.
Zitat:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Der verhindert, dass du dir alle Dateien anzeigen lassen kannst.
Zitat:
Ich weiß ehrlich gesagt nicht so recht, wo der ganze Mist herkommt.
Das ist ganz simpel, ein gestarteter Dropper oder Downloader reichen aus, ein einziger Exploit und der ganze Mist wird nachgeladen.

Dann jagen wir doch gleich den nächsten hinterher:

http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung).

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 15.05.2009, 21:33   #10
blueminotaur
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Hier -endlich- der SuperAntiSpyware-Scan:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/15/2009 at 10:32 PM

Application Version : 4.26.1002

Core Rules Database Version : 3895
Trace Rules Database Version: 1843

Scan type : Complete Scan
Total Scan Time : 01:28:57

Memory items scanned : 542
Memory threats detected : 0
Registry items scanned : 5383
Registry threats detected : 4
File items scanned : 114545
File threats detected : 136

Trojan.Sino-PWS/Gen
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2BA40A2-74F0-42BD-F434-12345A2C8953}
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2BA40A2-74F0-42BD-F434-12345A2C8953}

Rootkit.Agent/Gen-Rustock
HKLM\system\controlset001\services\ovfsthnhhfoeeskfysdtmtseuqfmdipekmouna
C:\WINDOWS\SYSTEM32\DRIVERS\OVFSTHGPIFEGMDKOSFLVXICRIUQANYMWNORSJM.SYS
HKLM\system\controlset003\services\ovfsthnhhfoeeskfysdtmtseuqfmdipekmouna

Trojan.Agent/Gen-FakeAlert
C:\DOKUMENTE UND EINSTELLUNGEN\MATZE\LOKALE EINSTELLUNGEN\TEMP\477464178.EXE

Rogue.FakeAlert/Wallpaper
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KLIN0L27\WARNING[1].GIF
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KLIN0L27\WARNING[2].GIF

Trojan.Unknown Origin
C:\WINDOWS\SYSTEM32\OVFSTHIFDKJFFOCPMPTRRKCBPGYEPTNMIMLTPS.DLL
C:\WINDOWS\SYSTEM32\OVFSTHNFNPMVWBQEVRQGWLWOHULCSHBICQLNVE.DLL

Trojan.Dropper/UserInit-Fake
C:\WINDOWS\SYSTEM32\USERINIT.EXE

Adware.Tracking Cookie
.sextracker.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
counter10.sextracker.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz11.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz11.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz11.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz11.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
adserver.betandwin.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
adserver.betandwin.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.doubleclick.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
as1.falkag.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
as1.falkag.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.komtrack.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
as1.falkag.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
as1.falkag.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.overture.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.overture.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.mediaplex.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.adtech.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
banner.t-online.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.adtech.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.e-2dj6wjkoehczgfo.stats.esomniture.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.stats.esomniture.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.phg.hitbox.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.hitbox.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.hitbox.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
ad.adition.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
ad.adition.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz9.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.paycounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
www.chickhotsex.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.atwola.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.2o7.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.2o7.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.2o7.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.2o7.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.imrworldwide.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.imrworldwide.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.weborama.fr [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz3.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz4.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.hg1.hitbox.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.revenue.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.fastclick.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.realmedia.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.atdmt.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.apmebf.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.bdsmlibrary.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.bdsmlibrary.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.casalemedia.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz7.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.hypercount.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.maxserving.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.maxserving.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.mediavantage.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.questionmarket.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.serving-sys.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.serving-sys.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.serving-sys.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.serving-sys.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.tribalfusion.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.z1.adserver.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.z1.adserver.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
download.ontrack.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
image.masterstats.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
www.tripod.lycos.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
www1.addfreestats.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
I:\lisa\benutzer (lisa)\Cookies\lisa@2o7[2].txt
I:\lisa\benutzer (lisa)\Cookies\lisa@adtech[2].txt
I:\lisa\benutzer (lisa)\Cookies\lisa@doubleclick[1].txt
I:\lisa\benutzer (lisa)\Cookies\lisa@indextools[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@doubleclick[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@mediaplex[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@as1.falkag[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@overture[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@bfast[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@valueclick[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@as1.falkag[3].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@hitbox[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@adserver.webchat[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@valueclick[3].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@www.zanox-affiliate[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@bluestreak[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@hg1.hitbox[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@www.clickxchange[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@ads.gorillanation[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@clickxchange[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@ads.adworldnetwork[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@maxserving[1].txt

Trojan.Service
I:\LISA\ALTE PLATTE\PROGRAMME\MICROSOFT MONEY\SYSTEM\SERVICE.EXE

Trojan.Dropper/Gen
I:\LISA\ALTE PLATTE\T_ONLINE\DRELREST.EXE

Trace.Known Threat Sources
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\016FC5E3\winlogon[2].htm
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\016FC5E3\winlogon[1].htm
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9YJS92N\onlinescanxpp_com[1].htm

Immer noch jede Menge Mist drin...

Alt 15.05.2009, 21:44   #11
john.doe
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Zitat:
Immer noch jede Menge Mist drin...
Ja und das wird auch nicht weniger werden, wenn du dich weiterhin auf solchen Seiten rumtreibst:
Zitat:
.sextracker.com
.sexlist.com
cs.sexcounter.com
www.chickhotsex.com
.bdsmlibrary.com
Und die Alte Platte solltest du am besten formatieren.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 15.05.2009, 22:25   #12
blueminotaur
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Hier das ComboFix Log-File:

ComboFix 09-05-15.01 - Matze 15.05.2009 23:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1703 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Matze\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\jestertb.dll
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\drivers\ovfsthgpifegmdkosflvxicriuqanymwnorsjm.sys
c:\windows\system32\ovfsthcgfxbjijtjakhnlpyapembosckrmmkul.dat
c:\windows\system32\ovfsthfnnllgxipmlddlncjegsfdblrmbxabxb.dat
c:\windows\system32\ovfsthrlgtqkcsxvyrbysfnnhggqgixswbrrom.dll
c:\windows\system32\uniq.tll
I:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthnhhfoeeskfysdtmtseuqfmdipekmouna


((((((((((((((((((((((( Dateien erstellt von 2009-04-15 bis 2009-05-15 ))))))))))))))))))))))))))))))
.

2009-05-15 18:58 . 2009-05-15 18:58 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-15 18:58 . 2009-05-15 18:58 -------- d-----w c:\programme\SUPERAntiSpyware
2009-05-15 18:58 . 2009-05-15 18:58 -------- d-----w c:\dokumente und einstellungen\Matze\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-15 17:06 . 2009-05-15 17:06 29937 ----a-w c:\windows\system32\1wd.exe
2009-05-15 17:01 . 2009-05-15 17:01 -------- d-----w c:\dokumente und einstellungen\Matze\Anwendungsdaten\Malwarebytes
2009-05-15 17:01 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-15 17:01 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-15 17:01 . 2009-05-15 17:01 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-15 17:01 . 2009-05-15 17:01 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-15 16:50 . 2009-05-15 16:50 -------- d-----w c:\programme\CCleaner
2009-05-12 11:15 . 2009-05-12 11:15 142096 ----a-w c:\windows\system32\drivers\tmcomm.sys
2009-04-27 20:44 . 2009-04-27 20:44 -------- d-----w c:\programme\MozBackup
2009-04-27 13:45 . 2009-04-27 13:45 -------- d-----w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-04-23 05:24 . 2005-07-26 04:39 60416 -c----w c:\windows\system32\dllcache\colbact.dll
2009-04-23 05:24 . 2009-02-06 16:39 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-23 05:24 . 2009-03-06 14:44 286208 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-23 05:24 . 2009-02-09 10:18 473088 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-23 05:24 . 2009-02-09 10:18 399360 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-23 05:24 . 2009-02-09 10:04 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-23 05:24 . 2009-02-09 10:18 677888 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-23 05:24 . 2009-02-09 10:18 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-23 05:24 . 2009-02-09 10:18 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-23 05:24 . 2008-04-21 21:25 217600 -c----w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-15 18:58 . 2007-06-15 22:05 -------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-15 18:46 . 2008-12-23 10:50 -------- d-----w c:\programme\CyberMistress
2009-05-07 07:44 . 2007-06-16 15:01 -------- d-----w c:\programme\Mozilla Thunderbird
2009-04-29 06:01 . 2009-03-07 23:05 -------- d-----w c:\programme\Limit
2009-04-27 19:57 . 2007-06-17 11:58 -------- d-----w c:\programme\Regclean
2009-04-23 06:04 . 2002-08-29 12:00 64296 ----a-w c:\windows\system32\perfc007.dat
2009-04-23 06:04 . 2002-08-29 12:00 392676 ----a-w c:\windows\system32\perfh007.dat
2009-04-18 12:53 . 2007-06-16 14:52 -------- d-----w c:\programme\Java
2009-04-09 23:50 . 2007-11-23 12:51 -------- d-----w c:\programme\FLV Player
2009-03-09 03:19 . 2008-12-04 18:38 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 14:44 . 2002-08-29 12:00 286208 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2002-08-29 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2007-06-16 08:05 78336 ----a-w c:\windows\system32\ieencode.dll
2006-05-03 09:06 . 2008-05-06 20:08 163328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-05-06 20:08 31232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 12:43 . 2008-05-06 20:08 27648 --sh--w c:\windows\system32\Smab0.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-14 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Seticons"="\Programme\WDC\SetIcon.exe" [2004-04-28 42496]
"Gainward"="c:\windows\TBPanel.exe" [2006-09-14 2162688]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-08-11 7630848]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 32768]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2007-06-01 257088]
"TerraTec Remote Control"="c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2007-05-31 1073152]
"EPSON Stylus Photo RX500"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE" [2003-09-12 99840]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"WD Button Manager"="WDBtnMgr.exe" - c:\windows\system32\WDBtnMgr.exe [2007-06-15 331776]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-08-11 1519616]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-08-11 86016]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-07-21 16261632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\Matze\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrSetup.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\ChannelEditor\\CinergyDvrChannelEditor.exe"=

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [14.05.2009 14:22 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [14.05.2009 14:22 72944]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [27.09.2007 20:11 265088]
R3 inibtmgr;WD Bridge Controller Driver;c:\windows\system32\drivers\inibtmgr.sys [16.06.2007 00:05 9728]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [27.09.2007 20:11 4352]
S3 MarkFun_NT;MarkFun_NT;\??\c:\programme\Gigabyte\ET5\markfun.w32 --> c:\programme\Gigabyte\ET5\markfun.w32 [?]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [14.05.2009 14:22 7408]
S3 SmsBdaT;Cinergy Piranha - DVB-T BDA;c:\windows\system32\drivers\SmsBdaT.sys [30.06.2007 21:28 15488]
S3 SmsDvbR;Cinergy Piranha - Digital Video Router;c:\windows\system32\drivers\SmsDvbR.sys [30.06.2007 21:28 24448]
S3 SmsUsbG;Cinergy Piranha - USB Generic Driver;c:\windows\system32\drivers\SmsUsbG.sys [30.06.2007 21:28 14080]
.
Inhalt des "geplante Tasks" Ordners

2008-09-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-05-15 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Power2GoExpress - (no file)
HKU-Default-Run-Windows Resurections - c:\windows\TEMP\jeec8ed.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.metager.de/meta/cgi-bin/mg-perein.pl?mg_version=10&mm=and&maxtreffer=200&time=2&hitsPerServer=2&textmenge=2&wissRank=on&wikiboost=on&QuickTips=beschleuniger&synonyme=on&linkTest =no&check_time=3&dmoz=on&exalead=on&suchclip=on&wikipedia=on&yacy=on&witch=on&overture=on&fastbot=on&metarss=on&Nachrichten=on&mrwong=on&firstsfind=on &atsearch=on&qualigo=on&msn=on&yahoo=on&bildersuche=on&audioclipping=on&komercatv=on&zoggle=on&ebay=on&ecoshopper=on&marktjagd=on&eurobuch=on&dmozint= on&onlinks=on&usunis=on&plazoo=on&firstsfind_int=on&dest=bookmark
FF - plugin: c:\programme\BYOND\bin\npbyond.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbyond.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-15 23:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MarkFun_NT]
"ImagePath"="\??\c:\programme\Gigabyte\ET5\markfun.w32"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1248)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-05-15 23:12
ComboFix-quarantined-files.txt 2009-05-15 21:12

Vor Suchlauf: 11 Verzeichnis(se), 33.795.567.616 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 33.784.594.432 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

172 --- E O F --- 2009-04-25 23:27

Nach Neustart war das Fritz Wlan-Programm nicht mitgestartet, und Firefox nicht mehr der Standard-Browser. Ist das normal?
Die "Alte Platte" auf Laufwerk I ist eine Sicherung von einem anderen Rechner; auf die hab ich noch nie zugegriffen. Trotzdem löschen?

Alt 15.05.2009, 22:28   #13
blueminotaur
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Ich merke gerade, daß ich unaufmerksam war: hab die Sysdtemwiederhertsellungskonsolenabfrage doch mit "Ja" beantwortet.
Alles nochmal?

Alt 15.05.2009, 22:45   #14
john.doe
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Zitat:
Nach Neustart war das Fritz Wlan-Programm nicht mitgestartet, und Firefox nicht mehr der Standard-Browser. Ist das normal?
Ja, ComboFix ändert eine Menge Einstellungen, die üblicherweise von Schädlingen geändert werden. Da nichts bei denken.
Zitat:
Ich merke gerade, daß ich unaufmerksam war: hab die Sysdtemwiederhertsellungskonsolenabfrage doch mit "Ja" beantwortet.
Das sollst du auch, du sollst sie nur eben nicht so installieren, wie es in der Anleitung beschrieben ist. Passt schon.
Zitat:
Die "Alte Platte" auf Laufwerk I ist eine Sicherung von einem anderen Rechner; auf die hab ich noch nie zugegriffen. Trotzdem löschen?
Die scheint mir ziemlich verseucht zu sein und wenn du noch nie darauf zugegriffen hast, wozu soll die dann gut sein. Nein, formatieren musst du gar nichts, zumindest noch nicht. Und dazu sage ich jetzt lieber nichts:
Zitat:
c:\programme\CyberMistress
1.) Start => Ausführen => combofix /u => OK

2.) Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 15.05.2009, 22:58   #15
blueminotaur
 
Trojaner!? System rettbar? - Standard

Trojaner!? System rettbar?


Zitat:
Zitat von john.doe Beitrag anzeigen
Und dazu sage ich jetzt lieber nichts:
Musst Du ja auch nicht.

Hier das erste Logfile von RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Matze at 2009-05-15 23:56:10
Microsoft Windows XP Professional Service Pack 2
System drive C: has 32 GB (65%) free of 50 GB
Total RAM: 2046 MB (78% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:56:11, on 15.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Matze\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\Matze\Desktop\Matze.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

--
End of file - 5392 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\MP Scheduled Scan.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{AD6E6555-FB2C-47D4-8339-3E2965509877} - &TerraTec Home Cinema - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL [2007-04-20 527360]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WD Button Manager"=C:\WINDOWS\system32\WDBtnMgr.exe [2007-06-16 331776]
"Seticons"=\Programme\WDC\SetIcon.exe [2004-04-28 42496]
"Gainward"=C:\WINDOWS\TBPanel.exe [2006-09-14 2162688]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2006-08-11 7630848]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=NvMCTray.dll,NvTaskbarInit []
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-07-21 16261632]
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [2005-01-12 32768]
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-17 266497]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2007-06-01 257088]
"TerraTec Remote Control"=C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe [2007-05-31 1073152]
"EPSON Stylus Photo RX500"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE [2003-09-12 99840]
"Samsung Common SM"=C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe [2005-07-03 372736]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-09-06 413696]
"AVMWlanClient"=C:\Programme\avmwlanstick\FRITZWLANMini.exe [2007-02-02 283136]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-05-14 1830128]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EasyTuneV]
C:\Programme\Gigabyte\ET5\GUI.exe []

C:\Dokumente und Einstellungen\Matze\Startmenü\Programme\Autostart
OpenOffice.org 3.0.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-06 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"=C:\PROGRA~1\WIFD1F~1\MpShHook.dll [2006-11-03 83224]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WinDefend]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\TerraTec\TerraTec Home Cinema\CinergyDvrSetup.exe"="C:\Programme\TerraTec\TerraTec Home Cinema\CinergyDvrSetup.exe:*:Enabled:TerraTec Home Cinema (Setup)"
"C:\Programme\TerraTec\TerraTec Home Cinema\tvtvSetup\tvtv_Wizard.exe"="C:\Programme\TerraTec\TerraTec Home Cinema\tvtvSetup\tvtv_Wizard.exe:*:Enabled:TerraTec tvtv Setup"
"C:\Programme\TerraTec\TerraTec Home Cinema\CinergyDvr.exe"="C:\Programme\TerraTec\TerraTec Home Cinema\CinergyDvr.exe:*:Enabled:TerraTec Home Cinema"
"C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\Programme\TerraTec\TerraTec Home Cinema\ChannelEditor\CinergyDvrChannelEditor.exe"="C:\Programme\TerraTec\TerraTec Home Cinema\ChannelEditor\CinergyDvrChannelEditor.exe:*:Enabled:TerraTec ChannelEditor"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-05-15 23:56:10 ----D---- C:\rsit
2009-05-15 23:12:49 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-15 23:12:49 ----A---- C:\ComboFix.txt
2009-05-15 23:05:49 ----A---- C:\Boot.bak
2009-05-15 23:05:40 ----RASHD---- C:\cmdcons
2009-05-15 23:04:29 ----D---- C:\WINDOWS\ERDNT
2009-05-15 20:58:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-15 20:58:48 ----D---- C:\Programme\SUPERAntiSpyware
2009-05-15 20:58:48 ----D---- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-15 19:06:12 ----A---- C:\WINDOWS\system32\1wd.exe
2009-05-15 19:01:24 ----D---- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Malwarebytes
2009-05-15 19:01:20 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-05-15 19:01:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-15 18:50:20 ----D---- C:\Programme\CCleaner
2009-04-27 22:44:22 ----D---- C:\Programme\MozBackup
2009-04-23 07:28:20 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-04-23 07:28:15 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-04-23 07:26:34 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-04-23 07:26:24 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-04-23 07:26:14 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-04-23 07:26:01 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$

======List of files/folders modified in the last 1 months======

2009-05-15 23:55:45 ----D---- C:\WINDOWS
2009-05-15 23:55:39 ----D---- C:\WINDOWS\system32
2009-05-15 23:55:35 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-15 23:55:35 ----D---- C:\WINDOWS\Prefetch
2009-05-15 23:50:00 ----A---- C:\WINDOWS\Filzip.ini
2009-05-15 23:20:18 ----D---- C:\Programme\Mozilla Firefox
2009-05-15 23:17:37 ----D---- C:\WINDOWS\Temp
2009-05-15 23:12:32 ----SD---- C:\WINDOWS\Tasks
2009-05-15 23:11:54 ----A---- C:\WINDOWS\system.ini
2009-05-15 23:11:17 ----D---- C:\WINDOWS\system32\drivers
2009-05-15 23:11:17 ----D---- C:\WINDOWS\AppPatch
2009-05-15 23:11:16 ----D---- C:\Programme\Gemeinsame Dateien
2009-05-15 23:09:16 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2009-05-15 23:06:28 ----A---- C:\WINDOWS\DFC.INI
2009-05-15 23:05:49 ----RASH---- C:\boot.ini
2009-05-15 23:01:11 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-05-15 20:58:55 ----SHD---- C:\WINDOWS\Installer
2009-05-15 20:58:48 ----RD---- C:\Programme
2009-05-15 20:58:10 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-15 20:46:33 ----D---- C:\Programme\CyberMistress
2009-05-15 20:27:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-05-15 18:52:49 ----D---- C:\WINDOWS\Debug
2009-05-15 17:49:54 ----D---- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\gtk-2.0
2009-05-07 09:44:11 ----D---- C:\Programme\Mozilla Thunderbird
2009-04-29 08:01:24 ----D---- C:\Programme\Limit
2009-04-27 22:37:33 ----HD---- C:\WINDOWS\inf
2009-04-27 21:57:03 ----D---- C:\Programme\Regclean
2009-04-23 08:04:04 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-04-23 07:59:43 ----D---- C:\WINDOWS\system32\wbem
2009-04-23 07:28:08 ----D---- C:\WINDOWS\system32\de-de
2009-04-23 07:28:08 ----D---- C:\Programme\Internet Explorer
2009-04-23 07:26:30 ----HD---- C:\WINDOWS\$hf_mig$
2009-04-18 14:53:32 ----D---- C:\Programme\Java

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-11-11 75072]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-16 21248]
R1 vmm;Virtual Machine Monitor; \??\C:\WINDOWS\system32\Drivers\vmm.sys []
R2 DgiVecp;Team MFP Comm Driver; C:\WINDOWS\System32\Drivers\DgiVecp.sys [2004-05-17 41984]
R2 TBPanel;TBPanel; C:\WINDOWS\system32\drivers\TBPanel.sys [2002-07-27 5306]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]
R3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-01-26 265088]
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 inibtmgr;WD Bridge Controller Driver; C:\WINDOWS\System32\DRIVERS\inibtmgr.sys [2003-12-08 9728]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-07-24 4353024]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2006-08-11 3958496]
R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2007-06-16 9856]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 VPCNetS2;Virtual Machine Network Services Driver; C:\WINDOWS\system32\DRIVERS\VMNetSrv.sys [2007-01-29 59280]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\System32\DRIVERS\yk51x86.sys [2006-07-12 248192]
R4 catchme;catchme; \??\C:\DOKUME~1\Matze\LOKALE~1\Temp\catchme.sys []
S3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []
S3 avmeject;AVM Eject; C:\WINDOWS\system32\drivers\avmeject.sys [2007-01-26 4352]
S3 Cardex;Cardex; \??\C:\WINDOWS\system32\drivers\TBPANEL.SYS []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 MarkFun_NT;MarkFun_NT; \??\C:\Programme\Gigabyte\ET5\markfun.w32 []
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-03 15360]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 SmsBdaT;Cinergy Piranha - DVB-T BDA; C:\WINDOWS\system32\DRIVERS\SmsBdaT.sys [2007-05-20 15488]
S3 SmsDvbR;Cinergy Piranha - Digital Video Router; C:\WINDOWS\system32\DRIVERS\SmsDvbR.sys [2007-05-20 24448]
S3 SmsUsbG;Cinergy Piranha - USB Generic Driver; C:\WINDOWS\system32\DRIVERS\SmsUsbG.sys [2007-03-15 14080]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-08-29 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2006-08-11 155715]
R2 RetroLauncher;Retrospect Launcher; C:\Programme\Dantz\Retrospect\retrorun.exe [2003-11-12 49152]
R2 RetroWDSvc;Retrospect WD Service; C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe [2004-01-26 46592]
R2 WinDefend;Windows Defender; C:\Programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S3 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2007-06-01 501312]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]

-----------------EOF-----------------

Antwort
Seite 1 von 3 1 23

Themen zu Trojaner!? System rettbar?
adobe, antivir, antivir deaktiviert, avg, avira, bho, c:\windows\temp, defender, desktop, explorer, firefox, gainward, hijack, hkus\s-1-5-18, home, internet, internet explorer, malware, mozilla, nvidia, object, plug-in, remote control, rundll, stick, system, temp, trojaner, usb, windows, windows xp, windows\temp


« Trojaner.DropperGen; twext.exe | Verdacht auf Trojaner »


Ähnliche Themen: Trojaner!? System rettbar?


  1. BKA Trojaner auf XP System OTL
    Log-Analyse und Auswertung - 06.06.2013 (13)
  2. GVU Trojaner auf XP System
    Log-Analyse und Auswertung - 02.06.2013 (35)
  3. GVU Trojaner auf dem System
    Log-Analyse und Auswertung - 03.05.2013 (4)
  4. GVU Trojaner auf System mit Win 7 64 bit
    Log-Analyse und Auswertung - 18.01.2013 (11)
  5. Windows-Trojaner im System
    Plagegeister aller Art und deren Bekämpfung - 02.05.2012 (3)
  6. Trojaner "System Check" deinstalliert - System sauber?
    Log-Analyse und Auswertung - 11.04.2012 (23)
  7. BKA Trojaner und GEMA Trojaner haben mein System infiziert!
    Log-Analyse und Auswertung - 23.03.2012 (4)
  8. System Check Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.02.2012 (1)
  9. Trojaner im System (BKA)
    Log-Analyse und Auswertung - 26.05.2011 (15)
  10. trojaner o.ä. im system
    Log-Analyse und Auswertung - 04.12.2010 (13)
  11. 20-Tan Trojaner im System?
    Plagegeister aller Art und deren Bekämpfung - 30.09.2010 (1)
  12. System Probleme nach Trojaner/ Trojaner wirklich besiegt?
    Plagegeister aller Art und deren Bekämpfung - 28.10.2009 (3)
  13. Trojaner auf dem System ?
    Log-Analyse und Auswertung - 23.01.2009 (3)
  14. Trojaner im System ?
    Log-Analyse und Auswertung - 17.06.2008 (6)
  15. System Trojaner System Vital CPU 100%
    Mülltonne - 26.01.2008 (0)
  16. Trojaner im System?
    Log-Analyse und Auswertung - 06.03.2007 (4)
  17. Angst-Trojaner auf dem System
    Log-Analyse und Auswertung - 25.04.2005 (17)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner!? System rettbar? - Hallo Zusammen, vor einigen Tagen hat Malware mein Windows befallen: Antivir deaktiviert, blinkende Hintergrundgrafik auf dem Desktop, im Explorer keine Dateiendungen mehr, eingeschränkte Ordneroptionen, regelmässige Verbindungsversuche von Firefox mit Webseiten - Trojaner!? System rettbar?...
Archiv
Du betrachtest: Trojaner!? System rettbar? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129