TR/Dldr.Fraudload.fcu, BDS/Zdoogu.FB, BDS/Bredolab.DM u.a.

Flashboxxx · 21.08.2009, 13:56

Hallo Community,

vor ein paar Tagen habe ich mir wohl gleich ein paar Würmer eingefangen. Zuerst dachte ich: naja, Avira wirds schon richten, aber bei jedem Systemstart tauchen die Biester wieder auf.

Die Berichte von Avira AntiVir sind ja sehr oberflächlich und die Reportdateien kann ich mir nicht anzeigen lassen, vielleicht vercheck ich da aber auch was. Er hat auf jeden Fall 4 versteckte Objekte, 7 Funde, 2 Warnungen und 11 Hinweise ausgespukt, z.B.:

TR/Downloader.Gen
TR/Dldr.Fraudload.fcu
BDS/Zdoogu.FB
BDS/Bredolab.DM

Nun, ich habe hier viel über Downloader.Gen gelesen, aber so gut wie nichts über zB Bredolab.DM, daher erstelle ich jetzt diesen Thread.

Ich bin den hier im Forum beschriebenen Weg gegangen:

1. CCleaner installiert und einmal drüber gejagt

2. Malwarebytes installiert und gestartet, hier ist das Log:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2668
Windows 5.1.2600 Service Pack 2

21.08.2009 14:09:02
mbam-log-2009-08-21 (14-09-02).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 202483
Laufzeit: 1 hour(s), 49 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Dropper) -> Data: c:\windows\system32\sdra64.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Dropper) -> Data: system32\sdra64.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
C:\WINDOWS\meta4.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sdra64.exe (Trojan.Dropper) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\Dokumente und Einstellungen\Firma\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\prxid93ps.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Firma\Startmenü\Programme\Autostart\ikowin32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\010112010146120114.xe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0101120101464949.xe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\0535251103110107106.yux (KoobFace.Trace) -> Quarantined and deleted successfully.

Flashboxxx · 21.08.2009, 13:57

3. RSIT einen Systemcheck machen lassen:

log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by Firma at 2009-08-21 14:20:16
Microsoft Windows XP Professional Service Pack 2
System drive C: has 4 GB (19%) free of 20 GB
Total RAM: 1024 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:36, on 21.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\netChat\NetChat.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\JGsoft\EditPadPro6\EditPadPro.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Dokumente und Einstellungen\Firma\Desktop\RSIT.exe
C:\Programme\trend micro\Firma.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://eu.ixquick.com/deu/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://w*ww.indexscope.com/iesearch.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://w*ww.indexscope.com/iesearch.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = mk0510proxy:80
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {24A63CCA-4F35-4CCB-AD66-EBEC3ADD59E4} - (no file)
O2 - BHO: DebugBar BHO - {69FC0024-10EB-480A-BBF2-3BF4E78E17B1} - C:\Programme\Core Services\DebugBar\DebugInfoBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Companion.JS BHO - {ADDEE521-F1CC-4B89-8C88-B2CF625B9163} - C:\Programme\Core Services\Companion.JS\CompanionJS.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Browser_Radio - {0F08F55E-A4D7-4D3A-8264-8F85008100C2} - (no file)
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O3 - Toolbar: DebugBar - {3E1201F4-1707-409F-BB45-A5F192381DA0} - C:\Programme\Core Services\DebugBar\DebugToolBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TC UP] "C:\Programme\TC UP\TC UP.exe" /wnd=max
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [RadioJockey.NET] recctrl2.exe install show
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit NetChat.exe.lnk = C:\Programme\netChat\NetChat.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Companion.JS - {0402343A-B530-482b-AA27-A61CEC3E4D2E} - C:\Programme\Core Services\Companion.JS\CompanionJS.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O12 - Plugin for .html: C:\Programme\\Netscape\\Netscape Browser\PLUGINS\npTrident.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - h**p://212.95.127.207/activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30448E0B-1B3D-4228-8AAB-1B820B95834C}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{30448E0B-1B3D-4228-8AAB-1B820B95834C}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{30448E0B-1B3D-4228-8AAB-1B820B95834C}: NameServer = 192.168.178.1
O23 - Service: Abnmailtnriw - - (no file)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\xampp\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Mcm08eediam - Macromedia - (no file)
O23 - Service: MySql - Unknown owner - C:/apache/xampp/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8587 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}]
Octh Class - C:\Programme\Orbitdownloader\orbitcth.dll [2009-01-20 134344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll [2003-05-15 50376]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{24A63CCA-4F35-4CCB-AD66-EBEC3ADD59E4}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{69FC0024-10EB-480A-BBF2-3BF4E78E17B1}]
DebugBar BHO - C:\Programme\Core Services\DebugBar\DebugInfoBar.dll [2009-07-21 1120256]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ADDEE521-F1CC-4B89-8C88-B2CF625B9163}]
Companion.JS BHO - C:\Programme\Core Services\Companion.JS\CompanionJS.dll [2009-02-27 1476608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
AcroIEToolbarHelper Class - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll [2003-05-15 147456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll [2003-05-15 147456]
{0F08F55E-A4D7-4D3A-8264-8F85008100C2} - []
{C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - C:\Programme\Orbitdownloader\GrabPro.dll [2009-01-20 646264]
{3E1201F4-1707-409F-BB45-A5F192381DA0} - DebugBar - C:\Programme\Core Services\DebugBar\DebugToolBar.dll [2009-07-21 742400]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-01-20 77824]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2005-04-01 5562368]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2005-04-01 86016]
"AdobeVersionCue"=C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe [2004-03-25 1732608]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_05\bin\jusched.exe [2008-02-22 144784]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2007-02-16 282624]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"TC UP"=C:\Programme\TC UP\TC UP.exe [2008-12-07 36352]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2002-12-31 15360]
"NBJ"=C:\Programme\Ahead\Nero BackItUp\NBJ.exe [2004-08-20 1912832]
"RadioJockey.NET"=recctrl2.exe install show []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Orbit.lnk - C:\Programme\Orbitdownloader\orbitdm.exe

C:\Dokumente und Einstellungen\Firma\Startmenü\Programme\Autostart
Verknüpfung mit NetChat.exe.lnk - C:\Programme\netChat\NetChat.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-04-10 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\netChat\NetChat.exe"="C:\Programme\netChat\NetChat.exe:*:Enabled:NetChat"
"C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\Programme\QuickTime\QuickTimePlayer.exe"="C:\Programme\QuickTime\QuickTimePlayer.exe:*:Enabled:QuickTime Ressourcendatei"
"C:\Programme\VideoLAN\VLC\vlc.exe"="C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\Orbitdownloader\orbitdm.exe"="C:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit"
"C:\Programme\Orbitdownloader\orbitnet.exe"="C:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit"
"C:\Programme\secureShell\SshClient.exe"="C:\Programme\secureShell\SshClient.exe:*:Enabled:Secure Shell Client"
"C:\Programme\Zattoo\zattood.exe"="C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood"
"C:\Programme\Zattoo\Zattoo2.exe"="C:\Programme\Zattoo\Zattoo2.exe:*:Enabled: "
"C:\Programme\TC UP\TOTALCMD.EXE"="C:\Programme\TC UP\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e92b2782-e362-11db-8427-000ea6c7b9c8}]
shell\AutoRun\command - E:\LaunchU3.exe

======File associations======

.js - open - "C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe" "%1"

======List of files/folders created in the last 1 months======

2009-08-21 14:20:17 ----D---- C:\Programme\trend micro
2009-08-21 14:20:16 ----D---- C:\rsit
2009-08-21 11:22:52 ----D---- C:\Dokumente und Einstellungen\Firma\Anwendungsdaten\Malwarebytes
2009-08-21 11:22:42 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-08-21 11:22:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-21 11:10:03 ----D---- C:\Programme\CCleaner
2009-08-12 18:49:21 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-08-12 18:49:12 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-08-12 18:49:02 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-08-12 18:48:53 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-08-12 18:48:38 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9L$
2009-08-12 18:48:30 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-08-12 18:48:22 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-08-12 18:48:08 ----D---- C:\WINDOWS\ServicePackFiles
2009-08-12 18:48:05 ----HDC---- C:\WINDOWS\$NtUninstallKB958470$
2009-08-12 18:47:53 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-08-12 18:47:33 ----HDC---- C:\WINDOWS\$NtUninstallKB971032$
2009-08-12 16:41:16 ----D---- C:\Dokumente und Einstellungen\Firma\Anwendungsdaten\WinRAR
2009-08-11 19:10:48 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$
2009-08-11 19:10:20 ----HDC---- C:\WINDOWS\$NtUninstallKB925720$
2009-08-10 18:58:03 ----D---- C:\WINDOWS\system32\XPSViewer
2009-08-10 18:57:49 ----D---- C:\Programme\MSBuild
2009-08-10 18:57:43 ----D---- C:\WINDOWS\system32\en-US
2009-08-10 18:57:29 ----D---- C:\Programme\Reference Assemblies
2009-08-10 18:56:48 ----N---- C:\WINDOWS\system32\xpssvcs.dll
2009-08-10 18:56:48 ----N---- C:\WINDOWS\system32\xpsshhdr.dll
2009-08-10 18:56:48 ----N---- C:\WINDOWS\system32\prntvpt.dll
2009-08-10 18:56:47 ----D---- C:\bd52fd61135ef68083539adb1a84
2009-08-10 18:52:01 ----D---- C:\Programme\MSXML 6.0

======List of files/folders modified in the last 1 months======

2009-08-21 14:20:17 ----D---- C:\Programme
2009-08-21 14:20:11 ----D---- C:\WINDOWS\Prefetch
2009-08-21 14:19:01 ----D---- C:\WINDOWS\Temp
2009-08-21 14:17:28 ----D---- C:\Downloads
2009-08-21 14:13:24 ----D---- C:\Dokumente und Einstellungen\Firma\Anwendungsdaten\Orbit
2009-08-21 14:13:19 ----D---- C:\Programme\Mozilla Firefox
2009-08-21 14:12:06 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-21 14:12:02 ----AD---- C:\WINDOWS
2009-08-21 14:11:20 ----D---- C:\WINDOWS\system32\drivers
2009-08-21 14:11:20 ----D---- C:\WINDOWS\system32
2009-08-21 14:10:57 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-08-21 11:18:40 ----D---- C:\WINDOWS\Debug
2009-08-21 11:14:09 ----D---- C:\Dokumente und Einstellungen\Firma\Anwendungsdaten\Adobe
2009-08-21 09:18:29 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-08-20 17:52:07 ----D---- C:\Dokumente und Einstellungen\Firma\Anwendungsdaten\FileZilla
2009-08-20 17:45:23 ----D---- C:\Dokumente und Einstellungen\Firma\Anwendungsdaten\XnView
2009-08-20 11:58:43 ----SHD---- C:\WINDOWS\Installer
2009-08-19 15:54:40 ----A---- C:\WINDOWS\NeroDigital.ini
2009-08-14 15:40:32 ----D---- C:\Programme\TC UP
2009-08-13 08:58:59 ----D---- C:\WINDOWS\system32\Setup
2009-08-12 18:49:25 ----HD---- C:\WINDOWS\inf
2009-08-12 18:49:24 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-08-12 18:48:52 ----HD---- C:\WINDOWS\$hf_mig$
2009-08-12 18:48:24 ----D---- C:\Programme\Outlook Express
2009-08-11 19:11:20 ----D---- C:\WINDOWS\system32\CatRoot
2009-08-11 10:23:31 ----D---- C:\WINDOWS\Microsoft.NET
2009-08-11 10:23:27 ----RSD---- C:\WINDOWS\assembly
2009-08-10 19:04:19 ----AC---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-08-10 19:03:39 ----D---- C:\WINDOWS\WinSxS
2009-08-10 18:57:40 ----RSD---- C:\WINDOWS\Fonts
2009-08-10 18:57:06 ----D---- C:\WINDOWS\system32\spool
2009-08-10 18:53:44 ----D---- C:\WINDOWS\system32\mui
2009-08-10 18:53:44 ----D---- C:\Programme\Internet Explorer
2009-08-05 11:05:18 ----A---- C:\WINDOWS\system32\mswebdvd.dll
2009-08-04 12:38:32 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-07-29 16:19:50 ----D---- C:\WINDOWS\system32\de-de
2009-07-23 17:46:19 ----D---- C:\Programme\Core Services

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-04-28 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2002-12-31 40192]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-10 28520]
R1 VD_FileDisk;VD_FileDisk; C:\WINDOWS\system32\drivers\VD_FileDisk.sys [2006-01-13 15872]
R2 ACEDRV06;ACEDRV06; \??\C:\WINDOWS\system32\drivers\ACEDRV06.sys []
R2 ASPI32;ASPI32; C:\WINDOWS\system32\drivers\ASPI32.sys [2002-07-17 16877]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-06 55656]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-01-28 2310272]
R3 E100B;Intel(R) PRO Adapter Driver; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2002-02-25 139776]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2005-04-01 3454656]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2002-12-31 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2002-12-31 20480]
S3 Cmditi;Cmditi; C:\WINDOWS\system32\drivers\Cmditi.sys []
S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys []
S3 Comt__lmcida;Comt__lmcida; C:\WINDOWS\system32\drivers\serial.sys [2002-12-31 65920]
S3 Flpboonnaqi;Flpboonnaqi; C:\WINDOWS\system32\drivers\Flpboonnaqi.sys []
S3 GearAspiWDM;GEARAspiWDM; C:\WINDOWS\system32\drivers\gearaspiwdm.sys []
S3 Irevcrn;Irevcrn; C:\WINDOWS\system32\drivers\Irevcrn.sys []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-10 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-06 185089]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2007-07-24 229376]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-07-03 1029456]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2005-04-01 127043]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2002-12-31 268800]
S2 MySql;MySql; C:/apache/xampp/mysql/bin/mysqld-nt.exe []
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2007-02-07 68096]
S3 AdobeVersionCue;AdobeVersionCue; C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe [2004-03-25 61440]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FileZilla Server;FileZilla Server FTP server; C:\xampp\xampp\FileZillaFTP\FileZillaServer.exe [2006-05-01 576000]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 Macromedia Licensing Service;Macromedia Licensing Service; C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe [2005-05-31 69632]
S3 Pdfbebcipn;Pdfbebcipn; C:\WINDOWS\system32\diantz.exe [2002-12-31 85504]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2002-12-31 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Flashboxxx · 21.08.2009, 14:02

info.txt

info.txt logfile of random's system information tool 1.06 2009-08-21 14:20:38

======Security center information======

AV: AntiVir Desktop
AV: Avira AntiVir PersonalEdition Classic

======System event log======

Computer Name: HANSE2
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet.

Record Number: 46181
Source Name: Service Control Manager
Time Written: 20090527090801.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: HANSE2
Event Code: 7036
Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 46180
Source Name: Service Control Manager
Time Written: 20090527090800.000000+120
Event Type: Informationen
User:

Computer Name: HANSE2
Event Code: 17
Message: AVGNTFLT successfully loaded

Record Number: 46179
Source Name: avgntflt
Time Written: 20090527090735.000000+120
Event Type: Informationen
User:

Computer Name: HANSE2
Event Code: 7036
Message: Dienst "Gatewaydienst auf Anwendungsebene" befindet sich jetzt im Status "Ausgeführt".

Record Number: 46178
Source Name: Service Control Manager
Time Written: 20090527090719.000000+120
Event Type: Informationen
User:

Computer Name: HANSE2
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Gatewaydienst auf Anwendungsebene" gesendet.

Record Number: 46177
Source Name: Service Control Manager
Time Written: 20090527090719.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: HANSE2
Event Code: 1517
Message: Die Registrierung des Benutzers "HANSE2\Firma" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.

Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Record Number: 9236
Source Name: Userenv
Time Written: 20081201182416.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: HANSE2
Event Code: 11728
Message: Produkt: Microsoft Office XP Professional -- Die Konfiguration wurde erfolgreich abgeschlossen.

Record Number: 9235
Source Name: MsiInstaller
Time Written: 20081201115901.000000+060
Event Type: Informationen
User: HANSE2\Firma

Computer Name: HANSE2
Event Code: 1001
Message: Erkennung von Produkt "{90110407-6000-11D3-8CFE-0050048383C9}" und Funktion "ProductNonBootFiles" fehlgeschlagen beim Anfordern von Komponente "{CC29EE0B-7BC2-11D1-A921-00A0C91E2AA2}".

Record Number: 9234
Source Name: MsiInstaller
Time Written: 20081201115839.000000+060
Event Type: Warnung
User: HANSE2\Firma

Computer Name: HANSE2
Event Code: 1004
Message: Erkennung von Produkt "{90110407-6000-11D3-8CFE-0050048383C9}", Funktion "ProductNonBootFiles" und Komponente "{DCD40BF8-8035-473D-992B-F2B1517F9A5C}" fehlgeschlagen. Die Ressource "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Office\Data\DATA.BAK" ist nicht vorhanden.

Record Number: 9233
Source Name: MsiInstaller
Time Written: 20081201115839.000000+060
Event Type: Warnung
User: HANSE2\Firma

Computer Name: HANSE2
Event Code: 11729
Message: Produkt: Microsoft Office XP Professional -- Die Konfiguration ist fehlgeschlagen.

Record Number: 9232
Source Name: MsiInstaller
Time Written: 20081201115836.000000+060
Event Type: Informationen
User: HANSE2\Firma

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\;C:\Programme\TC UP\PLUGINS\Library;C:\Programme\TC UP\PLUGINS\Library
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_LEVEL"=15
"PROCESSOR_REVISION"=0209
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%
"CLASSPATH"=.;C:\Programme\Java\jre1.5.0_10\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.5.0_10\lib\ext\QTJava.zip

-----------------EOF-----------------

Hola, ganz schön viel Stoff ^^

Ich freue mich sehr, wenn jmd sich das mal anschauen könnte, ich stecke da nicht so drin in dem Thema, es gibt auch ein virtuelles Bier als Dankeschön

Beste Grüße
Henrik

Nachtrag: die uninstall-list habe ich hier mal gelöscht, da der Beitrag ansonsten zu lang ist, kommt mir alles ein wenig viel vor, ich hoffe das ist korrekt gepostet^^

Flashboxxx · 26.08.2009, 17:18

-Refresh-

na, egal ... format c: und der Fisch ist gelutscht ...

TR/Dldr.Fraudload.fcu, BDS/Zdoogu.FB, BDS/Bredolab.DM u.a.

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Fraudload.fcu, BDS/Zdoogu.FB, BDS/Bredolab.DM u.a.