Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojaner TR/Spy.ZBot.agaa

Trojaner TR/Spy.ZBot.agaa


Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Spy.ZBot.agaa

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 08.03.2010, 11:08   #1
FredTee
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Hallo Leute,
da ich leider keinen Beitrag gefunden habe, der sich auf den hier erkannten Trojaner bezieht, hier mein Hilferuf. Ich habe beim Scannen mit AntiVir AVIRA den Trojaner TR/Spy.ZBot.agaa gefunden. Da Format C: für mich derzeit keine Option ist, muss ich das Teil irgendwie loswerden. Wer kann mir helfen?
Grüße
FT
Geändert von FredTee (08.03.2010 um 12:08 Uhr)

Alt 08.03.2010, 13:59   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________
Alt 22.03.2010, 11:10   #3
FredTee
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Hallo Cosinus,

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

22.03.2010 10:59:39
mbam-log-2010-03-22 (10-59-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|L:\|)
Durchsuchte Objekte: 424395
Laufzeit: 2 hour(s), 9 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
C:\WINDOWS\system32\drivers\xname.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mJe33wS8.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.
C:\WINDOWS\file.exe (Trojan.Agent) -> Quarantined and deleted successfully.
__________________
Alt 22.03.2010, 11:16   #4
FredTee
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


und hier der Inhalt der log.txt:

Logfile of random's system information tool 1.06 (written by random/random)
Run by F****i at 2010-03-22 11:08:53
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 17 GB (14%) free of 119 GB
Total RAM: 1022 MB (59% free)

HijackThis download failed

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\Google Software Updater.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BA40A2-74F0-42BD-F434-00B15A2C8953}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
AcroIEToolbarHelper Class - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll [2003-05-15 147456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll [2003-05-15 147456]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2008-07-09 919016]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-11-10 417792]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-11-12 141600]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2005-10-10 7286784]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"=C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2009-06-25 1414144]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
C:\WINDOWS\system32\NvCpl.dll [2005-10-10 7286784]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
C:\Programme\Home Cinema\PowerCinema\PCMService.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2009-11-10 417792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote System Protection]
, HUI_proc []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~4\Office10\OSA.EXE -b -l []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

C:\Dokumente und Einstellungen\Friedi\Startmenü\Programme\Autostart
msconfig32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2004-08-04 240128]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-08-24 133120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
7whfiudhf8s7f3oifhif7syfdhsof - {A3BA40A2-74F0-42BD-F434-00B15A2C8953}

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:Enabled:Remoteunterstützung"
"%ProgramFiles%\Messenger\msmsgs.exe"="%ProgramFiles%\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%WinDir%\system32\fxsclnt.exe"="%WinDir%\system32\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:Enabled:Remoteunterstützung"
"%ProgramFiles%\Messenger\msmsgs.exe"="%ProgramFiles%\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\AOL 9.0\AOL.exe"="%ProgramFiles%\AOL 9.0\AOL.exe:*:enabled:AOL 9.0"
"%WinDir%\system32\fxsclnt.exe"="%WinDir%\system32\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\Skype\Phone\Skype.exe"="%ProgramFiles%\Skype\Phone\Skype.exe:*:enabled:Skype"
"%ProgramFiles%\CA\eTrust Antivirus\InocIT.exe"="%ProgramFiles%\CA\eTrust Antivirus\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"%ProgramFiles%\CA\eTrust Antivirus\Realmon.exe"="%ProgramFiles%\CA\eTrust Antivirus\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"%ProgramFiles%\CA\eTrust Antivirus\InoRpc.exe"="%ProgramFiles%\CA\eTrust Antivirus\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe:*:Enabled:AOL"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe:*:Enabled:AOL"
"C:\Programme\AOL 9.0\waol.exe"="C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6dfbcb2b-50dc-11de-9afd-494c4c450000}]
shell\AutoRun\command - N:\NokiaPCIA_Autorun.exe


======List of files/folders created in the last 1 months======

2010-03-22 11:08:54 ----D---- C:\Programme\trend micro
2010-03-22 11:08:53 ----D---- C:\rsit
2010-03-22 08:42:30 ----D---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\Malwarebytes
2010-03-22 08:42:23 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-22 08:42:22 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-03-18 17:15:14 ----RSH---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\oaozf.exe
2010-03-16 07:43:32 ----A---- C:\WINDOWS\system32\stu2.exe
2010-03-13 15:01:24 ----A---- C:\WINDOWS\system32\D3DX9_41.dll
2010-03-13 15:01:19 ----D---- C:\WINDOWS\Logs
2010-03-13 15:01:18 ----D---- C:\WINDOWS\system32\temp
2010-03-13 15:01:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PassMark
2010-03-02 08:38:22 ----A---- C:\WINDOWS\ModemLog_Nokia E71 USB Modem #2.txt
2010-02-27 12:47:17 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2010-02-27 12:47:14 ----A---- C:\WINDOWS\system32\d3dx9_31.dll
2010-02-27 12:47:03 ----D---- C:\Programme\BurnInTest
2010-02-26 11:35:07 ----D---- C:\Programme\Free WMA to MP3 Converter
2010-02-23 19:08:16 ----D---- C:\Programme\CCleaner
2010-02-23 12:14:07 ----D---- C:\Programme\mp3DirectCut

======List of files/folders modified in the last 1 months======

2010-03-22 11:08:54 ----RD---- C:\Programme
2010-03-22 11:08:30 ----D---- C:\WINDOWS\Prefetch
2010-03-22 11:08:14 ----D---- C:\WINDOWS\Temp
2010-03-22 11:04:15 ----AD---- C:\WINDOWS
2010-03-22 11:04:11 ----A---- C:\WINDOWS\win.ini
2010-03-22 11:04:05 ----A---- C:\WINDOWS\ModemLog_Softmodem V.32bis + Fax Class 1.txt
2010-03-22 11:04:04 ----A---- C:\WINDOWS\ModemLog_Agere Systems PCI-SV92PP Soft Modem.txt
2010-03-22 11:03:56 ----A---- C:\WINDOWS\system32\mscandc.ini
2010-03-22 11:03:06 ----D---- C:\WINDOWS\system32
2010-03-22 11:03:05 ----D---- C:\WINDOWS\system32\drivers
2010-03-22 11:02:35 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-03-22 11:02:33 ----D---- C:\WINDOWS\system32\CatRoot2
2010-03-22 09:05:00 ----D---- C:\-=Mailordner=-
2010-03-22 08:39:46 ----D---- C:\WINDOWS\Internet Logs
2010-03-21 09:56:19 ----D---- C:\WINDOWS\system32\FxsTmp
2010-03-18 18:29:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2010-03-18 18:22:29 ----D---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\Adobe
2010-03-18 09:38:50 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-03-16 16:51:01 ----A---- C:\WINDOWS\DTN32.INI
2010-03-16 12:12:35 ----D---- C:\WINDOWS\system32\ZoneLabs
2010-03-16 07:59:32 ----D---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\uTorrent
2010-03-16 07:43:31 ----A---- C:\WINDOWS\system32\userinit.exe
2010-03-16 07:41:04 ----D---- C:\Programme\Mozilla Firefox
2010-03-13 15:01:28 ----D---- C:\WINDOWS\system32\DirectX
2010-03-13 15:01:27 ----HD---- C:\WINDOWS\inf
2010-02-27 10:49:01 ----ASH---- C:\boot.ini
2010-02-27 10:49:01 ----A---- C:\WINDOWS\system.ini
2010-02-26 10:45:29 ----D---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\AdobeUM
2010-02-26 10:23:40 ----SHD---- C:\WINDOWS\Installer
2010-02-26 10:23:40 ----D---- C:\Config.Msi
2010-02-23 19:11:24 ----D---- C:\WINDOWS\Minidump
2010-02-23 19:11:24 ----D---- C:\WINDOWS\Debug
2010-02-23 16:11:18 ----D---- C:\Programme\Winamp
2010-02-23 16:10:40 ----HD---- C:\Programme\InstallShield Installation Information
2010-02-23 16:10:32 ----D---- C:\Programme\ElsterFormular2005
2010-02-23 16:02:52 ----A---- C:\WINDOWS\ModemLog_Nokia E71 USB Modem.txt
2010-02-23 15:41:24 ----D---- C:\Programme\AVS4YOU
2010-02-23 12:08:06 ----D---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\foobar2000

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-10-12 75096]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.0.1; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2005-10-09 19915]
R2 CAPI;CAPI 2.0 Service; C:\WINDOWS\system32\DRIVERS\capi.sys [2004-09-08 28740]
R2 NDISCAPI;NDIS CAPI Service; C:\WINDOWS\system32\DRIVERS\ndiscapi.sys [2004-09-08 41037]
R2 Nsynas32;Nsynas32; C:\WINDOWS\system32\drivers\Nsynas32.sys [2001-04-09 17784]
R3 3xHybrid;3xHybrid service; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 826752]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2008-03-21 1203776]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver; C:\WINDOWS\system32\DRIVERS\cmiucr.SYS [2005-10-04 72320]
R3 DectEnum;DectEnum; C:\WINDOWS\System32\Drivers\DectEnum.sys [2005-03-01 8448]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600]
R3 Gigusb;Dect USB Driver; C:\WINDOWS\System32\Drivers\Gigusb.sys [2005-03-01 53632]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032); C:\WINDOWS\system32\DRIVERS\hrcmpa.sys [2004-09-08 263751]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-01-13 4137984]
R3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032); C:\WINDOWS\system32\DRIVERS\IUAPIWDM.sys [2004-09-08 50759]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2005-10-10 3530432]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-04 5888]
R3 siellif;siellif; C:\WINDOWS\System32\Drivers\siellif.sys [2005-03-01 113408]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 vmdmd;Softmodem/Fax Port Driver; C:\WINDOWS\system32\DRIVERS\vmdmd.sys [2003-06-17 185696]
R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-03 14848]
S3 4DW4R3;4DW4R3; \??\C:\WINDOWS\system32\drivers\4DW4R3.sys []
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2008-01-17 70001]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-03 15360]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\ccdcmb.sys [2009-02-09 17664]
S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\ccdcmbo.sys [2009-02-09 22016]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent; C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2009-03-19 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic; C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2009-03-19 8320]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 RT2500USB;RT2500 USB Wireless LAN Driver; C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2005-07-14 241536]
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2009-02-09 7808]
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-08-28 40448]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbser;USB Modem Driver; C:\WINDOWS\system32\drivers\usbser.sys [2004-08-03 25600]
S3 UsbserFilt;UsbserFilt; C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2009-02-09 7808]
S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys []
S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2008-03-27 503008]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2008-01-18 83328]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\WINDOWS\system32\agrsmsvc.exe [2008-03-18 13312]
R2 AntiVirScheduler;Avira AntiVir Personal – Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2009-02-24 68865]
R2 AntiVirService;Avira AntiVir Personal – Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2009-02-24 151297]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2004-08-04 268800]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2005-11-15 73728]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2003-06-20 322120]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2005-10-10 131139]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2006-02-22 167936]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-11-12 545568]
R3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2009-06-02 637952]
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2009-02-04 133104]
S2 gupdate1c986f4f2e30038;Google Update Service (gupdate1c986f4f2e30038); C:\Programme\Google\Update\GoogleUpdate.exe [2009-02-04 133104]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-21 183280]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2006-07-21 68096]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 getPlusHelper;getPlus(R) Helper; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 SolidWorks Licensing Service;SolidWorks Licensing Service; C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe [2008-04-14 79360]
S3 WMConnectCDS;Windows Media Connect-Dienst; C:\Programme\Windows Media Connect 2\wmccds.exe [2005-10-06 856064]
S3 xControlCOM;xControlCOM; C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [2005-03-01 327680]

-----------------EOF-----------------

Alt 22.03.2010, 11:18   #5
FredTee
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


und hier der Inhalt der onfo.txt

info.txt logfile of random's system information tool 1.06 2010-03-22 11:08:58

======Uninstall list======

-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNNMP.exe /UNINSTALL
-->C:\WINDOWS\UNNVEContent.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ABBYY FineReader OCR Engine-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{345C90FB-FA10-11D5-9C2A-0080C85A0C2D}\setup.exe"
Adobe Acrobat 6.0 Professional - English, Français, Deutsch-->MsiExec.exe /I{AC76BA86-1033-F400-7760-000000000001}
Adobe Download Manager-->"C:\WINDOWS\system32\rundll32.exe" "C:\Programme\NOS\bin\getPlus_Helper.dll",Uninstall /Get1
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x7
Adobe Reader 7.0.7 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70700000002}
Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143}
Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Bing Maps 3D-->MsiExec.exe /I{2D87E961-577B-492B-AD54-1368680FB9A7}
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
BurnInTest v6.0 Pro-->"C:\Programme\BurnInTest\unins000.exe"
Canon Camera Window for ZoomBrowser EX-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{A833A505-4D7A-41F5-9362-A2F8DFFE6E9B}
Canon EOS Kiss REBEL 300D WIA-Treiber-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{31A57C3E-30DD-421F-B5C7-974DACB0D05F}
Canon Utilities RemoteCapture 2.7-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{EF91B23E-3819-43A1-AE47-043E1900EB2B}
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
C-Media USB2.0 Card Reader-->C:\WINDOWS\CmiUCRUninstall.exe C:\Programme\C-Media USB2.0 Card Reader
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Pro-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX User Guide-->C:\Programme\DivX\DivXUserGuideUninstall /USERGUIDE
eDrawings 2008-->MsiExec.exe /I{CD23CF22-1DA2-4351-B6C4-B1A2859C68AC}
ElsterFormular 2007/2008-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}\setup.exe" -l0x7 -removeonly
ElsterFormular 2008/2009-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}\setup.exe" -l0x7 -removeonly
foobar2000 v0.9.6.9-->"C:\Programme\foobar2000\uninstall.exe" _?=C:\Programme\foobar2000
Free WMA to MP3 Converter 1.16-->"C:\Programme\Free WMA to MP3 Converter\unins000.exe"
FTP Voyager-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\RhinoSoft.com\FTP Voyager\Uninst.isu" -c"C:\Programme\RhinoSoft.com\FTP Voyager\FVUninstall.dll"
Gigaset SX3x3isdn-->MsiExec.exe /X{69CA3A84-6CE4-41C3-9E5F-69135D18D751}
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
Hotfix for Windows Media Format SDK (KB902344)-->"C:\WINDOWS\$NtUninstallKB902344$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB915800)-->"C:\WINDOWS\$NtUninstallKB915800$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
iTunes-->MsiExec.exe /I{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}
J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Macromedia Fireworks 4-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A8833100-1481-11D4-9731-00C04F8EEB39}\Setup.exe" UNINSTALL
Macromedia Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
mb Software ArCon 6.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5B67E6E3-11AC-4228-BC57-9DFD56DC2ACD}\Setup.exe" -l0x7
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7-->"C:\WINDOWS\$NtUninstallWdf01007$\spuninst\spuninst.exe"
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft User-Mode Driver Framework Feature Pack 1.7-->"C:\WINDOWS\$NtUninstallWudf01007$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket-->"C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"
Mozilla Firefox (3.5.8)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN Messenger 7.5-->MsiExec.exe /I{0D93041A-03EC-11DA-BFBD-00065BBDC0B5}
MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
MSXML 6.0 Parser-->MsiExec.exe /I{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}
Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\setupx.exe /uninstall ExtraUninstallID=""
Nokia Connectivity Cable Driver-->MsiExec.exe /I{52D02A2B-03D2-4E34-A358-DC5D951FD296}
Nokia PC Suite-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Nokia_PC_Suite_7_1_30_9_ger_web.exe
Nokia PC Suite-->MsiExec.exe /I{3D39E775-DDDA-4327-B747-0BDC5F191331}
Nokia Software Updater-->MsiExec.exe /X{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
PC Connectivity Solution-->MsiExec.exe /I{0C973594-7DDF-4BD0-84ED-3517F7622037}
Phase 5 HTML-Editor-->MsiExec.exe /I{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}
phase5-->"C:\Programme\phase5\uninstall.exe"
QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly
RT2500 USB Wireless LAN Card-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5490B6EF-5A48-40B7-A9E0-D3B886D17A29}\setup.exe" -l0x7 -removeonly
ScanWizard 5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B08D262E-D902-11D5-9C28-0080C85A0C2D}\setup.exe"
talk&surf 6.0-->MsiExec.exe /I{7E7C9FB7-711A-4FF0-B22F-42BD08652096}
talk&surf CAPI-->MsiExec.exe /I{DF5F21A4-32FD-4A40-BEC0-7A147B7ED38C}
talk&surf Fax-->MsiExec.exe /I{4DC5C87A-D5E8-4A69-86E8-AE4D98FC8196}
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
USB Wireless Keyboard Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B338EA45-9F18-4FE4-A079-89668D1F6519}\Setup.exe" -l0x7
Viewpoint Media Player-->C:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u
Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe"
Windows Genuine Advantage v1.3.0254.0-->MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Media Connect-->"C:\WINDOWS\$NtUninstallWMCSetup$\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Format SDK Hotfix - KB891122-->"C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885884-->C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887742-->C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887797-->C:\WINDOWS\$NtUninstallKB887797$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113-->C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Windows XP-Hotfix - KB893086-->"C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe"
Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE}
Windows-Treiberpaket - Nokia Modem (06/01/2009 4.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokia_blue_C08496D7A0050438DFE13C55799AE2D4157A8E7A\nokia_bluetooth.inf
Windows-Treiberpaket - Nokia Modem (06/01/2009 7.01.0.3)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_9C48E34C57B7D4AAE5FFF5FB9B476B538394FD30\nokbtmdm.inf
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\B4723E9A0713E5B1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf
WinFuture xp-Iso-Builder 3.0.3-->"C:\Programme\xp-Iso-Builder\unins000.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
X10 Hardware(TM)-->C:\WINDOWS\UNWISE.EXE C:\PROGRA~1\X10HAR~1\Install.log
ZoneAlarm-->C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe

======Security center information======

AV: Avira AntiVir PersonalEdition (outdated)
FW: ZoneAlarm Firewall

======System event log======

Computer Name: FREDTEE1
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 16816
Source Name: Service Control Manager
Time Written: 20100223140538.000000+060
Event Type: Informationen
User:

Computer Name: FREDTEE1
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet.

Record Number: 16815
Source Name: Service Control Manager
Time Written: 20100223140538.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: FREDTEE1
Event Code: 7036
Message: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 16814
Source Name: Service Control Manager
Time Written: 20100223140534.000000+060
Event Type: Informationen
User:

Computer Name: FREDTEE1
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet.

Record Number: 16813
Source Name: Service Control Manager
Time Written: 20100223140534.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: FREDTEE1
Event Code: 7036
Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 16812
Source Name: Service Control Manager
Time Written: 20100223140534.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: FREDTEE1
Event Code: 4
Message: The LightScribe Service started successfully.

Record Number: 58
Source Name: LightScribeService
Time Written: 20090602140908.000000+120
Event Type: Informationen
User:

Computer Name: FREDTEE1
Event Code: 0
Message:
Record Number: 57
Source Name: xControlCOM
Time Written: 20090602140615.000000+120
Event Type: Informationen
User:

Computer Name: FREDTEE1
Event Code: 0
Message:
Record Number: 56
Source Name: ServiceLayer
Time Written: 20090602140614.000000+120
Event Type: Informationen
User:

Computer Name: FREDTEE1
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 55
Source Name: SecurityCenter
Time Written: 20090602140557.000000+120
Event Type: Informationen
User:

Computer Name: FREDTEE1
Event Code: 0
Message:
Record Number: 54
Source Name: gupdate1c986f4f2e30038
Time Written: 20090602140545.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=C:\Programme\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=0407
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
"tvdumpflags"=8

-----------------EOF-----------------


Alt 22.03.2010, 12:55   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Zitat:
Datenbank Version: 3510
Du hast die Signaturen nich aktualisiert! Bitte umgehend tun und den Vollscan wiederholen!
__________________
--> Trojaner TR/Spy.ZBot.agaa

Alt 22.03.2010, 13:03   #7
FredTee
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Zitat:
Zitat von cosinus Beitrag anzeigen
Du hast die Signaturen nich aktualisiert! Bitte umgehend tun und den Vollscan wiederholen!
Sorry, aber wie aktualisiert man die Signaturen?

Alt 22.03.2010, 13:08   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Malwarebytes starten und im Reiter Update "Suche nach Aktualisierungen" anklicken.
Du musst nach der Installation übrigens den Haken selbst rausgenommen haben, dass nach Updates gesucht werden soll! Hättest Du vermeiden können, weil der nun erneut fällige Vollscan wieder 2 Std. bei Dir verbrät.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.03.2010, 13:23   #9
FredTee
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Update erledigt, scan läuft, ich melde mich wieder.
Danke erst mal.

Alt 22.03.2010, 18:28   #10
FredTee
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Zitat:
Zitat von FredTee Beitrag anzeigen
Update erledigt, scan läuft, ich melde mich wieder.
Danke erst mal.
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3899
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

22.03.2010 18:20:33
mbam-log-2010-03-22 (18-20-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|L:\|)
Durchsuchte Objekte: 438063
Laufzeit: 1 hour(s), 47 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\4dw4r3 (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Friedi\Startmenü\Programme\Autostart\msconfig32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\xname.sys (Rootkit.Agent) -> Delete on reboot.

Alt 22.03.2010, 19:12   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Rechner bitte neustarten (falls noch nicht gemacht) und ein Log mit CF machen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.03.2010, 09:24   #12
FredTee
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Hallo Cosinus,
ich habe die Schritte in der Reihenfolge abgearbeitet. Hier das Protokoll:

ComboFix 10-03-22.02 - Friedi 23.03.2010 8:56.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.682 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Friedi\Desktop\CoFix.exe
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\Friedi\Anwendungsdaten\oaozf.exe
c:\windows\system32\Temp
c:\windows\system32\Temp\KSKD87SFDS

----- BITS: Eventuell infizierte Webseiten -----

hxxp://bazarvokzalsz.com
-- Vorheriger Suchlauf --

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!

c:\windows\system32\hid.dll . . . ist infiziert!!

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!

c:\windows\system32\hid.dll . . . ist infiziert!!

c:\windows\system32\midimap.dll . . . ist infiziert!!

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!

c:\windows\system32\hid.dll . . . ist infiziert!!

c:\windows\system32\midimap.dll . . . ist infiziert!!

c:\windows\system32\rasauto.dll . . . ist infiziert!!

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!

c:\windows\system32\hid.dll . . . ist infiziert!!

c:\windows\system32\midimap.dll . . . ist infiziert!!

c:\windows\system32\rasauto.dll . . . ist infiziert!!

c:\windows\system32\qmgr.dll . . . ist infiziert!!

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!

c:\windows\system32\hid.dll . . . ist infiziert!!

c:\windows\system32\midimap.dll . . . ist infiziert!!

c:\windows\system32\rasauto.dll . . . ist infiziert!!

c:\windows\system32\qmgr.dll . . . ist infiziert!!

c:\windows\system32\netlogon.dll . . . ist infiziert!!

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!

c:\windows\system32\hid.dll . . . ist infiziert!!

c:\windows\system32\midimap.dll . . . ist infiziert!!

c:\windows\system32\rasauto.dll . . . ist infiziert!!

c:\windows\system32\qmgr.dll . . . ist infiziert!!

c:\windows\system32\netlogon.dll . . . ist infiziert!!

c:\windows\system32\scecli.dll . . . ist infiziert!!

--------

Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\system32\dllcache\userinit.exe wurde wiederhergestellt

.
((((((((((((((((((((((( Dateien erstellt von 2010-02-23 bis 2010-03-23 ))))))))))))))))))))))))))))))
.

2010-03-22 10:08 . 2010-03-22 10:08 -------- d-----w- c:\programme\trend micro
2010-03-22 10:08 . 2010-03-22 10:08 -------- d-----w- C:\rsit
2010-03-22 07:42 . 2010-03-22 07:42 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Malwarebytes
2010-03-22 07:42 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-22 07:42 . 2010-03-22 07:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-22 07:42 . 2010-03-22 12:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-03-22 07:42 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-16 06:43 . 2004-08-04 12:00 25088 ----a-w- c:\windows\system32\stu2.exe
2010-03-15 16:26 . 2010-03-15 16:27 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-03-13 14:01 . 2009-03-09 14:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2010-03-13 14:01 . 2010-03-13 14:01 -------- d-----w- c:\windows\Logs
2010-03-13 14:01 . 2010-03-13 14:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PassMark
2010-03-08 10:16 . 2010-03-08 10:16 -------- d-----w- c:\dokumente und einstellungen\Administrator.FREDTEE1\Anwendungsdaten\AdobeUM
2010-03-03 11:06 . 2010-03-03 11:06 -------- d-s---w- c:\dokumente und einstellungen\LocalService\UserData
2010-03-02 07:39 . 2010-03-02 07:39 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2010-02-27 11:47 . 2010-03-13 13:54 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-02-27 11:47 . 2006-09-28 15:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll
2010-02-27 11:47 . 2010-03-13 14:01 -------- d-----w- c:\programme\BurnInTest
2010-02-26 10:35 . 2010-02-26 10:35 -------- d-----w- c:\programme\Free WMA to MP3 Converter
2010-02-23 18:08 . 2010-03-22 07:36 -------- d-----w- c:\programme\CCleaner
2010-02-23 13:38 . 2010-03-23 08:05 860672 ----a-w- c:\windows\system32\drivers\xname.sys
2010-02-23 11:14 . 2010-02-23 11:14 -------- d-----w- c:\programme\mp3DirectCut

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-23 08:04 . 2008-07-28 08:35 21872672 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-03-23 08:02 . 2008-07-28 08:35 261476 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-03-22 12:14 . 2005-10-09 05:46 80618 ----a-w- c:\windows\system32\perfc007.dat
2010-03-22 12:14 . 2005-10-09 05:46 429854 ----a-w- c:\windows\system32\perfh007.dat
2010-03-16 06:59 . 2008-07-13 16:05 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\uTorrent
2010-02-26 15:34 . 2010-02-26 15:38 3213824 ----a-w- c:\windows\Internet Logs\xDB17.tmp
2010-02-26 09:45 . 2006-07-06 21:03 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\AdobeUM
2010-02-23 15:11 . 2007-02-09 08:42 -------- d-----w- c:\programme\Winamp
2010-02-23 15:10 . 2005-10-09 09:27 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-02-23 15:10 . 2006-10-20 07:34 -------- d-----w- c:\programme\ElsterFormular2005
2010-02-23 14:45 . 2010-02-23 14:51 3188224 ----a-w- c:\windows\Internet Logs\xDB16.tmp
2010-02-23 14:45 . 2010-02-23 14:50 494080 ----a-w- c:\windows\Internet Logs\xDB15.tmp
2010-02-23 14:41 . 2009-09-12 18:09 -------- d-----w- c:\programme\AVS4YOU
2010-02-23 13:51 . 2010-02-23 13:56 2621440 ----a-w- c:\windows\Internet Logs\xDB14.tmp
2010-02-23 11:08 . 2009-06-06 15:40 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\foobar2000
2010-02-19 17:01 . 2009-02-25 16:15 53248 ----a-w- c:\windows\W_ZIPPER.EXE
2010-02-10 07:50 . 2009-09-13 08:48 -------- d-----w- c:\programme\uTorrent
2010-02-09 13:38 . 2006-02-28 14:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2007-08-12 17:06 . 2007-08-12 17:06 8192 --sha-w- c:\windows\o2cLicStore.bin
2008-12-28 11:33 . 2008-12-28 11:33 0 --sha-w- c:\windows\S72B4CEC2.tmp
2005-10-09 10:25 . 2005-10-09 10:25 8 -csh--r- c:\windows\system32\A3DA537E26.sys
2005-10-09 10:25 . 2005-10-09 10:25 4704 -csha-w- c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-7-21 113664]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2005-10-10 19:49 7286784 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08 417792 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R2 CAPI;CAPI 2.0 Service;c:\windows\system32\drivers\capi.sys [02.12.2008 21:31 28740]
R2 NDISCAPI;NDIS CAPI Service;c:\windows\system32\drivers\ndiscapi.sys [02.12.2008 21:31 41037]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [18.10.2005 14:01 826752]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [28.02.2006 14:51 72320]
R3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [01.03.2005 10:36 8448]
R3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [02.12.2008 21:21 53632]
R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [02.12.2008 21:22 263751]
R3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [02.12.2008 21:21 50759]
R3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [02.12.2008 21:21 113408]
R3 vmdmd;Softmodem/Fax Port Driver;c:\windows\system32\drivers\vmdmd.sys [17.06.2003 09:04 185696]
S0 rseb;rseb; [x]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [04.02.2009 19:12 133104]
S2 gupdate1c986f4f2e30038;Google Update Service (gupdate1c986f4f2e30038);c:\programme\Google\Update\GoogleUpdate.exe [04.02.2009 19:12 133104]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [07.08.2009 12:16 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [07.08.2009 12:16 8320]
S3 xControlCOM;xControlCOM;c:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [01.03.2005 10:45 327680]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - xname

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-03-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-03-22 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-14 15:56]

2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 18:11]

2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 18:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi-essen.de/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
IE: Nach Microsoft &Excel exportieren
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Mozilla\Firefox\Profiles\8o7hi5lz.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.aldi-essen.de/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
FF - plugin: c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Mozilla\Firefox\Profiles\8o7hi5lz.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF - plugin: c:\programme\Virtual Earth 3D\npVE3D.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-PCMService - c:\programme\Home Cinema\PowerCinema\PCMService.exe
AddRemove-{FAF88B432344413595BB2DED98385684} - c:\programme\DivX\DivXUserGuideUninstall



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-03-23 09:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xname]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-4288555866-2816581167-2556335597-1008\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F10B1C42-2918-D78A-ADF8-D875F2600307}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iaebafnpajfdaickpf"=hex:6b,61,68,63,66,6d,6d,66,6e,6c,6a,68,65,66,69,62,6e,70,
64,64,6b,62,00,00
"haobeonojgdbidnf"=hex:6b,61,68,63,6d,6e,64,6a,68,6d,6a,64,64,6a,66,67,62,6b,
6c,69,63,65,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3544)
c:\progra~1\WINDOW~2\wmpband.dll
c:\progra~1\MICROS~4\Office12\OLKFSTUB.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\ftpshext.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\agrsmsvc.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\fxssvc.exe
c:\windows\system32\wscntfy.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-23 09:15:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-03-23 08:15

Vor Suchlauf: 17 Verzeichnis(se), 17.864.941.568 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 17.824.772.096 Bytes frei

- - End Of File - - 79257B6C562498A0085AC19296401F3A

Alt 23.03.2010, 11:14   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
RegNull::
[HKEY_USERS\S-1-5-21-4288555866-2816581167-2556335597-1008\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F10B1C42-2918-D78A-ADF8-D875F2600307}*]

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xname]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

File::
c:\windows\S72B4CEC2.tmp

Driver::
rseb
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.03.2010, 12:10   #14
FredTee
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


und weiter im Text:

ComboFix 10-03-22.03 - Friedi 23.03.2010 11:45:43.4.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.651 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Friedi\Desktop\CoFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Friedi\Desktop\CFScript.txt
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

FILE ::
"c:\windows\S72B4CEC2.tmp"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\S72B4CEC2.tmp

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_rseb


((((((((((((((((((((((( Dateien erstellt von 2010-02-23 bis 2010-03-23 ))))))))))))))))))))))))))))))
.

2010-03-22 10:08 . 2010-03-22 10:08 -------- d-----w- c:\programme\trend micro
2010-03-22 10:08 . 2010-03-22 10:08 -------- d-----w- C:\rsit
2010-03-22 07:42 . 2010-03-22 07:42 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Malwarebytes
2010-03-22 07:42 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-22 07:42 . 2010-03-22 07:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-22 07:42 . 2010-03-22 12:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-03-22 07:42 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-16 06:43 . 2004-08-04 12:00 25088 ----a-w- c:\windows\system32\stu2.exe
2010-03-15 16:26 . 2010-03-15 16:27 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-03-13 14:01 . 2009-03-09 14:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2010-03-13 14:01 . 2010-03-13 14:01 -------- d-----w- c:\windows\Logs
2010-03-13 14:01 . 2010-03-13 14:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PassMark
2010-03-08 10:16 . 2010-03-08 10:16 -------- d-----w- c:\dokumente und einstellungen\Administrator.FREDTEE1\Anwendungsdaten\AdobeUM
2010-03-03 11:06 . 2010-03-03 11:06 -------- d-s---w- c:\dokumente und einstellungen\LocalService\UserData
2010-03-02 07:39 . 2010-03-02 07:39 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2010-02-27 11:47 . 2010-03-13 13:54 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-02-27 11:47 . 2006-09-28 15:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll
2010-02-27 11:47 . 2010-03-13 14:01 -------- d-----w- c:\programme\BurnInTest
2010-02-26 10:35 . 2010-02-26 10:35 -------- d-----w- c:\programme\Free WMA to MP3 Converter
2010-02-23 18:08 . 2010-03-22 07:36 -------- d-----w- c:\programme\CCleaner
2010-02-23 13:38 . 2010-03-23 10:54 860672 ----a-w- c:\windows\system32\drivers\xname.sys
2010-02-23 11:14 . 2010-02-23 11:14 -------- d-----w- c:\programme\mp3DirectCut

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-23 10:56 . 2008-07-28 08:35 22022176 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-03-23 10:51 . 2008-07-28 08:35 263204 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-03-22 12:14 . 2005-10-09 05:46 80618 ----a-w- c:\windows\system32\perfc007.dat
2010-03-22 12:14 . 2005-10-09 05:46 429854 ----a-w- c:\windows\system32\perfh007.dat
2010-03-16 06:59 . 2008-07-13 16:05 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\uTorrent
2010-02-26 15:34 . 2010-02-26 15:38 3213824 ----a-w- c:\windows\Internet Logs\xDB17.tmp
2010-02-26 09:45 . 2006-07-06 21:03 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\AdobeUM
2010-02-23 15:11 . 2007-02-09 08:42 -------- d-----w- c:\programme\Winamp
2010-02-23 15:10 . 2005-10-09 09:27 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-02-23 15:10 . 2006-10-20 07:34 -------- d-----w- c:\programme\ElsterFormular2005
2010-02-23 14:45 . 2010-02-23 14:51 3188224 ----a-w- c:\windows\Internet Logs\xDB16.tmp
2010-02-23 14:45 . 2010-02-23 14:50 494080 ----a-w- c:\windows\Internet Logs\xDB15.tmp
2010-02-23 14:41 . 2009-09-12 18:09 -------- d-----w- c:\programme\AVS4YOU
2010-02-23 13:51 . 2010-02-23 13:56 2621440 ----a-w- c:\windows\Internet Logs\xDB14.tmp
2010-02-23 11:08 . 2009-06-06 15:40 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\foobar2000
2010-02-19 17:01 . 2009-02-25 16:15 53248 ----a-w- c:\windows\W_ZIPPER.EXE
2010-02-10 07:50 . 2009-09-13 08:48 -------- d-----w- c:\programme\uTorrent
2010-02-09 13:38 . 2006-02-28 14:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2007-08-12 17:06 . 2007-08-12 17:06 8192 --sha-w- c:\windows\o2cLicStore.bin
2005-10-09 10:25 . 2005-10-09 10:25 8 -csh--r- c:\windows\system32\A3DA537E26.sys
2005-10-09 10:25 . 2005-10-09 10:25 4704 -csha-w- c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-7-21 113664]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2005-10-10 19:49 7286784 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08 417792 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R2 CAPI;CAPI 2.0 Service;c:\windows\system32\drivers\capi.sys [02.12.2008 21:31 28740]
R2 NDISCAPI;NDIS CAPI Service;c:\windows\system32\drivers\ndiscapi.sys [02.12.2008 21:31 41037]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [18.10.2005 14:01 826752]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [28.02.2006 14:51 72320]
R3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [01.03.2005 10:36 8448]
R3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [02.12.2008 21:21 53632]
R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [02.12.2008 21:22 263751]
R3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [02.12.2008 21:21 50759]
R3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [02.12.2008 21:21 113408]
R3 vmdmd;Softmodem/Fax Port Driver;c:\windows\system32\drivers\vmdmd.sys [17.06.2003 09:04 185696]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [04.02.2009 19:12 133104]
S2 gupdate1c986f4f2e30038;Google Update Service (gupdate1c986f4f2e30038);c:\programme\Google\Update\GoogleUpdate.exe [04.02.2009 19:12 133104]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [07.08.2009 12:16 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [07.08.2009 12:16 8320]
S3 xControlCOM;xControlCOM;c:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [01.03.2005 10:45 327680]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - xname

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-03-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-03-22 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-14 15:56]

2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 18:11]

2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 18:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi-essen.de/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
IE: Nach Microsoft &Excel exportieren
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Mozilla\Firefox\Profiles\8o7hi5lz.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.aldi-essen.de/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
FF - plugin: c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Mozilla\Firefox\Profiles\8o7hi5lz.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF - plugin: c:\programme\Virtual Earth 3D\npVE3D.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-03-23 11:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xname]

.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(440)
c:\progra~1\WINDOW~2\wmpband.dll
c:\progra~1\MICROS~4\Office12\OLKFSTUB.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\ftpshext.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\agrsmsvc.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\fxssvc.exe
c:\windows\system32\wscntfy.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-23 11:58:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-03-23 10:58
ComboFix2.txt 2010-03-23 08:32
ComboFix3.txt 2010-03-23 08:15

Vor Suchlauf: 19 Verzeichnis(se), 17.817.374.720 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 17.777.524.736 Bytes frei

- - End Of File - - 3208F2530838187B8C098606220B0DD0

Alt 23.03.2010, 12:13   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Spy.ZBot.agaa - Standard

Trojaner TR/Spy.ZBot.agaa


Ok - Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort
Seite 1 von 2 1 2

Themen zu Trojaner TR/Spy.ZBot.agaa
avira, beitrag, format, gefunde, leute, scan, scanne, scannen, troja, trojaner


« Phishing Online Banking Sparkasse | AntiVir Fund: Erkennungsmuster Java-Virus »


Ähnliche Themen: Trojaner TR/Spy.ZBot.agaa


  1. Trojaner ZBot
    Log-Analyse und Auswertung - 20.03.2014 (10)
  2. Nach PWS:WIN32/Zbot.gen!Am jetzt PWS:WIN32/Zbot.AJB - wie werde ich diesen los
    Log-Analyse und Auswertung - 16.08.2013 (10)
  3. Trojan.zbot.FV und Spyware.zbot.-ED auf Netbook Asus Eee PC /Win7
    Plagegeister aller Art und deren Bekämpfung - 21.07.2013 (23)
  4. Trojaner eingefangen? TR/Spy.zbot.alw
    Log-Analyse und Auswertung - 24.06.2013 (27)
  5. Sparkassen Onlin Banking Virus (Zbot.HEEP, Agent.MIXC, Zbot, Agent.ED)
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (21)
  6. PWS:Win32/Zbot.gen!AJ Trojaner?
    Log-Analyse und Auswertung - 17.05.2013 (9)
  7. GVU Trojaner und Win32/Spy.Zbot.AAO
    Plagegeister aller Art und deren Bekämpfung - 02.05.2013 (1)
  8. Zeus/ZBot TRojaner
    Log-Analyse und Auswertung - 20.02.2013 (12)
  9. Trojaner ZeuS/ZBot Telekom Brief
    Plagegeister aller Art und deren Bekämpfung - 15.12.2012 (20)
  10. Trojaner TR/PSW.Zbot.AJ.368
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (12)
  11. Trojaner ZeuS/ZBot
    Log-Analyse und Auswertung - 11.10.2012 (1)
  12. Win32/Spy.Zbot.AAO Trojaner
    Log-Analyse und Auswertung - 01.09.2012 (1)
  13. Trojaner TR/Spy.ZBot.asur in FXYCNO.dll
    Log-Analyse und Auswertung - 16.04.2011 (61)
  14. 2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2011 (10)
  15. 3 tw. unbekannte Trojaner TR/Spy.ZBot.hkp.2, TR/Dropper.Gen und TR/Spy.ZBot.hss
    Plagegeister aller Art und deren Bekämpfung - 25.01.2009 (0)
  16. Trojaner TR/Spy.ZBot.R
    Log-Analyse und Auswertung - 01.11.2007 (4)
  17. Probleme mit Trojaner Spy.ZBot.R
    Plagegeister aller Art und deren Bekämpfung - 05.10.2007 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner TR/Spy.ZBot.agaa - Hallo Leute, da ich leider keinen Beitrag gefunden habe, der sich auf den hier erkannten Trojaner bezieht, hier mein Hilferuf. Ich habe beim Scannen mit AntiVir AVIRA den Trojaner TR/Spy.ZBot.agaa - Trojaner TR/Spy.ZBot.agaa...
Archiv
Du betrachtest: Trojaner TR/Spy.ZBot.agaa auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129