Hi Leute,

ich hab mir gestern im vorbeigehen einen Trojaner eingefangen und wüsste gerne, ob ich ihn erfolgreich und vollständig entfernt habe. Mein Problem wird ziemlich genau in http://www.trojaner-board.de/99082-w...entfernen.html beschrieben, ich habe die dortige Anleitung auch schon abgearbeitet. Log Files hänge ich an.

Erst kam ein Warnung von meinem Antivir

Antivir - Meldung: Funde
ldl8153.tmp TR/ATRAPS.Gen2
52732.sys TR/Crypt.ZPACK.Gen

Ich habe die Dateien in Quarantäne verschieben lassen. Da ich wissen wollte, ob die aktuelle Seite Grund für den Alarm ist habe ich die Seite aktualisiert, dann kam von Antivir die selbe Meldung, ich habe die Dateien wieder in Quarantäne verschoben und den Betreiber der Internetseite informiert.

Danach kamen ein paar Fake Meldungen der Art

Hard Drive Failure
The system has detected a problem with one or more installed IDE / SATA hard disks. It is recommended that you restart the system.

Ich habe dann das System neu gestartet, war vermutlich ein Fehler. Danach war mein Desktop Hintergund schwarz, alle Icons verschwunden, rechtsklick auf dem Desktop war nicht mehr möglich, die meisten Elemente im Startmenü waren verschwunden und das Windows XP Recovery Tool und das Programm "Critical Error" (roter Kreis, weißes Kreuz siehe http://www.trojaner-board.de/99082-w...entfernen.html) wurde gestartet. Ich habe dort nichts angeklickt sondern

ich habe Windows dann neu gestartet und im abgesicherten Modus hochgefahren. Über msconfig konnte ich herausfinden, dass sich per Registry folgendes Programm eingeschlichen hat

Einträge in msconfig

Systemstartelement: fJhJIqofiBapKso
Befehl: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fJhJIqofiBapKso.exe
Pfad: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten konnte ich dann folgende Dateien entdecken, welche frisch entstanden sind, ich vermute über den Besuch der Internetseite.

fJhJIqofiBapKso.exe
18538276.exe
18538276
~18538276r
~18538276

Ich habe die Dateien in ein rar Archiv gepackt und gelöscht. Auf Wunsch kann ich die Programme ausliefern. Meine vermutete Quelle (Internetseite) kann ich auf Anfrage auch gerne liefern

Danach habe ich Windows neu gestartet und die Registry durchsucht, einige der gelisteten Einträge habe ich gelöscht. Danach habe ich die Progrmmae rkill, Malwarebytes, TDSS, OLT und unhide ausgeführt. Einige Probleme wurden gemeldet, konnten aber scheinbar behoben werden, siehe Log Files. Die letzten Suchläufe habe ich mit deaktiviertem Antivir gemacht.

Folgende Symptome

- zahlreiche Ordner (Desktop, Anwendungsdaten, Eigene Dateien, Symbolleiste) waren verschwunden, sind wieder sichtbar
- Einträge im Startmenü waren weg, die Ordner sind wieder da, aber die ganzen Verknüpfungen zu den Programmen fehlen noch, wie bekomme ich die wieder?
- strg+alt+entf -> Task Manager konnte nicht ausgewählt werden, ist wieder sichtbar
- schwarzer Desktop Hintergund -> habe wieder den normalen Hintergrund
- mein Stickis Programm hat gemeckert dass es in C:\Dokumente und Einstellungen\user\Anwendungsdaten\stickies\stickis.ini nicht schreiben kann, ich habe die Schreibschutz- und Hiddenflags in Anwendungsdaten enftfernt geht jetzt wieder
- Ähnlich zu Stickies hat auch Firefox gemeckert (tinyhtml addon) geht aber auch wieder
- Ich hatte z.B. MultiMon auf Autostart, dieses wird nicht mehr automatisch ausgeführt

Muss ich sonst noch etwas machen oder beachten? Bekomme ich irgendwie mein Startmenü wieder? Habe ich eventuell noch einen versteckten Trojaner irgendwo?

Vielen Dank schonmal im Vorraus

Zitat:

c:\programme\wamp\www\php-src-5.3\ext\standard\tests\file\windows_acls\tiny.exe (RiskWare.TinyPE.gen) -> Quarantined and deleted successfully.
c:\programme\wamp\www\php-src-5.3\ext\standard\tests\file\windows_acls\.svn\text-base\tiny.exe.svn-base (RiskWare.TinyPE.gen) -> Quarantined and deleted successfully.

Ist dieser Mini-Webserver gewollt? Wenn ja, Malwarebytes hat den gelöscht, weil es diesen als Riskware einstuft.

Ja da war ich mir nicht sicher, aber ist Bestandteil von den PHP 5.3 Sourcen ausm SVN da ich es nicht brauchte lieber weg damit

Weißt du denn wie ich mein Startmenü retten kann oder ob sonst noch was zu beachten ist?

Evtl. mit unhide:

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Danke für deine schnelle Antwort.

unhide habe ich bereits ausgeführt. Danach sind die Ordner im Startmenü wieder aufgetaucht aber die Verknüpfungen zu den Anwendungen sind immer noch weg

Hast durch irgendwas den Tempordner geleert? Manche Schädlingsvarianten verschieben den Inahtldes Startmenüs nach %tmp%\smtmp

Haha vielen Dank, da habe ich die Startmenüeinträge gefunden. Muss ich denn Sorgen haben dass noch irgendwo ein Trojaner oder ähnliches versteckt ist oder sonst was fehlt was ich derzeit noch nicht entdeckt habe? Ist der erste Virus/Trojaner den ich mir in den letzten 10 Jahren eingefangen habe ...

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - prefs.js..network.proxy.ftp: "127.0.0.1"
FF - prefs.js..network.proxy.ftp_port: 8888
FF - prefs.js..network.proxy.gopher: "127.0.0.1"
FF - prefs.js..network.proxy.gopher_port: 8888
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 8888
FF - prefs.js..network.proxy.no_proxies_on: "localhost,127.0.0.1"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "127.0.0.1"
FF - prefs.js..network.proxy.socks_port: 8888
FF - prefs.js..network.proxy.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.ssl_port: 8888
FF - prefs.js..network.proxy.type: 0
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.02.07 16:26:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{24986436-053d-11dd-aa3a-0018f3f47e7a}\Shell\AutoRun\command - "" = H:\setupSNK.exe
O33 - MountPoints2\{bcdc23ae-072a-11df-abfe-0018f3f47e7a}\Shell\AutoRun\command - "" = H:\Menu.exe
[2011.05.19 09:59:57 | 000,000,472 | ---- | M] () -- C:\WINDOWS\tasks\SDMsgUpdate (TE).job
@Alternate Data Stream - 98 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E1955FF3
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Okay habe ich gemacht, was hat er jetzt gelöscht? Mount Points und meine Host Datei?

========== OTL ==========
Prefs.js: "127.0.0.1" removed from network.proxy.ftp
Prefs.js: 8888 removed from network.proxy.ftp_port
Prefs.js: "127.0.0.1" removed from network.proxy.gopher
Prefs.js: 8888 removed from network.proxy.gopher_port
Prefs.js: "127.0.0.1" removed from network.proxy.http
Prefs.js: 8888 removed from network.proxy.http_port
Prefs.js: "localhost,127.0.0.1" removed from network.proxy.no_proxies_on
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "127.0.0.1" removed from network.proxy.socks
Prefs.js: 8888 removed from network.proxy.socks_port
Prefs.js: "127.0.0.1" removed from network.proxy.ssl
Prefs.js: 8888 removed from network.proxy.ssl_port
Prefs.js: 0 removed from network.proxy.type
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{24986436-053d-11dd-aa3a-0018f3f47e7a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{24986436-053d-11dd-aa3a-0018f3f47e7a}\ not found.
File H:\setupSNK.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bcdc23ae-072a-11df-abfe-0018f3f47e7a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bcdc23ae-072a-11df-abfe-0018f3f47e7a}\ not found.
File H:\Menu.exe not found.
C:\WINDOWS\tasks\SDMsgUpdate (TE).job moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E1955FF3 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.22.3 log created on 05192011_165805

Zitat:

Okay habe ich gemacht, was hat er jetzt gelöscht? Mount Points und meine Host Datei?

ja, den üblichen Müll entfernt, Hostsdatei vorsichtshalber zurückgesetzt und den proxy der auf localhost konfiguriert war entfernt.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Hi, hatte das Tool schonmal ausgeführt (siehe oben), er meldet jetzt das selbe wie damals, Infection not found, mehr nicht. Er meldet lediglich eine gesperrte Datei die hab ich aber mal mit unlocker freigegeben und dann findet er auch nichtsDie gesperrte Datei ist diese hier

Service name: sptd
Service type: Kernel driver (0x1)
Service start: Boot(0x0)
File: C:\WINDOWS\system32\Drivers\sptd.sys
MD5: cdddec541bc3c96f91ecb48759673505

Wenn ich nach dem Scan auf report klicke kommt allerdings

Auf das Dokument C:\TDSSKI~2.TXT kann nicht zugegriffen werden, da es von einer anderen Anwendung verwendet wird

Die Datei kannste ignorieren, die ist ok. Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich kann den Leitfaden zu ComboFix nicht öffnen. Mal interessehalber: Was macht den Einsatz von Combofix so riskant und wann kann man es einsetzen? Ich will mir den Rechner nicht zerstören.

Dann wende CF einfach nur wie in meiner Anleitung an. Wird schon schiefegehen

Okay ging recht flott

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-05-19.01 - sebastian 20.05.2011  11:34:57.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2014.1480 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\sebastian\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Outdated* {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
FW: ActiveArmor Firewall *Disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dieseltest\Dieseltest.exe
c:\dokumente und einstellungen\sebastian\System
c:\dokumente und einstellungen\sebastian\System\win_qs8.jqx
c:\dokumente und einstellungen\sebastian\WINDOWS
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-20 bis 2011-05-20  ))))))))))))))))))))))))))))))
.
.
2011-05-19 14:58 . 2011-05-19 14:58	--------	d-----w-	C:\_OTL
2011-05-18 15:55 . 2011-05-18 15:55	--------	d-----w-	c:\dokumente und einstellungen\sebastian\Anwendungsdaten\Malwarebytes
2011-05-18 15:55 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-18 15:55 . 2011-05-18 15:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-18 15:55 . 2011-05-18 15:55	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-05-18 15:55 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-05-18 11:14 . 2004-08-04 12:00	4224	----a-w-	c:\windows\system32\beep.sys
2011-05-17 07:46 . 2011-05-17 07:46	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-04-27 15:12 . 2011-04-27 15:12	2832544	----a-w-	C:\install_flash_player.exe
2011-04-27 08:06 . 2011-04-27 08:14	--------	d-----w-	C:\backup_magento
2011-04-21 07:23 . 2011-04-21 07:23	--------	d-----w-	c:\dokumente und einstellungen\sebastian\.eclipse
2011-04-21 07:18 . 2011-04-21 07:18	--------	d-----w-	c:\dokumente und einstellungen\sebastian\.ZendStudio
2011-04-21 07:17 . 2011-04-21 07:17	--------	d-----w-	c:\dokumente und einstellungen\sebastian\Zend
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-16 10:26 . 2009-03-19 08:28	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-07 05:33 . 2007-02-07 14:24	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-04 12:00	420864	----a-w-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-04 12:00	1858048	----a-w-	c:\windows\system32\win32k.sys
2011-02-22 23:05 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-02-22 23:05 . 2004-08-04 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2011-02-22 11:41 . 2004-08-04 12:00	385024	----a-w-	c:\windows\system32\html.iec
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 17:50	66312	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 17:50	66312	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 17:50	66312	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 17:50	66312	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 17:50	66312	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 17:50	66312	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 17:50	66312	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 17:50	66312	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 17:50	66312	----a-w-	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-19 68856]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-10-09 25623336]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2006-02-17 270336]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-24 7311360]
"nwiz"="nwiz.exe" [2006-01-24 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-01-24 86016]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 61952]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-15 281768]
"ZSSnp211"="c:\windows\ZSSnp211.exe" [2007-04-06 57344]
"Domino"="c:\windows\Domino.exe" [2006-08-18 49152]
"TortoiseHgOverlayIconServer"="c:\programme\TortoiseHg\TortoiseHgOverlayServer.exe" [2010-11-16 43424]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\sebastian\Startmen�\Programme\Autostart\
netzlaufwerke.bat [2011-5-6 1179]
Stickies.lnk - c:\programme\stickies\stickies.exe [2007-3-9 700416]
Verkn�pfung mit MultiMon.lnk - c:\programme\MMTaskbar\MultiMon.exe [2009-6-15 294912]
Verkn�pfung mit SwyxIt!.lnk - c:\programme\SwyxIt!\SwyxIt!.exe [2009-2-13 1402672]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
MultiMon Taskbar.lnk - c:\programme\MMTaskbar\MultiMon.exe [2009-6-15 294912]
SwyxIt!.lnk - c:\programme\SwyxIt!\SwyxIt!.exe [2009-2-13 1402672]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-15 00:04	39792	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16	357696	----a-w-	c:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2008-09-03 06:42	133104	----atw-	c:\dokumente und einstellungen\sebastian\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2007-08-15 18:15	271672	----a-w-	c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50	413696	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-06-19 07:03	68856	----a-w-	c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMware hqtray]
2008-09-18 21:05	64048	----a-w-	c:\programme\VMware\VMware Player\hqtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wampmysqld"=3 (0x3)
"wampapache"=3 (0x3)
"iPod Service"=3 (0x3)
"VMware NAT Service"=2 (0x2)
"VMnetDHCP"=2 (0x2)
"VMAuthdService"=2 (0x2)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"Irmon"=2 (0x2)
"helpsvc"=2 (0x2)
"gupdate"=2 (0x2)
"gusvc"=3 (0x3)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\VMware\\VMware Player\\vmware-authd.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\HP\\HP Color LaserJet CM2320 MFP Series\\hppfsu_cm2320.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\SwyxIt!\\CLMgr.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=
"c:\\Programme\\MirandaFusion\\fusiontools\\updater.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung 
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [17.12.2009 12:34 691696]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [20.11.2009 18:08 116560]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [20.11.2009 18:08 41424]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [19.03.2009 10:28 339624]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 10:28 136360]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [19.03.2009 10:28 421032]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [18.09.2008 23:06 54960]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [20.11.2009 18:08 95568]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [10.11.2009 15:53 104016]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 ElsaCapiCtl;ELSA CAPI Control;c:\windows\system32\rcapi.exe [06.12.2000 15:17 172032]
S3 ElsaCapiDrv;ELSA CAPI Driver;c:\windows\system32\drivers\rcapi.sys [06.12.2000 10:09 244224]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [11.08.2010 00:10 135664]
S3 UltraMonMirror;UltraMonMirror;c:\windows\system32\DRIVERS\UltraMonMirror.sys --> c:\windows\system32\DRIVERS\UltraMonMirror.sys [?]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [04.08.2004 14:00 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [11.08.2010 00:10 135664]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - klmd25
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
WINRM	REG_MULTI_SZ   	WINRM
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-10 22:10]
.
2011-05-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-10 22:10]
.
2011-05-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4167904640-169653539-2607701351-1005Core.job
- c:\dokumente und einstellungen\sebastian\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 06:42]
.
2011-05-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4167904640-169653539-2607701351-1005UA.job
- c:\dokumente und einstellungen\sebastian\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 06:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://tool.***.de/index/index.php
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyServer = 192.168.2.200:8080
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Markierte Rufnummer/URI wählen - c:\programme\SwyxIt!\IEDial.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Zend Studio - Debug current page - c:\programme\Zend\ZendStudio-5.5.0\bin\ZendIEToolbar.dll/DebugCurrent.html
IE: Zend Studio - Debug next page - c:\programme\Zend\ZendStudio-5.5.0\bin\ZendIEToolbar.dll/DebugNext.html
IE: {{F8E553C6-4C00-11D3-80BC-00105A653379} - c:\programme\SwyxIt!\IEDial.htm
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
LSP: c:\programme\VMware\VMware Player\vsocklib.dll
FF - ProfilePath - c:\dokumente und einstellungen\sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\28qn4m48.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://sd.eldev.de.beta.prod-***.de/index/view.php
FF - Ext: Firebug: firebug@software.joehewitt.com - %profile%\extensions\firebug@software.joehewitt.com
FF - Ext: InspectThis: inspectthis@mackay.dyndns.info - %profile%\extensions\inspectthis@mackay.dyndns.info
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Live HTTP Headers: {8f8fe09b-0bd3-4470-bc1b-8cad42b8203a} - %profile%\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}
FF - Ext: Web Developer: {c45c406e-ab73-11d8-be73-000a95be3b12} - %profile%\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
FF - Ext: DOM Inspector: inspector@mozilla.org - %profile%\extensions\inspector@mozilla.org
FF - Ext: YSlow: yslow@yahoo-inc.com - %profile%\extensions\yslow@yahoo-inc.com
FF - Ext: FireShot: {0b457cAA-602d-484a-8fe7-c1d894a011ba} - %profile%\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}
FF - Ext: Html Validator: {3b56bcc7-54e5-44a2-9b44-66c3ef58c13e} - %profile%\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}
FF - Ext: CodeBurner for Firebug: firebug@tools.sitepoint.com - %profile%\extensions\firebug@tools.sitepoint.com
FF - Ext: Sxipper: sxipper@sxip.com - %profile%\extensions\sxipper@sxip.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: BetterPrivacy: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3} - %profile%\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Page Speed: {e3f6c2cc-d8db-498c-af6c-499fb211db97} - %profile%\extensions\{e3f6c2cc-d8db-498c-af6c-499fb211db97}
FF - Ext: HTTPS-Everywhere: https-everywhere@eff.org - %profile%\extensions\https-everywhere@eff.org
FF - Ext: User Agent Switcher: {e968fc70-8f95-4ab9-9e79-304de2a71ee1} - %profile%\extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1}
FF - Ext: SearchStatus: {d57c9ff1-6389-48fc-b770-f78bd89b6e8a} - %profile%\extensions\{d57c9ff1-6389-48fc-b770-f78bd89b6e8a}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: FiddlerHook: fiddlerhook@fiddler2.com - c:\programme\Fiddler2\FiddlerHook
FF - Ext: Zend Studio Toolbar: {3c9761ad-a43d-4447-b924-f5d83cb48063} - c:\programme\Zend\Zend Studio - 8.0.0\toolbars\firefox
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
HKCU-Run-IBP - (no file)
Notify-ssqqpmk - ssqqpmk.dll
Notify-winpdc32 - winpdc32.dll
MSConfigStartUp-CTDrive - c:\windows\system32\drvras.dll
MSConfigStartUp-InternetPal - c:\programme\BySoft InternetPal\InternetPal.exe
AddRemove-Panda ActiveScan - c:\windows\system32\ASUninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-05-20 11:42
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(1284)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2011-05-20  11:44:36
ComboFix-quarantined-files.txt  2011-05-20 09:44
.
Vor Suchlauf: 14 Verzeichnis(se), 91.266.252.800 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 93.789.159.424 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - 328D7C44B302426DB7C93C1C1A4B8310
         

--- --- ---