Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.09.2011, 16:05   #1
trexer
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Hallo!

Auf dem Rechner von einer Feundin war nach einem Scan mit Antivir der Virus TR/Spy.Agent.L gefunden worden. Allerdings nur im Ordner "System Volume Information". Ich hab die Systemwiederherstellung deaktiviert, neu gestartet und wieder aktviert -> Problem für Antivir behoben.

Antvir Log:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 12. September 2011  16:08

Es wird nach 3345840 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : USER-87A2E8B98C

Versionsinformationen:
BUILD.DAT      : 10.2.0.700     35934 Bytes  21.07.2011 16:49:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  21.07.2011 10:08:11
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  21.07.2011 10:10:57
LUKE.DLL       : 10.3.0.5       45416 Bytes  21.07.2011 10:09:32
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 12:22:40
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  21.07.2011 10:08:11
AVREG.DLL      : 10.3.0.9       90472 Bytes  21.07.2011 10:08:05
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:37:00
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:37:00
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 09:37:00
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 09:37:00
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 09:37:00
VBASE005.VDF   : 7.11.10.251  1788416 Bytes  07.07.2011 09:37:00
VBASE006.VDF   : 7.11.13.60   6411776 Bytes  16.08.2011 09:37:00
VBASE007.VDF   : 7.11.13.61      2048 Bytes  16.08.2011 09:37:00
VBASE008.VDF   : 7.11.13.62      2048 Bytes  16.08.2011 09:37:00
VBASE009.VDF   : 7.11.13.63      2048 Bytes  16.08.2011 09:37:00
VBASE010.VDF   : 7.11.13.64      2048 Bytes  16.08.2011 09:37:00
VBASE011.VDF   : 7.11.13.65      2048 Bytes  16.08.2011 09:37:00
VBASE012.VDF   : 7.11.13.66      2048 Bytes  16.08.2011 09:37:00
VBASE013.VDF   : 7.11.13.95    166400 Bytes  17.08.2011 09:37:00
VBASE014.VDF   : 7.11.13.125   209920 Bytes  18.08.2011 09:37:00
VBASE015.VDF   : 7.11.13.157   184832 Bytes  22.08.2011 09:37:00
VBASE016.VDF   : 7.11.13.201   128000 Bytes  24.08.2011 09:37:00
VBASE017.VDF   : 7.11.13.234   160768 Bytes  25.08.2011 09:37:00
VBASE018.VDF   : 7.11.14.16    141312 Bytes  30.08.2011 09:37:00
VBASE019.VDF   : 7.11.14.48    133120 Bytes  31.08.2011 09:37:00
VBASE020.VDF   : 7.11.14.78    156160 Bytes  02.09.2011 09:37:00
VBASE021.VDF   : 7.11.14.109   126976 Bytes  06.09.2011 09:37:00
VBASE022.VDF   : 7.11.14.137   131584 Bytes  08.09.2011 09:37:00
VBASE023.VDF   : 7.11.14.138     2048 Bytes  08.09.2011 09:37:00
VBASE024.VDF   : 7.11.14.139     2048 Bytes  08.09.2011 09:37:00
VBASE025.VDF   : 7.11.14.140     2048 Bytes  08.09.2011 09:37:00
VBASE026.VDF   : 7.11.14.141     2048 Bytes  08.09.2011 09:37:00
VBASE027.VDF   : 7.11.14.142     2048 Bytes  08.09.2011 09:37:00
VBASE028.VDF   : 7.11.14.143     2048 Bytes  08.09.2011 09:37:00
VBASE029.VDF   : 7.11.14.144     2048 Bytes  08.09.2011 09:37:00
VBASE030.VDF   : 7.11.14.145     2048 Bytes  08.09.2011 09:37:00
VBASE031.VDF   : 7.11.14.146     2048 Bytes  08.09.2011 09:37:00
Engineversion  : 8.2.6.54  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  08.09.2011 09:36:58
AESCRIPT.DLL   : 8.1.3.76     1626490 Bytes  08.09.2011 09:36:58
AESCN.DLL      : 8.1.7.2       127349 Bytes  08.09.2011 09:36:58
AESBX.DLL      : 8.2.1.34      323957 Bytes  08.09.2011 09:36:58
AERDL.DLL      : 8.1.9.13      639349 Bytes  08.09.2011 09:36:58
AEPACK.DLL     : 8.2.10.10     684407 Bytes  08.09.2011 09:36:58
AEOFFICE.DLL   : 8.1.2.13      201083 Bytes  08.09.2011 09:36:58
AEHEUR.DLL     : 8.1.2.164    3654007 Bytes  08.09.2011 09:36:58
AEHELP.DLL     : 8.1.17.7      254327 Bytes  08.09.2011 09:36:58
AEGEN.DLL      : 8.1.5.9       401780 Bytes  08.09.2011 09:36:58
AEEMU.DLL      : 8.1.3.0       393589 Bytes  08.09.2011 09:36:58
AECORE.DLL     : 8.1.23.0      196983 Bytes  08.09.2011 09:36:58
AEBB.DLL       : 8.1.1.0        53618 Bytes  08.09.2011 09:36:58
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  21.04.2011 05:52:39
AVPREF.DLL     : 10.0.3.2       44904 Bytes  21.07.2011 10:08:05
AVREP.DLL      : 10.0.0.10     174120 Bytes  08.09.2011 09:37:00
AVARKT.DLL     : 10.0.26.1     255336 Bytes  21.07.2011 10:07:41
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  21.07.2011 10:07:59
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  21.07.2011 13:12:30
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  21.04.2011 05:52:38
NETNT.DLL      : 10.0.0.0       11624 Bytes  21.04.2011 05:52:50
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  21.07.2011 10:11:03
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  21.07.2011 10:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 12. September 2011  16:08

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-1644491937-1425521274-839522115-1004\Software\SecuROM\License information\datasecu
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1644491937-1425521274-839522115-1004\Software\SecuROM\License information\rkeysecu
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIACE.EXE' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '920' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <1. Festplatte>
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2027942.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2029571.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2032605.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2034131.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2035041.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2036564.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2040530.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2042059.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2042967.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2044489.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2048431.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2049957.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2050867.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2052392.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2056355.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2057884.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2058792.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2060314.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
Beginne mit der Suche in 'D:\' <2. Festplatte>
Beginne mit der Suche in 'E:\' <RECOVER>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2060314.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aaa8d8f.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2058792.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '523da228.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2057884.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0062f8c0.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2056355.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6655b702.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2052392.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '23d19a3c.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2050867.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ccaa85d.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2049957.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '10728414.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2048431.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6c6ac444.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2044489.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4130eb09.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2042967.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5858d093.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2042059.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3404fca4.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2040530.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45bdc531.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2036564.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba7f5f4.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2035041.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0e8e8cb7.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2034131.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '07858823.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2032605.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5fc4914a.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2029571.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7330e887.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2027942.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dce885d.qua' verschoben!


Ende des Suchlaufs: Montag, 12. September 2011  17:44
Benötigte Zeit:  1:21:37 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   5796 Verzeichnisse wurden überprüft
 656926 Dateien wurden geprüft
     18 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     18 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 656908 Dateien ohne Befall
   4776 Archive wurden durchsucht
      0 Warnungen
     20 Hinweise
 344769 Objekte wurden beim Rootkitscan durchsucht
      2 Versteckte Objekte wurden gefunden
         
Hab danach mal das SP3 installieret und alle Microsoft-Updates...
Zur Sicherheit hab ich jetzt Malwarebytes Anti-Malware laufen lassen und der fand auch noch eine einzige Kleinigkeit.
Log Malwarbytes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7710

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.09.2011 21:49:11
mbam-log-2011-09-13 (21-49-11).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 180585
Laufzeit: 7 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Fullscan:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7710

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.09.2011 22:53:04
mbam-log-2011-09-13 (22-53-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 252858
Laufzeit: 57 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Seltsam war dann, das Matlwarebytes in der Taskleiste dauernd Verbindungen zu und von IP Adressen geblockt hat:
21:44:44 User IP-BLOCK 83.243.11.176 (Type: outgoing)
21:44:56 User IP-BLOCK 83.243.11.168 (Type: outgoing)

Completter Log:
Code:
ATTFilter
21:40:20	User	MESSAGE	Protection started successfully
21:40:35	User	MESSAGE	IP Protection started successfully
21:42:19	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:42:22	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:42:28	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:42:40	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:42:43	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:42:49	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:43:05	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:43:08	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:43:14	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:43:26	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:43:29	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:43:35	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:43:50	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:43:53	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:43:59	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:44:11	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:44:14	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:44:20	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:44:35	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:44:38	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:44:44	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:44:56	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:44:59	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:45:05	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:45:20	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:45:23	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:45:29	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:45:41	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:45:44	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:45:50	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:46:05	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:46:08	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:46:14	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:46:26	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:46:29	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:46:35	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:46:50	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:46:53	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:46:59	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:47:11	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:47:14	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:47:20	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:47:35	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:47:38	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:47:44	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:47:56	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:47:59	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:48:05	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:48:21	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:48:24	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:48:30	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:48:42	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:48:45	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:48:51	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:49:07	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:49:10	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:49:16	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:49:28	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:49:31	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:49:37	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:49:52	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:49:55	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:50:01	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:50:13	(null)	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:50:16	(null)	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:50:22	(null)	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:52:41	User	MESSAGE	Protection started successfully
21:52:57	User	MESSAGE	IP Protection started successfully
21:53:38	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:53:41	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:53:47	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:53:59	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:54:02	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:54:02	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:54:05	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:54:08	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:54:11	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:54:23	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:54:26	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:54:26	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:54:28	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:54:32	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:54:34	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:54:47	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:54:47	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:54:50	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:54:50	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:54:55	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:54:56	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:55:08	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:55:11	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:55:12	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:55:15	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:55:17	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:55:21	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:55:33	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:55:33	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:55:35	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:55:36	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:55:41	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:55:42	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:55:53	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:55:56	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:55:57	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:56:00	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:56:02	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:56:06	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:56:17	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:56:18	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:56:20	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:56:21	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:56:26	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:56:27	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:56:38	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:56:41	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:56:45	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:56:47	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:56:48	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:56:54	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:57:03	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:57:05	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:57:06	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:57:09	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:57:11	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:57:15	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:57:23	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:57:26	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:57:29	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:57:31	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:57:32	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:57:37	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:57:49	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:57:52	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:57:58	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
22:02:52	User	ERROR	Scheduled update failed:  No address found failed with error code 11004
         
Code:
ATTFilter
14:49:08	(null)	MESSAGE	Protection started successfully
14:49:20	User	MESSAGE	IP Protection started successfully
21:32:40	(null)	MESSAGE	Protection started successfully
21:33:08	User	MESSAGE	IP Protection started successfully
21:33:08	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:33:09	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:33:09	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:33:11	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:33:13	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:33:17	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:33:18	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:33:20	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:33:26	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:33:26	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:33:33	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:33:38	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:33:41	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:33:43	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:33:47	User	IP-BLOCK	83.243.11.171 (Type: outgoing)
21:33:55	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:33:57	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:34:03	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:34:15	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:34:15	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:34:19	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:34:24	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:34:33	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:34:36	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:34:40	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:34:42	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:34:43	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:34:49	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:34:54	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:34:57	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:35:01	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:35:03	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:35:04	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:35:10	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:35:16	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:35:16	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:35:19	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:35:25	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:35:25	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:35:28	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:35:34	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:35:37	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:35:40	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:35:46	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:35:46	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:35:49	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:35:55	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:35:59	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:36:02	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:36:08	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:36:10	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:36:13	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:36:16	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:36:19	User	IP-BLOCK	83.243.11.168 (Type: outgoing)
21:36:20	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:36:23	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:36:29	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:36:31	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:36:34	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:36:40	User	IP-BLOCK	83.243.11.176 (Type: outgoing)
21:36:42	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:36:45	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:36:51	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:36:56	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:36:59	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:37:03	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:37:05	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:37:06	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:37:12	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:37:17	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:37:17	User	IP-BLOCK	83.243.11.170 (Type: outgoing)
21:37:20	User	IP-BLOCK	83.243.11.170 (Type: outgoing)
21:37:25	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:37:26	User	IP-BLOCK	83.243.11.170 (Type: outgoing)
21:37:28	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:37:34	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:37:41	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:37:44	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:37:46	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:37:49	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:37:50	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:37:55	User	IP-BLOCK	83.243.11.169 (Type: outgoing)
21:38:02	User	IP-BLOCK	83.243.11.170 (Type: outgoing)
21:38:05	User	IP-BLOCK	83.243.11.170 (Type: outgoing)
21:38:08	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:38:11	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:38:11	User	IP-BLOCK	83.243.11.170 (Type: outgoing)
21:38:17	User	IP-BLOCK	83.243.11.177 (Type: outgoing)
21:38:17	User	IP-BLOCK	83.243.11.177 (Type: incoming)
21:38:26	User	IP-BLOCK	83.243.11.170 (Type: outgoing)
21:38:28	User	MESSAGE	IP Protection stopped
         

Ist also noch etwas auf dem Rechner drauf das nach-hause-telefoniert? Vielen Dank für jeden Tip.

OTL hätte ich gerne gepostet aber es stürzt jedes mal bei "Looking for newly crated file: C:\windows\winhelp.exe" ab -> nichts tut sich, Rechner muss neu gestartet werden.
Hier die Log aus GMER:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-09-15 15:46:31
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST3200021A rev.3.01
Running: wmfy7so5.exe; Driver: C:\DOKUME~1\User\LOKALE~1\Temp\pgxdraoc.sys


---- System - GMER 1.0.15 ----

SSDT            F7C8195C                  ZwClose
SSDT            F7C81916                  ZwCreateKey
SSDT            F7C81966                  ZwCreateSection
SSDT            F7C8190C                  ZwCreateThread
SSDT            F7C8191B                  ZwDeleteKey
SSDT            F7C81925                  ZwDeleteValueKey
SSDT            F7C81957                  ZwDuplicateObject
SSDT            F7C8192A                  ZwLoadKey
SSDT            F7C818F8                  ZwOpenProcess
SSDT            F7C818FD                  ZwOpenThread
SSDT            F7C81934                  ZwReplaceKey
SSDT            F7C8192F                  ZwRestoreKey
SSDT            F7C8196B                  ZwSetContextThread
SSDT            F7C81920                  ZwSetValueKey
SSDT            F7C81907                  ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
Vielen Dank!

Alt 15.09.2011, 16:23   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________

__________________

Alt 15.09.2011, 19:42   #3
trexer
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Hi, Danke für dein Antwort. Hier der Scan:

Code:
ATTFilter
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=b663869189e1a54791b39455979f8491
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-15 05:05:47
# local_time=2011-09-15 07:05:47 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 3754 3754 0 0
# compatibility_mode=1797 16775145 100 98 262632 90995444 255397 0
# compatibility_mode=8192 67108863 100 0 461 461 0 0
# compatibility_mode=9217 16777214 0 4 59454479 59454479 0 0
# scanned=78437
# found=4
# cleaned=0
# scan_time=7487
C:\Programme\Gemeinsame Dateien\aol\Backup\ACS\Rollback\DE\ACSLAN~1.EXE	probably a variant of Win32/StartPage.HSZAKFT trojan (unable to clean)	00000000000000000000000000000000	I
C:\Programme\Gemeinsame Dateien\aol\Backup\ACS\Rollback\DE\acssetup.exe	probably a variant of Win32/StartPage.HSZAKFT trojan (unable to clean)	00000000000000000000000000000000	I
C:\Programme\Gemeinsame Dateien\aol\Backup\ACS\Rollback\Suite\comps\acslang.exe	probably a variant of Win32/StartPage.HSZAKFT trojan (unable to clean)	00000000000000000000000000000000	I
C:\Programme\Gemeinsame Dateien\aol\Backup\ACS\Rollback\Suite\comps\acslang_de.exe	probably a variant of Win32/StartPage.HSZAKFT trojan (unable to clean)	00000000000000000000000000000000	I
         
Hab die erste Datei "ACSLAN~1.EXE" mal zu Virustotal.com geschickt. 7 von 41 sagen dort das es ein Trojaner ist...
__________________

Alt 15.09.2011, 19:45   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Gehört zur AOL-Software
Warum tut sich deine Freundin diesen Müll eigentlich freiwillig an?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.09.2011, 19:47   #5
trexer
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Gute Frage, denke nicht das sie es überhaupt braucht.... Ausreden könnten vielseitig sein... z.B. weil der Rechner schon sehr alt ist und vorher von ihrer Familie genutzt wurde... Wie dem auch sei, ich schmeiß es runter.

Sieht sonst ganz gut aus oder?


Alt 15.09.2011, 19:52   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
--> TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen

Alt 15.09.2011, 20:10   #7
trexer
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Mh OTL hängt grade wieder bei "Looking for newly created file: C:\windows\winhelp.exe"... Keine aktivität mehr von der Festplatte... Ich geb ihm noch ein paar Minuten?

Alt 15.09.2011, 21:09   #8
trexer
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Ok hängt seit über einer Stunde bei "Looking for newly created file: C:\windows\winhelp.exe".... Oben steht jetzt in der Leiste (Keine Rückmeldung). Irgendeine Idee?
Danke!

Alt 15.09.2011, 21:26   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Starte neu und probier es nochmal bitte.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.09.2011, 22:54   #10
trexer
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



So habs. Wollte die Winhelp.exe zu Virustotal laden -> ging nicht weil Lesefehler. Hab dann von einem gleichem WinXpSP3 Rechner die Winhelp.exe kopiert. Danach ging der Scan. Datei ist im Anhang.

Alt 16.09.2011, 13:55   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
[2011.09.13 21:33:48 | 000,002,406 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\askcom.xml
[2011.09.02 20:40:09 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-1.xml
[2010.04.05 09:39:56 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-10.xml
[2010.07.09 13:12:14 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-11.xml
[2011.08.18 17:07:29 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-12.xml
[2011.08.20 08:37:35 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-13.xml
[2011.08.29 08:18:59 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-14.xml
[2011.08.29 18:07:24 | 000,000,656 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-15.xml
[2011.09.13 21:37:36 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-16.xml
[2008.11.23 17:08:26 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-2.xml
[2008.12.17 19:32:42 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-3.xml
[2009.02.09 20:32:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-4.xml
[2009.03.15 20:39:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-5.xml
[2009.03.29 18:14:15 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-6.xml
[2009.04.28 10:19:34 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-7.xml
[2009.05.11 22:27:44 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-8.xml
[2010.04.03 18:02:50 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-9.xml
[2008.09.15 12:59:42 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin.xml
[2008.08.31 12:34:23 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15924
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.05.02 13:40:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{9db56ad1-8fc8-11dd-bf7b-00038a000015}\Shell\AutoRun\command - "" = F:\Menu.exe
[2011.09.14 22:29:43 | 000,000,000 | -HSD | C] -- C:\found.000
[2011.09.14 21:38:38 | 000,000,000 | ---D | C] -- C:\.Trash-999
:Commands
[emptytemp]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.09.2011, 14:19   #12
trexer
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



hier das ergebnis:
Code:
ATTFilter
All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\askcom.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-1.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-10.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-11.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-12.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-13.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-14.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-15.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-16.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-2.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-3.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-4.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-5.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-6.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-7.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-8.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-9.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin.xml moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\search_engine folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\META-INF folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\defaults\preferences folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\defaults folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\components folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} folder moved successfully.
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "Ask.com" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "Ask.com" removed from browser.search.selectedEngine
Prefs.js: toolbar@ask.com:3.11.3.15924 removed from extensions.enabledItems
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9db56ad1-8fc8-11dd-bf7b-00038a000015}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9db56ad1-8fc8-11dd-bf7b-00038a000015}\ not found.
File F:\Menu.exe not found.
C:\found.000\dir0000.chk\snapshot\Repository\FS folder moved successfully.
C:\found.000\dir0000.chk\snapshot\Repository folder moved successfully.
C:\found.000\dir0000.chk\snapshot folder moved successfully.
C:\found.000\dir0000.chk folder moved successfully.
C:\found.000 folder moved successfully.
C:\.Trash-999\info folder moved successfully.
C:\.Trash-999\files folder moved successfully.
C:\.Trash-999\expunged folder moved successfully.
C:\.Trash-999 folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 64177 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 195833 bytes
 
User: TEMP
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
User: TEMP(2).USER-87A2E8B98C
 
User: TEMP(3).USER-87A2E8B98C
 
User: Tina
 
User: User
->Temp folder emptied: 2018798356 bytes
->Temporary Internet Files folder emptied: 34021405 bytes
->Java cache emptied: 7581165 bytes
->FireFox cache emptied: 38491590 bytes
->Flash cache emptied: 53780 bytes
 
%systemdrive% .tmp files removed: 393220 bytes
%systemroot% .tmp files removed: 29830083 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 25247923 bytes
RecycleBin emptied: 781917560 bytes
 
Total Files Cleaned = 2.801,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.28.0 log created on 09162011_135729

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Alt 16.09.2011, 14:47   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.09.2011, 14:54   #14
trexer
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Ok hier die Log:
Code:
ATTFilter
2011/09/16 14:39:15.0531 0264	TDSS rootkit removing tool 2.5.22.0 Sep 13 2011 15:55:17
2011/09/16 14:39:15.0796 0264	================================================================================
2011/09/16 14:39:15.0796 0264	SystemInfo:
2011/09/16 14:39:15.0796 0264	
2011/09/16 14:39:15.0796 0264	OS Version: 5.1.2600 ServicePack: 3.0
2011/09/16 14:39:15.0796 0264	Product type: Workstation
2011/09/16 14:39:15.0796 0264	ComputerName: USER-87A2E8B98C
2011/09/16 14:39:15.0796 0264	UserName: User
2011/09/16 14:39:15.0796 0264	Windows directory: C:\WINDOWS
2011/09/16 14:39:15.0796 0264	System windows directory: C:\WINDOWS
2011/09/16 14:39:15.0796 0264	Processor architecture: Intel x86
2011/09/16 14:39:15.0796 0264	Number of processors: 2
2011/09/16 14:39:15.0796 0264	Page size: 0x1000
2011/09/16 14:39:15.0796 0264	Boot type: Normal boot
2011/09/16 14:39:15.0796 0264	================================================================================
2011/09/16 14:39:17.0500 0264	Initialize success
2011/09/16 14:39:27.0921 3156	================================================================================
2011/09/16 14:39:27.0921 3156	Scan started
2011/09/16 14:39:27.0921 3156	Mode: Manual; 
2011/09/16 14:39:27.0921 3156	================================================================================
2011/09/16 14:39:30.0218 3156	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/09/16 14:39:30.0703 3156	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/09/16 14:39:31.0593 3156	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/09/16 14:39:32.0093 3156	AFD             (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/09/16 14:39:32.0546 3156	agp440          (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys
2011/09/16 14:39:34.0359 3156	ALCXWDM         (7af684ef7bb16f03def7a000f3d2cfb9) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2011/09/16 14:39:35.0875 3156	Arp1394         (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/09/16 14:39:37.0453 3156	ASCTRM          (d880831279ed91f9a4190a2db9539ea9) C:\WINDOWS\system32\drivers\ASCTRM.sys
2011/09/16 14:39:37.0921 3156	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/09/16 14:39:38.0406 3156	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/09/16 14:39:39.0718 3156	ati2mtag        (492bd2a5f65f218d4ede5764a3bb67e9) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/09/16 14:39:40.0671 3156	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/09/16 14:39:41.0125 3156	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/09/16 14:39:41.0265 3156	avgio           (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/09/16 14:39:41.0671 3156	avgntflt        (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/09/16 14:39:42.0156 3156	avipbb          (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/09/16 14:39:42.0609 3156	AVMWAN          (c997af59c54d69232fb7bbea4dad86e2) C:\WINDOWS\system32\DRIVERS\avmwan.sys
2011/09/16 14:39:43.0078 3156	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/09/16 14:39:43.0593 3156	Cap7134         (fdfe848c821f0666c4507a11717146c2) C:\WINDOWS\system32\DRIVERS\Cap7134.sys
2011/09/16 14:39:44.0156 3156	CardReaderFilter (b2cec14780842613f9495171a5f73c2c) C:\WINDOWS\system32\Drivers\USBCRFT.SYS
2011/09/16 14:39:44.0593 3156	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/09/16 14:39:45.0031 3156	CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/09/16 14:39:45.0890 3156	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/09/16 14:39:46.0328 3156	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/09/16 14:39:46.0812 3156	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/09/16 14:39:48.0296 3156	cmuda           (b7d9e7d64c1fd830856807e63356178d) C:\WINDOWS\system32\drivers\cmuda.sys
2011/09/16 14:39:50.0171 3156	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/09/16 14:39:50.0906 3156	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/09/16 14:39:51.0640 3156	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/09/16 14:39:52.0062 3156	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/09/16 14:39:52.0500 3156	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/09/16 14:39:53.0312 3156	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/09/16 14:39:53.0812 3156	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/09/16 14:39:54.0265 3156	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/09/16 14:39:54.0687 3156	FETNDISB        (cc6b6df3c35c20531492e1b700f700fa) C:\WINDOWS\system32\DRIVERS\fetnd5b.sys
2011/09/16 14:39:55.0156 3156	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/09/16 14:39:55.0562 3156	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/09/16 14:39:56.0078 3156	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/09/16 14:39:56.0703 3156	fpcibase        (45b5129aeae91ea096a9bbebff99e098) C:\WINDOWS\system32\DRIVERS\fpcibase.sys
2011/09/16 14:39:57.0250 3156	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/09/16 14:39:57.0671 3156	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/09/16 14:39:58.0125 3156	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/09/16 14:39:58.0562 3156	hidusb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/09/16 14:39:59.0468 3156	HTTP            (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/09/16 14:40:00.0859 3156	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\drivers\i8042prt.sys
2011/09/16 14:40:01.0515 3156	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/09/16 14:40:01.0937 3156	incdrm          (195a22bc8674090ccce5c3e2b7d96aca) C:\WINDOWS\system32\drivers\incdrm.sys
2011/09/16 14:40:02.0781 3156	IntelIde        (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/09/16 14:40:03.0234 3156	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/09/16 14:40:03.0890 3156	Intels51        (6d9095383cfdc7a47b85c89ef1e38206) C:\WINDOWS\system32\DRIVERS\ctxs51.sys
2011/09/16 14:40:04.0531 3156	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/09/16 14:40:04.0984 3156	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/09/16 14:40:05.0375 3156	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/09/16 14:40:05.0828 3156	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/09/16 14:40:06.0296 3156	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/09/16 14:40:06.0703 3156	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/09/16 14:40:07.0171 3156	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/09/16 14:40:07.0593 3156	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/09/16 14:40:07.0984 3156	kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/09/16 14:40:08.0406 3156	Klmc            (7a571f169ce84a28f89efcd8047a96cd) C:\WINDOWS\system32\drivers\klmc.sys
2011/09/16 14:40:08.0875 3156	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/09/16 14:40:09.0390 3156	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/09/16 14:40:10.0218 3156	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/09/16 14:40:10.0671 3156	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/09/16 14:40:11.0078 3156	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/09/16 14:40:11.0531 3156	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/09/16 14:40:11.0953 3156	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/09/16 14:40:12.0875 3156	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/09/16 14:40:13.0468 3156	MRxSmb          (0dc719e9b15e902346e87e9dcd5751fa) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/09/16 14:40:14.0062 3156	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/09/16 14:40:14.0468 3156	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/09/16 14:40:14.0906 3156	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/09/16 14:40:15.0312 3156	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/09/16 14:40:15.0765 3156	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/09/16 14:40:16.0203 3156	MSTEE           (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/09/16 14:40:16.0625 3156	Mup             (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
2011/09/16 14:40:17.0109 3156	NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/09/16 14:40:17.0625 3156	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/09/16 14:40:18.0078 3156	NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/09/16 14:40:18.0500 3156	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/09/16 14:40:18.0937 3156	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/09/16 14:40:19.0390 3156	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/09/16 14:40:19.0828 3156	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/09/16 14:40:20.0250 3156	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/09/16 14:40:20.0703 3156	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/09/16 14:40:21.0234 3156	NIC1394         (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/09/16 14:40:21.0671 3156	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/09/16 14:40:22.0250 3156	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/09/16 14:40:22.0890 3156	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/09/16 14:40:23.0312 3156	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/09/16 14:40:23.0750 3156	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/09/16 14:40:24.0187 3156	NwlnkIpx        (8b8b1be2dba4025da6786c645f77f123) C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys
2011/09/16 14:40:24.0671 3156	NwlnkNb         (56d34a67c05e94e16377c60609741ff8) C:\WINDOWS\system32\DRIVERS\nwlnknb.sys
2011/09/16 14:40:25.0125 3156	NwlnkSpx        (c0bb7d1615e1acbdc99757f6ceaf8cf0) C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys
2011/09/16 14:40:25.0593 3156	ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/09/16 14:40:26.0046 3156	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/09/16 14:40:26.0468 3156	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/09/16 14:40:26.0875 3156	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/09/16 14:40:27.0312 3156	pccsmcfd        (fd2041e9ba03db7764b2248f02475079) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
2011/09/16 14:40:27.0734 3156	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/09/16 14:40:28.0562 3156	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/09/16 14:40:29.0015 3156	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/09/16 14:40:31.0859 3156	pfc             (2c1eb94c24a6a1d3434481b0a5fa9c08) C:\WINDOWS\system32\drivers\pfc.sys
2011/09/16 14:40:32.0281 3156	PhTVTune        (94e7f6107c70251059ae4d01b1d76124) C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
2011/09/16 14:40:32.0718 3156	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/09/16 14:40:33.0250 3156	PRISM_A00       (a5d938ee86b8cd0d4879d95eda1cc430) C:\WINDOWS\system32\DRIVERS\PRISMA00.sys
2011/09/16 14:40:33.0843 3156	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/09/16 14:40:34.0328 3156	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/09/16 14:40:34.0796 3156	PxHelp20        (db3b30c3a4cdcf07e164c14584d9d0f2) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/09/16 14:40:37.0171 3156	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/09/16 14:40:37.0609 3156	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/09/16 14:40:38.0093 3156	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/09/16 14:40:38.0562 3156	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/09/16 14:40:39.0062 3156	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/09/16 14:40:39.0562 3156	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/09/16 14:40:40.0015 3156	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/09/16 14:40:40.0484 3156	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/09/16 14:40:40.0953 3156	SE2Ebus         (97ec6c60112ebd40c07fe295a38ab1ea) C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys
2011/09/16 14:40:41.0390 3156	SE2Emdfl        (abfe402ba200e82568a5606719397afa) C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys
2011/09/16 14:40:41.0828 3156	SE2Emdm         (4acfe8a2a3c1624964429e83bc7148a4) C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys
2011/09/16 14:40:42.0281 3156	SE2Emgmt        (9b7d9390cc663e5352d965683f94a8f2) C:\WINDOWS\system32\DRIVERS\SE2Emgmt.sys
2011/09/16 14:40:42.0703 3156	se2End5         (76e23aa90d58fddeeabd32a33f357fa5) C:\WINDOWS\system32\DRIVERS\se2End5.sys
2011/09/16 14:40:43.0140 3156	se2Eunic        (ee8208650571f71d430cf2da15c1f02a) C:\WINDOWS\system32\DRIVERS\se2Eunic.sys
2011/09/16 14:40:43.0562 3156	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/09/16 14:40:43.0984 3156	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/09/16 14:40:44.0406 3156	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/09/16 14:40:44.0859 3156	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\DRIVERS\sfloppy.sys
2011/09/16 14:40:45.0734 3156	SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/09/16 14:40:46.0531 3156	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/09/16 14:40:47.0000 3156	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/09/16 14:40:47.0562 3156	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/09/16 14:40:48.0125 3156	ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/09/16 14:40:48.0562 3156	streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/09/16 14:40:49.0015 3156	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/09/16 14:40:49.0468 3156	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/09/16 14:40:51.0578 3156	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/09/16 14:40:52.0109 3156	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/09/16 14:40:52.0656 3156	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/09/16 14:40:53.0093 3156	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/09/16 14:40:53.0546 3156	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/09/16 14:40:54.0375 3156	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/09/16 14:40:54.0828 3156	UKBFLT          (121b9eb8372f9309b12a2c698f655f84) C:\WINDOWS\system32\DRIVERS\UKBFLT.sys
2011/09/16 14:40:55.0796 3156	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/09/16 14:40:56.0781 3156	usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2011/09/16 14:40:57.0218 3156	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/09/16 14:40:57.0656 3156	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/09/16 14:40:58.0109 3156	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/09/16 14:40:58.0593 3156	usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/09/16 14:40:59.0031 3156	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/09/16 14:40:59.0437 3156	usbstor         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/09/16 14:40:59.0875 3156	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/09/16 14:41:00.0750 3156	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/09/16 14:41:01.0625 3156	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/09/16 14:41:02.0109 3156	vsdatant        (279761ad6562c0d4309cb1bbb260233f) C:\WINDOWS\system32\vsdatant.sys
2011/09/16 14:41:02.0781 3156	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/09/16 14:41:03.0203 3156	wanatw          (0a716c08cb13c3a8f4f51e882dbf7416) C:\WINDOWS\system32\DRIVERS\wanatw4.sys
2011/09/16 14:41:03.0671 3156	wbscr           (67014473f902f3023f892c3a0950958a) C:\WINDOWS\system32\drivers\wbscr.sys
2011/09/16 14:41:04.0187 3156	Wdf01000        (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/09/16 14:41:05.0140 3156	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/09/16 14:41:05.0234 3156	WINFLASH        (fd5b87cd55134bf3545116dbbd45be88) D:\Tools\WinFlash\WinFlash.sys
2011/09/16 14:41:05.0687 3156	WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/09/16 14:41:06.0156 3156	WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/09/16 14:41:06.0609 3156	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/09/16 14:41:07.0031 3156	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/09/16 14:41:07.0468 3156	X10UIF          (2a35913cfe96e7b19097c9a1c3bc5182) C:\WINDOWS\system32\Drivers\x10uif.sys
2011/09/16 14:41:07.0531 3156	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
2011/09/16 14:41:07.0734 3156	MBR (0x1B8)     (8f558eb6672622401da993e1e865c861) \Device\Harddisk1\DR14
2011/09/16 14:41:07.0765 3156	MBR (0x1B8)     (8f558eb6672622401da993e1e865c861) \Device\Harddisk6\DR16
2011/09/16 14:41:11.0390 3156	Boot (0x1200)   (0382a1210daa425580150ab1df504fe0) \Device\Harddisk0\DR0\Partition0
2011/09/16 14:41:11.0421 3156	Boot (0x1200)   (4ea54b626e36ad5286799a8218fcbf72) \Device\Harddisk0\DR0\Partition1
2011/09/16 14:41:11.0453 3156	Boot (0x1200)   (f8e3cbf96c500ea8448b8ca46029f9e4) \Device\Harddisk0\DR0\Partition2
2011/09/16 14:41:11.0453 3156	Boot (0x1200)   (669b906e10a883f77f2abb4b1c29e730) \Device\Harddisk1\DR14\Partition0
2011/09/16 14:41:11.0484 3156	Boot (0x1200)   (8b3852ad06399495270d7115a6c89532) \Device\Harddisk6\DR16\Partition0
2011/09/16 14:41:11.0484 3156	================================================================================
2011/09/16 14:41:11.0484 3156	Scan finished
2011/09/16 14:41:11.0484 3156	================================================================================
2011/09/16 14:41:11.0500 3232	Detected object count: 0
2011/09/16 14:41:11.0500 3232	Actual detected object count: 0
         
unhide hab ich nicht gebraucht, er wirkt alles normal.
Glaubst du das was drauf ist oder gehen wir grade nur auf Nummer sicher das er Vierenfrei ist?

Alt 16.09.2011, 14:55   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Standard

TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen
.dll, antivir, avg, desktop, dllhost.exe, failed, festplatte, google, ip adressen, ip-adresse, log, modul, nt.dll, problem, programm, programme, prozesse, recover, registry, scan, sched.exe, security, services.exe, sicherheit, software, svchost.exe, system, taskleiste, verweise, virus, virus gefunden, windows, winlogon.exe



Ähnliche Themen: TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen


  1. Malwarebytes meldet "Trojan.Agent.Ed"
    Plagegeister aller Art und deren Bekämpfung - 18.04.2015 (17)
  2. Malwarebytes und was mache ich jetzt
    Plagegeister aller Art und deren Bekämpfung - 31.01.2014 (13)
  3. Mit Malwarebytes Backdoor/Agent ; Trojaner/Agent gefunden. Was Tun?
    Log-Analyse und Auswertung - 05.03.2013 (18)
  4. Mit Malwarebytes C:\Windows\KMService.exe gefunden, was jetzt?
    Plagegeister aller Art und deren Bekämpfung - 24.02.2013 (3)
  5. Malwarebytes und jetzt?
    Log-Analyse und Auswertung - 01.02.2013 (4)
  6. Incredibar durch Malwarebytes in Quarantäne versetzt! Was jetzt?
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (21)
  7. Postetikett-Trojaner => scan mit malwarebytes: und jetzt?
    Log-Analyse und Auswertung - 16.08.2012 (3)
  8. BKA Virus - Systemwiederherstellung und jetzt Malwarebytes Scan
    Log-Analyse und Auswertung - 19.03.2012 (11)
  9. 50 EUR Virus - Malwarebytes und OTL durch, und jetzt...
    Log-Analyse und Auswertung - 12.01.2012 (2)
  10. Windowsfirewall blockt eingehende Verbindungen - Fund von TR/Crypt.EPACK.Gen5 und JAVA/Agent.U
    Log-Analyse und Auswertung - 19.12.2011 (27)
  11. XP 2012 Antivirus / Automatische Updates/ Malwarebytes blockiert IP-Adressen
    Plagegeister aller Art und deren Bekämpfung - 29.08.2011 (2)
  12. Etliche Trojaner beseitigt - Malwarebytes blockiert ständig Verbindungen zu anderen Webseiten
    Plagegeister aller Art und deren Bekämpfung - 21.08.2011 (1)
  13. Malwarebytes sperrt daheim über Wlan ständig verbindungen, über umts stick jedoch nicht
    Plagegeister aller Art und deren Bekämpfung - 26.07.2011 (11)
  14. Malwarebytes und OT Log nach cycbot.b - wie gehts jetzt weiter ?
    Log-Analyse und Auswertung - 03.04.2011 (5)
  15. Security Manager AV - entfernt mit Malwarebytes - jetzt ok?
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (5)
  16. TR/Agent.RUO kommt immer wieder, jetzt TR/Agent.RUO.6
    Plagegeister aller Art und deren Bekämpfung - 02.04.2010 (1)
  17. Kaspersky meldet zwei Verbindungen aktiv !
    Log-Analyse und Auswertung - 10.12.2009 (4)

Zum Thema TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen - Hallo! Auf dem Rechner von einer Feundin war nach einem Scan mit Antivir der Virus TR/Spy.Agent.L gefunden worden. Allerdings nur im Ordner "System Volume Information". Ich hab die Systemwiederherstellung deaktiviert, - TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen...
Archiv
Du betrachtest: TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.