Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: MBAM hat einen Trojaner namens Trojan.Autorun gefunden

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.07.2013, 10:34   #1
stkolibri
 
MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



Ich hatte den Verdacht, dass sich auf dem Server (Windows Server 2003) ein Virus eingenistet hat. Bei einer Weitergabe von Dateien nach extern hatte der dortige Virenwächter eine entsprechende Meldung gemacht. Der Virus ließ sich aber auf einer externen Festplatte lokalisieren, die an den PC im Netzwerk angeschlossen ist. Per F-Secure wurde der Virus Gen:Variant.Symmi21391 dort an zwei Stellen gefunden, in Quarantäne verschoben und dann von dort eliminiert. Doch dazu in einem anderen Thread.

Um sicherzugehen, dass der Server nicht doch infiziert ist, habe ich dort eine Überprüfung mit Malwarebytes Anti Malware (MBAM) gemacht und MBAM hat auf dem internen Sicherungs-Laufwerk F den Trojaner namens "Trojan.Autorun" gefunden.

Das auf dem Server installierte Antivirenprogramm AVG SBS hat den Trojaner übersehen.

wie geht es nun weiter?
Angehängte Dateien
Dateityp: txt MBAM-log-2013-07-26 (08-00-37).txt (2,4 KB, 183x aufgerufen)
Dateityp: log defogger_disable.log (488 Bytes, 141x aufgerufen)
Dateityp: txt OTL.Txt (35,5 KB, 120x aufgerufen)
Dateityp: txt Extras.Txt (33,0 KB, 585x aufgerufen)
Dateityp: txt gmerC.txt (2,0 KB, 140x aufgerufen)

Alt 26.07.2013, 12:07   #2
schrauber
/// the machine
/// TB-Ausbilder
 

MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)



So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________

__________________

Alt 26.07.2013, 12:54   #3
stkolibri
 
MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



Inhalt von FRST.txt

FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 25-07-2013
Ran by Administrator (administrator) on 26-07-2013 12:30:03
Running from C:\Dokumente und Einstellungen\Administrator\Desktop
Microsoft(R) Windows(R) Server 2003 Enterprise Edition Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 6
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgwdsvc.exe
(Microsoft Corporation) C:\WINDOWS\system32\Dfssvc.exe
(Microsoft Corporation) C:\WINDOWS\System32\dns.exe
(Microsoft Corporation) C:\WINDOWS\System32\ismserv.exe
(Microsoft Corporation) C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
(Microsoft Corporation) C:\WINDOWS\system32\ntfrs.exe
(Star Finanz - Software Entwicklung und Vertriebs GmbH) C:\Programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe
(Microsoft Corporation) C:\WINDOWS\system32\tcpsvcs.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgam.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgrsx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgchsvx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgcsrvx.exe
(AVG Technologies CZ, s.r.o.) C:\PROGRA~1\AVG\AVG9\avgtray.exe
(shbox.de) C:\Programme\FreePDF_XP\fpassist.exe
(Microsoft Corporation) C:\WINDOWS\system32\oobechk.exe
(Microsoft Corporation) C:\WINDOWS\system32\mshta.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgui.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgscanx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgcsrvx.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [35696 2009-02-27] (Adobe Systems Incorporated)
HKLM\...\Run: [AVG9_TRAY] - C:\PROGRA~1\AVG\AVG9\avgtray.exe [2077536 2012-01-27] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [FreePDF Assistant] - C:\Programme\FreePDF_XP\fpassist.exe [357376 2008-07-22] (shbox.de)
HKLM\...\RunOnce: [ Malwarebytes Anti-Malware ] - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent [532040 2013-04-04] (Malwarebytes Corporation)
HKLM\...\Winlogon: [UIHost] %SystemRoot%\system32\logonui.exe [x ] ()
Winlogon\Notify\avgrsstarter: avgrsstx.dll (AVG Technologies CZ, s.r.o.)
Winlogon\Notify\dimsntfy: dimsntfy.dll (Microsoft Corporation)
HKCR\...0c966feabec1\InprocServer32: [Default-shell32] %SystemRoot%\system32\shdocvw.dll ATTENTION! ====> ZeroAccess?
HKU\Default User\...\RunOnce: [tscuninstall] - C:\Windows\system32\tscupgrd.exe [ 2003-03-26] (Microsoft Corporation)
HKU\georg\...\RunOnce: [avg_spchecker] - C:\Programme\AVG\AVG9\Notification\SPChecker1.exe [ 2011-05-10] ()
HKU\nils\...\RunOnce: [avg_spchecker] - C:\Programme\AVG\AVG9\Notification\SPChecker1.exe [ 2011-05-10] ()
Lsa: [Notification Packages] RASSFM KDCSVC WDIGEST scecli dsrestor

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
StartMenuInternet: IEXPLORE.EXE - "%programfiles%\Internet Explorer\iexplore.exe"
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
Toolbar: HKCU -&Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation)
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1276002237500
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
Handler: msdaipp - No CLSID Value - 
Winsock: Catalog5 03 %SystemRoot%\System32\mswsock.dll [258048] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Tcpip\..\Interfaces\{D30D6375-5B83-48A8-AE98-988B3D6FA9B4}: [NameServer]192.168.0.1

========================== Services (Whitelisted) =================

R2 avg9wd; C:\Programme\AVG\AVG9\avgwdsvc.exe [308136 2010-06-22] (AVG Technologies CZ, s.r.o.)
R2 Dfs; C:\Windows\system32\Dfssvc.exe [164864 2007-02-17] (Microsoft Corporation)
R2 DHCPServer; C:\Windows\system32\tcpsvcs.exe [21504 2003-03-26] (Microsoft Corporation)
R2 DNS; C:\Windows\System32\dns.exe [464384 2007-02-17] (Microsoft Corporation)
R2 IsmServ; C:\Windows\System32\ismserv.exe [40448 2007-02-17] (Microsoft Corporation)
R2 kdc; C:\Windows\System32\lsass.exe [16384 2003-03-26] (Microsoft Corporation)
S4 LicenseService; C:\Windows\System32\llssrv.exe [94720 2007-02-18] (Microsoft Corporation)
R2 MDM; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [322120 2003-06-20] (Microsoft Corporation)
R2 NtFrs; C:\Windows\system32\ntfrs.exe [793088 2007-02-17] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [89136 2003-07-28] (Microsoft Corporation)
S3 RSoPProv; C:\Windows\system32\RSoPProv.exe [67072 2007-02-17] (Microsoft Corporation)
S3 sacsvr; C:\Windows\system32\sacsvr.dll [12288 2003-03-26] (Microsoft Corporation)
R2 StarMoney 7.0 OnlineUpdate; C:\Programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [554160 2011-11-08] (Star Finanz - Software Entwicklung und Vertriebs GmbH)
S4 TrkSvr; C:\Windows\system32\trksvr.dll [50688 2003-03-26] (Microsoft Corporation)
S4 Tssdis; C:\Windows\System32\tssdis.exe [71680 2007-02-17] (Microsoft Corporation)
S3 uploadmgr; C:\Windows\PCHealth\HelpCtr\Binaries\pchsvc.dll [39936 2007-02-17] (Microsoft Corporation)
R2 Eventlog;  [x]
S4 HidServ; %SystemRoot%\System32\hidserv.dll [x]
S3 WinHttpAutoProxySvc; winhttp.dll [x]

==================== Drivers (Whitelisted) ====================

R3 ati2mtag; C:\Windows\System32\DRIVERS\ati2mtag.sys [450432 2003-03-25] (ATI Technologies Inc.)
R1 AvgLdx86; C:\Windows\System32\Drivers\avgldx86.sys [226016 2013-01-15] (AVG Technologies CZ, s.r.o.)
R1 AvgMfx86; C:\Windows\System32\Drivers\avgmfx86.sys [29712 2011-09-13] (AVG Technologies CZ, s.r.o.)
R0 AvgRkx86; C:\Windows\System32\Drivers\avgrkx86.sys [52872 2010-06-08] (AVG Technologies CZ, s.r.o.)
S4 ClusDisk; C:\Windows\System32\DRIVERS\ClusDisk.sys [69120 2007-02-17] (Microsoft Corporation)
R0 DfsDriver; C:\Windows\System32\drivers\Dfs.sys [34816 2007-02-17] (Microsoft Corporation)
R3 FETNDIS; C:\Windows\System32\DRIVERS\fetnd5.sys [40448 2003-03-24] (VIA Technologies, Inc.              )
S3 WLBS; C:\Windows\System32\DRIVERS\wlbs.sys [175104 2007-02-17] (Microsoft Corporation)
S4 adpu320; No ImagePath
S4 afcnt; No ImagePath
S4 cpqarry2; No ImagePath
S4 cpqcissm; No ImagePath
S4 cpqfcalm; No ImagePath
S4 dellcerc; No ImagePath
S4 hpt3xx; No ImagePath
S4 iirsp; No ImagePath
S4 IntelIde; No ImagePath
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S4 ipsraidn; No ImagePath
U3 LicenseInfo; No ImagePath
S4 lp6nds35; No ImagePath
S4 nfrd960; No ImagePath
S4 ql2100; No ImagePath
S4 ql2200; No ImagePath
S4 ql2300; No ImagePath
S4 symmpi; No ImagePath
U3 uftdypob; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uftdypob.sys [x]

==================== NetSvcs (Whitelisted) ===================

NETSVC: Sacsvr -> C:\Windows\system32\sacsvr.dll (Microsoft Corporation)
NETSVC: TrkSvr -> C:\Windows\system32\trksvr.dll (Microsoft Corporation)

==================== One Month Created Files and Folders ========

2013-07-26 12:29 - 2013-07-26 12:29 - 00000000 ____D C:\FRST
2013-07-26 12:28 - 2013-07-26 12:22 - 01220112 _____ (Farbar) C:\Dokumente und Einstellungen\Administrator\Desktop\FRST.exe
2013-07-26 08:36 - 2013-07-26 08:36 - 00000000 _____ C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2013-07-26 08:34 - 2013-07-26 10:56 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\georgAntivir
2013-07-26 08:34 - 2013-07-26 08:22 - 00377856 _____ C:\Dokumente und Einstellungen\Administrator\Desktop\gmer_2.1.19163.exe
2013-07-26 08:34 - 2013-07-26 08:21 - 00602112 _____ (OldTimer Tools) C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
2013-07-26 08:34 - 2013-07-26 08:21 - 00050477 _____ C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
2013-07-26 08:33 - 2013-07-26 12:28 - 00005841 _____ C:\WINDOWS\setupapi.log
2013-07-26 08:00 - 2013-07-26 10:56 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Mbam
2013-07-25 14:41 - 2013-07-25 14:41 - 00000608 _____ C:\cc_20130725_144107.reg
2013-07-25 14:40 - 2013-07-25 14:40 - 00072230 _____ C:\cc_20130725_144017.reg
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2013-07-25 13:27 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys

==================== One Month Modified Files and Folders =======

2013-07-26 12:29 - 2013-07-26 12:29 - 00000000 ____D C:\FRST
2013-07-26 12:28 - 2013-07-26 08:33 - 00005841 _____ C:\WINDOWS\setupapi.log
2013-07-26 12:28 - 2009-02-10 18:26 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Desktop
2013-07-26 12:22 - 2013-07-26 12:28 - 01220112 _____ (Farbar) C:\Dokumente und Einstellungen\Administrator\Desktop\FRST.exe
2013-07-26 12:21 - 2009-02-10 18:54 - 00000000 ____D C:\WINDOWS\system32\dhcp
2013-07-26 10:56 - 2013-07-26 08:34 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\georgAntivir
2013-07-26 10:56 - 2013-07-26 08:00 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Mbam
2013-07-26 08:36 - 2013-07-26 08:36 - 00000000 _____ C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2013-07-26 08:36 - 2009-02-10 18:26 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator
2013-07-26 08:22 - 2013-07-26 08:34 - 00377856 _____ C:\Dokumente und Einstellungen\Administrator\Desktop\gmer_2.1.19163.exe
2013-07-26 08:21 - 2013-07-26 08:34 - 00602112 _____ (OldTimer Tools) C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
2013-07-26 08:21 - 2013-07-26 08:34 - 00050477 _____ C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
2013-07-26 02:05 - 2009-02-10 18:54 - 00000000 ____D C:\WINDOWS\security
2013-07-26 01:59 - 2010-06-08 15:04 - 00212664 _____ C:\WINDOWS\WindowsUpdate.log
2013-07-26 01:50 - 2010-06-08 23:53 - 00000000 ____D C:\WINDOWS\system32\Drivers\Avg
2013-07-25 14:41 - 2013-07-25 14:41 - 00000608 _____ C:\cc_20130725_144107.reg
2013-07-25 14:40 - 2013-07-25 14:40 - 00072230 _____ C:\cc_20130725_144017.reg
2013-07-25 14:39 - 2010-06-08 15:03 - 00000000 ___SD C:\Dokumente und Einstellungen\Administrator\UserData
2013-07-25 14:39 - 2009-02-10 18:54 - 00000000 ____D C:\WINDOWS\system32\LogFiles
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2013-07-25 13:27 - 2009-02-10 18:03 - 00000000 ___RD C:\Programme
2013-07-25 13:23 - 2009-02-11 14:29 - 00002360 _____ C:\WINDOWS\system32\config\netlogon.dns
2013-07-25 13:23 - 2009-02-11 14:29 - 00002248 _____ C:\WINDOWS\system32\config\netlogon.dnb
2013-07-25 13:21 - 2009-02-10 18:03 - 01068932 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2013-07-25 13:17 - 2003-03-26 14:00 - 00002206 _____ C:\WINDOWS\system32\wpa.dbl
2013-07-25 13:16 - 2009-02-11 14:22 - 00000000 ____D C:\WINDOWS\ntds
2013-07-25 13:16 - 2009-02-10 18:26 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2013-07-25 10:46 - 2009-02-11 14:25 - 00065536 _____ C:\WINDOWS\system32\config\DnsEvent.Evt
2013-07-25 10:46 - 2009-02-11 14:22 - 00524288 _____ C:\WINDOWS\system32\config\NTDS.Evt
2013-07-25 10:46 - 2009-02-11 14:22 - 00065536 _____ C:\WINDOWS\system32\config\NtFrs.Evt
2013-07-25 10:46 - 2009-02-10 18:26 - 00000190 ___SH C:\Dokumente und Einstellungen\Administrator\ntuser.ini
2013-07-15 06:37 - 2009-02-11 14:28 - 00065536 _____ C:\WINDOWS\NETLOGON.CHG

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2010-06-08 23:18] - [2007-02-17 06:54] - 1056768 ____A (Microsoft Corporation) F1E59B4F2F9277A30C7110C30326C7A0

C:\Windows\System32\winlogon.exe
[2010-06-08 23:14] - [2007-02-17 06:48] - 0534528 ____A (Microsoft Corporation) 89F3B79026477E24B46A986CD54E0F36

C:\Windows\System32\svchost.exe
[2010-06-08 23:15] - [2007-02-17 06:40] - 0014848 ____A (Microsoft Corporation) B8DAF8F87218757D332EA3EF831015E4

C:\Windows\System32\services.exe
[2003-03-26 14:00] - [2007-02-17 06:50] - 0111616 ____A (Microsoft Corporation) 3178AA59CD316236B253F2D6159EAEE8

C:\Windows\System32\User32.dll
[2010-06-08 23:15] - [2007-02-17 06:51] - 0586240 ____A (Microsoft Corporation) E585AD7F5DA78EF7AA2C66A05DEF0658

C:\Windows\System32\userinit.exe
[2003-03-26 14:00] - [2007-02-17 06:51] - 0026624 ____A (Microsoft Corporation) 6B864349448336D9660B9E2B47B8AEAE

C:\Windows\System32\Drivers\volsnap.sys
[2003-03-26 14:00] - [2007-02-17 06:51] - 0156160 ____A (Microsoft Corporation) 1F946569F38935B5E4497620BC39E17C

C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.

==================== End Of Log ============================
         
--- --- ---

--- --- ---

--- --- ---


Inhalt von Addition.txt

FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 25-07-2013
Ran by Administrator (administrator) on 26-07-2013 12:30:03
Running from C:\Dokumente und Einstellungen\Administrator\Desktop
Microsoft(R) Windows(R) Server 2003 Enterprise Edition Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 6
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgwdsvc.exe
(Microsoft Corporation) C:\WINDOWS\system32\Dfssvc.exe
(Microsoft Corporation) C:\WINDOWS\System32\dns.exe
(Microsoft Corporation) C:\WINDOWS\System32\ismserv.exe
(Microsoft Corporation) C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
(Microsoft Corporation) C:\WINDOWS\system32\ntfrs.exe
(Star Finanz - Software Entwicklung und Vertriebs GmbH) C:\Programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe
(Microsoft Corporation) C:\WINDOWS\system32\tcpsvcs.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgam.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgrsx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgchsvx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgcsrvx.exe
(AVG Technologies CZ, s.r.o.) C:\PROGRA~1\AVG\AVG9\avgtray.exe
(shbox.de) C:\Programme\FreePDF_XP\fpassist.exe
(Microsoft Corporation) C:\WINDOWS\system32\oobechk.exe
(Microsoft Corporation) C:\WINDOWS\system32\mshta.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgui.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgscanx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgcsrvx.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [35696 2009-02-27] (Adobe Systems Incorporated)
HKLM\...\Run: [AVG9_TRAY] - C:\PROGRA~1\AVG\AVG9\avgtray.exe [2077536 2012-01-27] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [FreePDF Assistant] - C:\Programme\FreePDF_XP\fpassist.exe [357376 2008-07-22] (shbox.de)
HKLM\...\RunOnce: [ Malwarebytes Anti-Malware ] - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent [532040 2013-04-04] (Malwarebytes Corporation)
HKLM\...\Winlogon: [UIHost] %SystemRoot%\system32\logonui.exe [x ] ()
Winlogon\Notify\avgrsstarter: avgrsstx.dll (AVG Technologies CZ, s.r.o.)
Winlogon\Notify\dimsntfy: dimsntfy.dll (Microsoft Corporation)
HKCR\...0c966feabec1\InprocServer32: [Default-shell32] %SystemRoot%\system32\shdocvw.dll ATTENTION! ====> ZeroAccess?
HKU\Default User\...\RunOnce: [tscuninstall] - C:\Windows\system32\tscupgrd.exe [ 2003-03-26] (Microsoft Corporation)
HKU\georg\...\RunOnce: [avg_spchecker] - C:\Programme\AVG\AVG9\Notification\SPChecker1.exe [ 2011-05-10] ()
HKU\nils\...\RunOnce: [avg_spchecker] - C:\Programme\AVG\AVG9\Notification\SPChecker1.exe [ 2011-05-10] ()
Lsa: [Notification Packages] RASSFM KDCSVC WDIGEST scecli dsrestor

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
StartMenuInternet: IEXPLORE.EXE - "%programfiles%\Internet Explorer\iexplore.exe"
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
Toolbar: HKCU -&Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation)
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1276002237500
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
Handler: msdaipp - No CLSID Value - 
Winsock: Catalog5 03 %SystemRoot%\System32\mswsock.dll [258048] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Tcpip\..\Interfaces\{D30D6375-5B83-48A8-AE98-988B3D6FA9B4}: [NameServer]192.168.0.1

========================== Services (Whitelisted) =================

R2 avg9wd; C:\Programme\AVG\AVG9\avgwdsvc.exe [308136 2010-06-22] (AVG Technologies CZ, s.r.o.)
R2 Dfs; C:\Windows\system32\Dfssvc.exe [164864 2007-02-17] (Microsoft Corporation)
R2 DHCPServer; C:\Windows\system32\tcpsvcs.exe [21504 2003-03-26] (Microsoft Corporation)
R2 DNS; C:\Windows\System32\dns.exe [464384 2007-02-17] (Microsoft Corporation)
R2 IsmServ; C:\Windows\System32\ismserv.exe [40448 2007-02-17] (Microsoft Corporation)
R2 kdc; C:\Windows\System32\lsass.exe [16384 2003-03-26] (Microsoft Corporation)
S4 LicenseService; C:\Windows\System32\llssrv.exe [94720 2007-02-18] (Microsoft Corporation)
R2 MDM; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [322120 2003-06-20] (Microsoft Corporation)
R2 NtFrs; C:\Windows\system32\ntfrs.exe [793088 2007-02-17] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [89136 2003-07-28] (Microsoft Corporation)
S3 RSoPProv; C:\Windows\system32\RSoPProv.exe [67072 2007-02-17] (Microsoft Corporation)
S3 sacsvr; C:\Windows\system32\sacsvr.dll [12288 2003-03-26] (Microsoft Corporation)
R2 StarMoney 7.0 OnlineUpdate; C:\Programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [554160 2011-11-08] (Star Finanz - Software Entwicklung und Vertriebs GmbH)
S4 TrkSvr; C:\Windows\system32\trksvr.dll [50688 2003-03-26] (Microsoft Corporation)
S4 Tssdis; C:\Windows\System32\tssdis.exe [71680 2007-02-17] (Microsoft Corporation)
S3 uploadmgr; C:\Windows\PCHealth\HelpCtr\Binaries\pchsvc.dll [39936 2007-02-17] (Microsoft Corporation)
R2 Eventlog;  [x]
S4 HidServ; %SystemRoot%\System32\hidserv.dll [x]
S3 WinHttpAutoProxySvc; winhttp.dll [x]

==================== Drivers (Whitelisted) ====================

R3 ati2mtag; C:\Windows\System32\DRIVERS\ati2mtag.sys [450432 2003-03-25] (ATI Technologies Inc.)
R1 AvgLdx86; C:\Windows\System32\Drivers\avgldx86.sys [226016 2013-01-15] (AVG Technologies CZ, s.r.o.)
R1 AvgMfx86; C:\Windows\System32\Drivers\avgmfx86.sys [29712 2011-09-13] (AVG Technologies CZ, s.r.o.)
R0 AvgRkx86; C:\Windows\System32\Drivers\avgrkx86.sys [52872 2010-06-08] (AVG Technologies CZ, s.r.o.)
S4 ClusDisk; C:\Windows\System32\DRIVERS\ClusDisk.sys [69120 2007-02-17] (Microsoft Corporation)
R0 DfsDriver; C:\Windows\System32\drivers\Dfs.sys [34816 2007-02-17] (Microsoft Corporation)
R3 FETNDIS; C:\Windows\System32\DRIVERS\fetnd5.sys [40448 2003-03-24] (VIA Technologies, Inc.              )
S3 WLBS; C:\Windows\System32\DRIVERS\wlbs.sys [175104 2007-02-17] (Microsoft Corporation)
S4 adpu320; No ImagePath
S4 afcnt; No ImagePath
S4 cpqarry2; No ImagePath
S4 cpqcissm; No ImagePath
S4 cpqfcalm; No ImagePath
S4 dellcerc; No ImagePath
S4 hpt3xx; No ImagePath
S4 iirsp; No ImagePath
S4 IntelIde; No ImagePath
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S4 ipsraidn; No ImagePath
U3 LicenseInfo; No ImagePath
S4 lp6nds35; No ImagePath
S4 nfrd960; No ImagePath
S4 ql2100; No ImagePath
S4 ql2200; No ImagePath
S4 ql2300; No ImagePath
S4 symmpi; No ImagePath
U3 uftdypob; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uftdypob.sys [x]

==================== NetSvcs (Whitelisted) ===================

NETSVC: Sacsvr -> C:\Windows\system32\sacsvr.dll (Microsoft Corporation)
NETSVC: TrkSvr -> C:\Windows\system32\trksvr.dll (Microsoft Corporation)

==================== One Month Created Files and Folders ========

2013-07-26 12:29 - 2013-07-26 12:29 - 00000000 ____D C:\FRST
2013-07-26 12:28 - 2013-07-26 12:22 - 01220112 _____ (Farbar) C:\Dokumente und Einstellungen\Administrator\Desktop\FRST.exe
2013-07-26 08:36 - 2013-07-26 08:36 - 00000000 _____ C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2013-07-26 08:34 - 2013-07-26 10:56 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\georgAntivir
2013-07-26 08:34 - 2013-07-26 08:22 - 00377856 _____ C:\Dokumente und Einstellungen\Administrator\Desktop\gmer_2.1.19163.exe
2013-07-26 08:34 - 2013-07-26 08:21 - 00602112 _____ (OldTimer Tools) C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
2013-07-26 08:34 - 2013-07-26 08:21 - 00050477 _____ C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
2013-07-26 08:33 - 2013-07-26 12:28 - 00005841 _____ C:\WINDOWS\setupapi.log
2013-07-26 08:00 - 2013-07-26 10:56 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Mbam
2013-07-25 14:41 - 2013-07-25 14:41 - 00000608 _____ C:\cc_20130725_144107.reg
2013-07-25 14:40 - 2013-07-25 14:40 - 00072230 _____ C:\cc_20130725_144017.reg
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2013-07-25 13:27 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys

==================== One Month Modified Files and Folders =======

2013-07-26 12:29 - 2013-07-26 12:29 - 00000000 ____D C:\FRST
2013-07-26 12:28 - 2013-07-26 08:33 - 00005841 _____ C:\WINDOWS\setupapi.log
2013-07-26 12:28 - 2009-02-10 18:26 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Desktop
2013-07-26 12:22 - 2013-07-26 12:28 - 01220112 _____ (Farbar) C:\Dokumente und Einstellungen\Administrator\Desktop\FRST.exe
2013-07-26 12:21 - 2009-02-10 18:54 - 00000000 ____D C:\WINDOWS\system32\dhcp
2013-07-26 10:56 - 2013-07-26 08:34 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\georgAntivir
2013-07-26 10:56 - 2013-07-26 08:00 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Mbam
2013-07-26 08:36 - 2013-07-26 08:36 - 00000000 _____ C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2013-07-26 08:36 - 2009-02-10 18:26 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator
2013-07-26 08:22 - 2013-07-26 08:34 - 00377856 _____ C:\Dokumente und Einstellungen\Administrator\Desktop\gmer_2.1.19163.exe
2013-07-26 08:21 - 2013-07-26 08:34 - 00602112 _____ (OldTimer Tools) C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
2013-07-26 08:21 - 2013-07-26 08:34 - 00050477 _____ C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
2013-07-26 02:05 - 2009-02-10 18:54 - 00000000 ____D C:\WINDOWS\security
2013-07-26 01:59 - 2010-06-08 15:04 - 00212664 _____ C:\WINDOWS\WindowsUpdate.log
2013-07-26 01:50 - 2010-06-08 23:53 - 00000000 ____D C:\WINDOWS\system32\Drivers\Avg
2013-07-25 14:41 - 2013-07-25 14:41 - 00000608 _____ C:\cc_20130725_144107.reg
2013-07-25 14:40 - 2013-07-25 14:40 - 00072230 _____ C:\cc_20130725_144017.reg
2013-07-25 14:39 - 2010-06-08 15:03 - 00000000 ___SD C:\Dokumente und Einstellungen\Administrator\UserData
2013-07-25 14:39 - 2009-02-10 18:54 - 00000000 ____D C:\WINDOWS\system32\LogFiles
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2013-07-25 13:27 - 2009-02-10 18:03 - 00000000 ___RD C:\Programme
2013-07-25 13:23 - 2009-02-11 14:29 - 00002360 _____ C:\WINDOWS\system32\config\netlogon.dns
2013-07-25 13:23 - 2009-02-11 14:29 - 00002248 _____ C:\WINDOWS\system32\config\netlogon.dnb
2013-07-25 13:21 - 2009-02-10 18:03 - 01068932 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2013-07-25 13:17 - 2003-03-26 14:00 - 00002206 _____ C:\WINDOWS\system32\wpa.dbl
2013-07-25 13:16 - 2009-02-11 14:22 - 00000000 ____D C:\WINDOWS\ntds
2013-07-25 13:16 - 2009-02-10 18:26 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2013-07-25 10:46 - 2009-02-11 14:25 - 00065536 _____ C:\WINDOWS\system32\config\DnsEvent.Evt
2013-07-25 10:46 - 2009-02-11 14:22 - 00524288 _____ C:\WINDOWS\system32\config\NTDS.Evt
2013-07-25 10:46 - 2009-02-11 14:22 - 00065536 _____ C:\WINDOWS\system32\config\NtFrs.Evt
2013-07-25 10:46 - 2009-02-10 18:26 - 00000190 ___SH C:\Dokumente und Einstellungen\Administrator\ntuser.ini
2013-07-15 06:37 - 2009-02-11 14:28 - 00065536 _____ C:\WINDOWS\NETLOGON.CHG

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2010-06-08 23:18] - [2007-02-17 06:54] - 1056768 ____A (Microsoft Corporation) F1E59B4F2F9277A30C7110C30326C7A0

C:\Windows\System32\winlogon.exe
[2010-06-08 23:14] - [2007-02-17 06:48] - 0534528 ____A (Microsoft Corporation) 89F3B79026477E24B46A986CD54E0F36

C:\Windows\System32\svchost.exe
[2010-06-08 23:15] - [2007-02-17 06:40] - 0014848 ____A (Microsoft Corporation) B8DAF8F87218757D332EA3EF831015E4

C:\Windows\System32\services.exe
[2003-03-26 14:00] - [2007-02-17 06:50] - 0111616 ____A (Microsoft Corporation) 3178AA59CD316236B253F2D6159EAEE8

C:\Windows\System32\User32.dll
[2010-06-08 23:15] - [2007-02-17 06:51] - 0586240 ____A (Microsoft Corporation) E585AD7F5DA78EF7AA2C66A05DEF0658

C:\Windows\System32\userinit.exe
[2003-03-26 14:00] - [2007-02-17 06:51] - 0026624 ____A (Microsoft Corporation) 6B864349448336D9660B9E2B47B8AEAE

C:\Windows\System32\Drivers\volsnap.sys
[2003-03-26 14:00] - [2007-02-17 06:51] - 0156160 ____A (Microsoft Corporation) 1F946569F38935B5E4497620BC39E17C

C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.

==================== End Of Log ============================
         
--- --- ---

--- --- ---

--- --- ---

das sieht doch besser aus:
FRST Additions Logfile:
Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 25-07-2013
Ran by Administrator at 2013-07-26 12:34:30
Running from C:\Dokumente und Einstellungen\Administrator\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

Adobe Reader 9.1 - Deutsch (Version: 9.1.0)
AVG 9.0
FreePDF XP (Remove only)
GPL Ghostscript 8.63
Home Ftp Server 1.11.0.146
Malwarebytes Anti-Malware Version 1.75.0.1300 (Version: 1.75.0.1300)
Microsoft Office Professional Edition 2003 (Version: 11.0.5614.0)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.59193)
StarMoney (Version: 2.0)
StarMoney 7.0 S-Edition (Version: 7.0)
WD Diagnostics (Version: 1.09.0002)
Windows Server 2003 Service Pack 2 (Version: 20070217.021441)
 

==================== Restore Points  =========================

Could not list Restore Points.


==================== Hosts content: ==========================

2003-03-26 14:00 - 2003-03-26 14:00 - 00000820 ____A C:\WINDOWS\system32\Drivers\etc\hosts
127.0.0.1       localhost

==================== Scheduled Tasks (whitelisted) =============


==================== Faulty Device Manager Devices =============

Name: Audiocontroller für Multimedia
Description: Audiocontroller für Multimedia
Class Guid: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (07/25/2013 01:16:38 PM) (Source: dsrestor) (User: )
Description: Der DSRestore-Filter konnte keine Verbindung zum lokalen SAM-Server herstellen. Zurückgegebener Fehler: <id:997>.

Error: (07/19/2013 09:56:47 PM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

Error: (07/11/2013 03:28:26 PM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

Error: (07/11/2013 03:28:26 PM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=studio,DC=local kann nicht zugegriffen werden. Die Datei muss im Pfad <\\studio.local\sysvol\studio.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> vorhanden sein. (Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.

Error: (07/11/2013 11:36:51 AM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

Error: (07/11/2013 11:36:51 AM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=studio,DC=local kann nicht zugegriffen werden. Die Datei muss im Pfad <\\studio.local\sysvol\studio.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> vorhanden sein. (Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.

Error: (07/09/2013 09:35:38 AM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

Error: (07/09/2013 09:35:38 AM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=studio,DC=local kann nicht zugegriffen werden. Die Datei muss im Pfad <\\studio.local\sysvol\studio.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> vorhanden sein. (Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.

Error: (07/02/2013 11:05:51 AM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

Error: (07/02/2013 11:05:51 AM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=studio,DC=local kann nicht zugegriffen werden. Die Datei muss im Pfad <\\studio.local\sysvol\studio.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> vorhanden sein. (Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.


System errors:
=============
Error: (07/26/2013 10:41:47 AM) (Source: 0) (User: )
Description: \Device\Ide\IdePort0

Error: (07/26/2013 10:14:12 AM) (Source: 0) (User: )
Description: \Device\Ide\IdePort0

Error: (07/25/2013 10:34:43 AM) (Source: Service Control Manager) (User: )
Description: Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst avg9wd.

Error: (07/24/2013 10:01:04 PM) (Source: Service Control Manager) (User: )
Description: Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst .

Error: (07/24/2013 10:00:37 PM) (Source: Service Control Manager) (User: )
Description: Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst avg9wd.

Error: (06/14/2013 02:00:13 AM) (Source: 0) (User: )
Description: \Device\TermddX.224

Error: (05/27/2013 10:10:35 AM) (Source: 0) (User: )
Description: \Device\TermddX.224

Error: (04/22/2013 08:58:55 AM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am 19.04.2013 um 16:37:56 unerwartet heruntergefahren.

Error: (03/23/2013 01:19:09 PM) (Source: 0) (User: )
Description: \Device\Termdd"DATA ENCRYPTION"

Error: (02/26/2013 03:48:47 AM) (Source: DhcpServer) (User: )
Description: Der DHCP-Dienst hat folgenden Fehler beim Aufräumen der
Benutzerdatenbank entdeckt: 
Es ist ein Fehler beim Zugriff auf die DHCP-Datenbank aufgetreten. Weitere Informationen
zu diesem Fehler stehen im DHCP-Ereignisprotokoll.


Microsoft Office Sessions:
=========================
Error: (07/25/2013 01:16:38 PM) (Source: dsrestor)(User: )
Description: 997

Error: (07/19/2013 09:56:47 PM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: 

Error: (07/11/2013 03:28:26 PM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: 

Error: (07/11/2013 03:28:26 PM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=studio,DC=local\\studio.local\sysvol\studio.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.iniDie Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert.

Error: (07/11/2013 11:36:51 AM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: 

Error: (07/11/2013 11:36:51 AM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=studio,DC=local\\studio.local\sysvol\studio.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.iniDie Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert.

Error: (07/09/2013 09:35:38 AM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: 

Error: (07/09/2013 09:35:38 AM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=studio,DC=local\\studio.local\sysvol\studio.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.iniDie Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert.

Error: (07/02/2013 11:05:51 AM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: 

Error: (07/02/2013 11:05:51 AM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=studio,DC=local\\studio.local\sysvol\studio.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.iniDie Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert.


==================== Memory info =========================== 

Percentage of memory in use: 75%
Total physical RAM: 1023.21 MB
Available physical RAM: 253.13 MB
Total Pagefile: 2473.24 MB
Available Pagefile: 1984.71 MB
Total Virtual: 2047.88 MB
Available Virtual: 1973.42 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:465.75 GB) (Free:444.7 GB) NTFS
Drive e: () (Fixed) (Total:48.83 GB) (Free:39.49 GB) NTFS
Drive f: () (Fixed) (Total:416.92 GB) (Free:127.34 GB) NTFS
Drive g: () (Removable) (Total:7.51 GB) (Free:3.93 GB) FAT32
Drive m: (My Book) (Fixed) (Total:465.65 GB) (Free:236.28 GB) FAT32

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 466 GB) (Disk ID: 2940983A)
Partition 1: (Active) - (Size=466 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 466 GB) (Disk ID: C0BEC0BE)
Partition 1: (Active) - (Size=49 GB) - (Type=42)
Partition 2: (Not Active) - (Size=417 GB) - (Type=42)

========================================================
Disk: 2 (Size: 8 GB) (Disk ID: 04DD5721)
Partition 1: (Active) - (Size=8 GB) - (Type=0C)

========================================================
Disk: 3 (Size: 466 GB) (Disk ID: 44FDFE06)
Partition 1: (Not Active) - (Size=466 GB) - (Type=0C)

==================== End Of Log ============================
         
--- --- ---
__________________

Alt 26.07.2013, 14:19   #4
schrauber
/// the machine
/// TB-Ausbilder
 

MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



Firmenrechner?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 26.07.2013, 14:44   #5
stkolibri
 
MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



ja - auch: Das ist eine wilde, gewachsene Mischung aus einem privaten Rechner des Firmenchefs eines drei-Mann-Betriebs, der an einen Server angeschlossen ist, auf den das Backup läuft (ich hatte ihm gesagt, dass er seine Daten sichern muss; dass es so kommt war nicht abzusehen).


Alt 26.07.2013, 15:33   #6
schrauber
/// the machine
/// TB-Ausbilder
 

MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



Es geht darum dass wir keine Firmenrechner bereinigen dürfen im Allgemeinen.

Gibt es ne eigene IT Abteilung die dafür bezahlt wird?
Wenn es eine Firma ohne sowas ist müsste vorab eine Spende ans Board erfolgen
Sind unsre Tools für Privatgebrauch geschrieben, ergo kann es sein dass Sachen gelöscht werden die legitim und wichtig sind, zb Programme, die aber auf einem Privat-PC nicht zu finden wären.
__________________
--> MBAM hat einen Trojaner namens Trojan.Autorun gefunden

Alt 27.07.2013, 12:25   #7
stkolibri
 
MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



OK - ich hatte schon versucht, Richtlinien zu finden, aber die sind entweder zu offensichtlich oder zu gut versteckt: ich habe sie nicht gefunden.
Nein es gibt keine eigene IT, dafür ist der Laden zu klein.
Ja eine 2-Tages Spende ist überwiesen
Das Risiko ist dem Laden klar.

Alt 27.07.2013, 13:21   #8
schrauber
/// the machine
/// TB-Ausbilder
 

MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



Ok.

Frage:

was sucht der Free Youtube to MP3 Converter auf einem Server? Ist da wer besoffen?

Reste einsammeln:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 31.07.2013, 08:35   #9
stkolibri
 
MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



Hallo schrauber. Das Log zu erstellen hat etwas länger gedauert: nach 5 1/2 habe ich den Server in die nacht entlassen und bin schlafen gegangen.

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=12bd50ce920fe84a8fded26049703323
# engine=14587
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-07-30 08:39:25
# local_time=2013-07-30 10:39:25 (+0100, Mitteleuropäische Sommerzeit   )
# country="Germany"
# lang=1033
# osver=5.2.3790 NT Service Pack 2
# compatibility_mode=1029 16777213 100 69 520598 99182780 0 0
# scanned=342526
# found=2
# cleaned=0
# scan_time=29866
sh=9890E9E53D36CD6F9CCA6941F45F5CBE16537563 ft=1 fh=ad2fb30c827e538e vn="Win32/StartPage.OIE trojan" ac=I fn="F:\Projekte\Download\vlc-1.1.4-win32.exe"
sh=9890E9E53D36CD6F9CCA6941F45F5CBE16537563 ft=1 fh=ad2fb30c827e538e vn="Win32/StartPage.OIE trojan" ac=I fn="M:\Projekte_neu\Download\vlc-1.1.4-win32.exe"
         

Alt 31.07.2013, 10:53   #10
schrauber
/// the machine
/// TB-Ausbilder
 

MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



Die beiden Funde von Hand löschen, sind unseriöse VLC Installer, die ebenfalls nix auf einem Server zu suchen haben.

Frisches FRST log, noch probleme?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 01.08.2013, 12:27   #11
stkolibri
 
MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



Hallo schrauber,
Die Dateien sind an den beiden genannten Orten gelöscht. Ebenso auf allen externen Sicherungskopien (10 externe Festplatten). Nun ist auch das Log von FRST bereit. Und nein er hat nun nichts mehr gefunden. Oder siehst du noch etwas?


FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 30-07-2013 04
Ran by Administrator (administrator) on 01-08-2013 12:20:51
Running from C:\Dokumente und Einstellungen\Administrator\Desktop
Microsoft(R) Windows(R) Server 2003 Enterprise Edition Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 6
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgwdsvc.exe
(Microsoft Corporation) C:\WINDOWS\system32\Dfssvc.exe
(Microsoft Corporation) C:\WINDOWS\System32\dns.exe
(Microsoft Corporation) C:\WINDOWS\System32\ismserv.exe
(Microsoft Corporation) C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
(Microsoft Corporation) C:\WINDOWS\system32\ntfrs.exe
(Star Finanz - Software Entwicklung und Vertriebs GmbH) C:\Programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe
(Microsoft Corporation) C:\WINDOWS\system32\tcpsvcs.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgam.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgrsx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgcsrvx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG9\avgchsvx.exe
(Adobe Systems Incorporated) C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
(AVG Technologies CZ, s.r.o.) C:\PROGRA~1\AVG\AVG9\avgtray.exe
(shbox.de) C:\Programme\FreePDF_XP\fpassist.exe
(Microsoft Corporation) C:\WINDOWS\system32\oobechk.exe
(Microsoft Corporation) C:\WINDOWS\system32\mshta.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [35696 2009-02-27] (Adobe Systems Incorporated)
HKLM\...\Run: [AVG9_TRAY] - C:\PROGRA~1\AVG\AVG9\avgtray.exe [2077536 2012-01-27] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [FreePDF Assistant] - C:\Programme\FreePDF_XP\fpassist.exe [357376 2008-07-22] (shbox.de)
HKLM\...\Winlogon: [UIHost] %SystemRoot%\system32\logonui.exe [x ] ()
Winlogon\Notify\avgrsstarter: avgrsstx.dll (AVG Technologies CZ, s.r.o.)
Winlogon\Notify\dimsntfy: dimsntfy.dll (Microsoft Corporation)
HKCR\...0c966feabec1\InprocServer32: [Default-shell32] %SystemRoot%\system32\shdocvw.dll ATTENTION! ====> ZeroAccess?
HKU\Default User\...\RunOnce: [tscuninstall] - C:\Windows\system32\tscupgrd.exe [ 2003-03-26] (Microsoft Corporation)
HKU\georg\...\RunOnce: [avg_spchecker] - C:\Programme\AVG\AVG9\Notification\SPChecker1.exe [ 2011-05-10] ()
HKU\nils\...\RunOnce: [avg_spchecker] - C:\Programme\AVG\AVG9\Notification\SPChecker1.exe [ 2011-05-10] ()
Lsa: [Notification Packages] RASSFM KDCSVC WDIGEST scecli dsrestor

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
StartMenuInternet: IEXPLORE.EXE - %programfiles%\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
Toolbar: HKCU -&Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation)
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1276002237500
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
Handler: msdaipp - No CLSID Value - 
Winsock: Catalog5 03 %SystemRoot%\System32\mswsock.dll [258048] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Tcpip\..\Interfaces\{D30D6375-5B83-48A8-AE98-988B3D6FA9B4}: [NameServer]192.168.0.1

========================== Services (Whitelisted) =================

R2 avg9wd; C:\Programme\AVG\AVG9\avgwdsvc.exe [308136 2010-06-22] (AVG Technologies CZ, s.r.o.)
R2 Dfs; C:\Windows\system32\Dfssvc.exe [164864 2007-02-17] (Microsoft Corporation)
R2 DHCPServer; C:\Windows\system32\tcpsvcs.exe [21504 2003-03-26] (Microsoft Corporation)
R2 DNS; C:\Windows\System32\dns.exe [464384 2007-02-17] (Microsoft Corporation)
R2 IsmServ; C:\Windows\System32\ismserv.exe [40448 2007-02-17] (Microsoft Corporation)
R2 kdc; C:\Windows\System32\lsass.exe [16384 2003-03-26] (Microsoft Corporation)
S4 LicenseService; C:\Windows\System32\llssrv.exe [94720 2007-02-18] (Microsoft Corporation)
R2 MDM; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [322120 2003-06-20] (Microsoft Corporation)
R2 NtFrs; C:\Windows\system32\ntfrs.exe [793088 2007-02-17] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [89136 2003-07-28] (Microsoft Corporation)
S3 RSoPProv; C:\Windows\system32\RSoPProv.exe [67072 2007-02-17] (Microsoft Corporation)
S3 sacsvr; C:\Windows\system32\sacsvr.dll [12288 2003-03-26] (Microsoft Corporation)
R2 StarMoney 7.0 OnlineUpdate; C:\Programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [554160 2011-11-08] (Star Finanz - Software Entwicklung und Vertriebs GmbH)
S4 TrkSvr; C:\Windows\system32\trksvr.dll [50688 2003-03-26] (Microsoft Corporation)
S4 Tssdis; C:\Windows\System32\tssdis.exe [71680 2007-02-17] (Microsoft Corporation)
S3 uploadmgr; C:\Windows\PCHealth\HelpCtr\Binaries\pchsvc.dll [39936 2007-02-17] (Microsoft Corporation)
R2 Eventlog;  [x]
S4 HidServ; %SystemRoot%\System32\hidserv.dll [x]
S3 WinHttpAutoProxySvc; winhttp.dll [x]

==================== Drivers (Whitelisted) ====================

R3 ati2mtag; C:\Windows\System32\DRIVERS\ati2mtag.sys [450432 2003-03-25] (ATI Technologies Inc.)
R1 AvgLdx86; C:\Windows\System32\Drivers\avgldx86.sys [226016 2013-01-15] (AVG Technologies CZ, s.r.o.)
R1 AvgMfx86; C:\Windows\System32\Drivers\avgmfx86.sys [29712 2011-09-13] (AVG Technologies CZ, s.r.o.)
R0 AvgRkx86; C:\Windows\System32\Drivers\avgrkx86.sys [52872 2010-06-08] (AVG Technologies CZ, s.r.o.)
S4 ClusDisk; C:\Windows\System32\DRIVERS\ClusDisk.sys [69120 2007-02-17] (Microsoft Corporation)
R0 DfsDriver; C:\Windows\System32\drivers\Dfs.sys [34816 2007-02-17] (Microsoft Corporation)
R3 FETNDIS; C:\Windows\System32\DRIVERS\fetnd5.sys [40448 2003-03-24] (VIA Technologies, Inc.              )
S3 WLBS; C:\Windows\System32\DRIVERS\wlbs.sys [175104 2007-02-17] (Microsoft Corporation)
S4 adpu320; No ImagePath
S4 afcnt; No ImagePath
S4 cpqarry2; No ImagePath
S4 cpqcissm; No ImagePath
S4 cpqfcalm; No ImagePath
S4 dellcerc; No ImagePath
S4 hpt3xx; No ImagePath
S4 iirsp; No ImagePath
S4 IntelIde; No ImagePath
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S4 ipsraidn; No ImagePath
U3 LicenseInfo; No ImagePath
S4 lp6nds35; No ImagePath
S4 nfrd960; No ImagePath
S4 ql2100; No ImagePath
S4 ql2200; No ImagePath
S4 ql2300; No ImagePath
S4 symmpi; No ImagePath

==================== NetSvcs (Whitelisted) ===================

NETSVC: Sacsvr -> C:\Windows\system32\sacsvr.dll (Microsoft Corporation)
NETSVC: TrkSvr -> C:\Windows\system32\trksvr.dll (Microsoft Corporation)

==================== One Month Created Files and Folders ========

2013-08-01 12:14 - 2013-08-01 12:14 - 00240736 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2013-08-01 12:13 - 2013-08-01 12:13 - 00001272 _____ C:\WINDOWS\PFRO.log
2013-07-29 18:07 - 2013-07-29 18:07 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Administrator\Desktop\esetsmartinstaller_enu.exe
2013-07-26 12:29 - 2013-07-26 12:29 - 00000000 ____D C:\FRST
2013-07-26 12:28 - 2013-08-01 11:59 - 01222064 _____ (Farbar) C:\Dokumente und Einstellungen\Administrator\Desktop\FRST.exe
2013-07-26 08:36 - 2013-07-26 08:36 - 00000000 _____ C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2013-07-26 08:34 - 2013-08-01 11:54 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\georgAntivir
2013-07-26 08:34 - 2013-07-26 08:22 - 00377856 _____ C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\gmer_2.1.19163.exe
2013-07-26 08:34 - 2013-07-26 08:21 - 00602112 _____ (OldTimer Tools) C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\OTL.exe
2013-07-26 08:34 - 2013-07-26 08:21 - 00050477 _____ C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Defogger.exe
2013-07-26 08:33 - 2013-07-31 14:55 - 00008588 _____ C:\WINDOWS\setupapi.log
2013-07-26 08:00 - 2013-07-26 10:56 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Mbam
2013-07-25 14:41 - 2013-07-25 14:41 - 00000608 _____ C:\cc_20130725_144107.reg
2013-07-25 14:40 - 2013-07-25 14:40 - 00072230 _____ C:\cc_20130725_144017.reg
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2013-07-25 13:27 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys

==================== One Month Modified Files and Folders =======

2013-08-01 12:17 - 2010-06-08 15:04 - 00216438 _____ C:\WINDOWS\WindowsUpdate.log
2013-08-01 12:16 - 2009-02-10 18:54 - 00000000 ____D C:\WINDOWS\system32\dhcp
2013-08-01 12:16 - 2003-03-26 14:00 - 00002206 _____ C:\WINDOWS\system32\wpa.dbl
2013-08-01 12:15 - 2009-02-11 14:22 - 00000000 ____D C:\WINDOWS\ntds
2013-08-01 12:15 - 2009-02-10 18:26 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2013-08-01 12:14 - 2013-08-01 12:14 - 00240736 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2013-08-01 12:13 - 2013-08-01 12:13 - 00001272 _____ C:\WINDOWS\PFRO.log
2013-08-01 12:13 - 2009-02-10 18:03 - 00000000 ___RD C:\Programme
2013-08-01 12:04 - 2009-02-10 18:26 - 00007698 _____ C:\WINDOWS\Tasks\SchedLgU.Txt
2013-08-01 12:03 - 2009-02-11 14:25 - 00065536 _____ C:\WINDOWS\system32\config\DnsEvent.Evt
2013-08-01 12:03 - 2009-02-11 14:22 - 00524288 _____ C:\WINDOWS\system32\config\NTDS.Evt
2013-08-01 12:03 - 2009-02-11 14:22 - 00065536 _____ C:\WINDOWS\system32\config\NtFrs.Evt
2013-08-01 12:03 - 2009-02-10 18:26 - 00000190 ___SH C:\Dokumente und Einstellungen\Administrator\ntuser.ini
2013-08-01 11:59 - 2013-07-26 12:28 - 01222064 _____ (Farbar) C:\Dokumente und Einstellungen\Administrator\Desktop\FRST.exe
2013-08-01 11:54 - 2013-07-26 08:34 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\georgAntivir
2013-08-01 03:43 - 2009-02-10 18:54 - 00000000 ____D C:\WINDOWS\security
2013-08-01 02:09 - 2010-06-08 23:53 - 00000000 ____D C:\WINDOWS\system32\Drivers\Avg
2013-07-31 14:55 - 2013-07-26 08:33 - 00008588 _____ C:\WINDOWS\setupapi.log
2013-07-31 11:57 - 2009-02-10 18:26 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator
2013-07-31 10:46 - 2009-02-11 14:28 - 00065536 _____ C:\WINDOWS\NETLOGON.CHG
2013-07-29 18:07 - 2013-07-29 18:07 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Administrator\Desktop\esetsmartinstaller_enu.exe
2013-07-26 12:29 - 2013-07-26 12:29 - 00000000 ____D C:\FRST
2013-07-26 10:56 - 2013-07-26 08:00 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Mbam
2013-07-26 08:36 - 2013-07-26 08:36 - 00000000 _____ C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2013-07-26 08:22 - 2013-07-26 08:34 - 00377856 _____ C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\gmer_2.1.19163.exe
2013-07-26 08:21 - 2013-07-26 08:34 - 00602112 _____ (OldTimer Tools) C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\OTL.exe
2013-07-26 08:21 - 2013-07-26 08:34 - 00050477 _____ C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Defogger.exe
2013-07-25 14:41 - 2013-07-25 14:41 - 00000608 _____ C:\cc_20130725_144107.reg
2013-07-25 14:40 - 2013-07-25 14:40 - 00072230 _____ C:\cc_20130725_144017.reg
2013-07-25 14:39 - 2010-06-08 15:03 - 00000000 ___SD C:\Dokumente und Einstellungen\Administrator\UserData
2013-07-25 14:39 - 2009-02-10 18:54 - 00000000 ____D C:\WINDOWS\system32\LogFiles
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-07-25 13:27 - 2013-07-25 13:27 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2013-07-25 13:23 - 2009-02-11 14:29 - 00002360 _____ C:\WINDOWS\system32\config\netlogon.dns
2013-07-25 13:23 - 2009-02-11 14:29 - 00002248 _____ C:\WINDOWS\system32\config\netlogon.dnb
2013-07-25 13:21 - 2009-02-10 18:03 - 01068932 _____ C:\WINDOWS\system32\PerfStringBackup.INI

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2010-06-08 23:18] - [2007-02-17 06:54] - 1056768 ____A (Microsoft Corporation) F1E59B4F2F9277A30C7110C30326C7A0

C:\Windows\System32\winlogon.exe
[2010-06-08 23:14] - [2007-02-17 06:48] - 0534528 ____A (Microsoft Corporation) 89F3B79026477E24B46A986CD54E0F36

C:\Windows\System32\svchost.exe
[2010-06-08 23:15] - [2007-02-17 06:40] - 0014848 ____A (Microsoft Corporation) B8DAF8F87218757D332EA3EF831015E4

C:\Windows\System32\services.exe
[2003-03-26 14:00] - [2007-02-17 06:50] - 0111616 ____A (Microsoft Corporation) 3178AA59CD316236B253F2D6159EAEE8

C:\Windows\System32\User32.dll
[2010-06-08 23:15] - [2007-02-17 06:51] - 0586240 ____A (Microsoft Corporation) E585AD7F5DA78EF7AA2C66A05DEF0658

C:\Windows\System32\userinit.exe
[2003-03-26 14:00] - [2007-02-17 06:51] - 0026624 ____A (Microsoft Corporation) 6B864349448336D9660B9E2B47B8AEAE

C:\Windows\System32\Drivers\volsnap.sys
[2003-03-26 14:00] - [2007-02-17 06:51] - 0156160 ____A (Microsoft Corporation) 1F946569F38935B5E4497620BC39E17C

C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.

==================== End Of Log ============================
         
--- --- ---

Alt 01.08.2013, 13:44   #12
schrauber
/// the machine
/// TB-Ausbilder
 

MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



Sieht gut aus. Teste das System mal.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 06.08.2013, 13:06   #13
stkolibri
 
MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



Hallo schrauber,
ja das System scheint wieder OK zu sein.
♥lichen Dank für die Hilfe.

Alt 06.08.2013, 17:39   #14
schrauber
/// the machine
/// TB-Ausbilder
 

MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Standard

MBAM hat einen Trojaner namens Trojan.Autorun gefunden



Fertig

Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.


Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu MBAM hat einen Trojaner namens Trojan.Autorun gefunden
anderen, anti, antivirenprogramm, avg, dateien, festplatte, gen:variant.symmi21391, geschlossen, infiziert, internen, malwarebytes, malwarebytesantimalware, mbam, meldung, namens, netzwerk, platte, programm, quarantäne, server, trojan.autorun, trojaner, verdacht, verschoben, virenwächter, virus, windows, wächter



Ähnliche Themen: MBAM hat einen Trojaner namens Trojan.Autorun gefunden


  1. Avast meldet bei Visual Studio einen Virus namens Win32.EvoGen [susp]
    Log-Analyse und Auswertung - 13.10.2014 (4)
  2. Malwarebytes hat einen Trojan.Agent gefunden. Ist das System nach Bereinigung in Ordnung?
    Log-Analyse und Auswertung - 06.03.2014 (9)
  3. MBAM hat Trojaner gefunden: C:\...\WebTect\trzF037.tmp (Trojan.SProtector)
    Log-Analyse und Auswertung - 14.02.2014 (9)
  4. Windows Vista: MBAM hat 15 infizierte Objekte gefunden u.a. Trojan.Agent
    Plagegeister aller Art und deren Bekämpfung - 02.11.2013 (9)
  5. Snap.do und einen Browser namens Search
    Log-Analyse und Auswertung - 19.04.2013 (8)
  6. BKA Trojaner (Mbam findet Trojan.Ransom.ED), bitte um Hilfe bei der Entfernung
    Plagegeister aller Art und deren Bekämpfung - 09.04.2013 (13)
  7. GVU Trojaner 2.07, MBAM nicht ausführbar, ctfmon.lnk @Autorun und weitere Dateien schreibgeschützt
    Log-Analyse und Auswertung - 30.07.2012 (2)
  8. Nach dem Scan mit mbam einen Rootkit.Agent gefunden
    Log-Analyse und Auswertung - 22.07.2012 (2)
  9. Wie werde ich einen Trojaner Namens: Trojan.Sirefef.FT los?
    Antiviren-, Firewall- und andere Schutzprogramme - 11.06.2012 (5)
  10. amty (worm.Autorun) und csrcs.exe(Trojan.Agent) bei einem routine-Scan von MBAM gefunden
    Log-Analyse und Auswertung - 21.04.2012 (16)
  11. mbam Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 09.02.2012 (40)
  12. Ich fürchte ich habe (einen) Trojaner eingefangen (Trojan-Dropper!IK) + Worm/AutoRun.aaak
    Plagegeister aller Art und deren Bekämpfung - 10.08.2011 (19)
  13. Trojan.Dropper.PGen gefunden und mit MBAM entfernt, jetzt alles sauber?
    Log-Analyse und Auswertung - 17.11.2010 (6)
  14. Trojaner im Recycler auf externer Festplatte gefunden: TR/Autorun.nt
    Plagegeister aller Art und deren Bekämpfung - 20.10.2010 (3)
  15. autorun.inf: Trojan.Autorun-271 FOUND - USB-Stick
    Log-Analyse und Auswertung - 11.03.2009 (1)
  16. Durch MSN einen trojana namens ghost.exe gefangen!
    Plagegeister aller Art und deren Bekämpfung - 01.07.2007 (10)
  17. Habe ich einen Spion an Bord namens fontcapturer?
    Plagegeister aller Art und deren Bekämpfung - 06.05.2007 (3)

Zum Thema MBAM hat einen Trojaner namens Trojan.Autorun gefunden - Ich hatte den Verdacht, dass sich auf dem Server (Windows Server 2003) ein Virus eingenistet hat. Bei einer Weitergabe von Dateien nach extern hatte der dortige Virenwächter eine entsprechende Meldung - MBAM hat einen Trojaner namens Trojan.Autorun gefunden...
Archiv
Du betrachtest: MBAM hat einen Trojaner namens Trojan.Autorun gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.