AV hat Trojaner entdeckt-Logfile erstellt

Maddes05er · 05.06.2007, 12:33

Bitteschön :-)

hat alles problemlos geklappt, hier noch die Virenmeldungen:

In der Datei 'C:\WINDOWS\Temp\AV15222.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.QQPass.LY.1' [TR/PSW.QQPass.LY.1] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\WINDOWS\Temp\AV15220.tmp'
wurde ein Virus oder unerwünschtes Programm 'HEUR/Crypted' [HEUR/Crypted] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

hoffe jetzt stimmt alles.

machts gut

Matthias

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:26:08, on 05.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\*****\Desktop\*****Ordner\HiJackThis_v2.com

O1 - Hosts: 127.255.255.255*****.com
O1 - Hosts: 127.255.255.255 ****.com
O1 - Hosts: 127.255.255.255 ****.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Media Player-Netzwerkfreigabedienst (WMPNetworkSvc) - Unknown owner - C:\Programme\Windows Media Player\WMPNetwk.exe (file missing)

--
End of file - 7219 bytes

Franz1968 · 05.06.2007, 16:51

Hallo.
- Besorge dir den CCleaner (verzichte aber auf die Installation der angebotenen Toolbar)
- Lade dir ComboFix
- Lade und update Spybot - Search & Destroy

Fixe nun mit HijackThis (siehe Anleitung) die folgenden Einträge:

Zitat:

Zitat von Maddes05er

O1 - Hosts: 127.255.255.255*****.com
O1 - Hosts: 127.255.255.255 ****.com
O1 - Hosts: 127.255.255.255 ****.com

Wechsle danach zurück in den Normal-Modus.

Lasse den CCleaner laufen. Danach starte im abgesicherten Modus Spybot S&D und schließlich - wieder im Normal-Modus - ComboFix. Berichte, was durch Spybot S&D entfernt wurde und poste das Logfile von ComboFix, das du als c:\ComboFix.txt finden wirst.

Wichtig: Die Durchführung dieser Tipps erfolgt auf eigene Gefahr. Für evtl. auftretenden Datenverlust übernehme ich keine Verantwortung.

Maddes05er · 05.06.2007, 19:19

hallo,

ich sag mal franz weil, sie (wegen franz 1968) die ganze zeit mir schreiben. diese

O1 - Hosts: 127.255.255.255*****.com
O1 - Hosts: 127.255.255.255 ****.com
O1 - Hosts: 127.255.255.255 ****.com

kann ich genau sagen was für eine adresse ist nämlich:

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com

habe es mit sternen getarnt weil es leider nicht ganz legal aussieht. Aber vielleicht hilft das ja weiter um zu sagen ob ich wirklich die ganzen schritte ausführen muss.

gruß

matthias

Franz1968 · 05.06.2007, 21:48

Ich sag mal Matthias, da du die ganze Zeit mir schreibst.

Zitat:

Zitat von Maddes05er

ob ich wirklich die ganzen schritte ausführen muss.

Meiner Ansicht nach ja. Das Fixen mit HijackThis kannst du allerdings überspringen.

Maddes05er · 06.06.2007, 15:52

Hallo Franz,,

Sbybot hat nichts gefunden :-)

Ps: Logfile von ComboFix liegt im Anhang bei.
Ps2: ich hoffe mit Combofix hab ich nichts relevantes gelöscht,(ZoneLabs meldete änderung in der regestry und Spybot auch. Habe bei ZoneLabs zulassen und bei Spybot Verweigern gedrückt. Wusste nicht was ich machen sollte) weil einige Änderungen in der Regestry vorgenommen wurden. System fuhr aber normal hoch. Hoffe es lässt sich rauslesen ob mein System clean ist oder nicht. Achja,
Danke Franz für die Mühe und Tipps die du mir gegeben hast.

Gruß

Matthias

Maddes05er · 06.06.2007, 15:56

so geht´s schneller :-)

"Maddes05er" - 2007-06-06 16:18:55 Service Pack 2 NTFS
ComboFix 07-06-3B - Running from: "C:\Dokumente und Einstellungen\Maddes05er\Desktop\Setup-Ordner\"

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\nm
-------\npf

((((((((((((((((((((((((( Files Created from 2007-05-06 to 2007-06-06 )))))))))))))))))))))))))))))))

2007-06-05 22:42 <DIR> d-------- C:\Programme\Music_Manager_2006
2007-06-05 22:39 <DIR> d-------- C:\MAGIX
2007-06-05 22:21 <DIR> d-------- C:\Programme\MAGIX
2007-06-05 01:20 <DIR> d-------- C:\DOKUME~1\MADDES~1\ANWEND~1\Atari
2007-06-05 01:01 197,120 --a------ C:\WINDOWS\patchw32.dll
2007-06-05 01:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PocketSoft
2007-06-05 00:58 <DIR> d--h----- C:\WINDOWS\PIF
2007-06-05 00:58 <DIR> d-------- C:\Programme\Atari
2007-06-05 00:55 45,568 --a------ C:\WINDOWS\UniFish3.exe
2007-06-05 00:55 <DIR> d-------- C:\Programme\Hasbro Interactive
2007-06-04 21:20 <DIR> d-------- C:\Programme\Alcohol Soft
2007-06-04 18:54 <DIR> d-------- C:\Programme\CPU-Z
2007-06-04 15:44 <DIR> d-------- C:\Programme\TMPGE
2007-06-04 15:40 <DIR> d-------- C:\Programme\VirtualDubMod_1_5_1_1a
2007-06-04 14:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Corel
2007-06-04 14:31 456,272 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\pswi_preloaded.exe
2007-06-04 14:14 <DIR> d-------- C:\WINDOWS\CD95F661A5C444F5A6AAECDD91C240B5.TMP
2007-06-04 04:22 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Philips Intelligent Agent
2007-06-04 04:21 <DIR> d-------- C:\Programme\Philips Intelligent Agent
2007-06-04 03:34 <DIR> d-------- C:\Programme\VSO
2007-06-04 01:24 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2007-06-03 13:08 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\vsosdk
2007-06-03 11:18 87,608 --a------ C:\DOKUME~1\MADDES~1\ANWEND~1\inst.exe
2007-06-03 11:18 47,360 --a------ C:\DOKUME~1\MADDES~1\ANWEND~1\pcouffin.sys
2007-06-03 11:18 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2007-06-03 11:18 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2007-06-03 11:18 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2007-05-23 22:24 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
2007-05-19 20:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Elaborate Bytes
2007-05-12 23:14 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-05-08 11:11 <DIR> d-------- C:\Programme\Graphics

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-05 21:44:16 -------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2007-06-05 21:35:06 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\MAGIX
2007-06-05 19:51:52 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Vso
2007-06-05 13:32:34 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\foobar2000
2007-06-04 23:06:53 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-04 22:35:06 -------- d-----w C:\Programme\MyMicroBalance
2007-06-04 18:41:35 -------- d-----w C:\Programme\aEton CommunicaEor
2007-06-04 01:34:10 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2007-06-02 10:21:43 -------- d-----w C:\Programme\TuneUp Utilities 2007
2007-06-02 09:53:48 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\concept design
2007-05-10 21:42:15 -------- d-----w C:\Programme\Lexmark 4300 Series
2007-04-22 19:58:50 -------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll
2007-04-14 15:12:01 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Oxin's Style!
2007-04-13 19:21:00 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Ahead
2007-04-12 15:07:11 -------- d-----w C:\Programme\Total Video Converter
2007-04-12 13:29:53 -------- d-----w C:\Programme\Xilisoft
2007-04-11 22:52:58 -------- d-----w C:\Programme\AmP
2007-04-11 22:52:24 -------- d-----w C:\Programme\LingoPad
2007-04-11 22:52:23 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Lingo4u
2007-04-07 14:59:34 -------- d-----w C:\Programme\Security Task Manager
2007-04-07 02:12:26 71,794 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-04-07 02:12:26 408,958 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-04-06 22:50:22 -------- d-----w C:\Programme\foobar2000
2007-04-06 22:40:55 -------- d-----w C:\Programme\3GP Converter 2007
2007-04-06 19:37:27 -------- d-----w C:\Programme\AudioEffects
2007-04-06 15:40:06 12,464 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-03-23 21:30:40 4,199 ----a-w C:\WINDOWS\mozver.dat
2007-03-20 00:01:07 4,212 ---ha-w C:\WINDOWS\system32\zllictbl.dat
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-08 23:06:52 2,450 ----a-w C:\WINDOWS\system32\tmp.reg
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2006-05-03 10:06:54 163,328 --sha-r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47:16 31,744 --sha-r C:\WINDOWS\system32\msfDX.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 01:48]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}=C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll [2004-12-03 05:14]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-24 00:38]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 C:\WINDOWS\SkyTel.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 22:18]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 10:12]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 12:43 C:\WINDOWS\Alcmtr.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-26 14:46]
"TrayServer"="C:\Programme\MAGIX\TrayServer.exe" [2006-10-04 16:41]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [2006-10-27 01:48]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Maddes05er^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Dokumente und Einstellungen\Maddes05er\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
"C:\Programme\Lexmark 4300 Series\ezprint.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
"C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
"C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcemon.exe]
"C:\Programme\Lexmark 4300 Series\lxcemon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Philips Intelligent Agent]
"C:\Programme\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFast Schedule]
C:\Programme\WinFast\WFTVFM\WFWIZ.exe

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
AutoRun\command- G:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76ea92f4-c81f-11db-a91c-00146ca83181}]
AutoRun\command- G:\start.exe /checksection

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2204068-e2d2-11db-a953-00146ca83181}]
AutoRun\command- G:\Autorun.exe

Contents of the 'Scheduled Tasks' folder
2007-06-01 15:16:09 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-06 16:28:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
**************************************************************************

Completion time: 2007-06-06 16:31:12 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-06 16:30

--- E O F ---

Franz1968 · 06.06.2007, 16:38

Zitat:

Zitat von Maddes05er

es lässt sich rauslesen ob mein System clean ist oder nicht.

Es sieht meiner Meinung nach ganz sauber aus. Allerdings sagen mir die folgenden Dateinamen nichts:

Zitat:

C:\WINDOWS\patchw32.dll
C:\WINDOWS\UniFish3.exe
C:\DOKUME~1\MADDES~1\ANWEND~1\inst.exe
C:\DOKUME~1\MADDES~1\ANWEND~1\pcouffin.sys
G:\Autorun.exe
G:\start.exe /checksection

Dir vielleicht?

Da ich idiotischerweise nicht erwähnt hatte, dass du den Tea Timer von Spybot S&D ausschalten solltest, dürften die Änderungen an der Registry wieder rückgängig gemacht worden sein.

Gibt es eine Datei c:\combofix-quarantined-files.txt? Falls ja und falls sie nicht leer sein sollte, poste bitte ihren Inhalt.

AV hat Trojaner entdeckt-Logfile erstellt

Log-Analyse und Auswertung: AV hat Trojaner entdeckt-Logfile erstellt