Virtumonde --- brauche Hilfe

Ela58 · 11.07.2008, 14:24

Hallo zusammen

,
ich bin neu hier und habe ein Problem. Spybot hat bei mir den Virtumonde gefunden, löscht ihn angeblich auch, aber beim nächsten Check ist er wieder da.
Habe jetzt mit HijackThis ein Logfile erstellt. Hoffe ihr könnt mir helfen. Kann z.b. im Browser ( egal welcher, habe firefox, opera und internetexplorer ausprobiert ) keine Google-Suche mehr ausführen.
Hier nun mein Scan:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:30, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ShutDownPro\ShutDownPro.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\CoreDownload\CoreDownload Free Wallpaper Changer\CDWC.exe
C:\Programme\Vista Start Menu\VistaStartMenu.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\TVgenial\TVgenial.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Admin\Desktop\trayit_4_6_5_5\TrayIt!.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.pagessyndication.com/google/iesearch.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.pagessyndication.com/google/iesearch.php
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {85891CF5-118E-44AF-8682-A7B08D33A9E7} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {B3917FB4-69A2-47A7-98E9-B2CDDE4F19E8} - (no file)
O2 - BHO: {1a3be48a-725a-ba39-3514-9e0901308d6c} - {c6d80310-90e9-4153-93ab-a527a84eb3a1} - C:\WINDOWS\system32\imzven.dll
O2 - BHO: (no name) - {C993ABC5-7083-4B8B-8207-9322FCEA701D} - (no file)
O2 - BHO: (no name) - {D79D72AE-F71F-4A64-837B-57F0571088D2} - C:\WINDOWS\system32\vtUkiGVp.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ShutDownpro] C:\Programme\ShutDownPro\ShutDownPro.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [50ce8313] rundll32.exe "C:\WINDOWS\system32\tvakuajg.dll",b
O4 - HKLM\..\Run: [BM53fdb08f] Rundll32.exe "C:\WINDOWS\system32\svwxsllu.dll",s
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Wallpaper Manager] C:\Programme\CoreDownload\CoreDownload Free Wallpaper Changer\CDWC.exe -startup
O4 - HKCU\..\Run: [VistaStartMenu] "C:\Programme\Vista Start Menu\VistaStartMenu.exe"
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: TrayIt!.lnk = C:\Dokumente und Einstellungen\Admin\Desktop\trayit_4_6_5_5\TrayIt!.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Programme\IncrediMail\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIC273~1\WEB2~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A83C24FE-A5C5-4596-BC17-DEA4ED7B9AD2}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: yaywwTno - C:\WINDOWS\
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\Admin\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: jAnrufmonitor - Unknown owner - C:\Programme\jAnrufmonitor\Wrapper.exe (file missing)
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8061 bytes

Liebe Grüße von Michaela

**Sunny** · 11.07.2008, 14:32

Hallo Ela58 und

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Ela58 · 11.07.2008, 16:42

So habe alles nach Anleitung gemacht, hier das Log muss es leider in 2 Antworten schicken, ist zu lang

Code:

ATTFilter

ComboFix 08-07-10.1 - Admin 2008-07-11 17:22:32.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.337 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\buexcosp.ini
C:\WINDOWS\system32\couqrnhb.ini
C:\WINDOWS\system32\imzven.dll
C:\WINDOWS\system32\inaackxs.dll
C:\WINDOWS\system32\jncssm.dll
C:\WINDOWS\system32\jramlkdv.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\obixvujm.ini
C:\WINDOWS\system32\oeminfo.ini
C:\WINDOWS\system32\pgrgjfof.ini
C:\WINDOWS\system32\pVGikUtv.ini
C:\WINDOWS\system32\pVGikUtv.ini2
C:\WINDOWS\system32\qskwbi.dll
C:\WINDOWS\system32\wmwqvymy.dll
C:\WINDOWS\system32\xpdvtpnj.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2008-06-11 bis 2008-07-11  ))))))))))))))))))))))))))))))
.

2008-07-11 15:36 . 2008-07-11 15:36	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-07-11 15:36 . 2008-07-07 17:35	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 15:35 . 2008-07-11 15:36	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-07-11 15:35 . 2008-07-11 15:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-11 15:35 . 2008-07-07 17:35	34,296	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-11 12:03 . 2008-07-11 12:04	<DIR>	d--------	C:\Programme\Scribe!
2008-07-10 17:53 . 2008-07-11 16:19	<DIR>	d--h-----	C:\$AVG8.VAULT$
2008-07-10 17:16 . 2008-07-11 16:33	<DIR>	d--------	C:\WINDOWS\system32\drivers\Avg
2008-07-10 17:16 . 2008-07-10 17:16	<DIR>	d--------	C:\Programme\AVG
2008-07-10 17:16 . 2008-07-10 17:16	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-07-10 17:16 . 2008-07-10 17:16	96,520	--a------	C:\WINDOWS\system32\drivers\avgldx86.sys
2008-07-10 17:16 . 2008-07-10 17:16	76,040	--a------	C:\WINDOWS\system32\drivers\avgtdix.sys
2008-07-10 17:16 . 2008-07-10 17:16	10,520	--a------	C:\WINDOWS\system32\avgrsstx.dll
2008-07-10 06:40 . 2008-07-10 07:16	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy2
2008-07-08 19:05 . 2008-07-08 19:02	295,267	--a------	C:\WINDOWS\hpdj3600.hi1
2008-07-08 19:05 . 2008-07-08 19:02	9,317	--a------	C:\WINDOWS\hpdj3600.bu1
2008-07-08 18:52 . 2008-07-08 19:08	204,700	--a------	C:\WINDOWS\hpdj3600.his
2008-07-08 18:52 . 2008-07-08 19:08	10,385	--a------	C:\WINDOWS\hpdj3600.ini
2008-07-08 09:17 . 2008-07-08 09:17	<DIR>	d--------	C:\Programme\GamesBar
2008-07-08 09:16 . 2008-07-08 09:16	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Oberon Media
2008-07-08 09:16 . 2008-07-08 09:16	<DIR>	d--------	C:\Programme\Gamesville
2008-07-07 15:54 . 2008-07-07 15:54	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\EnchantedCavern
2008-07-07 14:38 . 2008-07-07 14:38	<DIR>	d--------	C:\WINDOWS\Treasure Island 2
2008-07-07 14:38 . 2008-07-07 14:38	<DIR>	d--------	C:\Programme\Treasure Island 2
2008-07-07 14:12 . 2008-07-07 14:12	<DIR>	d--------	C:\Programme\Innovative Solutions
2008-07-07 09:42 . 2008-07-07 13:48	<DIR>	d--------	C:\Programme\Unicorn Castle
2008-07-07 09:42 . 2008-07-07 09:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Meridian93
2008-07-07 07:01 . 2008-07-07 07:01	<DIR>	d--------	C:\Programme\Sultan of Persia
2008-07-07 07:01 . 2008-07-07 07:35	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\SultanofPersia
2008-07-06 18:58 . 2008-07-06 19:16	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\test
2008-07-06 11:37 . 2008-07-06 21:38	<DIR>	d--------	C:\Programme\Enigma Software Group
2008-07-06 09:50 . 2008-07-06 09:51	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-05 23:29 . 2008-07-05 23:29	<DIR>	d--------	C:\PCWELT
2008-07-05 21:13 . 2008-07-05 21:13	<DIR>	d--------	C:\Programme\neoSoftware
2008-07-05 21:13 . 2008-07-05 21:13	304	--a------	C:\WINDOWS\DieV”lkerDemoPi.ini
2008-07-05 21:12 . 1997-05-29 17:31	315,904	--a------	C:\WINDOWS\IsUn0407.exe
2008-07-05 20:31 . 2008-07-05 20:31	<DIR>	d--------	C:\Programme\Ubisoft
2008-07-05 19:35 . 2008-07-05 20:54	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\.housecall6.6
2008-07-05 19:22 . 2008-07-05 19:22	<DIR>	d--------	C:\Programme\Trend Micro
2008-07-03 13:32 . 2008-07-03 13:33	<DIR>	d--------	C:\Programme\MAGIX
2008-07-03 13:32 . 2008-07-03 13:34	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-07-03 13:31 . 2008-07-03 13:33	<DIR>	d--------	C:\WINDOWS\system32\MAGIX
2008-07-03 13:31 . 2008-04-15 16:14	700,416	--a------	C:\WINDOWS\system32\mgxoschk.dll
2008-07-03 13:31 . 2008-07-03 13:33	6,768	--a------	C:\WINDOWS\mgxoschk.ini
2008-07-03 11:26 . 2008-07-03 11:26	<DIR>	d--------	C:\Programme\Google
2008-07-02 12:28 . 2008-07-02 12:28	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-07-02 12:28 . 2008-07-06 21:52	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Azureus
2008-07-02 07:29 . 2008-07-02 11:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Scrapbook MAX! Trial
2008-07-02 05:07 . 2008-07-02 05:07	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\IndigoRose
2008-07-02 05:06 . 2008-07-02 05:06	<DIR>	d--------	C:\WINDOWS\Scrapbook MAX! Trial
2008-07-02 05:06 . 2008-07-02 05:07	<DIR>	d--------	C:\Programme\Scrapbook MAX! Trial
2008-07-02 04:51 . 2008-07-04 06:48	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\EurekaLog
2008-06-30 21:57 . 2008-06-30 21:57	5,242,934	--a------	C:\WINDOWS\BGInfo.bmp
2008-06-29 13:54 . 2008-06-29 14:54	<DIR>	d--------	C:\Programme\mp3Tag 5
2008-06-29 11:23 . 2008-06-29 11:26	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\MP3 Sorter
2008-06-25 06:16 . 2008-06-25 06:16	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\HiYo
2008-06-23 12:21 . 2008-06-23 12:22	6,768	--a------	C:\WINDOWS\ST6UNST.000
2008-06-23 12:08 . 2008-06-23 12:22	<DIR>	d--------	C:\Programme\WinProvex
2008-06-23 12:08 . 2002-02-04 20:48	978,944	--a------	C:\WINDOWS\system32\MSJT3032.DLL
2008-06-23 12:08 . 2002-02-04 20:48	327,680	--a------	C:\WINDOWS\system32\MSWNG300.DLL
2008-06-23 12:08 . 2002-02-04 20:48	266,240	--a------	C:\WINDOWS\system32\MSRD2X32.DLL
2008-06-23 12:08 . 2002-02-04 20:48	244,496	--a------	C:\WINDOWS\system32\VBAR2232.DLL
2008-06-23 12:08 . 2002-02-04 20:48	98,356	--a------	C:\WINDOWS\system32\MSJTER32.DLL
2008-06-23 12:08 . 2002-02-04 20:48	69,632	--a------	C:\WINDOWS\system32\MSJINT32.DLL
2008-06-23 12:08 . 2002-02-04 20:48	59,504	--a------	C:\WINDOWS\system32\VBDB32.DLL
2008-06-23 12:04 . 2002-02-04 20:48	722,192	--a------	C:\WINDOWS\system32\VB40032.DLL
2008-06-23 12:04 . 2002-02-04 20:48	61,440	--a------	C:\WINDOWS\ST4UNST.EXE
2008-06-23 12:04 . 2002-02-04 20:48	35,648	--a------	C:\WINDOWS\system32\VB4DE32.DLL
2008-06-23 08:01 . 2008-06-23 08:05	<DIR>	d--------	C:\Programme\Address Ex
2008-06-23 08:01 . 2008-06-23 08:01	97	--a------	C:\WINDOWS\nsnsware.ini
2008-06-23 06:30 . 2008-06-23 06:30	66	-ra------	C:\WINDOWS\amunres.lsl
2008-06-22 23:41 . 2008-06-23 06:30	<DIR>	d--------	C:\Programme\Adress- und Geburtstags-Manager
2008-06-22 23:41 . 2001-07-01 17:30	112,640	--a------	C:\WINDOWS\lsb_un20.exe
2008-06-22 22:43 . 2008-06-22 22:46	<DIR>	d--------	C:\Programme\Adressverwaltung
2008-06-22 22:18 . 2004-03-01 20:55	561,179	--a------	C:\WINDOWS\system32\dao360.dll
2008-06-22 17:22 . 2008-07-10 12:56	<DIR>	d--------	C:\Programme\StarMoney 6.0 S-Edition
2008-06-22 15:49 . 2008-06-22 21:48	<DIR>	d--------	C:\Programme\ALFBanCo2
2008-06-22 15:29 . 2007-07-26 17:13	3,518,464	--a------	C:\WINDOWS\system32\cdintf300.dll
2008-06-22 15:29 . 2007-07-26 17:13	1,843,200	--a------	C:\WINDOWS\system32\acXMLParser.dll
2008-06-22 15:28 . 2008-06-22 15:28	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Intuit
2008-06-22 15:28 . 2008-06-22 15:28	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Intuit
2008-06-22 15:28 . 2008-06-22 21:50	31	--a------	C:\WINDOWS\QUICKEN.INI
2008-06-21 16:34 . 2008-06-21 19:12	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\StoneLoopsRE
2008-06-21 16:22 . 2008-06-21 16:24	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\LTOA
2008-06-21 11:59 . 2008-06-21 11:59	<DIR>	d--------	C:\Programme\Microsoft.NET
2008-06-21 11:58 . 2008-06-21 11:58	<DIR>	d--------	C:\Programme\Microsoft Visual Studio 8
2008-06-21 11:57 . 2008-06-21 11:57	<DIR>	d--------	C:\Programme\Microsoft Expression
2008-06-21 11:57 . 2008-06-21 11:57	<DIR>	dr-h-----	C:\MSOCache
2008-06-21 11:57 . 2008-06-21 12:07	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-20 13:03 . 2008-06-20 13:03	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\SprillBermudeDeu
2008-06-16 07:07 . 2008-06-20 10:27	<DIR>	d--------	C:\Programme\40tude Dialog
2008-06-16 06:25 . 2008-06-16 06:25	233	--a------	C:\dsldself.bat
2008-06-15 11:09 . 2008-06-15 11:09	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Thunderbird
2008-06-15 11:08 . 2008-07-11 10:43	<DIR>	d--------	C:\Programme\Mozilla Thunderbird
2008-06-15 10:44 . 2008-06-15 10:44	<DIR>	d--------	C:\Programme\Cyber 21
2008-06-15 10:44 . 2004-05-10 15:33	491,520	--a------	C:\WINDOWS\system32\LicenseManagerFrame.dll
2008-06-15 04:38 . 2004-08-03 23:07	59,264	--a------	C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-06-15 04:38 . 2004-08-03 23:07	59,264	--a--c---	C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-13 11:22 . 2008-06-13 11:22	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ScreenSeven
2008-06-11 12:26 . 2008-06-13 11:18	<DIR>	d--------	C:\Programme\Dexpot
2008-06-11 12:26 . 2008-06-11 12:26	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dexpot
2008-06-11 05:43 . 2008-06-14 19:57	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 05:43 . 2008-06-14 19:57	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys

.

Ela58 · 11.07.2008, 16:44

Hier der 2. Teil:

Code:

ATTFilter

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 14:59	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-10 18:34	---------	d-----w	C:\Programme\TuneUp Utilities 2008
2008-07-10 18:26	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-10 15:20	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Vista Start Menu
2008-07-09 04:39	---------	d-----w	C:\Programme\IncrediMail
2008-07-08 17:26	---------	d-----w	C:\Programme\HP
2008-07-08 17:06	---------	d-----w	C:\Programme\Hewlett-Packard
2008-07-06 19:30	---------	d-----w	C:\Programme\LimeWire
2008-07-06 17:53	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-07-06 17:51	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-05 19:13	---------	d-----w	C:\Programme\Opera
2008-07-05 16:35	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\LimeWire
2008-07-04 07:32	---------	d-----w	C:\Programme\Macromedia
2008-07-04 07:32	---------	d-----w	C:\Programme\Gemeinsame Dateien\Macromedia
2008-07-03 11:48	---------	d-----w	C:\Programme\Kalorio
2008-07-03 04:20	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OpenOffice.org2
2008-06-29 07:29	---------	d-----w	C:\Programme\DEUTSCHLAND SPIELT
2008-06-26 18:23	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Awem
2008-06-23 10:34	---------	d-----w	C:\Programme\OpenOffice.org 2.4
2008-06-23 10:24	290,816	------w	C:\WINDOWS\Setup1.exe
2008-06-22 12:53	---------	d-----w	C:\Programme\Java
2008-06-21 11:12	---------	d-----w	C:\Programme\Hidden Relics
2008-06-21 09:59	---------	d-----w	C:\Programme\Microsoft Works
2008-06-20 06:22	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Spamihilator
2008-06-10 15:32	---------	d-----w	C:\Programme\Astragon
2008-06-08 13:12	---------	d-----w	C:\Programme\iauSoft
2008-06-08 07:14	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SongbirdVLC
2008-06-08 07:14	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Songbird1
2008-06-07 10:36	---------	d-----w	C:\Programme\BEWERBUNGS-MASTER
2008-06-07 09:58	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-06-06 16:44	74,752	------w	C:\WINDOWS\ST6UNST.EXE
2008-06-04 16:21	---------	d-----w	C:\Programme\OXXOGames
2008-06-04 09:49	72,748	----a-w	C:\WINDOWS\unins000.exe
2008-06-02 13:53	---------	d-----w	C:\Programme\MediaMonkey
2008-06-02 13:25	---------	d-----w	C:\Programme\Yahoo!
2008-06-02 13:25	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-06-01 22:11	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Kazaa Lite
2008-06-01 21:43	---------	d-----w	C:\Programme\Lauge 2
2008-06-01 17:29	---------	d-----w	C:\Programme\Trust
2008-05-31 19:05	---------	d-----w	C:\Programme\Gemeinsame Dateien\PAC7311
2008-05-31 17:09	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ArcSoft
2008-05-31 06:06	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\MysteryStudio
2008-05-29 15:21	---------	d-----w	C:\Programme\aTunes
2008-05-29 15:20	---------	d-----w	C:\Programme\FrostWire
2008-05-29 07:04	---------	d-----w	C:\Programme\HMF-Software
2008-05-29 05:13	---------	d--h--w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{96FD5905-4BEB-4B03-BACA-92349B45FE3A}
2008-05-29 04:59	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Spider Player
2008-05-28 19:02	---------	d-----w	C:\Programme\Mah Jong Quest II
2008-05-28 19:02	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\iWin
2008-05-27 06:18	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\qliner
2008-05-26 13:38	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\7Wonders
2008-05-26 13:37	---------	d-----w	C:\Programme\7 Wonders
2008-05-26 12:35	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Big Fish Games
2008-05-26 09:35	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Magic Match
2008-05-26 07:15	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\MP3-RECEiVER
2008-05-25 15:52	---------	d-----w	C:\Programme\Big City Adventure San Francisco
2008-05-25 15:52	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JollyBear
2008-05-25 11:43	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Reflexivev1005
2008-05-25 09:27	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Games
2008-05-24 18:02	---------	d-----w	C:\Programme\FRITZ!Box Monitor
2008-05-24 17:49	---------	d-----w	C:\Programme\Around The World In 80 Days
2008-05-24 13:52	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Gaijin Ent
2008-05-24 13:41	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EscapeTheMuseum
2008-05-24 12:14	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FRITZ!
2008-05-23 19:01	---------	d-----w	C:\Programme\Big City Adventure Sydney Australia
2008-05-23 18:39	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\AmuletAdventure
2008-05-23 04:30	---------	d-----w	C:\Programme\Frame Maker Pro
2008-05-23 04:18	---------	d-----w	C:\Programme\Age of Atlantis
2008-05-21 13:43	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FloodLightGames
2008-05-21 13:43	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FloodLightGames
2008-05-20 18:24	---------	d-----w	C:\Programme\CUEcards 2000
2008-05-20 18:17	---------	d-----w	C:\Programme\CUEcards
2008-05-20 16:18	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Trillian
2008-05-19 15:41	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Flood Light Games
2008-05-19 15:41	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Flood Light Games
2008-05-19 04:15	---------	d-----w	C:\Programme\TVgenial
2008-05-18 20:22	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pictomio
2008-05-18 15:38	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\phonostar-Player
2008-05-18 13:47	---------	d-----w	C:\Programme\phonostar
2008-05-18 09:07	---------	d-----w	C:\Programme\Birdigee's Newslettermanager
2008-05-18 06:24	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\AquaSoft
2008-05-17 09:15	---------	d-----w	C:\Programme\ShutDownPro
2008-05-16 05:05	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gallerymanager
2008-05-15 13:06	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SugarGames
2008-05-15 11:24	---------	d-----w	C:\Programme\ESTsoft
2008-05-15 11:24	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ESTsoft
2008-05-15 06:55	---------	d-----w	C:\Programme\ReflexiveArcade
2008-05-15 03:51	100,864	----a-w	C:\WINDOWS\system32\drivers\avmaura.sys
2008-05-12 12:03	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICQ
2008-05-11 05:57	---------	d-----w	C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-05-11 05:57	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TVcentral-Core
2008-04-27 18:36	44,544	------w	C:\WINDOWS\AWuninstall.exe
2008-04-14 14:53	720,896	----a-w	C:\WINDOWS\iun6002.exe
2008-04-12 17:24	0	----a-w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\wklnhst.dat
2008-03-28 08:25	848	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
.

------- Sigcheck -------

2004-08-04 14:00  546816  caef653d55cc8d7a173e4e63bc58d7f2	C:\WINDOWS\system32\winlogon.exe
2004-08-04 14:00  546816  caef653d55cc8d7a173e4e63bc58d7f2	C:\WINDOWS\system32\dllcache\winlogon.exe
2004-08-04 14:00  507392  2b6a0baf33a9918f09442d873848ff72	C:\WINDOWS\VistaMizer\old\winlogon.exe

2004-08-04 14:00  25088  99203e789da6e756ea34a8f836f4e99e	C:\WINDOWS\system32\ctfmon.exe
2004-08-04 14:00  25088  99203e789da6e756ea34a8f836f4e99e	C:\WINDOWS\system32\dllcache\ctfmon.exe
2004-08-04 14:00  15360  7ce20569925df6789c31799f0c538f29	C:\WINDOWS\VistaMizer\old\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2008-07-06 18:43 243072]
"Wallpaper Manager"="C:\Programme\CoreDownload\CoreDownload Free Wallpaper Changer\CDWC.exe" [2008-03-14 15:03 1946624]
"VistaStartMenu"="C:\Programme\Vista Start Menu\VistaStartMenu.exe" [2007-03-25 00:03 1574912]
"Rainlendar2"="C:\Programme\Rainlendar2\Rainlendar2.exe" [2007-12-30 12:23 1365504]
"TVgenial"="C:\Programme\TVgenial\TVgenial.exe" [2005-06-24 13:17 875520]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 25088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 17:22 7618560]
"ShutDownpro"="C:\Programme\ShutDownPro\ShutDownPro.exe" [2008-02-26 21:40 571392]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-11-07 22:56 176128]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-10 17:16 1232152]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 17:22 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_Dlls"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-06-05 10:48 2113360 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RunDLL32.exe NvMCTray.dll,NvTaskbarInit
"AVMFBoxMonitor"="C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
"High Definition Audio Property Page Shortcut"=HDAShCut.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\Pando Networks\\Pando\\pando.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImLc.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImSc.exe"=
"C:\\totalcmd\\TOTALCMD.EXE"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\aTunes.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\Java\\jre1.6.0_06\\launch4j-tmp\\aTunes.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57933:TCP"= 57933:TCP:Pando P2P TCP Listening Port
"57933:UDP"= 57933:UDP:Pando P2P UDP Listening Port
"9004:TCP"= 9004:TCP:Mah Jongg

R0 m5287;m5287;C:\WINDOWS\system32\DRIVERS\m5287.sys [2008-03-27 17:35]
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-03-28 09:09]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-10 17:16]
R2 avg8emc;AVG Free8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-07-10 17:16]
R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-10 17:16]
R2 AvgTdiX;AVG Free8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-10 17:16]
R2 IGDCTRL;AVM IGD CTRL Service;C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 10:14]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-12-03 12:26]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 avmaura;AVM USB-Fernanschluss;C:\WINDOWS\system32\DRIVERS\avmaura.sys [2008-05-15 05:51]
R3 PAC7311;Trust WB-3400T Webcam;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2007-03-14 10:57]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 21:36]
S2 jAnrufmonitor;jAnrufmonitor;C:\Programme\jAnrufmonitor\Wrapper.exe []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 15:18]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-10 20:33]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-07-11 15:26:09 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
- - - - ORPHANS REMOVED - - - -

Notify-yaywwTno - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 17:26:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\DOKUME~1\Admin\LOKALE~1\Temp\4ee50895-fec9-4468-af75-c3a977ba5ed8.tmp 0 bytes


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVG\AVG8\avgtray.exe
C:\Programme\IncrediMail\bin\ImApp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AVG\AVG8\avgrsx.exe
C:\Programme\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-11 17:34:50 - machine was rebooted
ComboFix-quarantined-files.txt  2008-07-11 15:33:41

              11 Verzeichnis(se), 60,107,943,936 Bytes frei
              16 Verzeichnis(se), 60,048,605,184 Bytes frei

347	--- E O F ---	2008-06-21 06:52:23

Gruß Michaela

**Sunny** · 11.07.2008, 16:51

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

lass auch die versteckten Dateien anzeigen!

(auch wenn die "Wallpaper"- und die andere temporäre Datei gutartig sein sollte!)

Zitat:

C:\DOKUME~1\Admin\LOKALE~1\Temp\4ee50895-fec9-4468-af75-c3a977ba5ed8.tmp
C:\Programme\CoreDownload\CoreDownload Free Wallpaper Changer\CDWC.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Ela58 · 11.07.2008, 17:19

Sorry aber die Datei im Temp Ordner finde ich nicht, habe alles nach Anleitung gemacht.

Code:

ATTFilter

 Datei CDWC.exe empfangen 2008.07.11 18:14:59 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.7.11.0	2008.07.11	-
AntiVir	7.8.0.64	2008.07.11	-
Authentium	5.1.0.4	2008.07.10	-
Avast	4.8.1195.0	2008.07.11	-
AVG	7.5.0.516	2008.07.11	-
BitDefender	7.2	2008.07.11	-
CAT-QuickHeal	9.50	2008.07.11	-
ClamAV	0.93.1	2008.07.11	-
DrWeb	4.44.0.09170	2008.07.11	-
eSafe	7.0.17.0	2008.07.10	-
eTrust-Vet	31.6.5947	2008.07.11	-
Ewido	4.0	2008.07.11	-
F-Prot	4.4.4.56	2008.07.10	-
F-Secure	7.60.13501.0	2008.07.10	-
Fortinet	3.14.0.0	2008.07.11	-
GData	2.0.7306.1023	2008.07.11	-
Ikarus	T3.1.1.26.0	2008.07.11	-
Kaspersky	7.0.0.125	2008.07.11	-
McAfee	5336	2008.07.10	-
Microsoft	1.3704	2008.07.11	-
NOD32v2	3263	2008.07.11	-
Norman	5.80.02	2008.07.11	-
Panda	9.0.0.4	2008.07.11	-
Prevx1	V2	2008.07.11	-
Rising	20.52.41.00	2008.07.11	-
Sophos	4.31.0	2008.07.11	-
Sunbelt	3.1.1509.1	2008.07.04	-
Symantec	10	2008.07.11	-
TheHacker	6.2.96.376	2008.07.10	-
TrendMicro	8.700.0.1004	2008.07.11	-
VBA32	3.12.6.9	2008.07.11	-
VirusBuster	4.5.11.0	2008.07.11	-
Webwasher-Gateway	6.6.2	2008.07.11	-
weitere Informationen
File size: 1946624 bytes
MD5...: e65d7e11c005132ff114cbd483d6d1a6
SHA1..: 5b2827bb504d3f80a31fe3049897c07368130b80
SHA256: dd8ba953fd20df94d7bf0965c37e500d5f2d6cf0be9d65de1107c919eee416d4
SHA512: 1ca9c51a0ba84e1a8261cddf3137248c281d0d0f295ce62d76a267f437257f95
54fdcf239b387a0db793a609af9a67154dfc34e3b83207ef1b6fe27fd0fb898e
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4c71fc
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0xc63f4 0xc6400 6.53 99cbd98eacf4e43fd9764e06ea14cdb7
DATA 0xc8000 0x2368 0x2400 4.51 acb4d071cd9dfe4ccb0913dd4d7194a6
BSS 0xcb000 0xd65 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xcc000 0x2b22 0x2c00 4.99 40a423f91f72f4fe3ac035d0ed2dadd4
.tls 0xcf000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xd0000 0x18 0x200 0.19 808d84648616a96bee9eb9f04b4fce9e
.reloc 0xd1000 0xd390 0xd400 6.65 28f88f008f1c83835a84b114910bacfa
.rsrc 0xdf000 0x102600 0x102600 7.18 1487b71812d4b5c1c5649df772764845

( 20 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetTickCount, QueryPerformanceCounter, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, MoveFileA, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegFlushKey, RegDeleteValueA, RegCreateKeyExA, RegCloseKey
> kernel32.dll: lstrlenA, lstrcpyA, lstrcmpA, WritePrivateProfileStringA, WriteFile, WaitForSingleObject, WaitForMultipleObjects, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, SetCurrentDirectoryA, ResumeThread, ResetEvent, ReleaseMutex, ReadFile, MultiByteToWideChar, MulDiv, MoveFileA, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetWindowsDirectoryA, GetVersionExA, GetVersion, GetTickCount, GetThreadLocale, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProfileStringA, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeThread, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCurrentDirectoryA, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FindResourceA, FindNextFileA, FindNextChangeNotification, FindFirstFileA, FindFirstChangeNotificationA, FindCloseChangeNotification, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteFileA, DeleteCriticalSection, CreateThread, CreateMutexA, CreateFileA, CreateEventA, CopyFileA, CompareStringA, CloseHandle
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> gdi32.dll: UnrealizeObject, StretchDIBits, StretchBlt, StartPage, StartDocA, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetMapMode, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SetAbortProc, SelectPalette, SelectObject, SelectClipRgn, SaveDC, RestoreDC, Rectangle, RectVisible, RealizePalette, Polyline, PlayEnhMetaFile, PatBlt, MoveToEx, MaskBlt, LineTo, LineDDA, LPtoDP, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetRgnBox, GetPixel, GetPaletteEntries, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, GdiFlush, ExtTextOutA, ExcludeClipRect, EndPage, EndDoc, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreateRectRgn, CreatePenIndirect, CreatePen, CreatePalette, CreateICA, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateDCA, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, CombineRgn, BitBlt
> user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, ValidateRect, UpdateWindow, UnregisterHotKey, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterHotKey, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OpenClipboard, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessagePos, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDoubleClickTime, GetDlgItem, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetAsyncKeyState, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EnumClipboardFormats, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, CloseClipboard, ClientToScreen, ChildWindowFromPoint, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
> kernel32.dll: Sleep
> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
> ole32.dll: OleUninitialize, OleInitialize, CoTaskMemAlloc, CoCreateInstance, CoUninitialize, CoInitialize
> oleaut32.dll: GetErrorInfo, SysFreeString
> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_GetIcon, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls
> winspool.drv: OpenPrinterA, EnumPrintersA, DocumentPropertiesA, ClosePrinter
> shell32.dll: Shell_NotifyIconA, ShellExecuteExA, ShellExecuteA, SHGetFileInfoA, DragQueryFileA, DragFinish, DragAcceptFiles
> shell32.dll: SHGetSpecialFolderLocation, SHGetMalloc, SHGetDesktopFolder, SHChangeNotify
> comdlg32.dll: PrintDlgA, ChooseColorA, GetSaveFileNameA, GetOpenFileNameA
> winmm.dll: PlaySoundA

( 0 exports )

**Sunny** · 11.07.2008, 17:22

Versuch nochmal die Datei zu suchen hier auf unsere Server zu laden:

http://www.trojaner-board.de/54791-a...tml#post349565

Ela58 · 11.07.2008, 19:51

Ich hab dir jetzt mal einen Screenshot über euren Server geschickt, darauf siehst du das die Datei nicht vorhanden ist. Was kann ich noch tun?

Liebe Grüße von Michaela

**Sunny** · 11.07.2008, 23:42

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Ela58 · 12.07.2008, 10:50

Hallo Sunny,
hab alles befolgt hier die Ergebnisse:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 941
Windows 5.1.2600 Service Pack 2

08:59:55 Michaela 12.07.2008
mbam-log-7-12-2008 (08-59-55).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 189046
Scan Dauer: 45 minute(s), 21 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

und

Code:

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Samstag, 12. Juli 2008 11:40:24
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken: 12/07/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 842316
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\
	I:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 204318
	Viren gefunden: 1
	Infizierte Objekte gefunden: 6
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 02:24:01

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Admin\.rainlendar2\rainlendar2.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\brief.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\content-prefs.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\cookies.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\downloads.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\fastdial\fastdial.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\formhistory.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\permissions.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\places.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\places.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\places.sqlite-stmtjrnl	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\taboo\taboo.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\OfflineCache\index.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5yk4vy5x.default\urlclassifier3.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\etilqs_9y6iXZ4FdX5B7ZLGTUPY	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\etilqs_9y6iXZ4FdX5B7ZLGTUPY-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\ntuser.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudCgp1.zip	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentbm.zip	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Acronis\TrueImageHome\Logs\EE7C0E70-7BF6-42C7-A72E-B7CEE2F184FC.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\FRITZ!DSL\access\access.lock	Das Objekt ist gesperrt	übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\imzven.dll.vir	Infizierte Objekte: Trojan.Win32.Monder.gen	übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\inaackxs.dll.vir	Infizierte Objekte: Trojan.Win32.Monder.gen	übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\jncssm.dll.vir	Infizierte Objekte: Trojan.Win32.Monder.gen	übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\jramlkdv.dll.vir	Infizierte Objekte: Trojan.Win32.Monder.gen	übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\qskwbi.dll.vir	Infizierte Objekte: Trojan.Win32.Monder.gen	übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\wmwqvymy.dll.vir	Infizierte Objekte: Trojan.Win32.Monder.gen	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{B3EF8540-DC96-42AD-9C23-E6E90887EE3C}\RP54\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\MICHAELA.ldb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\ODiag.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\OSession.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\fidbox.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\fidbox.idx	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\TEMP\ZLT068c6.TMP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\TEMP\ZLT072a4.TMP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
I:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.

Liebe Grüße von Michaela

**Sunny** · 12.07.2008, 11:05

Na das sieht doch alles sehr gut aus

, wenn keine Probleme mehr bestehen sollte alles entfernt wurden sein.

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Ela58 · 12.07.2008, 11:33

Na da freu ich mich aber und bedanke mich bei dir recht herzlich für deine Hilfe.
Gut das es euch gibt, ihr macht einen super Job.

Liebe Grüße von Michaela

11.07.2008, 17:22	#7
Sunny Administrator > Competence Manager	Virtumonde --- brauche Hilfe Versuch nochmal die Datei zu suchen hier auf unsere Server zu laden: http://www.trojaner-board.de/54791-a...tml#post349565 __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

Virtumonde --- brauche Hilfe

Log-Analyse und Auswertung: Virtumonde --- brauche Hilfe