Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner Warnmeldungen/bekomme sie nicht weg!

Trojaner Warnmeldungen/bekomme sie nicht weg!


Log-Analyse und Auswertung: Trojaner Warnmeldungen/bekomme sie nicht weg!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 05.10.2008, 11:51   #1
Esca
 
Trojaner Warnmeldungen/bekomme sie nicht weg! - Standard

Trojaner Warnmeldungen/bekomme sie nicht weg!


Hallo.


Bekomme seit ein paar Tagen die Seurity Fehler meldungen über 5 verschiedene Trojaner.Mein Antivir kann aber nix mehr finden .

Trojan-Clicker.Win32.Tiny.h
Trojan-Spy.Win32.GreenScreen
Trojan-Spy.HTML.Bankfraud.dq
Trojan-Downloader.Win32.Agent.bq
Trojan-Spy.Win32.KeyLogger.aa

Mein System:


Amd Athlon 64 X2 Dual
Core Processor 5000+
2.60 GHz ,2GB RAM
Windows XP SP 3
Antivir Personal (neuster stand)


Hier ist meine Logfile:


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:36:07, on 05.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\netkbkfo.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
D:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxxxxx\Eigene Dateien\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxxxx://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxxxx://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxxxx://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxxxx://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [genenset] C:\WINDOWS\system32\netkbkfo.exe
O4 - HKLM\..\Policies\Explorer\Run: [kREesRnnFw] C:\Dokumente und Einstellungen\xxxxxx\Eigene Dateien\AdobeFlashPlayerExt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - xxxx://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208289888609
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - xxxxx://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O21 - SSODL: ActSys - {5F2CFF5D-40E0-7752-8EC6-00FECFD23B15} - C:\Programme\jgrfqbg\ActSys.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5113 bytes
Bin für jede Hilfe dankbar!

Alt 05.10.2008, 12:02   #2
Sunny
Administrator
> Competence Manager
 
Trojaner Warnmeldungen/bekomme sie nicht weg! - Standard

Trojaner Warnmeldungen/bekomme sie nicht weg!


★★★ Hallo Esca und ★★★




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\netkbkfo.exe
C:\Dokumente und Einstellungen\xxxxxx\Eigene Dateien\AdobeFlashPlayerExt.exe
C:\Programme\jgrfqbg\ActSys.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________
Alt 05.10.2008, 16:35   #3
Esca
 
Trojaner Warnmeldungen/bekomme sie nicht weg! - Standard

Trojaner Warnmeldungen/bekomme sie nicht weg!


Danke für die schnelle Hilfe.

Die Datei AdobeFlashPlayerExt.exe konnte ich nicht ausfindig machen.

Scan der Datei netkbkfo.exe :

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.10.3.2	2008.10.03	-
AntiVir	7.8.1.34	2008.10.04	-
Authentium	5.1.0.4	2008.10.05	-
Avast	4.8.1248.0	2008.10.04	Win32:PureMorph
AVG	8.0.0.161	2008.10.05	-
BitDefender	7.2	2008.10.05	-
CAT-QuickHeal	9.50	2008.10.04	Win32.Trojan.Obfuscated.gx.3
ClamAV	0.93.1	2008.10.04	-
DrWeb	4.44.0.09170	2008.10.05	-
eSafe	7.0.17.0	2008.10.02	-
eTrust-Vet	31.6.6129	2008.10.04	-
Ewido	4.0	2008.10.05	-
F-Prot	4.4.4.56	2008.10.05	-
Fortinet	3.113.0.0	2008.10.04	W32/PolySmall.BP!tr
GData	19	2008.10.05	Win32:PureMorph
Ikarus	T3.1.1.34.0	2008.10.05	-
K7AntiVirus	7.10.484	2008.10.04	-
Kaspersky	7.0.0.125	2008.10.05	Trojan.Win32.Obfuscated.gx
McAfee	5398	2008.10.04	-
Microsoft	1.4005	2008.10.05	Trojan:Win32/Busky.EI
NOD32	3495	2008.10.04	a variant of Win32/TrojanDownloader.FakeAlert.IQ
Norman	5.80.02	2008.10.03	-
Panda	9.0.0.4	2008.10.05	-
PCTools	4.4.2.0	2008.10.05	-
Prevx1	V2	2008.10.05	Fraudulent Security Program
Rising	20.63.62.00	2008.09.28	-
SecureWeb-Gateway	6.7.6	2008.10.05	-
Sophos	4.34.0	2008.10.05	Mal/EncPk-DG
Sunbelt	3.1.1675.1	2008.09.27	-
Symantec	10	2008.10.05	-
TheHacker	6.3.1.0.101	2008.10.04	-
TrendMicro	8.700.0.1004	2008.10.03	TROJ_OBFUSCA.BWA
VBA32	3.12.8.6	2008.10.04	-
ViRobot	2008.10.4.1406	2008.10.04	-
VirusBuster	4.5.11.0	2008.10.04	-
weitere Informationen
File size: 114688 bytes
MD5...: dfd399db62d17db5cc96e9289260bb64
SHA1..: 07a5b792c080b77111d98d0b5dfb4d6b6c04a8e3
SHA256: 9e76212d8f0eefb8ee445581f9814ca77d306ba6ffb095dd193092913e4848d7
SHA512: f17b06a9e103943c90d11ada0eddf01fab375685ece61969c5cc2b8c9d0b52e6
5e3417c5858f26bcb78add76046c39aa35dd3f851a8657eeb924396dd5722283
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ 5.0 (75.1%)
Win32 Executable Generic (10.5%)
Win32 Dynamic Link Library (generic) (9.3%)
Generic Win/DOS Executable (2.4%)
DOS Executable Generic (2.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401e95
timedatestamp.....: 0x48e4f095 (Thu Oct 02 16:02:29 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.bbnjg 0x1000 0x18fa4 0x19000 6.96 d55de59bccc9b186b3c372c1d264a16b
.hqrx 0x1a000 0x54c 0x1000 2.32 4a41d89a578a9a25ab4a62afa904c696
.mdgnwj 0x1b000 0x59c4 0x1000 0.56 acb47a3edf84b5bb69fdff7a72b0b771

( 2 imports )
> KERNEL32.dll: LoadResource, WaitForMultipleObjects, FindFirstFileW, FreeResource, ReadProcessMemory, ResumeThread, InterlockedDecrement, GetLastError, GetLogicalDrives, FindResourceW, LoadLibraryA, CancelWaitableTimer, GetLocalTime, SetThreadPriority, GlobalDeleteAtom, GetTickCount, GetProcAddress, GlobalFree, GetCurrentThread, CreateThread, GetPrivateProfileStringW, FreeLibrary, LoadLibraryW, DuplicateHandle, CreateProcessW, Sleep
> USER32.dll: RegisterHotKey, SetCapture, GetWindowThreadProcessId, LoadBitmapW, CreateWindowExW, LoadIconW, EndDialog, GetKeyState, FillRect, SetDlgItemTextW, DestroyIcon, GetWindowRect, IsDlgButtonChecked, SetCursorPos, DestroyMenu, DialogBoxParamW, ReleaseDC, RedrawWindow, PostMessageW, InvalidateRect, EnableWindow, GetParent, GetWindowTextW, TrackPopupMenu

( 0 exports )


Scan der Datei ActSys.dll :

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.10.3.2	2008.10.03	-
AntiVir	7.8.1.34	2008.10.04	-
Authentium	5.1.0.4	2008.10.05	-
Avast	4.8.1248.0	2008.10.04	Win32:PureMorph
AVG	8.0.0.161	2008.10.05	-
BitDefender	7.2	2008.10.05	-
CAT-QuickHeal	9.50	2008.10.04	-
ClamAV	0.93.1	2008.10.04	-
DrWeb	4.44.0.09170	2008.10.05	-
eSafe	7.0.17.0	2008.10.02	-
eTrust-Vet	31.6.6129	2008.10.04	-
Ewido	4.0	2008.10.05	-
F-Prot	4.4.4.56	2008.10.05	-
Fortinet	3.113.0.0	2008.10.04	-
GData	19	2008.10.05	Win32:PureMorph
Ikarus	T3.1.1.34.0	2008.10.05	-
K7AntiVirus	7.10.484	2008.10.04	-
Kaspersky	7.0.0.125	2008.10.05	Trojan.Win32.Obfuscated.gx
McAfee	5398	2008.10.04	-
Microsoft	1.4005	2008.10.05	-
NOD32	3495	2008.10.04	-
Norman	5.80.02	2008.10.03	-
Panda	9.0.0.4	2008.10.05	-
PCTools	4.4.2.0	2008.10.05	-
Rising	20.63.62.00	2008.09.28	-
SecureWeb-Gateway	6.7.6	2008.10.05	-
Sophos	4.34.0	2008.10.05	Mal/EncPk-DG
Sunbelt	3.1.1675.1	2008.09.27	Win32.HdrPatch.gen (v)
Symantec	10	2008.10.05	-
TheHacker	6.3.1.0.101	2008.10.04	-
TrendMicro	8.700.0.1004	2008.10.03	-
VBA32	3.12.8.6	2008.10.04	-
ViRobot	2008.10.4.1406	2008.10.04	-
VirusBuster	4.5.11.0	2008.10.04	-
weitere Informationen
File size: 147456 bytes
MD5...: 63e501e99211d0d0b31cadd0ee8a51a0
SHA1..: ddb286bbe043987940178cc3629cce165ee20b3e
SHA256: 6222b93c4269d840434353de84506770fc1a719048e782526eb08b9263e0b425
SHA512: 01d5c1b2ba489e88713c2801fd8503f19786dead7a80b14d41c25ef042175ecc
5215d476b30798a47f4b2e75d2347340d2329e5beb3b802da6fecadcc350ac02
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1001b738
timedatestamp.....: 0x48e4f0a1 (Thu Oct 02 16:02:41 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.nlke 0x1000 0x1e18c 0x1f000 6.88 73e83480c27da4700bbf9e613ef53b33
.qjgk 0x20000 0x3f1 0x1000 1.75 ff1756a0919be3fc039e370c6b6204f5
.wrevr 0x21000 0x1f60 0x1000 0.53 1e873d6869e5c5aa8bedd2a71d502ef5
.reloc 0x23000 0x196c 0x2000 5.97 4522b0768223a9941c9df49fab9b6cc2

( 1 imports )
> KERNEL32.dll: GetModuleFileNameW, MulDiv, GlobalLock, DeleteFileW, GlobalFree, GetPrivateProfileStringW, MultiByteToWideChar, FindResourceW, FreeLibrary, GetDriveTypeW, GetProcAddress, LoadResource, FindFirstChangeNotificationW, GlobalDeleteAtom, TerminateThread, CancelWaitableTimer, FindResourceExW, WriteFile, GetFileSize, VirtualAlloc, LoadLibraryA, ResetEvent, FindFirstFileW, GlobalAlloc, CreateEventW, LockResource, VirtualFree, ReadFile, WaitForMultipleObjects, SetWaitableTimer, ResumeThread

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Combofix log :

Code:
ATTFilter
ComboFix 08-10-04.07 - xxxxxxx 2008-10-05 15:55:53.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1648 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))
.

2008-10-05 15:46 . 2008-10-05 15:46	<DIR>	d--------	C:\Programme\CCleaner
2008-10-05 12:22 . 2008-10-05 12:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-05 12:21 . 2008-10-05 12:22	<DIR>	d--------	C:\Programme\SUPERAntiSpyware
2008-10-05 12:21 . 2008-10-05 12:21	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-03 13:49 . 2008-10-03 13:49	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxx\ntsvcfg
2008-10-02 23:20 . 2008-10-03 01:12	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxx\.housecall6.6
2008-10-02 22:20 . 2008-10-02 22:20	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MicroWorld
2008-10-02 22:20 . 2008-04-14 04:22	153,600	--a------	C:\WINDOWS\R.COM
2008-10-02 22:20 . 2008-04-14 04:23	140,800	--a------	C:\WINDOWS\system32\T.COM
2008-10-02 20:40 . 2008-10-02 20:40	<DIR>	d--------	C:\Programme\jgrfqbg
2008-10-02 20:40 . 2008-10-02 20:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\nuforwpq
2008-10-02 20:40 . 2008-10-02 20:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\hopgrqna
2008-10-02 20:40 . 2008-10-02 20:40	114,688	---------	C:\WINDOWS\system32\netkbkfo.exe
2008-09-29 19:10 . 2008-09-29 19:10	<DIR>	d--------	C:\Programme\Curse
2008-09-27 21:16 . 2008-09-27 21:16	<DIR>	d--------	C:\WINDOWS\system32\AGEIA
2008-09-27 21:16 . 2008-09-27 21:18	<DIR>	d--------	C:\WINDOWS\NV16481768.TMP
2008-09-27 21:16 . 2008-09-27 21:16	<DIR>	d--------	C:\Programme\AGEIA Technologies
2008-09-27 21:10 . 2008-07-12 08:18	3,851,784	--a------	C:\WINDOWS\system32\D3DX9_39.dll
2008-09-27 21:10 . 2008-07-12 08:18	1,493,528	--a------	C:\WINDOWS\system32\D3DCompiler_39.dll
2008-09-27 21:10 . 2008-07-31 10:40	509,448	--a------	C:\WINDOWS\system32\XAudio2_2.dll
2008-09-27 21:10 . 2008-07-12 08:18	467,984	--a------	C:\WINDOWS\system32\d3dx10_39.dll
2008-09-27 21:10 . 2008-07-31 10:41	238,088	--a------	C:\WINDOWS\system32\xactengine3_2.dll
2008-09-27 21:10 . 2008-07-31 10:41	68,616	--a------	C:\WINDOWS\system32\XAPOFX1_1.dll
2008-09-19 22:21 . 2008-09-19 22:21	<DIR>	d--------	C:\WINDOWS\Logs
2008-09-10 09:12 . 2008-09-10 09:12	<DIR>	d--------	C:\WINDOWS\Sun
2008-09-10 09:12 . 2008-09-10 09:12	<DIR>	d--------	C:\Programme\Sun
2008-09-10 09:11 . 2008-09-10 09:11	<DIR>	d--------	C:\Programme\Java
2008-09-10 09:11 . 2008-09-10 09:11	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Java
2008-09-10 09:11 . 2008-06-10 02:32	73,728	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-09-08 19:05 . 2008-09-08 19:05	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Apple Computer
2008-09-08 19:04 . 2008-09-08 19:05	<DIR>	d--------	C:\Programme\QuickTime
2008-09-08 19:04 . 2008-09-08 19:04	<DIR>	d--------	C:\Programme\iTunes
2008-09-08 19:03 . 2008-09-08 19:04	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2008-09-08 19:02 . 2008-09-08 19:02	<DIR>	d--------	C:\Programme\iPod
2008-09-08 19:02 . 2004-12-18 20:32	38,229	---------	C:\WINDOWS\system32\drivers\StMp3Rec.sys
2008-09-08 18:59 . 2008-09-08 19:02	<DIR>	d--------	C:\WINDOWS\Downloaded Installations

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 10:21	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-04 21:38	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\teamspeak2
2008-09-16 19:27	453,152	----a-w	C:\WINDOWS\system32\nvuninst.exe
2008-09-06 18:21	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-09-04 07:31	288,024	----a-w	C:\WINDOWS\system32\PhysXCplUI.exe
2008-08-29 06:57	70,936	----a-w	C:\WINDOWS\system32\PhysXLoader.dll
2008-08-16 18:49	---------	d-----w	C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\CyberLink
2008-08-16 18:49	---------	d-----w	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\CyberLink
2008-08-16 18:48	---------	d-----w	C:\Programme\Gemeinsame Dateien\CyberLink
2008-08-16 18:47	505,128	----a-w	C:\WINDOWS\system32\msvcp71.dll
2008-08-16 18:47	29,480	----a-w	C:\WINDOWS\system32\msxml3a.dll
2008-08-16 18:47	---------	d-----w	C:\Programme\CyberLink
2008-08-16 18:29	---------	d-----w	C:\Programme\DivX
2008-08-12 19:53	---------	d-----w	C:\Programme\World of Warcraft
2008-08-10 16:11	---------	d-----w	C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-07-25 08:36	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:48	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:26	253,952	----a-w	C:\WINDOWS\system32\es.dll
.

(((((((((((((((((((((((((((((   snapshot@2008-10-05_12.01.04.67   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-05 10:22:05	34,304	----a-r	C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF1.exe
- 2008-10-05 09:25:06	72,490	----a-w	C:\WINDOWS\system32\perfc007.dat
+ 2008-10-05 10:16:34	72,490	----a-w	C:\WINDOWS\system32\perfc007.dat
- 2008-10-05 09:25:06	59,780	----a-w	C:\WINDOWS\system32\perfc009.dat
+ 2008-10-05 10:16:34	59,780	----a-w	C:\WINDOWS\system32\perfc009.dat
- 2008-10-05 09:25:06	411,266	----a-w	C:\WINDOWS\system32\perfh007.dat
+ 2008-10-05 10:16:34	411,266	----a-w	C:\WINDOWS\system32\perfh007.dat
- 2008-10-05 09:25:06	397,560	----a-w	C:\WINDOWS\system32\perfh009.dat
+ 2008-10-05 10:16:34	397,560	----a-w	C:\WINDOWS\system32\perfh009.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"genenset"="C:\WINDOWS\system32\netkbkfo.exe" [2008-10-02 114688]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinSys2"="C:\WINDOWS\System32\winsys2.exe" [2007-10-30 208896]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-09-17 13574144]
"RemoteControl8"="C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="C:\Programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2005-12-20 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-09-08 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-09-17 86016]
"nwiz"="nwiz.exe" [2008-09-17 C:\WINDOWS\system32\nwiz.exe]
"P17Helper"="P17.dll" [2005-05-03 C:\WINDOWS\system32\P17.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ActSys"= {5F2CFF5D-40E0-7752-8EC6-00FECFD23B15} - C:\Programme\jgrfqbg\ActSys.dll [2008-10-02 147456]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-04-16 23:41 1271032 C:\Programme\Valve\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 20:49 36352 C:\Programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\xxxxxxxxxe\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\xxxxxxxxxxxx\\counter-strike\\hl.exe"=
"C:\\Dokumente und Einstellungen\\xxxxxx\\Eigene Dateien\\WAR Europe Downloader.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Curse\\CurseClient.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-01-21 41792]

*Newly Created Service* - SASDIFSV
*Newly Created Service* - SASENUM
*Newly Created Service* - SASKUTIL
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, xxxxxx://www.gmer.net
Rootkit scan 2008-10-05 15:57:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-05 15:59:21
ComboFix-quarantined-files.txt  2008-10-05 13:59:05

Vor Suchlauf: 9.312.657.408 Bytes frei
Nach Suchlauf: 9,301,712,896 Bytes frei

154	--- E O F ---	2008-09-10 07:10:10
__________________
Alt 05.10.2008, 17:31   #4
Esca
 
Trojaner Warnmeldungen/bekomme sie nicht weg! - Standard

Trojaner Warnmeldungen/bekomme sie nicht weg!


Sehe grade das in der ersten HJT Log die Datei vorhanden ist Adobe.. .
Da ich sie so wie ich glaube gelöscht habe.
Habe nochmal HJL laufen lassen und die Datei halt nicht mehr gefunden.

Schicke nochmal eine aktuelle Log nach :

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:31, on 05.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
d:\Warhammer Online - Age of Reckoning\WAR.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxxxx://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxxxxx://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxxxxx://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxxxxx://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [genenset] C:\WINDOWS\system32\netkbkfo.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - xxxxxxx://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208289888609
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - xxxxxx://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O21 - SSODL: ActSys - {5F2CFF5D-40E0-7752-8EC6-00FECFD23B15} - C:\Programme\jgrfqbg\ActSys.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4942 bytes

Alt 05.10.2008, 17:45   #5
Sunny
Administrator
> Competence Manager
 
Trojaner Warnmeldungen/bekomme sie nicht weg! - Standard

Trojaner Warnmeldungen/bekomme sie nicht weg!


Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"genenset"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinSys2"=-

FILE::
C:\WINDOWS\system32\netkbkfo.exe
C:\WINDOWS\System32\winsys2.exe
C:\Programme\jgrfqbg\ActSys.dll

DIRLOOK::
C:\WINDOWS\NV16481768.TMP

FOLDER::
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\nuforwpq
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\hopgrqna
C:\Programme\jgrfqbg
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann




Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 05.10.2008, 22:13   #6
Esca
 
Trojaner Warnmeldungen/bekomme sie nicht weg! - Standard

Trojaner Warnmeldungen/bekomme sie nicht weg!


Hier ist die neue Combofix Log:

Code:
ATTFilter
ComboFix 08-10-04.07 - xxxxx 2008-10-05 19:20:30.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1654 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxxx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\xxxxxxx\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\Programme\jgrfqbg\ActSys.dll
C:\WINDOWS\system32\netkbkfo.exe
C:\WINDOWS\System32\WinSys2.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\hopgrqna
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\nuforwpq
C:\Programme\jgrfqbg
C:\Programme\jgrfqbg\ActSys.dll
C:\WINDOWS\system32\netkbkfo.exe
C:\WINDOWS\System32\WinSys2.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))
.

2008-10-05 15:46 . 2008-10-05 15:46	<DIR>	d--------	C:\Programme\CCleaner
2008-10-05 12:22 . 2008-10-05 12:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-05 12:21 . 2008-10-05 12:22	<DIR>	d--------	C:\Programme\SUPERAntiSpyware
2008-10-05 12:21 . 2008-10-05 12:21	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-03 13:49 . 2008-10-03 13:49	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxxx\ntsvcfg
2008-10-02 23:20 . 2008-10-03 01:12	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxxx\.housecall6.6
2008-10-02 22:20 . 2008-10-02 22:20	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MicroWorld
2008-10-02 22:20 . 2008-04-14 04:22	153,600	--a------	C:\WINDOWS\R.COM
2008-10-02 22:20 . 2008-04-14 04:23	140,800	--a------	C:\WINDOWS\system32\T.COM
2008-09-29 19:10 . 2008-09-29 19:10	<DIR>	d--------	C:\Programme\Curse
2008-09-27 21:16 . 2008-09-27 21:16	<DIR>	d--------	C:\WINDOWS\system32\AGEIA
2008-09-27 21:16 . 2008-09-27 21:18	<DIR>	d--------	C:\WINDOWS\NV16481768.TMP
2008-09-27 21:16 . 2008-09-27 21:16	<DIR>	d--------	C:\Programme\AGEIA Technologies
2008-09-27 21:10 . 2008-07-12 08:18	3,851,784	--a------	C:\WINDOWS\system32\D3DX9_39.dll
2008-09-27 21:10 . 2008-07-12 08:18	1,493,528	--a------	C:\WINDOWS\system32\D3DCompiler_39.dll
2008-09-27 21:10 . 2008-07-31 10:40	509,448	--a------	C:\WINDOWS\system32\XAudio2_2.dll
2008-09-27 21:10 . 2008-07-12 08:18	467,984	--a------	C:\WINDOWS\system32\d3dx10_39.dll
2008-09-27 21:10 . 2008-07-31 10:41	238,088	--a------	C:\WINDOWS\system32\xactengine3_2.dll
2008-09-27 21:10 . 2008-07-31 10:41	68,616	--a------	C:\WINDOWS\system32\XAPOFX1_1.dll
2008-09-19 22:21 . 2008-09-19 22:21	<DIR>	d--------	C:\WINDOWS\Logs
2008-09-10 09:12 . 2008-09-10 09:12	<DIR>	d--------	C:\WINDOWS\Sun
2008-09-10 09:12 . 2008-09-10 09:12	<DIR>	d--------	C:\Programme\Sun
2008-09-10 09:11 . 2008-09-10 09:11	<DIR>	d--------	C:\Programme\Java
2008-09-10 09:11 . 2008-09-10 09:11	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Java
2008-09-10 09:11 . 2008-06-10 02:32	73,728	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-09-08 19:05 . 2008-09-08 19:05	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Apple Computer
2008-09-08 19:04 . 2008-09-08 19:05	<DIR>	d--------	C:\Programme\QuickTime
2008-09-08 19:04 . 2008-09-08 19:04	<DIR>	d--------	C:\Programme\iTunes
2008-09-08 19:03 . 2008-09-08 19:04	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2008-09-08 19:02 . 2008-09-08 19:02	<DIR>	d--------	C:\Programme\iPod
2008-09-08 19:02 . 2004-12-18 20:32	38,229	---------	C:\WINDOWS\system32\drivers\StMp3Rec.sys
2008-09-08 18:59 . 2008-09-08 19:02	<DIR>	d--------	C:\WINDOWS\Downloaded Installations

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 10:21	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-04 21:38	---------	d-----w	C:\Dokumente und Einstellungen\xxxxxxxx\Anwendungsdaten\teamspeak2
2008-09-16 19:27	453,152	----a-w	C:\WINDOWS\system32\nvuninst.exe
2008-09-06 18:21	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-09-04 07:31	288,024	----a-w	C:\WINDOWS\system32\PhysXCplUI.exe
2008-08-29 06:57	70,936	----a-w	C:\WINDOWS\system32\PhysXLoader.dll
2008-08-16 18:49	---------	d-----w	C:\Dokumente und Einstellungen\xxxxxxxx\Anwendungsdaten\CyberLink
2008-08-16 18:49	---------	d-----w	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\CyberLink
2008-08-16 18:48	---------	d-----w	C:\Programme\Gemeinsame Dateien\CyberLink
2008-08-16 18:47	505,128	----a-w	C:\WINDOWS\system32\msvcp71.dll
2008-08-16 18:47	29,480	----a-w	C:\WINDOWS\system32\msxml3a.dll
2008-08-16 18:47	---------	d-----w	C:\Programme\CyberLink
2008-08-16 18:29	---------	d-----w	C:\Programme\DivX
2008-08-12 19:53	---------	d-----w	C:\Programme\World of Warcraft
2008-08-10 16:11	---------	d-----w	C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-07-25 08:36	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:48	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:26	253,952	----a-w	C:\WINDOWS\system32\es.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\WINDOWS\NV16481768.TMP ----

2008-09-17 09:55	60357	--a------	C:\WINDOWS\NV16481768.TMP\nvmobjpn.chm 
2008-09-17 09:55	59261	--a------	C:\WINDOWS\NV16481768.TMP\nvmobcht.chm 
2008-09-17 09:55	59225	--a------	C:\WINDOWS\NV16481768.TMP\nvmobtha.chm 
2008-09-17 09:55	59100	--a------	C:\WINDOWS\NV16481768.TMP\nvmobell.chm 
2008-09-17 09:55	59061	--a------	C:\WINDOWS\NV16481768.TMP\nvmobkor.chm 
2008-09-17 09:55	58607	--a------	C:\WINDOWS\NV16481768.TMP\nvmobchs.chm 
2008-09-17 09:55	58340	--a------	C:\WINDOWS\NV16481768.TMP\nvmobheb.chm 
2008-09-17 09:55	57545	--a------	C:\WINDOWS\NV16481768.TMP\nvmobsky.chm 
2008-09-17 09:55	57512	--a------	C:\WINDOWS\NV16481768.TMP\nvmobhun.chm 
2008-09-17 09:55	57450	--a------	C:\WINDOWS\NV16481768.TMP\nvmobtrk.chm 
2008-09-17 09:55	57387	--a------	C:\WINDOWS\NV16481768.TMP\nvmobcsy.chm 
2008-09-17 09:55	57380	--a------	C:\WINDOWS\NV16481768.TMP\nvmobslv.chm 
2008-09-17 09:55	57376	--a------	C:\WINDOWS\NV16481768.TMP\nvmobplk.chm 
2008-09-17 09:55	57339	--a------	C:\WINDOWS\NV16481768.TMP\nvmobrus.chm 
2008-09-17 09:55	57328	--a------	C:\WINDOWS\NV16481768.TMP\nvmobara.chm 
2008-09-17 09:55	56934	--a------	C:\WINDOWS\NV16481768.TMP\nvmobfin.chm 
2008-09-17 09:55	56175	--a------	C:\WINDOWS\NV16481768.TMP\nvmobita.chm 
2008-09-17 09:55	56087	--a------	C:\WINDOWS\NV16481768.TMP\nvmobfra.chm 
2008-09-17 09:55	56087	--a------	C:\WINDOWS\NV16481768.TMP\nvmobdeu.chm 
2008-09-17 09:55	55992	--a------	C:\WINDOWS\NV16481768.TMP\nvmobesm.chm 
2008-09-17 09:55	55946	--a------	C:\WINDOWS\NV16481768.TMP\nvmobptb.chm 
2008-09-17 09:55	55845	--a------	C:\WINDOWS\NV16481768.TMP\nvmobptg.chm 
2008-09-17 09:55	55693	--a------	C:\WINDOWS\NV16481768.TMP\nvmobsve.chm 
2008-09-17 09:55	55669	--a------	C:\WINDOWS\NV16481768.TMP\nvmobesn.chm 
2008-09-17 09:55	55622	--a------	C:\WINDOWS\NV16481768.TMP\nvmobdan.chm 
2008-09-17 09:55	55525	--a------	C:\WINDOWS\NV16481768.TMP\nvmobnor.chm 
2008-09-17 09:55	55475	--a------	C:\WINDOWS\NV16481768.TMP\nvmobnld.chm 
2008-09-17 09:55	55103	--a------	C:\WINDOWS\NV16481768.TMP\nvmobeng.chm 
2008-09-17 09:55	54988	--a------	C:\WINDOWS\NV16481768.TMP\nvmob.chm 
2008-09-17 09:55	249639	--a------	C:\WINDOWS\NV16481768.TMP\nvdspjpn.chm 
2008-09-17 09:55	230922	--a------	C:\WINDOWS\NV16481768.TMP\nvdspcht.chm 
2008-09-17 09:55	225743	--a------	C:\WINDOWS\NV16481768.TMP\nvdspkor.chm 
2008-09-17 09:55	223246	--a------	C:\WINDOWS\NV16481768.TMP\nvdspsky.chm 
2008-09-17 09:55	222783	--a------	C:\WINDOWS\NV16481768.TMP\nvdspchs.chm 
2008-09-17 09:55	221912	--a------	C:\WINDOWS\NV16481768.TMP\nvdsptha.chm 
2008-09-17 09:55	219118	--a------	C:\WINDOWS\NV16481768.TMP\nvdspell.chm 
2008-09-17 09:55	215972	--a------	C:\WINDOWS\NV16481768.TMP\nvdsprus.chm 
2008-09-17 09:55	213058	--a------	C:\WINDOWS\NV16481768.TMP\nvdspplk.chm 
2008-09-17 09:55	212300	--a------	C:\WINDOWS\NV16481768.TMP\nvdsptrk.chm 
2008-09-17 09:55	211948	--a------	C:\WINDOWS\NV16481768.TMP\nvdspheb.chm 
2008-09-17 09:55	210653	--a------	C:\WINDOWS\NV16481768.TMP\nvdspslv.chm 
2008-09-17 09:55	208678	--a------	C:\WINDOWS\NV16481768.TMP\nvdsphun.chm 
2008-09-17 09:55	206378	--a------	C:\WINDOWS\NV16481768.TMP\nvdspcsy.chm 
2008-09-17 09:55	205198	--a------	C:\WINDOWS\NV16481768.TMP\nvdspsve.chm 
2008-09-17 09:55	203473	--a------	C:\WINDOWS\NV16481768.TMP\nvdspara.chm 
2008-09-17 09:55	201421	--a------	C:\WINDOWS\NV16481768.TMP\nvdspfin.chm 
2008-09-17 09:55	199168	--a------	C:\WINDOWS\NV16481768.TMP\nvdspdeu.chm 
2008-09-17 09:55	198528	--a------	C:\WINDOWS\NV16481768.TMP\nvdspita.chm 
2008-09-17 09:55	197650	--a------	C:\WINDOWS\NV16481768.TMP\nvdspnld.chm 
2008-09-17 09:55	197530	--a------	C:\WINDOWS\NV16481768.TMP\nvdspptg.chm 
2008-09-17 09:55	196621	--a------	C:\WINDOWS\NV16481768.TMP\nvdspesm.chm 
2008-09-17 09:55	195174	--a------	C:\WINDOWS\NV16481768.TMP\nvdspptb.chm 
2008-09-17 09:55	193149	--a------	C:\WINDOWS\NV16481768.TMP\nvdspesn.chm 
2008-09-17 09:55	192535	--a------	C:\WINDOWS\NV16481768.TMP\nvdspnor.chm 
2008-09-17 09:55	191154	--a------	C:\WINDOWS\NV16481768.TMP\nvdspfra.chm 
2008-09-17 09:55	190931	--a------	C:\WINDOWS\NV16481768.TMP\nvdspdan.chm 
2008-09-17 09:55	186185	--a------	C:\WINDOWS\NV16481768.TMP\nvdsp.chm 
2008-09-17 09:55	184658	--a------	C:\WINDOWS\NV16481768.TMP\nvdspeng.chm 
2008-09-17 09:55	144421	--a------	C:\WINDOWS\NV16481768.TMP\nv3djpn.chm 
2008-09-17 09:55	139792	--a------	C:\WINDOWS\NV16481768.TMP\nv3dcht.chm 
2008-09-17 09:55	137045	--a------	C:\WINDOWS\NV16481768.TMP\nv3dtha.chm 
2008-09-17 09:55	134133	--a------	C:\WINDOWS\NV16481768.TMP\nv3dchs.chm 
2008-09-17 09:55	133761	--a------	C:\WINDOWS\NV16481768.TMP\nv3dtrk.chm 
2008-09-17 09:55	132251	--a------	C:\WINDOWS\NV16481768.TMP\nv3dkor.chm 
2008-09-17 09:55	132088	--a------	C:\WINDOWS\NV16481768.TMP\nv3dheb.chm 
2008-09-17 09:55	131422	--a------	C:\WINDOWS\NV16481768.TMP\nv3dell.chm 
2008-09-17 09:55	131070	--a------	C:\WINDOWS\NV16481768.TMP\nv3dhun.chm 
2008-09-17 09:55	130245	--a------	C:\WINDOWS\NV16481768.TMP\nv3dplk.chm 
2008-09-17 09:55	129704	--a------	C:\WINDOWS\NV16481768.TMP\nvcpljpn.chm 
2008-09-17 09:55	129550	--a------	C:\WINDOWS\NV16481768.TMP\nv3dptg.chm 
2008-09-17 09:55	129499	--a------	C:\WINDOWS\NV16481768.TMP\nv3dsky.chm 
2008-09-17 09:55	128958	--a------	C:\WINDOWS\NV16481768.TMP\nv3dcsy.chm 
2008-09-17 09:55	128913	--a------	C:\WINDOWS\NV16481768.TMP\nv3dslv.chm 
2008-09-17 09:55	128544	--a------	C:\WINDOWS\NV16481768.TMP\nv3dara.chm 
2008-09-17 09:55	128148	--a------	C:\WINDOWS\NV16481768.TMP\nvcpltha.chm 
2008-09-17 09:55	126976	--a------	C:\WINDOWS\NV16481768.TMP\nv3drus.chm 
2008-09-17 09:55	126892	--a------	C:\WINDOWS\NV16481768.TMP\nvcpltrk.chm 
2008-09-17 09:55	126670	--a------	C:\WINDOWS\NV16481768.TMP\nvcplell.chm 
2008-09-17 09:55	126196	--a------	C:\WINDOWS\NV16481768.TMP\nvcplheb.chm 
2008-09-17 09:55	126105	--a------	C:\WINDOWS\NV16481768.TMP\nvcplsky.chm 
2008-09-17 09:55	125735	--a------	C:\WINDOWS\NV16481768.TMP\nvcplara.chm 
2008-09-17 09:55	125552	--a------	C:\WINDOWS\NV16481768.TMP\nvcplhun.chm 
2008-09-17 09:55	125181	--a------	C:\WINDOWS\NV16481768.TMP\nvcplrus.chm 
2008-09-17 09:55	124964	--a------	C:\WINDOWS\NV16481768.TMP\nvcplslv.chm 
2008-09-17 09:55	124817	--a------	C:\WINDOWS\NV16481768.TMP\nvcplcht.chm 
2008-09-17 09:55	124741	--a------	C:\WINDOWS\NV16481768.TMP\nvcplkor.chm 
2008-09-17 09:55	124738	--a------	C:\WINDOWS\NV16481768.TMP\nvcplesn.chm 
2008-09-17 09:55	124590	--a------	C:\WINDOWS\NV16481768.TMP\nvcpldeu.chm 
2008-09-17 09:55	124544	--a------	C:\WINDOWS\NV16481768.TMP\nvcplfin.chm 
2008-09-17 09:55	124278	--a------	C:\WINDOWS\NV16481768.TMP\nv3dfin.chm 
2008-09-17 09:55	124229	--a------	C:\WINDOWS\NV16481768.TMP\nvcplchs.chm 
2008-09-17 09:55	124148	--a------	C:\WINDOWS\NV16481768.TMP\nvcplita.chm 
2008-09-17 09:55	124138	--a------	C:\WINDOWS\NV16481768.TMP\nvcplesm.chm 
2008-09-17 09:55	124078	--a------	C:\WINDOWS\NV16481768.TMP\nvcplptb.chm 
2008-09-17 09:55	124067	--a------	C:\WINDOWS\NV16481768.TMP\nvcplcsy.chm 
2008-09-17 09:55	124044	--a------	C:\WINDOWS\NV16481768.TMP\nvcplptg.chm 
2008-09-17 09:55	124019	--a------	C:\WINDOWS\NV16481768.TMP\nvcplplk.chm 
2008-09-17 09:55	123526	--a------	C:\WINDOWS\NV16481768.TMP\nv3ddeu.chm 
2008-09-17 09:55	122675	--a------	C:\WINDOWS\NV16481768.TMP\nvcplsve.chm 
2008-09-17 09:55	122227	--a------	C:\WINDOWS\NV16481768.TMP\nvcplfra.chm 
2008-09-17 09:55	122193	--a------	C:\WINDOWS\NV16481768.TMP\nvcplnld.chm 
2008-09-17 09:55	121758	--a------	C:\WINDOWS\NV16481768.TMP\nvcpleng.chm 
2008-09-17 09:55	121529	--a------	C:\WINDOWS\NV16481768.TMP\nvcpl.chm 
2008-09-17 09:55	121053	--a------	C:\WINDOWS\NV16481768.TMP\nv3dita.chm 
2008-09-17 09:55	120933	--a------	C:\WINDOWS\NV16481768.TMP\nvcpldan.chm 
2008-09-17 09:55	120026	--a------	C:\WINDOWS\NV16481768.TMP\nvcplnor.chm 
2008-09-17 09:55	119706	--a------	C:\WINDOWS\NV16481768.TMP\nv3dnor.chm 
2008-09-17 09:55	119315	--a------	C:\WINDOWS\NV16481768.TMP\nv3dfra.chm 
2008-09-17 09:55	118926	--a------	C:\WINDOWS\NV16481768.TMP\nv3ddan.chm 
2008-09-17 09:55	118734	--a------	C:\WINDOWS\NV16481768.TMP\nv3dsve.chm 
2008-09-17 09:55	118608	--a------	C:\WINDOWS\NV16481768.TMP\nv3desm.chm 
2008-09-17 09:55	118410	--a------	C:\WINDOWS\NV16481768.TMP\nv3dptb.chm 
2008-09-17 09:55	118401	--a------	C:\WINDOWS\NV16481768.TMP\nv3dnld.chm 
2008-09-17 09:55	117909	--a------	C:\WINDOWS\NV16481768.TMP\nv3desn.chm 
2008-09-17 09:55	117083	--a------	C:\WINDOWS\NV16481768.TMP\nv3deng.chm 
2008-09-17 09:55	116384	--a------	C:\WINDOWS\NV16481768.TMP\nv3d.chm 


(((((((((((((((((((((((((((((   snapshot@2008-10-05_12.01.04.67   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-05 10:22:05	34,304	----a-r	C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF1.exe
- 2008-10-05 09:25:06	72,490	----a-w	C:\WINDOWS\system32\perfc007.dat
+ 2008-10-05 10:16:34	72,490	----a-w	C:\WINDOWS\system32\perfc007.dat
- 2008-10-05 09:25:06	59,780	----a-w	C:\WINDOWS\system32\perfc009.dat
+ 2008-10-05 10:16:34	59,780	----a-w	C:\WINDOWS\system32\perfc009.dat
- 2008-10-05 09:25:06	411,266	----a-w	C:\WINDOWS\system32\perfh007.dat
+ 2008-10-05 10:16:34	411,266	----a-w	C:\WINDOWS\system32\perfh007.dat
- 2008-10-05 09:25:06	397,560	----a-w	C:\WINDOWS\system32\perfh009.dat
+ 2008-10-05 10:16:34	397,560	----a-w	C:\WINDOWS\system32\perfh009.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-09-17 13574144]
"RemoteControl8"="C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="C:\Programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2005-12-20 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-09-08 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-09-17 86016]
"nwiz"="nwiz.exe" [2008-09-17 C:\WINDOWS\system32\nwiz.exe]
"P17Helper"="P17.dll" [2005-05-03 C:\WINDOWS\system32\P17.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-04-16 23:41 1271032 C:\Programme\Valve\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 20:49 36352 C:\Programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\xxxxxxxxxxxxx\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\xxxxxxxxxxxxxx\\counter-strike\\hl.exe"=
"C:\\Dokumente und Einstellungen\\xxxxxxxx\\Eigene Dateien\\WAR Europe Downloader.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Curse\\CurseClient.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-01-21 41792]

*Newly Created Service* - SASDIFSV
*Newly Created Service* - SASENUM
*Newly Created Service* - SASKUTIL
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SSODL-ActSys-{5F2CFF5D-40E0-7752-8EC6-00FECFD23B15} - C:\Programme\jgrfqbg\ActSys.dll



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, xxxxxx://www.gmer.net
Rootkit scan 2008-10-05 19:23:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


C:\DOKUME~1\xxxxxxxxxxx\LOKALE~1\Temp\RGI1D.tmp

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-05 19:25:33
ComboFix-quarantined-files.txt  2008-10-05 17:25:20
ComboFix2.txt  2008-10-05 13:59:22

Vor Suchlauf: 9.277.927.424 Bytes frei
Nach Suchlauf: 9,276,325,888 Bytes frei

279	--- E O F ---	2008-09-10 07:10:10

Alt 05.10.2008, 22:15   #7
Esca
 
Trojaner Warnmeldungen/bekomme sie nicht weg! - Standard

Trojaner Warnmeldungen/bekomme sie nicht weg!


Und hier die Kaspersky Log :

Code:
ATTFilter
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Sonntag, 5. Oktober 2008 22:57:03
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken:  5/10/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 1155447
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 151614
	Viren gefunden: 1
	Infizierte Objekte gefunden: 5
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 02:43:14

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\0ff4f92981ba382428cef66ee7439a6e_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\3c35c9cfd06e146b2890c64fd6dec9f1_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\49e1772e0458dd2840565b126859c386_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\8272304b848ddde3fe4367233d2dfeb5_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\dcff16beca459ea238b0c8407135663e_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\fb9d9db50117e90ced3a373c0f4a7e2c_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxx\.housecall6.6\Quarantine\netkbkfo.exe.bac_a02924	Infizierte Objekte: Trojan.Win32.Obfuscated.gx	übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\formhistory.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\history.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\urlclassifier2.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxxx\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxx\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxxxxxxx\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\QooBox\Quarantine\C\Programme\jgrfqbg\ActSys.dll.vir	Infizierte Objekte: Trojan.Win32.Obfuscated.gx	übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\netkbkfo.exe.vir	Infizierte Objekte: Trojan.Win32.Obfuscated.gx	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{56C4295A-0B8F-40D2-96F4-3461B40743B1}\RP121\A0030900.dll	Infizierte Objekte: Trojan.Win32.Obfuscated.gx	übersprungen
C:\System Volume Information\_restore{56C4295A-0B8F-40D2-96F4-3461B40743B1}\RP121\A0030901.exe	Infizierte Objekte: Trojan.Win32.Obfuscated.gx	übersprungen
C:\System Volume Information\_restore{56C4295A-0B8F-40D2-96F4-3461B40743B1}\RP121\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\_restore{56C4295A-0B8F-40D2-96F4-3461B40743B1}\RP121\change.log	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\callcont.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\cmdevtgprov.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\evtgprov.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\gdi32.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\h323.tsp	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\h323msp.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\helpctr.exe	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\mf3216.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\msasn1.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\msgina.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\mst120.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\netapi32.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\nmcom.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll	Das Objekt ist gesperrt	übersprungen
D:\WINDOWS\$NtUninstallKB835732$\schannel.dll	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.

Antwort

Themen zu Trojaner Warnmeldungen/bekomme sie nicht weg!
antivir, antivirus, avg, avira, bho, computer, dateien, dll, einstellungen, explorer, fehler, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft, mozilla, programme, rundll, software, system, trojaner, windows xp sp3, xp sp3


« INTERNET langsam! | Einträge lassen sich nciht löschen! virusgefahr! »


Ähnliche Themen: Trojaner Warnmeldungen/bekomme sie nicht weg!


  1. Bekomme Trojaner, Virus nicht los.
    Log-Analyse und Auswertung - 23.09.2014 (11)
  2. Win 7 - Firefox langsam und Skript-Warnmeldungen - Folge von GVU-Trojaner ?
    Log-Analyse und Auswertung - 17.01.2014 (9)
  3. Habe seit 2 Tagen Trojaner-Meldungen von Antivir, bekomme die Trojaner nicht weg
    Log-Analyse und Auswertung - 29.12.2011 (9)
  4. Habe seit 2 Tagen Trojaner-Meldungen von Antivir, bekomme die Trojaner nicht weg
    Log-Analyse und Auswertung - 27.12.2011 (1)
  5. Zwei Warnmeldungen Autorun!inf / Rowmuny.A lassen sich nicht beseitigen
    Log-Analyse und Auswertung - 20.09.2010 (9)
  6. Bekomme Trojaner nicht weg
    Plagegeister aller Art und deren Bekämpfung - 24.07.2010 (12)
  7. trojaner bekomme ihn nicht weg
    Plagegeister aller Art und deren Bekämpfung - 20.01.2009 (1)
  8. Bekomme Trojaner nicht weg
    Plagegeister aller Art und deren Bekämpfung - 19.07.2008 (13)
  9. Hab ein Trojaner und bekomme ihn nicht weg Verzweifel
    Mülltonne - 26.02.2008 (1)
  10. Bekomme Trojaner nicht weg
    Plagegeister aller Art und deren Bekämpfung - 26.01.2006 (2)
  11. Bekomme Trojaner nicht los!
    Log-Analyse und Auswertung - 07.01.2006 (4)
  12. Bekomme Trojaner nicht weg...
    Log-Analyse und Auswertung - 13.09.2005 (1)
  13. bekomme trojaner nicht weg (svcproc.exe)
    Log-Analyse und Auswertung - 10.06.2005 (7)
  14. bekomme den trojaner nicht weg
    Log-Analyse und Auswertung - 07.05.2005 (6)
  15. bekomme Trojaner nicht weg
    Plagegeister aller Art und deren Bekämpfung - 05.05.2005 (12)
  16. Bekomme den Trojaner einfach nicht weg
    Plagegeister aller Art und deren Bekämpfung - 20.11.2004 (3)
  17. Bekomme Trojaner nicht weg
    Plagegeister aller Art und deren Bekämpfung - 11.12.2003 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner Warnmeldungen/bekomme sie nicht weg! - Hallo. Bekomme seit ein paar Tagen die Seurity Fehler meldungen über 5 verschiedene Trojaner.Mein Antivir kann aber nix mehr finden . Trojan-Clicker.Win32.Tiny.h Trojan-Spy.Win32.GreenScreen Trojan-Spy.HTML.Bankfraud.dq Trojan-Downloader.Win32.Agent.bq Trojan-Spy.Win32.KeyLogger.aa Mein System: Amd Athlon - Trojaner Warnmeldungen/bekomme sie nicht weg!...
Archiv
Du betrachtest: Trojaner Warnmeldungen/bekomme sie nicht weg! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129