Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: AntiVir meldet: TR\Monder.set

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.10.2008, 14:44   #1
Gepard07
 
AntiVir meldet: TR\Monder.set - Standard

AntiVir meldet: TR\Monder.set



Hi, kann mir jemand Helfen?

Betriebssystem: Vista32 Ultimate
AntiVir meldet: C:\Windows\System32\hgGxWWxV.dll ist das Trojanische Pferd TR\Monder.set, ich habe die DLL-Datei bei VirusTotal hochgeladen, das ist das Ergebnis:

Antivirus - Version - letzte aktualisierung - Ergebnis

AhnLab-V3 2008.10.10.1 2008.10.10 -
AntiVir 7.8.1.34 2008.10.10 TR/Monder.set
Authentium 5.1.0.4 2008.10.11 -
Avast 4.8.1248.0 2008.10.10 -
AVG 8.0.0.161 2008.10.10 Generic11.AUNH
BitDefender 7.2 2008.10.11 -
CAT-QuickHeal 9.50 2008.10.11 -
ClamAV 0.93.1 2008.10.11 -
DrWeb 4.44.0.09170 2008.10.11 -
eSafe 7.0.17.0 2008.10.08 -
eTrust-Vet 31.6.6141 2008.10.10 Win32/VundoCryptorT!generic
Ewido 4.0 2008.10.11 -
F-Prot 4.4.4.56 2008.10.10 -
F-Secure 8.0.14332.0 2008.10.11 -
Fortinet 3.113.0.0 2008.10.11 -
GData 19 2008.10.11 -
Ikarus T 3.1.1.34.0 2008.10.11 Trojan.Win32.Vundo.AY
K7AntiVirus 7.10.490 2008.10.10 -
Kaspersky 7.0.0.125 2008.10.11 -
McAfee 5403 2008.10.11 -
Microsoft 1.4005 2008.10.11 Trojan:Win32/Vundo.gen!X
NOD32 3514 2008.10.11 a variant of Win32/Adware.Virtumonde.NCD
Norman 5.80.02 2008.10.10 -
Panda 9.0.0.4 2008.10.10 -
PCTools 4.4.2.0 2008.10.10 -
Prevx1 V2 2008.10.11 Fraudulent Security Program
Rising 20.65.42.00 2008.10.10 Packer.Win32.Agent.v
SecureWeb-Gateway 6.7.6 2008.10.10 Trojan.Monder.set
Sophos 4.34.0 2008.10.11 Troj/Virtum-Gen
Sunbelt 3.1.1715.1 2008.10.11 -
Symantec 10 2008.10.11 -
TheHacker 6.3.1.0.106 2008.10.10 -
TrendMicro 8.700.0.1004 2008.10.10 Possible_Vundo-5
VBA32 3.12.8.6 2008.10.10 -
ViRobot 2008.10.10.1416 2008.10.10 -
VirusBuster 4.5.11.0 2008.10.10 -

weitere Informationen
File size: 251392 bytes
MD5...: 194b19aa72dc2d915df3c555ed45b67b
SHA1..: 68ffa5661e902a9a13ea0cfc26a5312bd5f76896
SHA256: 9dd833948361e4d194d4b53258fb37197d57c9ef7a121de2c4 b2436e6ed12d6d
SHA512: 6c8cf710fd2cb0aae1751e8a95ef689d0d68db0eb6be429b33 fa78d5549da862
9f3b46a64e1a50e367f43c085019addb0d6d0acf1d2cb43470 ea8700a8a38e3d
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b000 0x2ac00 8.00 c076c0abd3faaf3236834746e2de6377
.data 0x2c000 0x1000 0x400 4.85 89168899cd0d09540409cc6b51756d03
.rdata 0x2d000 0x77000 0x12200 7.99 22edf4e15849b237fd98bf80b421aa07

( 3 imports )
> USER32.dll: OemToCharBuffA, MessageBoxA, MessageBeep, LoadCursorFromFileA, LoadCursorA, EndPaint, EndDialog, EmptyClipboard, DrawTextA, DestroyCursor, CreateIconFromResourceEx, CreateDesktopA, CopyRect, CharToOemBuffA, CharNextA, ActivateKeyboardLayout
> KERNEL32.dll: lstrcmpiA, ReadFile, MapViewOfFile, InitializeCriticalSection, GetVersionExA, GetSystemTimeAsFileTime, GetStartupInfoA, GetModuleHandleA, ExitProcess, EnumResourceTypesA, EnumResourceLanguagesA, CloseHandle
> ADVAPI32.dll: RegQueryValueA, RegOpenKeyExA, RegCloseKey

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7B04A75700C33C92D6A403DE5 6625F00072F2904

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:37:08, on 11.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal


Ich weiß nicht, was ich noch machen soll, habe seit drei Tagen nach allen Begriffen gesucht, CCleaner, AntiVir, über das System laufen lassen, nix, alles in Ordnung, Vista stürzt häufig ab und bringt Speicher device, die Meldung von AntiVir kommt ständig wieder egal, was ich damit mache, wenn ich noch weitere Tools über mein System laufen lassen soll dann schreibt mir Ad-Aware hängt sich beim scannen irgendwann auf, bzw. der Rechner startet neu.

Ich hoffe Ihr könnt mir helfen, falls weitere Angaben benötigt werden, so schreibt es...



Vielen Dank schon mal, Dirk

Alt 11.10.2008, 16:36   #2
Gepard07
 
AntiVir meldet: TR\Monder.set - Standard

AntiVir meldet: TR\Monder.set



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:31, on 11.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\AASP\1.00.59\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
C:\Windows\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {A84F5335-A47A-4B22-A537-EF83FD91D6CC} - C:\Windows\system32\hgGxwwxV.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Program Files\Babylon\Babylon Toolbar\BabylonIEToolBar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [SoundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe"
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
O23 - Service: BlueSoleilCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BsHelpCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\Windows\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Program Files\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Program Files\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 11730 bytes
__________________


Alt 11.10.2008, 16:43   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AntiVir meldet: TR\Monder.set - Cool

AntiVir meldet: TR\Monder.set



Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________
__________________

Alt 11.10.2008, 18:39   #4
Gepard07
 
AntiVir meldet: TR\Monder.set - Standard

AntiVir meldet: TR\Monder.set



1. erledigt
2. mbr-tool

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

3. Blacklight

10/11/08 17:15:16 [Info]: BlackLight Engine 2.2.1092 initialized
10/11/08 17:15:16 [Info]: OS: 6.0 build 6001 (Service Pack 1)
10/11/08 17:15:17 [Note]: 7019 4
10/11/08 17:15:17 [Note]: 7005 0
10/11/08 17:15:40 [Note]: 7006 0
10/11/08 17:15:40 [Note]: 7027 0
10/11/08 17:15:40 [Note]: 7035 0
10/11/08 17:15:40 [Note]: 7026 0
10/11/08 17:15:40 [Note]: 7026 0
10/11/08 17:15:45 [Note]: FSRAW library version 1.7.1024
10/11/08 17:20:17 [Note]: 4015 127514
10/11/08 17:20:17 [Note]: 4027 127514 327680
10/11/08 17:20:17 [Note]: 4020 127513 327680
10/11/08 17:20:17 [Note]: 4018 127513 327680
10/11/08 17:20:20 [Note]: 4015 127517
10/11/08 17:20:20 [Note]: 4027 127517 327680
10/11/08 17:20:20 [Note]: 4020 127514 327680
10/11/08 17:20:20 [Note]: 4018 127514 327680
10/11/08 17:20:42 [Note]: 4015 83864
10/11/08 17:20:42 [Note]: 4027 83864 262144
10/11/08 17:20:42 [Note]: 4020 83863 262144
10/11/08 17:20:42 [Note]: 4022 83863
10/11/08 17:21:42 [Note]: 4015 121117
10/11/08 17:21:42 [Note]: 4027 121117 65536
10/11/08 17:21:42 [Note]: 4020 114598 393216
10/11/08 17:21:42 [Note]: 4022 114598
10/11/08 17:22:04 [Note]: 4015 127514
10/11/08 17:22:04 [Note]: 4027 127514 327680
10/11/08 17:22:04 [Note]: 4020 127513 327680
10/11/08 17:22:04 [Note]: 4018 127513 327680
10/11/08 17:22:10 [Note]: 4015 83864
10/11/08 17:22:10 [Note]: 4027 83864 262144
10/11/08 17:22:10 [Note]: 4020 83863 262144
10/11/08 17:22:10 [Note]: 4022 83863
10/11/08 17:22:35 [Note]: 4015 1430
10/11/08 17:22:35 [Note]: 4027 1430 65536
10/11/08 17:22:35 [Note]: 4020 1427 65536
10/11/08 17:22:35 [Note]: 4018 1427 65536
10/11/08 17:22:53 [Note]: 4015 1611
10/11/08 17:22:53 [Note]: 4027 1611 65536
10/11/08 17:22:53 [Note]: 4020 565 65536
10/11/08 17:22:53 [Note]: 4018 565 65536
10/11/08 17:23:02 [Note]: 4015 1692
10/11/08 17:23:02 [Note]: 4027 1692 65536
10/11/08 17:23:02 [Note]: 4020 1611 65536
10/11/08 17:23:02 [Note]: 4018 1611 65536
10/11/08 17:24:45 [Note]: 4015 2570
10/11/08 17:24:45 [Note]: 4027 2570 65536
10/11/08 17:24:45 [Note]: 4020 1611 65536
10/11/08 17:24:45 [Note]: 4018 1611 65536
10/11/08 17:28:16 [Note]: 7007 0


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1257
Windows 6.0.6001 Service Pack 1

11.10.2008 17:40:35
mbam-log-2008-10-11 (17-40-20).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 51171
Laufzeit: 4 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 25

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Windows\System32\hgGxwwxV.dll (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a84f5335-a47a-4b22-a537-ef83fd91d6cc} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a84f5335-a47a-4b22-a537-ef83fd91d6cc} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f7b0f7b2-1b10-4240-b00b-354f3c04e3f5} (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f7b0f7b2-1b10-4240-b00b-354f3c04e3f5} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\hggxwwxv -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggxwwxv -> No action taken.

Infizierte Verzeichnisse:
C:\Program Files\PCHealthCenter (Trojan.Fakealert) -> No action taken.
C:\Program Files\MicroAV (Rogue.MicroAntivirus) -> No action taken.

Infizierte Dateien:
C:\Windows\System32\hgGxwwxV.dll (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\VxwwxGgh.ini (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\VxwwxGgh.ini2 (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\eFwvsTNE.dll (Trojan.Vundo) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\tmp0000ca8e (Trojan.Vundo) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\tmp0001030c (Trojan.Vundo) -> No action taken.
C:\Program Files\PCHealthCenter\0.gif (Trojan.Fakealert) -> No action taken.
C:\Program Files\PCHealthCenter\1.gif (Trojan.Fakealert) -> No action taken.
C:\Program Files\PCHealthCenter\2.gif (Trojan.Fakealert) -> No action taken.
C:\Program Files\PCHealthCenter\3.gif (Trojan.Fakealert) -> No action taken.
C:\Program Files\PCHealthCenter\sc.html (Trojan.Fakealert) -> No action taken.
C:\Program Files\MicroAV\MicroAV.ooo (Rogue.MicroAntivirus) -> No action taken.
C:\Program Files\MicroAV\MicroAV0.dat (Rogue.MicroAntivirus) -> No action taken.
C:\Program Files\MicroAV\MicroAV1.dat (Rogue.MicroAntivirus) -> No action taken.
C:\Windows\System32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\TDSSserv.sys (Trojan.Agent) -> No action taken.
C:\Windows\Fonts\acrsecB.fon (Trojan.Agent) -> No action taken.
C:\Windows\Fonts\acrsecI.fon (Trojan.Agent) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\TDSS10d1.tmp (Trojan.FakeAlert) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\TDSS1a62.tmp (Trojan.FakeAlert) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\TDSSd42f.tmp (Trojan.FakeAlert) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\myconfig.php (Trojan.FakeAlert) -> No action taken.
C:\Windows\Temp\TDSS67f5.tmp (Trojan.Agent) -> No action taken.
C:\Windows\Temp\TDSS9b06.tmp (Trojan.FakeAlert) -> No action taken.
C:\Windows\System32\TDSSerrors.log (Trojan.TDSS) -> No action taken.

wiederhole jetzt den vollständigen Scan, dauert aber noch etwas
Die infizierten Datein dann löschen?

Danach den Silentunners...

Soll, kann ich dann ComboFix ausführen, laut Anweisung muss ich ja dann alles schließen incl. FireFox oder noch warten?

Vielen Dank für die Hilfe... Dirk

Alt 11.10.2008, 19:09   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AntiVir meldet: TR\Monder.set - Icon32

AntiVir meldet: TR\Monder.set



Führe bitte alles so aus, wie in der Anleitung beschrieben. Und ja, bei Combofix alle schließen, auch den Wächter den Virenscanners. Mit Malwarebytes alle Funde beseitigen.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.10.2008, 21:30   #6
Gepard07
 
AntiVir meldet: TR\Monder.set - Standard

AntiVir meldet: TR\Monder.set



Vollscan von Malwarebytes kam zum selben Ergebnis, die löschung konnt ich aber erst nach Schließung vom At-guard durchführen, da mir "hgGxwwxV.dll (Trojan.Vundo.H)" einen blauen Bildschirm mit Win-Absturz bescherte - letzter Scan und keine Meldung mehr von AntiVir - schon mal mehr als Danke dafür...

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1257
Windows 6.0.6001 Service Pack 1

11.10.2008 20:53:51
mbam-log-2008-10-11 (20-53-51).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 50601
Laufzeit: 3 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

4. durchgeführt - Datei gezippt in der Anlage

nun weiter zu Punkt fünf - schließe alles hab mir die Anleitung herunter geladen - meld mich wenn es vorüber ist - Thanks

Alt 12.10.2008, 20:47   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AntiVir meldet: TR\Monder.set - Icon32

AntiVir meldet: TR\Monder.set



Heißt das also, Du hast den Wächter von AntiVir aktiv gehabt, als Du Malwarebytes durchlaufen lassen hattest? Sollte eigentlich klar sein, dass man diesen vorher deaktiviert
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.10.2008, 13:22   #8
Gepard07
 
AntiVir meldet: TR\Monder.set - Standard

AntiVir meldet: TR\Monder.set



Sorry, wusst ich nicht, das man AntiVir deaktivieren muss - Ich konnte ComboFix am Sanmstag nicht mehr durchführen, da mein System nur instabil lief und ich mir nicht sicher war, was passiert wenn während des durchlaufen von ComboFix passiert, wenn der Rechner abstürzt, bitte um Info, ob ich ComboFix trotzdem anwenden muss.

der Driverproblem war tcpip.sys 0xc 0000221 - ist behoben, gestern abend dann wieder bluesceen mit Meldung mtfs.sys...

bin an einem anderen Rechner, kann erst ab ca. 16:30 Uhr weiter machen (ComboFix) bitte nochmal um Anweiseung bzw. ob ich noch einen anderen Test vor Start vom ComboFix machen soll außer CCleaner natürlich.

Vielen Dank schon mal, Dirk

Alt 14.10.2008, 19:52   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AntiVir meldet: TR\Monder.set - Standard

AntiVir meldet: TR\Monder.set



Hello again,

die Bluescreen können von der Malware kommen, es können aber auch Hardwarefehler sein

chkdsk der Systempartition

1. Klick auf Start, Ausführen
2. Tipp ein cmd und bestätige mit ok, die Konsole öffnet sich.
3. Tipp dort ein: chkdsk %systemdrive% /f /r /v und bestätige mit enter.
4. Die folgende Abfrage mit j bestätigen und enter drücken.
5. Windows neu starten, es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen - die Zeit verstreichen lassen, keine Taste drücken!!
6. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.10.2008, 17:24   #10
Gepard07
 
AntiVir meldet: TR\Monder.set - Standard

AntiVir meldet: TR\Monder.set



ComboFix durchlaufen lassen - Windows startete wieder nicht (ntkrntlpa.exe)

weiter schrieb mir das System beim Start: "The file is possibly corrupt. The file header checksum does not match the comput ed checksum.

Mein Readsystem ist weg, schau aber noch mal in der Bios nach, oder ist es Ratsamer Vista komplett neu zu installieren, habe noch eine Datensicherung machen können, hängt aber als dynamisches Laufwerk mit am System - erster Vistastart nach ComboFix - das Ergebnis, sowie Vistascan...

ComboFix 08-10-15.05 - Cheetah 2008-10-16 0:41:42.1 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6001.1.1252.1.1031.18.1322 [GMT 2:00]
ausgeführt von:: C:\Users\Cheetah\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Eventuell infizierte Webseiten -----

hxxp://78.157.143.163
hxxp://78.157.142.26
.
((((((((((((((((((((((( Dateien erstellt von 2008-09-15 bis 2008-10-15 ))))))))))))))))))))))))))))))
.

2008-10-16 00:37 . 2008-10-16 00:37 243,601,120 --a------ C:\Windows\MEMORY.DMP
2008-10-15 21:54 . 2008-10-15 21:55 <DIR> d-------- C:\EPSON
2008-10-15 21:31 . 2008-10-15 21:31 29 --a------ C:\Windows\DEBUGSM.INI
2008-10-15 19:58 . 2008-10-15 19:58 <DIR> d-------- C:\tools
2008-10-15 18:06 . 2008-08-05 11:49 428,544 --a------ C:\Windows\System32\EncDec.dll
2008-10-15 18:06 . 2008-08-05 11:49 293,376 --a------ C:\Windows\System32\psisdecd.dll
2008-10-15 18:06 . 2008-08-05 11:48 217,088 --a------ C:\Windows\System32\psisrndr.ax
2008-10-15 18:06 . 2008-08-05 11:48 177,664 --a------ C:\Windows\System32\mpg2splt.ax
2008-10-15 18:06 . 2008-08-05 11:48 80,896 --a------ C:\Windows\System32\MSNP.ax
2008-10-15 12:37 . 2008-09-18 04:16 2,032,640 --a------ C:\Windows\System32\win32k.sys
2008-10-15 12:37 . 2008-08-27 03:06 288,768 --a------ C:\Windows\System32\drivers\srv.sys
2008-10-15 12:36 . 2008-09-18 07:09 3,601,464 --a------ C:\Windows\System32\ntkrnlpa.exe
2008-10-15 12:36 . 2008-09-18 07:09 3,549,240 --a------ C:\Windows\System32\ntoskrnl.exe
2008-10-15 12:36 . 2008-10-02 03:32 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
2008-10-15 12:36 . 2008-10-02 05:49 827,392 --a------ C:\Windows\System32\wininet.dll
2008-10-12 01:27 . 2008-10-12 01:29 <DIR> d-------- C:\Program Files\ICQ6
2008-10-11 17:32 . 2008-10-11 17:33 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-11 17:32 . 2008-09-10 00:04 38,528 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
2008-10-11 17:32 . 2008-09-10 00:03 17,200 --a------ C:\Windows\System32\drivers\mbam.sys
2008-10-11 15:47 . 2008-10-11 15:47 250 --a------ C:\Windows\gmer.ini
2008-10-11 13:36 . 2008-10-11 13:36 <DIR> d-------- C:\Program Files\Trend Micro
2008-10-11 13:04 . 2008-10-11 13:04 <DIR> d-------- C:\Program Files\Common Files\Java
2008-10-11 02:06 . 2008-10-11 02:06 <DIR> d-------- C:\Program Files\Lavasoft
2008-10-11 00:43 . 2008-10-11 00:43 0 --a------ C:\ARKC8DF.tmp
2008-10-10 00:05 . 2008-10-10 00:05 33,832 --a------ C:\Windows\System32\jhnldlgl.exe
2008-10-09 23:58 . 2008-10-09 23:58 <DIR> d-------- C:\Program Files\Smoky City Design
2008-10-09 23:56 . 2008-10-09 23:56 33,832 --a------ C:\Windows\System32\rhxfptji.exe
2008-10-09 21:12 . 2008-10-15 20:23 69 --a------ C:\Windows\NeroDigital.ini
2008-10-09 20:35 . 2008-10-09 20:38 <DIR> d-------- C:\Program Files\Common Files\Nero
2008-10-09 00:03 . 2008-10-09 00:03 <DIR> d-------- C:\Program Files\FLAC
2008-10-08 21:30 . 2008-10-08 21:30 <DIR> d-------- C:\Program Files\Sony Ericsson
2008-10-08 20:56 . 2008-10-08 21:24 <DIR> d-------- C:\Program Files\MyPhoneExplorer
2008-10-08 20:53 . 2008-10-08 20:53 <DIR> d-------- C:\Program Files\PDFCreator
2008-10-08 20:53 . 2004-03-09 01:00 662,288 --a------ C:\Windows\System32\MSCOMCT2.OCX
2008-10-08 20:53 . 1998-07-06 18:55 158,208 --a------ C:\Windows\System32\MSCMCDE.DLL
2008-10-08 20:53 . 1998-06-24 01:00 137,000 --a------ C:\Windows\System32\MSMAPI32.OCX
2008-10-08 20:53 . 1998-07-06 18:56 125,712 --a------ C:\Windows\System32\VB6DE.DLL
2008-10-08 20:53 . 2001-10-28 17:42 116,224 --a------ C:\Windows\System32\pdfcmnnt.dll
2008-10-08 20:53 . 1998-07-06 18:55 64,512 --a------ C:\Windows\System32\MSCC2DE.DLL
2008-10-08 20:53 . 1998-07-06 01:00 23,552 --a------ C:\Windows\System32\MSMPIDE.DLL
2008-10-08 19:45 . 2006-10-26 19:56 32,592 --a------ C:\Windows\System32\msonpmon.dll
2008-10-08 19:44 . 2008-10-08 19:44 <DIR> d-------- C:\Program Files\Microsoft Works
2008-10-08 19:42 . 2008-10-08 19:42 <DIR> d-------- C:\Windows\PCHEALTH
2008-10-08 19:42 . 2008-10-08 19:42 <DIR> d-------- C:\Program Files\Microsoft.NET
2008-10-08 19:40 . 2008-10-08 19:40 <DIR> d-------- C:\Program Files\Microsoft Visual Studio 8
2008-10-08 19:39 . 2008-10-08 19:39 <DIR> dr-h----- C:\MSOCache
2008-10-08 00:34 . 2008-10-08 00:34 <DIR> d-------- C:\Program Files\Musicmatch
2008-10-07 22:23 . 2008-10-07 22:23 0 --a------ C:\Windows\Irremote.ini
2008-10-07 20:11 . 2008-10-07 20:11 <DIR> d-------- C:\Program Files\ZoneAlarmSB
2008-10-07 20:10 . 2008-10-07 20:10 <DIR> d-------- C:\Program Files\Zone Labs
2008-10-07 20:10 . 2008-08-21 20:41 1,221,008 --a------ C:\Windows\System32\zpeng25.dll
2008-10-07 20:09 . 2008-02-23 06:38 170,496 --a------ C:\Windows\System32\tcpipcfg.dll
2008-10-07 20:09 . 2008-02-23 04:41 22,528 --a------ C:\Windows\System32\netiougc.exe
2008-10-07 20:08 . 2008-10-11 02:58 <DIR> d-------- C:\Windows\System32\ZoneLabs
2008-10-07 20:08 . 2008-10-16 01:02 348,370 --ah----- C:\Windows\System32\drivers\vsconfig.xml
2008-10-07 20:08 . 2008-08-21 20:42 294,288 --a------ C:\Windows\System32\drivers\vsdatant.sys
2008-10-07 20:07 . 2008-10-16 00:40 <DIR> d-------- C:\Windows\Internet Logs
2008-10-07 18:17 . 2008-10-07 19:24 <DIR> d-------- C:\Program Files\Uniblue
2008-10-07 01:41 . 2008-10-07 01:41 <DIR> d-------- C:\Program Files\Common Files\xing shared
2008-10-07 01:27 . 2008-10-07 01:27 <DIR> d-------- C:\Program Files\Real
2008-10-07 01:27 . 2008-10-07 01:41 <DIR> d-------- C:\Program Files\Common Files\Real
2008-10-06 20:54 . 2008-10-06 20:54 <DIR> d-------- C:\Windows\Sun
2008-10-06 20:14 . 2008-10-06 20:25 <DIR> d-------- C:\Program Files\ElsterFormular
2008-10-06 20:09 . 2008-10-06 20:13 <DIR> d-------- C:\Program Files\ElsterFormular2005
2008-10-06 20:05 . 2008-10-06 20:24 326 --------- C:\Windows\tm.ini
2008-10-06 20:05 . 2008-10-06 20:24 35 --------- C:\Windows\tdf.dii
2008-10-06 20:04 . 2008-10-06 20:08 <DIR> d-------- C:\Program Files\ElsterFormular2004
2008-10-06 20:02 . 2008-10-06 20:02 <DIR> d-------- C:\Windows\Wallpaper
2008-10-06 20:02 . 2008-10-06 20:02 <DIR> d-------- C:\Windows\Plus!
2008-10-06 19:56 . 2008-10-08 03:00 <DIR> d--h----- C:\Windows\msdownld.tmp
2008-10-06 19:56 . 2008-10-06 19:56 <DIR> d-------- C:\Program Files\Windows Media-Komponenten
2008-10-06 19:56 . 2008-10-06 19:56 <DIR> d-------- C:\Program Files\Common Files\SONY Digital Images
2008-10-06 19:55 . 2000-12-22 22:27 73,728 --a------ C:\Windows\System32\mplaw7.dll
2008-10-06 19:55 . 2000-12-22 22:19 73,728 --a------ C:\Windows\System32\mplaa6.dll
2008-10-06 19:55 . 2000-12-22 22:19 61,440 --a------ C:\Windows\System32\mplam6.dll
2008-10-06 19:55 . 2000-12-22 14:11 19,968 --a------ C:\Windows\System32\cpuinf32.dll
2008-10-06 19:55 . 2008-10-07 12:46 810 --a------ C:\Windows\ULEAD32.INI
2008-10-06 19:54 . 2008-10-06 19:56 <DIR> d-------- C:\Program Files\Ulead Systems
2008-10-06 19:54 . 2008-10-06 19:54 <DIR> d-------- C:\Program Files\Common Files\Ulead Systems
2008-10-06 19:54 . 2002-09-02 09:58 76,197 --a------ C:\Windows\PSEUDO.VA
2008-10-06 19:54 . 2003-01-02 12:16 7,678 --a------ C:\Windows\CapMPTyp.ini
2008-10-06 19:54 . 2002-12-29 12:11 3,371 --a------ C:\Windows\msp.ini
2008-10-06 19:54 . 2002-09-02 09:58 1,245 --a------ C:\Windows\PSEUDO.V
2008-10-06 19:54 . 2003-01-27 16:03 813 --a------ C:\Windows\CountryCode.ini
2008-10-06 19:54 . 2008-10-06 19:55 623 --a------ C:\Windows\dswplug.ini
2008-10-06 19:54 . 2002-12-27 20:41 285 --a------ C:\Windows\uvCapMainDlg.ini
2008-10-06 19:54 . 2002-12-27 20:38 158 --a------ C:\Windows\msdevctl.ini
2008-10-06 18:18 . 2008-10-06 18:20 <DIR> d-------- C:\Program Files\Common Files\ACD Systems
2008-10-06 18:18 . 2008-10-06 18:18 <DIR> d-------- C:\Program Files\ACD Systems
2008-10-06 01:14 . 2008-10-12 02:28 <DIR> d-------- C:\Program Files\TKexeKalender
2008-10-06 01:14 . 2008-09-28 19:24 303,104 --a------ C:\Windows\Uninstall_tkexe.exe
2008-10-06 01:08 . 2008-10-06 01:08 <DIR> d-------- C:\Program Files\Microsoft Silverlight
2008-10-06 00:30 . 2008-10-06 00:30 <DIR> d-------- C:\Program Files\Unlocker
2008-10-05 23:16 . 2008-10-05 23:16 <DIR> d----c--- C:\Windows\System32\DRVSTORE
2008-10-05 23:16 . 2008-10-05 23:16 <DIR> d-------- C:\Program Files\iTunes
2008-10-05 23:16 . 2008-10-05 23:16 <DIR> d-------- C:\Program Files\iPod
2008-10-05 23:16 . 2008-04-17 13:12 107,368 --a------ C:\Windows\System32\GEARAspi.dll
2008-10-05 23:16 . 2008-04-17 13:12 15,464 --a------ C:\Windows\System32\drivers\GEARAspiWDM.sys
2008-10-05 23:15 . 2008-10-05 23:15 <DIR> d-------- C:\Program Files\Bonjour
2008-10-05 23:14 . 2008-10-05 23:14 <DIR> d-------- C:\Program Files\Apple Software Update
2008-10-05 23:13 . 2008-10-05 23:15 <DIR> d-------- C:\Program Files\Common Files\Apple
2008-10-05 22:41 . 2008-10-05 22:41 <DIR> d-------- C:\Program Files\Sun
2008-10-05 22:40 . 2008-10-11 13:06 <DIR> d-------- C:\Program Files\Java
2008-10-05 22:12 . 2008-10-08 23:38 <DIR> d-------- C:\Program Files\Google
2008-10-05 21:50 . 2008-10-05 21:50 1,274 --a------ C:\Windows\System32\SHORTCUT.INI
2008-10-05 21:49 . 2008-10-16 01:01 4,372 --a------ C:\Windows\System32\LOCALSERVICE.INI
2008-10-05 21:49 . 2008-10-06 21:51 124 --a------ C:\Windows\System32\REMOTEDEVICE.INI
2008-10-05 21:48 . 2008-10-16 00:37 72 --a------ C:\Windows\System32\LOCALDEVICE.INI
2008-10-05 21:42 . 2008-10-05 21:42 0 --a------ C:\Windows\System32\BSPRINT.INI
2008-10-05 21:41 . 2008-10-05 21:41 <DIR> d-------- C:\Program Files\IVT Corporation
2008-10-05 21:41 . 2008-10-05 21:42 32 --a------ C:\Windows\0
2008-10-05 21:41 . 2008-10-05 21:41 0 --a------ C:\Windows\System32\0
2008-10-05 21:34 . 2008-10-05 21:35 <DIR> d-------- C:\Program Files\Realtek
2008-10-05 21:05 . 2005-04-15 20:58 1,071,088 --a------ C:\Windows\System32\MSCOMCTL.OCX
2008-10-05 21:05 . 2004-08-04 07:00 506,368 --a------ C:\Windows\System32\msxml.dll
2008-10-05 20:35 . 2007-03-14 21:02 49,712 --a------ C:\Windows\System32\msxm6798.rra
2008-10-05 20:20 . 2005-01-07 17:34 486,766 --a------ C:\Windows\CLBUDF.tbl
2008-10-05 20:20 . 2007-06-04 18:25 162,096 --------- C:\Windows\System32\drivers\CLBUDF.sys
2008-10-05 20:20 . 2007-06-04 18:24 131,072 --a------ C:\Windows\IBUnInst.exe
2008-10-05 20:19 . 2006-12-04 07:32 379 --------- C:\ITB.iss
2008-10-05 20:09 . 2002-12-11 20:11 33,820 --a------ C:\Windows\WMPrfDeu.prx
2008-10-05 20:05 . 2007-03-14 21:02 49,712 --a------ C:\Windows\System32\msxm7261.rra
2008-10-05 19:16 . 2008-10-05 19:16 876 --a------ C:\Windows\$_hpcst$.hpc
2008-10-05 19:09 . 2008-10-05 19:10 <DIR> d-------- C:\Program Files\NewSoft
2008-10-05 19:08 . 2008-10-05 19:27 <DIR> d-------- C:\Program Files\ABBYY

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-15 16:24 --------- d-----w C:\Program Files\Windows Mail
2008-10-08 17:43 --------- d-----w C:\Program Files\MSBuild
2008-10-05 19:46 34,312 ----a-w C:\Windows\system32\drivers\blueletaudio.sys
2008-10-05 01:40 --------- d-----w C:\Program Files\Windows Sidebar
2008-10-05 01:40 --------- d-----w C:\Program Files\Windows Photo Gallery
2008-10-05 01:40 --------- d-----w C:\Program Files\Windows Journal
2008-10-05 01:40 --------- d-----w C:\Program Files\Windows Defender
2008-10-05 01:40 --------- d-----w C:\Program Files\Windows Collaboration
2008-10-05 01:40 --------- d-----w C:\Program Files\Windows Calendar
2008-10-05 01:31 --------- d-----w C:\Program Files\Microsoft Games
2008-10-03 13:43 12,800 ----a-w C:\Windows\system32\drivers\EIO.sys
2008-10-03 12:38 --------- d-sh--w C:\Program Files\Gemeinsame Dateien
2008-09-17 21:55 7,379,872 ----a-w C:\Windows\system32\drivers\nvlddmkm.sys
2008-07-31 03:32 460,288 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-07-31 03:32 2,154,496 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-07-31 03:32 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-01-21 02:41 174 --sha-w C:\Program Files\desktop.ini
.

------- Sigcheck -------

2008-09-18 07:09 3601464 82ae166b78ebf4a7dfb48d715cfb9fa1 C:\Windows\System32\ntkrnlpa.exe
2008-09-18 06:35 3505208 e67f6247029f6311e643532d2cffe667 C:\Windows\winsxs\x86_microsoft-windows-os-kernel_31bf3856ad364e35_6.0.6000.16754_none_6a18166cb7216faf\ntkrnlpa.exe
2008-09-18 06:27 3506744 084a3a26a3d1a75d0705d963c0289dd5 C:\Windows\winsxs\x86_microsoft-windows-os-kernel_31bf3856ad364e35_6.0.6000.20921_none_6abf2403d0296cc8\ntkrnlpa.exe
2008-01-21 04:22 3600440 fe51e8dbbef2d01ef886499fecbf2d78 C:\Windows\winsxs\x86_microsoft-windows-os-kernel_31bf3856ad364e35_6.0.6001.18000_none_6c3061a0b4231268\ntkrnlpa.exe
2008-04-26 10:25 3600952 6bb1994f5b62fef6268f1ebb4014e293 C:\Windows\winsxs\x86_microsoft-windows-os-kernel_31bf3856ad364e35_6.0.6001.18063_none_6bf282f6b4510613\ntkrnlpa.exe
2008-09-18 07:09 3601464 82ae166b78ebf4a7dfb48d715cfb9fa1 C:\Windows\winsxs\x86_microsoft-windows-os-kernel_31bf3856ad364e35_6.0.6001.18145_none_6c0a2548b43efe06\ntkrnlpa.exe
2008-04-26 10:11 3601464 68eef02a8846442fe98ad0e0517ee6bc C:\Windows\winsxs\x86_microsoft-windows-os-kernel_31bf3856ad364e35_6.0.6001.22167_none_6c8020e9cd6b0b39\ntkrnlpa.exe
2008-09-18 06:54 3601976 dc870dcaa25e5cc1c8a50fac19cced45 C:\Windows\winsxs\x86_microsoft-windows-os-kernel_31bf3856ad364e35_6.0.6001.22269_none_6c822363cd693b0e\ntkrnlpa.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NBHShellExt]
@="{8D2223A2-B3C6-4e32-B096-CDD11F628C60}"
[HKEY_CLASSES_ROOT\CLSID\{8D2223A2-B3C6-4e32-B096-CDD11F628C60}]
2008-06-10 12:29 97064 --a------ C:\Program Files\Nero\Nero8\InCD\NBHShx.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-10-05 289088]
"BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" [2008-09-27 634672]
"OM2_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2008-05-15 95536]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Uniblue RegistryBooster 2"="c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe" [2007-09-06 99608]
"ICQ"="C:\Program Files\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundTray"="C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe" [2007-09-27 53248]
"Cpu Level Up help"="C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe" [2007-11-30 881152]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-09-17 92704]
"Easy-PrintToolBox"="C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2008-02-22 62760]
"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-02-27 15872]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-08-21 981904]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Babylon Client"="C:\Program Files\Babylon\Babylon-Pro\Babylon.exe" [2008-10-05 3166432]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.asv2"= asusasv2.dll
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"VIDC.ACDV"= ACDV.dll
"msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSServer

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
--a------ 2008-02-20 17:19 360448 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3665739240-1075298869-2693380756-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{5263D6D6-703E-4A4B-9909-DF6368FA4422}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AB1A84C2-6E34-4C32-BCF5-FC7CEEB8B414}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{C850CCED-5EC1-4DD9-9102-571E5A2958E8}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{883AA601-9AEE-4BD1-8A8B-86CF926AD9E8}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{BF45A596-D9D5-45EC-97CF-780C0698A5F3}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{EE5727E5-C4D0-42F8-9A5A-70497AD46B63}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{171CDE30-4A72-4C4C-BCF4-BE55A91C1193}"= UDP:C:\Program Files\DNA\btdna.exeNA
"{DCEE204C-0A16-4D72-9A3A-0C6C465688D9}"= TCP:C:\Program Files\DNA\btdna.exeNA
"TCP Query User{8DADB383-7B00-4FBE-A70B-E27089430202}C:\\program files\\icq6\\icq.exe"= UDP:C:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{7698A019-200D-4D80-BFCC-4EEF40F53232}C:\\program files\\icq6\\icq.exe"= TCP:C:\program files\icq6\icq.exe:ICQ Library
"{72CE531E-652C-44D7-85D1-87AF09CB4387}"= UDP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent (TCP-In)
"{CC1BF38A-5248-457F-A146-21D92B50A0D5}"= TCP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent (UDP-In)
"{DAEFFE49-55B5-48D0-8666-3471A09F48F2}"= UDP:C:\Program Files\Mozilla Firefox\firefox.exe:Mozilla Firefox
"{7791DB24-7E4C-4394-9445-B5DDCA464EA0}"= TCP:C:\Program Files\Mozilla Firefox\firefox.exe:Mozilla Firefox
"{ADE7876B-19AC-4256-ABA1-9ECA9E00C930}"= UDP:C:\Program Files\CyberLink\Advisor\CLDetect.exe:Advisor
"{12A649C4-AB04-4B1C-9689-0F105F88169D}"= TCP:C:\Program Files\CyberLink\Advisor\CLDetect.exe:Advisor
"{185A8A8C-8B31-472A-954F-9CF23EB54519}"= C:\Program Files\CyberLink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"{B71E8785-AC79-4123-A362-9D738B70729B}"= UDP:C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe:BlueSoleilCS
"{C0E8B25A-187F-4AE5-A998-0F47B6FC0D94}"= TCP:C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe:BlueSoleilCS
"{C3835850-6A26-4E28-B52C-E87227A5F328}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{B5FC9148-DA27-4D2F-BEB0-AF860BCD482C}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{C28207EA-5A41-4879-8F8D-5D729EA14399}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{C3D03600-B6E7-4971-8DC0-CE655914CE6B}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{C2757EC5-D2C0-4D58-98A7-2E71B76BE56D}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{7BB715A9-B6C0-4302-BF58-B508152C16FE}"= UDP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{608EF658-B0AE-46FB-B77B-39C063676BF5}"= TCP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{5B6C4D1E-64C9-4DAF-B97A-084CC64EC882}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{0483496F-55AE-4156-8C19-005657CE08BE}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Program Files\\BitTorrent\\bittorrent.exe"= C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

R1 CLBStor;InstantBurn Storage Helper Driver;C:\Windows\system32\drivers\CLBStor.sys [2007-06-04 16048]
R1 DslMNLwf;DSL-Manager NDIS LightWeight Filter;C:\Windows\system32\DRIVERS\dslmnlwf.sys [2007-08-01 16448]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2008-05-16 18:29 61424]
R2 AEADIFilters;Andrea ADI Filters Service;C:\Windows\system32\AEADISRV.EXE [2007-10-19 86016]
R2 ASDR;ASDR;C:\Windows\System32\ASDR.exe [2007-03-20 61440]
R2 ATKFUSService;ATK Fast User Switch Service;C:\Windows\system32\ATKFUSService.exe [2007-11-30 67072]
R2 BlueSoleilCS;BlueSoleilCS;C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe [2008-10-05 1155180]
R2 CLBUDF;CyberLink InstantBurn UDF Filesystem;C:\Windows\system32\drivers\CLBUDF.sys [2007-06-04 162096]
R2 NeroRegInCDSrv;Nero Registry InCD Service;C:\Program Files\Nero\Nero8\InCD\NBHRegInCDSrv.exe [2008-06-10 53032]
R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\Windows\system32\drivers\asusgsb.sys [2007-11-30 15232]
R3 ASUSVRC;ASUSTeK Virtual Capture Device;C:\Windows\system32\DRIVERS\AsusVRC.sys [2007-01-29 18432]
R3 atkdisplf;ASUS Kernel Mode Enhanced Driver;C:\Windows\system32\drivers\ATKDispLowFilter.sys [2007-11-30 30848]
R3 BsHelpCS;BsHelpCS;C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe [2007-08-17 57447]
R3 PAC207;SoC PC-Camera;C:\Windows\system32\DRIVERS\PFC027.SYS [2006-12-05 507136]
R3 TDslMgrService;DSL-Manager;C:\Program Files\T-Online\DSL-Manager\DslMgrSvc.exe [2007-11-26 294912]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2007-12-06 298496]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\Windows\system32\Drivers\dsltestSp5.sys [2007-09-12 26816]
S4 ErrDev;Microsoft Hardware Error Device Driver;C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR;C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
%SystemRoot%\system32\soundschemes.exe /AddRegistration

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
%SystemRoot%\system32\soundschemes2.exe /AddRegistration
.
Inhalt des "geplante Tasks" Ordners

2008-10-15 C:\Windows\Tasks\User_Feed_Synchronization-{37C0E1D4-4F9D-4DCA-B124-3B460735896E}.job
- C:\Windows\system32\msfeedssync.exe [2008-01-21 04:23]
.

Alt 16.10.2008, 17:25   #11
Gepard07
 
AntiVir meldet: TR\Monder.set - Standard

AntiVir meldet: TR\Monder.set



- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Power2GoExpress - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Users\Cheetah\AppData\Roaming\Mozilla\Firefox\Profiles\8oqy7kd8.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Program Files\DNA\plugins\npbtdna.dll
FF -: plugin - C:\Program Files\Google\Google Updater\2.2.1229.1533\npCIDetect11.dll
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npbittorrent.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\NPZoneSB.dll
FF -: plugin - C:\Program Files\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-16 01:02:48
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\Windows\Explorer.exe
-> C:\Windows\system32\BsLangInDepRes.dll
-> C:\Program Files\ArcSoft\PhotoImpression 5\share\pihook.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Windows\System32\nvvsvc.exe
C:\Windows\System32\audiodg.exe
C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Program Files\ASUS\AASP\1.00.59\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\System32\drivers\CDAC11BA.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
C:\Program Files\Nero\Nero8\InCD\InCDsrv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\System32\IoctlSvc.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-16 1:09:20 - PC wurde neu gestartet [Cheetah]
ComboFix-quarantined-files.txt 2008-10-15 23:08:47

Vor Suchlauf: 24 Verzeichnis(se), 268,112,396,288 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 268,062,273,536 Bytes frei

343 --- E O F --- 2008-10-15 19:17:23

Vista Scan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\Windows *****
***** ***** ***** ***** *****

15.10.2008 WINCMD.INI 19 57:2.739
15.10.2008 WindowsUpdate.log 19 56:1.418.209
15.10.2008 bootstat.dat 19 52:67.584
15.10.2008 MEMORY.DMP 19 46:259.018.464
15.10.2008 NeroDigital.ini 12 41:69
14.10.2008 ntbtlog.txt 21 02:153.724
11.10.2008 gmer.ini 15 47:250
11.10.2008 gmer_uninstall.cmd 15 47:80
11.10.2008 gmer.dll 15 47:884.736
09.10.2008 win.ini 13 03:262
07.10.2008 Irremote.ini 22 23:0
07.10.2008 ULEAD32.INI 12 46:810
06.10.2008 tdf.dii 20 24:35
06.10.2008 tm.ini 20 24:326
06.10.2008 dswplug.ini 19 55:623
06.10.2008 system.ini 18 20:252
05.10.2008 0 21 42:32
05.10.2008 lgfwup.ini 20 23:0
05.10.2008 $_hpcst$.hpc 19 16:876
P242580GD.ini 05.10.2008 CDE 19 02:25
05.10.2008 OpPrintServer.INI 18 21:0
05.10.2008 iun507.exe 17 54:286.720
04.10.2008 wcx_ftp.ini 23 33:135
04.10.2008 bwUnin-8.1.1.87-8876480SL.exe 13 29:130.208
03.10.2008 AS_Debug.txt 17 19:0
03.10.2008 Ascd_tmp.ini 16 46:34.572
03.10.2008 bwUnin-8.1.1.50-8876480SL.exe 16 33:127.034


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\Windows\system32 *****
***** ***** ***** ***** *****

15.10.2008 bscs.ini 19 53:972
15.10.2008 LOCALSERVICE.INI 19 53:4.593
15.10.2008 LOCALDEVICE.INI 19 53:72
15.10.2008 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 19 52:3.712
15.10.2008 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 19 52:3.712
15.10.2008 FNTCACHE.DAT 18 30:396.696
13.10.2008 perfh009.dat 00 45:589.884
13.10.2008 perfc009.dat 00 45:101.896
13.10.2008 perfh007.dat 00 45:621.714
13.10.2008 perfc007.dat 00 45:123.646
13.10.2008 PerfStringBackup.INI 00 45:1.427.406
11.10.2008 jupdate-1.6.0_07-b06.log 13 06:6.894
10.10.2008 jhnldlgl.exe 00 05:33.832
09.10.2008 rhxfptji.exe 23 56:33.832
09.10.2008 MsiExec.exe.log 20 39:188
09.10.2008 regsvr32.exe.log 20 16:188
07.10.2008 mrt.exe 21 19:16.721.856
07.10.2008 rmoc3260.dll 01 41:185.920
07.10.2008 pndx5032.dll 01 41:5.632
07.10.2008 pndx5016.dll 01 41:6.656
07.10.2008 pncrt.dll 01 41:278.528
06.10.2008 REMOTEDEVICE.INI 21 51:124
05.10.2008 SHORTCUT.INI 21 50:1.274
05.10.2008 BSPRINT.INI 21 42:0
05.10.2008 0 21 41:0
04.10.2008 MSWINSCK.OCX 16 42:124.688
03.10.2008 wrap_oal.dll 15 02:409.600
03.10.2008 OpenAL32.dll 15 02:114.688
03.10.2008 license.rtf 14 35:60.826
02.10.2008 wininet.dll 05 49:827.392
02.10.2008 urlmon.dll 05 49:1.166.336
02.10.2008 mstime.dll 05 49:671.232
02.10.2008 mshtml.dll 05 49:3.578.880
02.10.2008 jsproxy.dll 05 49:28.160
02.10.2008 iertutil.dll 05 49:270.336
02.10.2008 ieframe.dll 05 49:6.068.736
02.10.2008 mshtml.tlb 03 32:1.383.424
18.09.2008 ntkrnlpa.exe 07 09:3.601.464
18.09.2008 ntoskrnl.exe 07 09:3.549.240
18.09.2008 win32k.sys 04 16:2.032.640
17.09.2008 nvmccssr.dll 23 55:465.440
17.09.2008 nvmccss.dll 23 55:195.104
17.09.2008 nvwssr.dll 23 55:2.988.576
17.09.2008 nvmccs.dll 23 55:236.064
17.09.2008 nvgamesr.dll 23 55:3.463.712
17.09.2008 nvgames.dll 23 55:3.451.424
17.09.2008 nvdispsr.dll 23 55:5.806.624


***** ***** ***** ***** *****
***** Scanning C:\Windows\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ======== ================ =========== ===============
System Idle Process 0 Services 0 24 K
System 4 Services 0 1.172 K
smss.exe 488 Services 0 616 K
csrss.exe 576 Services 0 5.232 K
wininit.exe 624 Services 0 3.296 K
csrss.exe 636 Console 1 12.676 K
services.exe 668 Services 0 5.992 K
lsass.exe 680 Services 0 2.096 K
lsm.exe 692 Services 0 3.228 K
svchost.exe 848 Services 0 4.800 K
ATKFUSService.exe 892 Services 0 2.752 K
nvvsvc.exe 908 Services 0 2.836 K
svchost.exe 940 Services 0 5.164 K
svchost.exe 988 Services 0 19.224 K
svchost.exe 1028 Services 0 10.528 K
svchost.exe 1064 Services 0 36.004 K
svchost.exe 1076 Services 0 23.056 K
winlogon.exe 1128 Console 1 4.192 K
audiodg.exe 1192 Services 0 9.824 K
svchost.exe 1232 Services 0 3.840 K
SLsvc.exe 1272 Services 0 3.976 K
TrustedInstaller.exe 1348 Services 0 4.828 K
svchost.exe 1376 Services 0 8.440 K
LBTServ.exe 1440 Services 0 3.184 K
svchost.exe 1504 Services 0 9.876 K
vsmon.exe 1588 Services 0 14.144 K
rundll32.exe 1736 Console 1 4.584 K
ATKFastUserSwitching.exe 1888 Console 1 2.900 K
dwm.exe 1940 Console 1 5.172 K
explorer.exe 2000 Console 1 24.964 K
aawservice.exe 924 Services 0 1.544 K
taskeng.exe 1756 Services 0 5.160 K
spoolsv.exe 396 Services 0 7.344 K
sched.exe 832 Services 0 1.308 K
svchost.exe 704 Services 0 8.516 K
taskeng.exe 2104 Console 1 8.772 K
aaCenter.exe 2216 Console 1 5.612 K
PwSave.exe 2232 Console 1 13.404 K
LBTWiz.exe 2436 Console 1 2.988 K
AEADISRV.EXE 2656 Services 0 2.112 K
avguard.exe 2700 Services 0 16.224 K
AppleMobileDeviceService. 2712 Services 0 2.948 K
ASDR.exe 2724 Services 0 2.476 K
BlueSoleilCS.exe 2736 Services 0 6.664 K
mDNSResponder.exe 2764 Services 0 3.940 K
CDAC11BA.EXE 2780 Services 0 1.924 K
GoogleUpdaterService.exe 2812 Services 0 3.544 K
IAANTmon.exe 2908 Services 0 4.892 K
InCDsrv.exe 3000 Services 0 5.176 K
LSSrvc.exe 3012 Services 0 3.144 K
NBService.exe 3060 Services 0 4.724 K
NBHRegInCDSrv.exe 3088 Services 0 2.432 K
IoctlSvc.exe 3152 Services 0 2.436 K
svchost.exe 3164 Services 0 3.772 K
svchost.exe 3196 Services 0 4.684 K
svchost.exe 3232 Services 0 1.752 K
SearchIndexer.exe 3296 Services 0 18.900 K
SmartDoctor.exe 3540 Console 1 11.536 K
BsHelpCS.exe 3776 Services 0 3.248 K
SoundTray.exe 3984 Console 1 4.404 K
avgnt.exe 4012 Console 1 1.740 K
rundll32.exe 4024 Console 1 3.588 K
UnlockerAssistant.exe 4088 Console 1 2.452 K
GrooveMonitor.exe 2252 Console 1 6.532 K
zlclient.exe 504 Console 1 3.732 K
jusched.exe 508 Console 1 2.776 K
Babylon.exe 2420 Console 1 11.108 K
sidebar.exe 2416 Console 1 8.624 K
btdna.exe 2520 Console 1 5.324 K
bittorrent.exe 2544 Console 1 8.228 K
wmpnscfg.exe 1980 Console 1 3.764 K
ICQ.exe 2616 Console 1 38.860 K
wmpnetwk.exe 2268 Services 0 6.668 K
RegistryBooster.exe 2672 Console 1 5.644 K
DslMgr.exe 2760 Console 1 6.260 K
DslMgrSvc.exe 4520 Services 0 4.940 K
taskmgr.exe 5116 Console 1 8.116 K
firefox.exe 5720 Console 1 203.116 K
wuauclt.exe 5640 Console 1 4.920 K
TOTALCMD.EXE 6072 Console 1 19.716 K
cmd.exe 4388 Console 1 3.012 K
tasklist.exe 5456 Console 1 4.772 K
WmiPrvSE.exe 5308 Services 0 6.040 K



Microsoft Windows [Version 6.0.6001]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 15.10.2008 um 19:58:45,08 ***


Bitte um kurze Info, ob hier noch was zu Retten ist und ich zum nächsten Schritt kommen soll (Script) - vielen Dank noch mal, Dirk

Alt 17.10.2008, 00:29   #12
Gepard07
 
AntiVir meldet: TR\Monder.set - Standard

AntiVir meldet: TR\Monder.set



6. http://www.file-upload.net/download-1186119/listing.txt.html

Löschlink: http://www.file-upload.net/delete-1186119/xyu2dc.html

7.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:22:51, on 17.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\AASP\1.00.59\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Nero\Nero8\InCD\InCD.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BtTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Downloads\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Program Files\Babylon\Babylon Toolbar\BabylonIEToolBar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [SoundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe"
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
O23 - Service: BlueSoleilCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BsHelpCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\Windows\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Program Files\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

So, ich denk, bin jetzt durch, ich denke die bluescreen kommen vom Arbeitsspeicher, habe ein Riegel raus und bis jetzt keine mehr, bin am Hardwarechek - hätt nicht gedacht hier noch Ruhe zu bekommen - vielen Dank

Muss ich jetzt noch was machen?

Thanks, thanks, thanks - Dirk

Antwort

Themen zu AntiVir meldet: TR\Monder.set
ad-aware, antivir, antivir meldet, ccleaner, defender, ergebnis, explorer, generic, hijack, hijackthis, hängt, ide, internet, internet explorer, link, rechner, security, startet, system32, trojanische pferd, variant, virus, virustotal, vista, vista32, windows, windows vista



Ähnliche Themen: AntiVir meldet: TR\Monder.set


  1. Antivir meldet Virusbefall
    Log-Analyse und Auswertung - 01.07.2014 (24)
  2. Antivir meldet TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 03.05.2014 (15)
  3. antivir meldet.....
    Plagegeister aller Art und deren Bekämpfung - 06.04.2012 (30)
  4. AntiVir Meldung TR/Monder.drip, .dirr, .divi
    Plagegeister aller Art und deren Bekämpfung - 06.07.2010 (27)
  5. Antivir meldet BDS/Sheldor.DB.2
    Plagegeister aller Art und deren Bekämpfung - 27.01.2010 (58)
  6. AntiVir meldet, TR/Spy.Gem
    Log-Analyse und Auswertung - 05.10.2009 (1)
  7. Antivir meldet Virus
    Log-Analyse und Auswertung - 13.08.2009 (18)
  8. Antivir meldet TR/Spy.gen
    Log-Analyse und Auswertung - 01.06.2009 (3)
  9. Antivir meldet Trojaner
    Log-Analyse und Auswertung - 10.10.2008 (1)
  10. AntiVir meldet: TR/Crypt.CFI.Gen
    Log-Analyse und Auswertung - 10.10.2008 (16)
  11. AntiVir meldet 3 Trojaner!
    Mülltonne - 28.09.2008 (0)
  12. Antivir meldet TR/Dropper.Gen!!!!
    Plagegeister aller Art und deren Bekämpfung - 12.09.2008 (8)
  13. TR/Monder. bqt oder TR/Monder.142848
    Plagegeister aller Art und deren Bekämpfung - 13.08.2008 (1)
  14. AntiVir meldet sich!!!
    Log-Analyse und Auswertung - 21.07.2008 (4)
  15. AntiVir meldet TR/Spy.Banker.vk.1
    Plagegeister aller Art und deren Bekämpfung - 22.03.2008 (7)
  16. AntiVir meldet BDS/Agent.elw
    Log-Analyse und Auswertung - 19.02.2008 (0)
  17. Antivir meldet TR/AgentHA.
    Log-Analyse und Auswertung - 01.01.2006 (2)

Zum Thema AntiVir meldet: TR\Monder.set - Hi, kann mir jemand Helfen? Betriebssystem: Vista32 Ultimate AntiVir meldet: C:\Windows\System32\hgGxWWxV.dll ist das Trojanische Pferd TR\Monder.set, ich habe die DLL-Datei bei VirusTotal hochgeladen, das ist das Ergebnis: Antivirus - Version - AntiVir meldet: TR\Monder.set...
Archiv
Du betrachtest: AntiVir meldet: TR\Monder.set auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.