Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.10.2008, 01:10   #1
mohfiya
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Beitrag

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Hi,
ich habe seit zwei Tagen den Trojaner TR/Agent.6938.A auf meinem PC. Bei weiteren Scans mit Malwarebytes Anti-Malware wurden auch noch der Worm/Autorun.NH, resycled.boot.com, Worm/Agent.86432 und TR/Passcrack.B
gefunden. Ich habe sie alle gelöscht. Jedoch habe ich jetzt das Problem, dass ich nicht auf meine Partitionen zugreifen kann. Es kommt immer die Fehlermeldung, dass resycled\boot.com nicht gefunden werden konnte. Ich bin total hilflos und hoffe das ihr mir helfen könnt. Anbei die Angaben zu meinem PC und die HijackThis und MBM Logfile.

Microsoft Windows XP Professional
Version 2002
Service Pack 3

Pentium 4, 3,4 Ghz, 1 GB Ram

Hijackthis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:40:21, on 17.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
E:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Labtec\WebCam10\WebCam10.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCFDRTM.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Duden\Duden Korrektor\DKTray.exe
E:\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Duden\Duden Korrektor\DKCore.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Java\jre1.6.0_06\bin\javaw.exe
C:\Programme\Office-Bibliothek\officebib.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\+++++\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Labtec\WebCam10\WebCam10.exe" /hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\DKTray.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "E:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Wuala.lnk = C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Wuala\Roaming\Wuala.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h++p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806_1/plugin/AXFOAM.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213390514812
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213390645562
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

--
End of file - 10614 bytes


MBM Logs:

1.

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 3

16.10.2008 20:33:45
mbam-log-2008-10-16 (20-33-45).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|J:\|K:\|)
Durchsuchte Objekte: 189257
Laufzeit: 1 hour(s), 16 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Pornovid (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdbvh.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\kdbvh.exe (Rootkit.DNSChanger.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\+++++\Lokale Einstellungen\Temp\Grenzg?nger.doc (Trojan.Extension.Exploit) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-565.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

2.

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 3

16.10.2008 22:41:33
mbam-log-2008-10-16 (22-41-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|J:\|K:\|)
Durchsuchte Objekte: 188820
Laufzeit: 1 hour(s), 13 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\+++++\Lokale Einstellungen\Temp\Grenzg?nger.doc (Trojan.Extension.Exploit) -> Quarantined and deleted successfully.


3.

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 3

17.10.2008 00:13:30
mbam-log-2008-10-17 (00-13-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|J:\|K:\|)
Durchsuchte Objekte: 188993
Laufzeit: 1 hour(s), 12 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\+++++\Lokale Einstellungen\Temp\Grenzg?nger.doc (Trojan.Extension.Exploit) -> Quarantined and deleted successfully.


Vielen Dank im Voraus

Ps: CCleaner wurde auch schon angewendet.

Alt 17.10.2008, 18:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Hallo

Lass mal bitte Combofix durchlaufen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
__________________

__________________

Alt 17.10.2008, 20:16   #3
mohfiya
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Hi, erstmal danke schön, dass Du mir hilfst.

Ich habe erst CCleaner noch einmal durchlaufen lassen und dann Combofix. Hier die Log von Combofix,
Code:
ATTFilter
ComboFix 08-10-16.08 - +++++ 2008-10-17 20:06:08.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.457 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\+++++\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
D:\Autorun.inf
E:\Autorun.inf
G:\autorun.inf
J:\autorun.inf
K:\autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-17 bis 2008-10-17  ))))))))))))))))))))))))))))))
.

2008-10-17 01:57 . 2008-10-17 01:58    <DIR>    d--------    C:\Programme\TuneUp Utilities 2008
2008-10-17 01:57 . 2008-10-17 01:57    <DIR>    d--------    C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\TuneUp Software
2008-10-17 01:57 . 2008-10-17 01:57    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-10-17 01:57 . 2008-10-17 01:57    361,728    --a------    C:\WINDOWS\system32\TuneUpDefragService.exe
2008-10-17 01:57 . 2008-07-18 15:05    28,416    --a------    C:\WINDOWS\system32\uxtuneup.dll
2008-10-17 01:45 . 2008-10-17 01:45    <DIR>    d--------    C:\Programme\WinSpeedUp
2008-10-17 01:45 . 2007-03-21 18:58    872,064    --a------    C:\WINDOWS\system32\SmartUI2.ocx
2008-10-17 01:45 . 2007-03-21 18:58    514,176    --a------    C:\WINDOWS\system32\BtnCtlsA.ocx
2008-10-17 01:45 . 2007-03-21 18:58    420,480    --a------    C:\WINDOWS\system32\TabStripCtlA.ocx
2008-10-17 01:45 . 2007-03-21 18:58    292,480    --a------    C:\WINDOWS\system32\TrackBarCtlA.ocx
2008-10-17 01:45 . 2003-10-13 00:06    7,752    --a------    C:\WINDOWS\system32\ShellLink.tlb
2008-10-17 00:32 . 2008-10-17 00:32    <DIR>    d--------    C:\Programme\CCleaner
2008-10-16 19:14 . 2008-10-16 19:15    <DIR>    d--------    C:\Programme\Malwarebytes' Anti-Malware
2008-10-16 19:14 . 2008-10-16 19:14    <DIR>    d--------    C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Malwarebytes
2008-10-16 19:14 . 2008-10-16 19:14    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-16 19:14 . 2008-09-10 00:04    38,528    --a------    C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-16 19:14 . 2008-09-10 00:03    17,200    --a------    C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 19:49 . 2008-10-14 19:51    <DIR>    d--------    C:\Programme\Allok QuickTime to AVI MPEG DVD Converter
2008-10-14 19:49 . 2006-09-26 13:57    28,672    --a------    C:\WINDOWS\system32\AVEQT.dll
2008-10-14 19:29 . 2008-10-14 19:29    <DIR>    d--------    C:\Programme\Xilisoft
2008-10-11 02:07 . 2008-10-11 03:30    34    --a------    C:\WINDOWS\cdplayer.ini
2008-10-11 01:55 . 2008-10-11 01:55    <DIR>    d--------    C:\WINDOWS\uninstall\Audiograbber
2008-10-11 01:55 . 2008-10-11 01:55    <DIR>    d--------    C:\WINDOWS\uninstall
2008-10-11 01:55 . 2008-10-11 01:57    <DIR>    d--------    C:\Programme\audiograbber
2008-09-30 13:32 . 2008-09-30 13:32    <DIR>    d--------    C:\Programme\FLV Player
2008-09-29 00:15 . 2008-09-29 00:15    <DIR>    d--------    C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-09-29 00:15 . 2008-09-29 00:15    <DIR>    d--------    C:\Programme\DVDVideoSoft
2008-09-26 20:57 . 2008-09-26 20:59    <DIR>    d--------    C:\Programme\MixVibesDVS7DEMO
2008-09-26 20:50 . 2008-09-26 20:50    <DIR>    d--------    C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Teleca
2008-09-26 16:22 . 2007-04-24 11:33    108,680    -ra------    C:\WINDOWS\system32\drivers\s125mdm.sys
2008-09-26 16:22 . 2007-04-24 11:33    100,488    -ra------    C:\WINDOWS\system32\drivers\s125mgmt.sys
2008-09-26 16:22 . 2007-04-24 11:33    98,696    -ra------    C:\WINDOWS\system32\drivers\s125obex.sys
2008-09-26 16:22 . 2007-04-24 11:33    83,336    -ra------    C:\WINDOWS\system32\drivers\s125bus.sys
2008-09-26 16:22 . 2007-04-24 11:33    15,112    -ra------    C:\WINDOWS\system32\drivers\s125mdfl.sys
2008-09-26 16:22 . 2007-04-24 11:33    12,424    -ra------    C:\WINDOWS\system32\drivers\s125whnt.sys
2008-09-26 16:22 . 2007-04-24 11:33    12,424    -ra------    C:\WINDOWS\system32\drivers\s125wh.sys
2008-09-26 16:22 . 2007-04-24 11:33    12,424    -ra------    C:\WINDOWS\system32\drivers\s125cmnt.sys
2008-09-26 16:22 . 2007-04-24 11:33    12,424    -ra------    C:\WINDOWS\system32\drivers\s125cm.sys
2008-09-26 16:21 . 2008-09-26 16:21    <DIR>    d--------    C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Sony Ericsson
2008-09-26 16:20 . 2008-09-26 16:20    <DIR>    d--------    C:\WINDOWS\Downloaded Installations
2008-09-26 16:20 . 2008-09-26 16:20    <DIR>    d--------    C:\Programme\Sony Ericsson
2008-09-26 16:20 . 2008-09-26 16:21    <DIR>    d--------    C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-09-26 16:20 . 2008-09-26 16:20    <DIR>    d--------    C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2008-09-26 16:19 . 2008-09-26 16:21    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-09-26 16:19 . 2008-09-26 16:21    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-09-26 16:10 . 2008-09-26 16:10    <DIR>    d--------    C:\Programme\MyPhoneExplorer
2008-09-26 16:10 . 2008-09-26 16:22    <DIR>    d--------    C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\MyPhoneExplorer
2008-09-26 16:10 . 2008-09-26 17:24    <DIR>    d-a------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-26 11:44 . 2008-09-26 11:44    <DIR>    d--------    C:\Programme\Apple Software Update
2008-09-26 11:43 . 2008-09-26 11:43    <DIR>    d--------    C:\Programme\iTunes
2008-09-26 11:43 . 2008-09-26 11:43    <DIR>    d--------    C:\Programme\iPod
2008-09-26 11:43 . 2008-09-26 11:43    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-26 11:41 . 2008-09-26 11:42    <DIR>    d--------    C:\Programme\QuickTime
2008-09-24 22:48 . 2008-09-24 22:48    <DIR>    d--------    C:\Programme\Audacity
2008-09-20 15:22 . 2008-09-20 15:22    <DIR>    d--------    C:\Programme\SopCast
2008-09-17 12:37 . 2008-04-14 04:22    221,184    --a------    C:\WINDOWS\system32\wmpns.dll
2008-09-17 12:28 . 2008-09-17 12:28    <DIR>    d--------    C:\WINDOWS\system32\de
2008-09-17 12:28 . 2008-09-17 12:28    <DIR>    d--------    C:\WINDOWS\l2schemas
2008-09-17 09:27 . 2008-04-14 04:20    847,898    -----c---    C:\WINDOWS\system32\dllcache\msdxm.ocx

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-17 18:03    ---------    d-----w    C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Wuala
2008-10-17 18:02    ---------    d-----w    C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Skype
2008-10-17 18:02    ---------    d-----w    C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Orbit
2008-10-17 14:09    ---------    d-----w    C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\skypePM
2008-10-16 23:56    ---------    d-----w    C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-05 01:02    ---------    d-----w    C:\Programme\Trillian
2008-09-28 23:56    ---------    d-----w    C:\Programme\FlashFXP
2008-09-26 09:42    ---------    d-----w    C:\Programme\Gemeinsame Dateien\Apple
2008-09-26 09:39    ---------    d-----w    C:\Programme\Bonjour
2008-09-23 17:12    ---------    d-----w    C:\Programme\Orbitdownloader
2008-09-16 13:47    ---------    d-----w    C:\Programme\Skype
2008-09-16 13:47    ---------    d-----w    C:\Programme\Gemeinsame Dateien\Skype
2008-09-16 13:47    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-09-15 21:47    ---------    d-----w    C:\Programme\DivX
2008-09-10 22:29    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-31 10:49    ---------    d-----w    C:\Programme\Gemeinsame Dateien\DataDesign
2008-08-29 08:18    87,336    ----a-w    C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53    61,440    ----a-w    C:\WINDOWS\system32\dnssd.dll
2008-08-26 22:32    73,728    ----a-w    C:\WINDOWS\ALCFDRTM.EXE
2008-08-25 22:13    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-19 21:03    ---------    d-----w    C:\Programme\eMusic Download Manager
2008-08-19 20:58    ---------    d--h--w    C:\Programme\InstallShield Installation Information
2008-08-14 23:03    319,488    ----a-w    C:\WINDOWS\HideWin.exe
2008-08-05 22:02    524,288    ----a-w    C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02    3,596,288    ----a-w    C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00    200,704    ----a-w    C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00    1,044,480    ----a-w    C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59    81,920    ----a-w    C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59    593,920    ----a-w    C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59    57,344    ----a-w    C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59    53,248    ----a-w    C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59    344,064    ----a-w    C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59    294,912    ----a-w    C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59    294,912    ----a-w    C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59    196,608    ----a-w    C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58    823,296    ----a-w    C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58    823,296    ----a-w    C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58    815,104    ----a-w    C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58    802,816    ----a-w    C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58    683,520    ----a-w    C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58    161,096    ----a-w    C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58    12,288    ----a-w    C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-29 14:05    1,296,896    ----a-w    C:\WINDOWS\system32\SPort.dll
2008-07-29 13:42    528,384    ----a-w    C:\WINDOWS\RtlExUpd.dll
2008-07-21 12:10    21,656    ----a-w    C:\WINDOWS\system32\dopdfmn6.dll
2008-07-21 12:10    18,072    ----a-w    C:\WINDOWS\system32\dopdfmi6.dll
2008-07-18 20:10    94,920    ----a-w    C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10    53,448    ----a-w    C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10    45,768    ----a-w    C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10    36,552    ----a-w    C:\WINDOWS\system32\wups.dll
2008-07-18 20:09    563,912    ----a-w    C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09    325,832    ----a-w    C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09    205,000    ----a-w    C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09    1,811,656    ----a-w    C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07    270,880    ----a-w    C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07    210,976    ----a-w    C:\WINDOWS\system32\muweb.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 165784]
"Duden Korrektor SysTray"="C:\Programme\Duden\Duden Korrektor\DKTray.exe" [2007-06-22 561880]
"ClipIncSrvTray"="E:\Tobit ClipInc\Player\ClipIncTray.exe" [2008-06-10 590600]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 153136]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-08-12 21741864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-03-06 488984]
"LogitechQuickCamRibbon"="C:\Programme\Labtec\WebCam10\WebCam10.exe" [2007-03-06 1060376]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-29 185896]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"EPSON Stylus C64 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE" [2003-09-12 99840]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AlcFDMonitor"="C:\WINDOWS\ALCFDRTM.EXE" [2008-08-27 73728]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]
"AtiPTA"="atiptaxx.exe" [2006-02-22 C:\WINDOWS\system32\atiptaxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-10-21 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-10-21 C:\WINDOWS\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\+++++\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440]
Wuala.lnk - C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Wuala\Roaming\Wuala.exe [2008-09-07 180547]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Office-Bibliothek-Direktsuche.lnk - C:\Programme\Office-Bibliothek\PCLib.exe [2008-06-14 323584]
Orbit.lnk - C:\Programme\Orbitdownloader\orbitdm.exe [2008-06-23 1690824]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Trillian\\trillian.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"E:\\Tobit ClipInc\\Server\\ClipInc-Server.exe"=
"E:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"C:\\Programme\\StreamRipper32\\StreamRipper32.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\FlashFXP\\flashfxp.exe"=
"C:\\Programme\\Java\\jre1.6.0_06\\bin\\javaw.exe"=
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-18 45376]
R2 ClipInc001;ClipInc 001;E:\Tobit ClipInc\Server\ClipInc-Server.exe 001 [ ]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 s125bus;Sony Ericsson Device 125 driver (WDM);C:\WINDOWS\system32\DRIVERS\s125bus.sys [2007-04-24 83336]
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s125mdfl.sys [2007-04-24 15112]
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s125mdm.sys [2007-04-24 108680]
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s125mgmt.sys [2007-04-24 100488]
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s125obex.sys [2007-04-24 98696]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-10-17 361728]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com c:
\Shell\Open\command - resycled\boot.com c:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - resycled\boot.com d:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com e:
\Shell\Open\command - resycled\boot.com e:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89e8cbcc-5e5d-11dd-ad93-00301bb77caf}]
\Shell\AutoRun\command - setupSNK.exe

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 18:47]

2008-09-26 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Mozilla\Firefox\Profiles\iuwbhcb7.default\
FF -: plugin - C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Mozilla\Firefox\Profiles\iuwbhcb7.default\extensions\zaplivetvpublisher@zaplive.tv\platform\WINNT_x86-msvc\plugins\npzaplivetvpublisher.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-17 20:07:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-17 20:08:18
ComboFix-quarantined-files.txt  2008-10-17 18:08:04

Vor Suchlauf: 7.469.731.840 Bytes frei
Nach Suchlauf: 8,554,147,840 Bytes frei

254    --- E O F ---    2008-09-18 08:41:47
         
__________________

Geändert von mohfiya (17.10.2008 um 20:32 Uhr)

Alt 17.10.2008, 20:32   #4
mohfiya
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Weiterer Post, da zuviele Zeichen.

Zudem habe ich auch noch einmal HijackThis durchlaufen lassen. Hier das Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:21:30, on 17.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.EXE
E:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Labtec\WebCam10\WebCam10.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCFDRTM.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Duden\Duden Korrektor\DKTray.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Duden\Duden Korrektor\DKCore.exe
E:\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\jre1.6.0_06\bin\javaw.exe
C:\Programme\Office-Bibliothek\officebib.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Dokumente und Einstellungen\+++++\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Labtec\WebCam10\WebCam10.exe" /hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\DKTray.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "E:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Wuala.lnk = C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Wuala\Roaming\Wuala.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806_1/plugin/AXFOAM.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213390514812
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213390645562
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 10444 bytes
         
Weiter habe ich MBM nocheinmal durchlaufen lassen (Quickscan) mit diesem Ergebnis:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 3

17.10.2008 20:27:43
mbam-log-2008-10-17 (20-27-43).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 51263
Laufzeit: 4 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Jetzt hat Antvir noch eine Warnung/Fund-Meldung gemacht.
Code:
ATTFilter
In der Datei 'C:\WINDOWS\NIRCMD.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
         
Ich lasse jetzt MBM nochmal komplett durchscannen und poste das Log dann.

Vielen lieben Dank nocheinmal für Deine Hilfe.
Cheers
mohfiya

Alt 18.10.2008, 14:43   #5
mohfiya
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Weiter wurden noch folgende Antivir Meldungen gemacht.

Code:
ATTFilter
In der Datei 'C:\System Volume Information\_restore{88E927C2-4B63-4E5B-96EE-C6C1A4AA4A8D}\RP236\A0046539.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.Hide.A' [riskware] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
         
Code:
ATTFilter
In der Datei 'K:\resycled\boot.com'
wurde ein Virus oder unerwünschtes Programm 'WORM/Autorun.NH' [worm] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         
Auf meine Partitionen kann ich seit Combofix wieder zugreifen. Aber scheint ja doch nicht alles weg zu sein?!

Danke
mohfiya


Alt 18.10.2008, 20:08   #6
mohfiya
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Hi, also hier mein neuestes MBM Log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 3

18.10.2008 19:04:30
mbam-log-2008-10-18 (19-04-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|J:\|K:\|)
Durchsuchte Objekte: 185237
Laufzeit: 2 hour(s), 43 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         


Ich dreh echt am Rad, Antivir findet immer wieder:

Code:
ATTFilter
In der Datei 'C:\System Volume Information\_restore{88E927C2-4B63-4E5B-96EE-C6C1A4AA4A8D}\RP236\A0046546.com'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben



In der Datei 'K:\resycled\boot.com'
wurde ein Virus oder unerwünschtes Programm 'WORM/Autorun.NH' [worm] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         
Ich hoffe, dass es da noch Rettung gibt...
Danke
mohfiya

Alt 19.10.2008, 00:11   #7
mohfiya
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



So, ich habe jetzt auch nochmal SDfix durchlaufen lassen. Hier das Log:

Code:
ATTFilter
SDFix: Version 1.236 
Run by +++++ on 18.10.2008 at 23:51

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 00:01:57
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:36,8a,1f,66,74,64,81,7e,58,c5,12,36,d6,08,25,9f,af,f1,d5,2e,81,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,6d,7c,2d,f3,ea,66,dd,16,f5,e5,24,6a,fb,a0,f3,29,93,..
"khjeh"=hex:7a,58,24,d6,82,c1,61,1c,b1,9f,49,c5,c6,4b,8f,b1,84,4f,3c,fa,5a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:b2,4b,78,b6,6c,83,50,4e,df,79,57,96,68,ee,9e,ef,e5,2e,a3,7d,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:36,8a,1f,66,74,64,81,7e,58,c5,12,36,d6,08,25,9f,af,f1,d5,2e,81,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,6d,7c,2d,f3,ea,66,dd,16,f5,e5,24,6a,fb,a0,f3,29,93,..
"khjeh"=hex:7a,58,24,d6,82,c1,61,1c,b1,9f,49,c5,c6,4b,8f,b1,84,4f,3c,fa,5a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:b2,4b,78,b6,6c,83,50,4e,df,79,57,96,68,ee,9e,ef,e5,2e,a3,7d,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:36,8a,1f,66,74,64,81,7e,58,c5,12,36,d6,08,25,9f,af,f1,d5,2e,81,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,6d,7c,2d,f3,ea,66,dd,16,f5,e5,24,6a,fb,a0,f3,29,93,..
"khjeh"=hex:7a,58,24,d6,82,c1,61,1c,b1,9f,49,c5,c6,4b,8f,b1,84,4f,3c,fa,5a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6b,ab,dd,1f,6c,54,9b,b6,80,9b,ef,4b,30,2b,87,d7,a1,ef,a0,de,7a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:36,8a,1f,66,74,64,81,7e,58,c5,12,36,d6,08,25,9f,af,f1,d5,2e,81,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,6d,7c,2d,f3,ea,66,dd,16,f5,e5,24,6a,fb,a0,f3,29,93,..
"khjeh"=hex:7a,58,24,d6,82,c1,61,1c,b1,9f,49,c5,c6,4b,8f,b1,84,4f,3c,fa,5a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6b,ab,dd,1f,6c,54,9b,b6,80,9b,ef,4b,30,2b,87,d7,a1,ef,a0,de,7a,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"="C:\\Programme\\Orbitdownloader\\orbitdm.exe:*:Enabled:Orbit"
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"="C:\\Programme\\Orbitdownloader\\orbitnet.exe:*:Enabled:Orbit"
"E:\\Tobit ClipInc\\Server\\ClipInc-Server.exe"="E:\\Tobit ClipInc\\Server\\ClipInc-Server.exe:*:Enabled:ClipInc Server"
"E:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"="E:\\Tobit ClipInc\\Player\\ClipInc-Player.exe:*:Enabled:ClipInc Player"
"C:\\Programme\\StreamRipper32\\StreamRipper32.exe"="C:\\Programme\\StreamRipper32\\StreamRipper32.exe:*:Enabled:SRipper"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\FlashFXP\\flashfxp.exe"="C:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"
"C:\\Programme\\Java\\jre1.6.0_06\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.6.0_06\\bin\\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"="C:\\Programme\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\FlashFXP\\flashfxp.exe"="C:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"

Remaining Files :



Files with Hidden Attributes :

Tue 30 Sep 2008         4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sat 18 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\11a41d638ef27a23b34b1e497227d8e3\BIT1.tmp"
Sat 18 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\207439dbcf01a4fc5e153d4494ef2c2a\BIT8.tmp"
Sat 18 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3b20dcca168959ba1f817ee58f3594b7\BIT5.tmp"
Sat 18 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4cfa76931e822bbebb9217c303727d49\BIT6.tmp"
Sat 18 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6030c83b58015a323c2d00f73e964810\BIT9.tmp"
Sat 18 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\68ac321d4d812c59f33f66962b8f3d0c\BIT3.tmp"
Sat 18 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7db42668d42f9076e9e8ddd6009e6a70\BIT2.tmp"
Sat 18 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9508b4e5ba6851c2778692a72a1c6e54\BITA.tmp"
Sat 18 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ee49a49f48eeba4d92172538eea99fb9\BIT4.tmp"
Sat 18 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fac25fb79a7e2e543c9bcbc9badaaf4b\BIT7.tmp"
Mon 11 Aug 2008        54,784 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL0027.tmp"
Sun 10 Aug 2008        27,136 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL0083.tmp"
Mon 11 Aug 2008       607,232 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL0480.tmp"
Mon 11 Aug 2008        57,344 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL0703.tmp"
Sun 10 Aug 2008        26,624 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL1410.tmp"
Sun 10 Aug 2008        26,624 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL2334.tmp"
Mon 11 Aug 2008       615,424 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL2602.tmp"
Sun 10 Aug 2008        27,648 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL2670.tmp"
Sun 10 Aug 2008        25,088 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL2927.tmp"
Sun 10 Aug 2008        28,160 ...H. --- "C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Microsoft\Word\~WRL3591.tmp"

Finished!
         
Ich würde gerne wissen, ob ich auch eine Weiterleitung in die Ukraine habe. Ich habe dies jetzt schon des öfteren im Zusammenhang mit diesem Trojaner gelesen. Hierfür nochmal das aktuellste HijackThis Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:12:12, on 19.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.EXE
E:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Labtec\WebCam10\WebCam10.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCFDRTM.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Duden\Duden Korrektor\DKTray.exe
E:\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Duden\Duden Korrektor\DKCore.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Java\jre1.6.0_06\bin\javaw.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\Office-Bibliothek\officebib.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\+++++\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Labtec\WebCam10\WebCam10.exe" /hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\DKTray.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "E:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Wuala.lnk = C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Wuala\Roaming\Wuala.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h++p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h++ps://www.olb.de/olb_fb3_1806_1/plugin/AXFOAM.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213390514812
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213390645562
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 10401 bytes
         

Für weitere Hinweise, Ratschläge und Tipps wäre ich sehr sehr dankbar. Vielen lieben Dank, mohfiya

Alt 19.10.2008, 18:45   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Du solltest doch die Systemwiederherstellung deaktivieren. Malwaredateien landen ja auch in den System-Volume-Information-Ordnern, Du hättest da keine Meldungen mehr bekommen über Dateien in diesen Ordnern wenn Du die SWH deaktiviert hättest.

Überprüf mal, ob auf allen Laufwerken bei Dir der Ordner (x steht für den Laufwerksbuchstaben des jew. Laufwerkes)

x:\resycled vorhanden ist - wenn ja, am besten erstmal löschen, aber bitte eine darin evtl. vorhandene boot.com bei Virustotal auswerten lassen.

Und ja, Du hattest eine Umleitung in die Ukraine lt. Malwarebytes:

Code:
ATTFilter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
         
wurde aber entfernt. Nur wenn Du sicher gehen willst/musst, führt nichts am Neuaufsetzen vorbei.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.10.2008, 19:48   #9
mohfiya
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Oh man, das mit der Systemwiederherstellung habe ich wohl überlesen...

Dann werde ich wohl vorsichtshalber das System neuaufsetzen. Vielen lieben Dank für deine Hilfe.

Alt 21.10.2008, 04:31   #10
mohfiya
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Hallo nochmal,
ich bin ratlos. Ich habe Parition c: (habe c-e) formatiert und XP mit SP 3 neu installiert. Aber MBM findet immer nochwas ;(
Ich habe nochmal HijackThis und MBM durchlaufen lassen. Ich hoffe Du kannst mir nochmal helfen. Hier die Logs:

Hijackthis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:20:27, on 21.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\+++++\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 2898 bytes
         
und MBM:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1299
Windows 5.1.2600 Service Pack 3

21.10.2008 03:53:54
mbam-log-2008-10-21 (03-53-54).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 38408
Laufzeit: 1 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7f517fdd-699e-439e-9d7e-7948c512fb6a}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7f517fdd-699e-439e-9d7e-7948c512fb6a}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{7f517fdd-699e-439e-9d7e-7948c512fb6a}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Wenn ich die Einträge bei MBM lösche (wie getan) geht das Inet nicht mehr. Nachdem 2. oder 3. mal Neustarten gehts es dann wieder, aber MBM findet auch wieder die Einträge.

Hilfos

Alt 21.10.2008, 10:44   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Icon32

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Was hast Du direkt nach dem Neuaufsetzen denn schon alles ausgeführt? Von alleine landen keine Schädlinge auf der Platte und von alleine ändern sich auf keine TCP/IP-Einstellungen Die Einträge, die MBAM da entfernt hat, enthalten IP-Adressen, die man defintiv der Ukraine zuweisen kann und die Adressen stammen mit Sicherheit wohl nicht von Deinem Provider
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.10.2008, 12:50   #12
mohfiya
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Hi,
ich habe eigentlich nichts installiert ausser (Chipsatz-, Lan-, Audio-,Grafiktreiber) Antivr, MBM, Thunderbird, Firefox, Tune Up, Trilian.

Ich habe das Gefühl, das irgendwas mit dem Router nicht stimmt (DI 524). Da ich keine Downloads von der microsoft.com Seite machen kann. Auf allen anderen Seiten aber wohl. Nachdem ich dann gestern nur über das Modem ins Netz gegangen bin, konnte ich von der Seite das SP 3 laden.

Ich versteh es nicht, das Ding hätte doch weg sein müssen...Antivir hat auch nichts mehr gefunden...

Habe auch das normale Formatieren genommen (nicht schnell) im NTFS.
mfg
mohfiya

Alt 21.10.2008, 13:23   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Wo hast Du die Setups her?
Hast Du die neu heruntergeladen oder aus dem versifften System übernommen (macht man nicht bei ausführbaren Dateien!)
Hattest Du min. das SP2 installiert vor dem ersten Gang ins Internet?

Wie gesagt, wenn Du richtig neu aufgesetzt hast, wären die Einträge definitiv nicht da. Von irgendwo müssen die herkommen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.10.2008, 20:48   #14
mohfiya
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Standard

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



So,
ich habe das System jetzt erneut Neuaufgesetzt (formatiert und installiert). Ersten Inet Kontakt mit SP3 drauf. Alle Treiber frisch über meinen Laptop ausm Netz und von CD auf dem PC installiert. Jetzt habe ich gerade MBM runtergeladen und durchlaufen lassen und wieder die selben Einträge.
Code:
ATTFilter
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2a4b432b-a171-44d7-9033-5b62461138af}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{2a4b432b-a171-44d7-9033-5b62461138af}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{2a4b432b-a171-44d7-9033-5b62461138af}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 ->
         
Ich habe alles strikt nach Anleitung gemacht...keine Ahnung was ich noch machen soll. Kann es sein das der 'Befall' noch auf den anderen Partitionen ist (habe nur C formatiert)? Und dadurch Zugriff bekommt? Oder gar auf dem Router? Wie gesagt Software frisch von Hersteller und SP 3 vor Inet...;(

mfg mohfiya

Alt 21.10.2008, 23:28   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Idee

TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?



Da gibts eigentlich nur zwei Möglichkeiten. Entweder MBAM irrt sich da, oder Du führst immer munter einen Schädling aus.

Die Einträge sollten bei einem frischen Windows aber definitiv nicht da sein. Ich hab noch keinen wirkichen Anhaltspunkt, was bei Dir tatsächlich der Infektionsherd ist. Ich fass nochmal zusammen:

- alle Partitionen formatiert
- Windows frisch vom Originaldatenträger neuinstalliert
- erst ins Internet gegangen, als min. das SP2 installiert war
- Treiber von vertrauenswürdigen Quellen (neu) heruntergeladen und installiert

Was mir jetzt noch zusätzlich einfällt (obwohl ich den Router bauchgefühlgemäßig zu 99% als Infektionsquelle ausschließen würde):

- DLink Router (WLAN) ist mit ausreichend starkem Schlüssel mit WPA/WPA2 abgesichert?
- Router hat die neuste Firmware

Und um nochmal Klarheit bzgl. des MBR zu schaffen: Führe dieses MBR-Tool aus und poste die Ausgabe
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?
.com, antivir, antivirus, application, avira, bho, bonjour, browser, desktop, downloader, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, malwarebytes anti-malware, mozilla, nicht gefunden, object, problem, registrierungsschlüssel, rootkit.dnschanger.h, senden, server, shortcut, software, system, systray, trojaner, usb, windows, windows xp, windows xp sp3, windows\temp, xp sp3



Ähnliche Themen: TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?


  1. TR/Passcrack.B und TR/Agent.6938.A
    Plagegeister aller Art und deren Bekämpfung - 01.11.2008 (9)
  2. TR/Passcrack.B und TR/Agent.6938.A
    Mülltonne - 26.10.2008 (0)
  3. TR/Agent.6938.A
    Log-Analyse und Auswertung - 20.10.2008 (1)
  4. Antivir meldete: TR/Agent.6938.A
    Plagegeister aller Art und deren Bekämpfung - 15.10.2008 (12)
  5. TR/Agent.6938.A Problem
    Plagegeister aller Art und deren Bekämpfung - 15.10.2008 (2)
  6. TR/Agent.6938.A
    Log-Analyse und Auswertung - 15.10.2008 (8)
  7. TR/Agent.6938.A Prob
    Mülltonne - 15.10.2008 (0)
  8. Wie kann ich TR/Agent.6938.A löschen?
    Plagegeister aller Art und deren Bekämpfung - 04.10.2008 (1)
  9. Der Virus "TR/Agent.6938.A" macht mir zu schaffen...
    Log-Analyse und Auswertung - 01.10.2008 (6)
  10. Hilfe zu HiJackThis-Logs TR/Spy.Agent
    Log-Analyse und Auswertung - 02.08.2008 (1)
  11. Bitte Nachgucken + Noch Eine Rettung In Sicht?
    Log-Analyse und Auswertung - 07.02.2008 (2)
  12. Über 20 unterschiedliche Trojaner! Rettung noch möglich?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2008 (3)
  13. noch Rettung in Sicht?
    Log-Analyse und Auswertung - 16.08.2007 (11)
  14. Werden nicht alle Logs von Hijack This nachgesehen ??? Gibt es Kriterien ???
    Log-Analyse und Auswertung - 07.03.2006 (8)
  15. Es gibt noch mehr Laien!!
    Log-Analyse und Auswertung - 18.11.2005 (2)
  16. BDS/Agent.AY logs von escan und HIjackthis
    Plagegeister aller Art und deren Bekämpfung - 24.01.2005 (5)
  17. gibt es noch rettung??
    Plagegeister aller Art und deren Bekämpfung - 24.11.2004 (4)

Zum Thema TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? - Hi, ich habe seit zwei Tagen den Trojaner TR/Agent.6938.A auf meinem PC. Bei weiteren Scans mit Malwarebytes Anti-Malware wurden auch noch der Worm/Autorun.NH, resycled.boot.com, Worm/Agent.86432 und TR/Passcrack.B gefunden. Ich habe - TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?...
Archiv
Du betrachtest: TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.