Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Smitfraud-C. & Virtumonde & Virtumonde.generic

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Thema geschlossen
Alt 28.11.2008, 14:34   #1
psychoaki
 
Smitfraud-C. & Virtumonde & Virtumonde.generic - Standard

Smitfraud-C. & Virtumonde & Virtumonde.generic



Hallo,
ich habe laut Spybot und AdAware die Malware Smitfraud-C. sowie Virtumonde. Ich bekomme beides nicht herunter von meinem System. Ich habe mich schon versucht schlau zu machen, aber mit den bisherigen Anleitungen bin ich bisher gescheitert. Die Smitfraudfix.exe sowie die von Symantec angebotene virtumondfix.exe funktionieren jedenfalls nicht. Da ich mein System gerade neu aufgesetzt habe, möchte ich nicht unbedingt wieder eine Neuinstallation durchführen. Ich hoffe hier kann mir jemand helfen. Das wäre super. Hier kommt mein HijackThis logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:21, on 28.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\TpShocks.exe
C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programme\Lenovo\HOTKEY\TPONSCR.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lenovo\Zoom\TpScrex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\System32\TPHDEXLG.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
C:\Programme\Lenovo\System Update\SUService.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winfuture.de/
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Bar] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmwwexowcr.tmp
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226961314428
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB35D719-E31A-470B-B05B-C067DC58F210}: NameServer = 134.147.222.4,134.147.32.40
O20 - AppInit_DLLs: jjjftm.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - C:\Programme\Lenovo\System Update\SUService.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

--
End of file - 10817 bytes


Danke!

Alt 28.11.2008, 15:07   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Smitfraud-C. & Virtumonde & Virtumonde.generic - Standard

Smitfraud-C. & Virtumonde & Virtumonde.generic



Hallo,

Was heußt "gerade" aufgesetzt?
Wie lang ist das her und wie hast Du es geschafft Dir wieder die Pest ins System zu holen?
Wenn man neu aufsetzt, schmeißt man logischerweise alle ausführbaren Dateien aus dem versifften System weg (z.B. von anderen Partionen). hast Du das auch gemacht?

Code:
ATTFilter
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
         
Bitte deinstallier diesen schwachsinnigen Teatimer. Der spuckt überzogen völlig hysterische Meldungen aus die beim Analysieren/Bereinigen stören können.

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmwwexowcr.tmp
         
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________

Alt 28.11.2008, 17:38   #3
psychoaki
 
Smitfraud-C. & Virtumonde & Virtumonde.generic - Standard

Smitfraud-C. & Virtumonde & Virtumonde.generic



Hallo,

vielen Dank für die schnelle Antwort. Ich habe alles soweit abgearbeitet und alle erstellten files gezippt und hochgeladen. Könntest Du oder jemand anders sich vielleicht noch einmal alles anschauen? Das wäre wirklich sehr nett!

Danke!

http://www.file-upload.net/download-1282564/Logifles.zip.html
__________________

Alt 28.11.2008, 18:20   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Smitfraud-C. & Virtumonde & Virtumonde.generic - Standard

Smitfraud-C. & Virtumonde & Virtumonde.generic



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:
ATTFilter
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-

Collect::
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmwwexowcr.tmp
C:\WINDOWS\system32\xxyxWqoP.dll
C:\WINDOWS\Tasks\PMTask.job
C:\WINDOWS\Tasks\SA.DAT
c:\windows\qfe7.tmp
c:\windows\qfe8.tmp
c:\windows\system32\drivers\Tppwrif.sys

Dirlook::
c:\dokumente und einstellungen\Administrator\(null)
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 28.11.2008, 23:02   #5
psychoaki
 
Smitfraud-C. & Virtumonde & Virtumonde.generic - Standard

Smitfraud-C. & Virtumonde & Virtumonde.generic



Hallo,
Ich habe den AdAware Prozess im TaskManager gelöscht, sowie Antivir und Spybot und die Windows Firewall beendet. Diesen blöden TeaTimer habe ich nicht beendet, da ich den im TaskManager nicht gefunden habe. Ehrlich gesagt,, weiß ich auch nicht so genau wie ich den De-Installieren kann ohne Spybot komplett zu deinstallieren. Über die Systemsteuerung geht es jedenfalls nicht.

Hier kommt das neue logfile in 2 Teilen


Code:
ATTFilter
ComboFix 08-11-27.07 - Administrator 2008-11-28 22:46:10.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1562 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\qfe7.tmp
c:\windows\qfe8.tmp
c:\windows\system32\drivers\Tppwrif.sys
c:\windows\Tasks\PMTask.job
c:\windows\Tasks\SA.DAT

.
(((((((((((((((((((((((   Dateien erstellt von 2008-10-28 bis 2008-11-28  ))))))))))))))))))))))))))))))
.

2008-11-28 17:15 . 2008-11-28 17:15	<DIR>	d--------	c:\programme\CCleaner
2008-11-28 15:36 . 2008-11-28 15:36	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-28 15:36 . 2008-11-28 15:36	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-28 15:36 . 2008-11-28 15:36	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-11-28 15:36 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-28 15:36 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-28 14:43 . 2008-11-28 14:43	<DIR>	d--------	c:\windows\Content.IE5
2008-11-28 14:20 . 2008-11-28 14:20	<DIR>	d--------	c:\programme\Trend Micro
2008-11-28 11:53 . 2008-11-28 12:39	3,936	--a------	c:\windows\system32\tmp.reg
2008-11-28 10:34 . 2008-11-28 10:34	<DIR>	d--------	c:\programme\Lavasoft
2008-11-28 10:34 . 2008-11-28 10:35	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-11-28 10:12 . 2008-11-28 10:12	95	--a------	c:\windows\wininit.ini
2008-11-28 09:59 . 2008-11-28 10:18	<DIR>	d--------	c:\programme\Spybot - Search & Destroy
2008-11-28 09:59 . 2008-11-28 17:35	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-27 21:00 . 2008-11-27 21:00	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-11-27 00:35 . 2008-11-27 00:35	69	--a------	c:\windows\NeroDigital.ini
2008-11-27 00:06 . 2008-11-27 00:06	<DIR>	d--------	C:\Temp
2008-11-27 00:06 . 2008-11-27 00:06	115,016	--a------	c:\windows\system32\MSINET.OCX
2008-11-27 00:06 . 2008-11-27 00:06	29,184	--a------	c:\windows\system32\MSINET.oca
2008-11-27 00:06 . 2008-11-27 00:06	2,407	--a------	c:\windows\system32\MSINET.DEP
2008-11-26 23:59 . 2008-11-26 23:59	<DIR>	d--------	c:\windows\Sun
2008-11-26 23:33 . 2008-11-26 23:33	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\(null)
2008-11-26 15:19 . 2008-11-26 15:19	26,648	--a------	c:\windows\FontData.fdb
2008-11-26 15:18 . 2008-11-26 15:18	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Corel
2008-11-25 13:43 . 2001-08-17 13:56	7,552	--a------	c:\windows\system32\drivers\SONYPVU1.SYS
2008-11-25 13:43 . 2001-08-17 13:56	7,552	--a--c---	c:\windows\system32\dllcache\sonypvu1.sys
2008-11-19 22:26 . 2008-11-19 22:26	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-11-19 22:25 . 2008-04-14 00:17	25,856	--a------	c:\windows\system32\drivers\usbprint.sys
2008-11-19 22:25 . 2008-04-14 00:17	25,856	--a--c---	c:\windows\system32\dllcache\usbprint.sys
2008-11-19 22:25 . 2008-04-14 00:15	15,104	--a------	c:\windows\system32\drivers\usbscan.sys
2008-11-19 22:25 . 2008-04-14 00:15	15,104	--a--c---	c:\windows\system32\dllcache\usbscan.sys
2008-11-19 22:24 . 2008-11-19 22:24	<DIR>	d--------	c:\programme\Gemeinsame Dateien\CANON
2008-11-19 22:21 . 2008-11-19 22:21	<DIR>	d--h-----	c:\windows\system32\CanonIJ Uninstaller Information
2008-11-19 22:21 . 2008-11-19 22:21	<DIR>	d--h-----	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-11-19 22:21 . 2007-03-23 08:30	1,400,832	--a------	c:\windows\system32\CNC610C.DLL
2008-11-19 22:21 . 2007-04-15 21:00	215,040	--a------	c:\windows\system32\CNMLM93.DLL
2008-11-19 22:21 . 2007-04-13 06:46	200,704	--a------	c:\windows\system32\CNC610L.DLL
2008-11-19 22:21 . 2007-03-15 06:12	188,416	--a------	c:\windows\system32\CNC610O.DLL
2008-11-19 22:21 . 2007-03-23 08:29	98,304	--a------	c:\windows\system32\CNC610I.DLL
2008-11-19 22:20 . 2008-11-19 22:20	<DIR>	d--h-----	c:\programme\CanonBJ
2008-11-19 22:19 . 2008-11-19 22:26	<DIR>	d--------	c:\programme\Canon
2008-11-19 22:09 . 2008-11-19 22:09	26	--a------	C:\UpdaterforApp.ini
2008-11-19 22:08 . 2008-11-19 22:09	<DIR>	d--------	c:\programme\Gemeinsame Dateien\ArcSoft
2008-11-19 22:08 . 2005-04-27 16:36	245,408	--a------	c:\windows\system32\unicows.dll
2008-11-19 22:08 . 2007-03-07 16:05	126,976	--a------	c:\windows\system32\MediaImpression Slideshow.scr
2008-11-19 22:08 . 2005-02-23 14:58	11,776	--a------	c:\windows\system32\drivers\afc.sys
2008-11-19 22:07 . 2008-11-19 22:08	<DIR>	d--------	c:\windows\system32\MediaImpression Slideshow
2008-11-19 22:07 . 2008-11-19 22:07	<DIR>	d--------	c:\programme\ArcSoft
2008-11-19 22:07 . 2008-11-19 22:07	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Panasonic
2008-11-19 22:01 . 2008-11-27 00:30	<DIR>	d--------	c:\programme\Jdownloader
2008-11-19 21:55 . 2008-11-19 21:55	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-11-19 21:55 . 2005-03-07 19:44	45,056	--a------	c:\windows\system32\PhDi2.sys
2008-11-19 21:53 . 2008-11-19 21:53	<DIR>	d--------	c:\programme\Java
2008-11-19 21:53 . 2008-11-19 21:53	410,976	--a------	c:\windows\system32\deploytk.dll
2008-11-19 21:53 . 2008-11-19 21:53	73,728	--a------	c:\windows\system32\javacpl.cpl
2008-11-19 21:51 . 2008-11-19 21:55	<DIR>	d--------	c:\programme\Panasonic
2008-11-19 16:48 . 2008-11-26 15:18	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Corel
2008-11-19 16:46 . 2008-11-19 16:46	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Corel
2008-11-19 16:45 . 2008-11-19 16:45	<DIR>	d--------	c:\programme\Corel
2008-11-19 15:43 . 2008-11-20 14:53	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\EndNote
2008-11-19 15:21 . 2008-11-19 15:21	<DIR>	d--------	c:\programme\Formosoft
2008-11-19 15:21 . 2007-12-14 14:30	1,024,000	--a------	c:\windows\AquaReal2.scr
2008-11-19 15:21 . 2007-10-16 11:33	282,624	--a------	c:\windows\system32\AquaReal2.ocx
2008-11-19 15:21 . 2002-10-21 12:47	28,672	--a------	c:\windows\SNVerifyDLL.dll
2008-11-19 13:32 . 2008-11-19 13:32	<DIR>	d--------	c:\programme\Activision
2008-11-19 13:27 . 2008-11-19 13:27	<DIR>	d--hs----	c:\windows\ftpcache
2008-11-19 12:39 . 2003-06-25 16:05	266,360	--a------	c:\windows\system32\TweakUI.exe
2008-11-19 12:39 . 2002-06-21 15:09	160,217	--a------	c:\windows\system32\PowerToysLicense.rtf
2008-11-19 12:30 . 2008-11-19 12:30	<DIR>	d--------	c:\dokumente und einstellungen\TCad\test
2008-11-19 12:20 . 2008-11-17 23:00	<DIR>	d--h-----	c:\dokumente und einstellungen\TCad\Vorlagen
2008-11-19 12:20 . 2008-11-17 22:54	<DIR>	dr-------	c:\dokumente und einstellungen\TCad\Startmenü
2008-11-19 12:20 . 2008-11-17 22:54	<DIR>	d--h-----	c:\dokumente und einstellungen\TCad\Netzwerkumgebung
2008-11-19 12:20 . 2008-11-28 17:29	<DIR>	d--h-----	c:\dokumente und einstellungen\TCad\Lokale Einstellungen
2008-11-19 12:20 . 2008-11-19 12:20	<DIR>	dr-------	c:\dokumente und einstellungen\TCad\Favoriten
2008-11-19 12:20 . 2008-11-19 12:20	<DIR>	dr-------	c:\dokumente und einstellungen\TCad\Eigene Dateien
2008-11-19 12:20 . 2008-11-17 22:54	<DIR>	d--h-----	c:\dokumente und einstellungen\TCad\Druckumgebung
2008-11-19 12:20 . 2008-11-19 12:20	<DIR>	dr-h-----	c:\dokumente und einstellungen\TCad\Anwendungsdaten
2008-11-19 12:20 . 2008-11-19 12:30	<DIR>	d--------	c:\dokumente und einstellungen\TCad
2008-11-18 23:32 . 2008-11-18 23:33	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2008-11-18 19:15 . 2008-11-18 19:15	<DIR>	d--------	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Intel
2008-11-18 19:15 . 2008-11-18 19:15	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Intel
2008-11-18 15:38 . 2008-11-18 15:38	<DIR>	d--------	c:\programme\MSXML 4.0
2008-11-18 15:33 . 2008-01-21 17:43	4,244,744	--a------	c:\windows\system32\qtp-mt334.dll
2008-11-18 15:33 . 2008-01-21 17:43	247,560	--a------	c:\windows\system32\prgiso.dll
2008-11-18 15:33 . 2007-11-06 09:06	131,672	--a------	c:\windows\system32\drivers\Uim_IM.sys
2008-11-18 15:33 . 2007-11-06 09:06	39,472	--a------	c:\windows\system32\drivers\hotcore3.sys
2008-11-18 15:33 . 2007-11-06 09:06	32,080	--a------	c:\windows\system32\drivers\UimBus.sys
2008-11-18 15:33 . 2008-01-21 17:43	13,576	--a------	c:\windows\system32\wnaspi32.dll
2008-11-18 15:33 . 2007-11-06 09:06	11,568	--a------	c:\windows\system32\drivers\UimFIO.sys
2008-11-18 15:32 . 2008-11-18 15:33	<DIR>	d--------	c:\programme\Paragon Software
2008-11-18 15:26 . 2008-11-18 15:26	<DIR>	d--------	c:\windows\system32\XPSViewer
2008-11-18 15:26 . 2008-11-18 15:26	<DIR>	d--------	c:\programme\Reference Assemblies
2008-11-18 15:26 . 2008-11-18 15:26	<DIR>	d--------	c:\programme\MSBuild
2008-11-18 15:25 . 2006-06-29 13:07	14,048	---------	c:\windows\system32\spmsg2.dll
2008-11-18 15:22 . 2008-11-18 15:23	<DIR>	d--------	c:\programme\Winamp
2008-11-18 15:22 . 2008-11-27 00:09	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp
2008-11-18 15:14 . 2008-11-18 15:14	<DIR>	d--------	c:\programme\RSA SecurID Token Common
2008-11-18 15:14 . 2008-11-18 15:14	<DIR>	d--------	c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software
2008-11-18 15:14 . 2008-11-18 15:14	<DIR>	d--------	c:\programme\Gemeinsame Dateien\SPBA
2008-11-18 15:13 . 2008-11-18 15:15	<DIR>	d--------	c:\programme\ThinkVantage Fingerprint Software
2008-11-18 15:13 . 2008-11-18 15:13	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\UIB
2008-11-18 15:02 . 2008-11-18 15:02	<DIR>	d--------	c:\programme\WiQuest
2008-11-18 14:56 . 2008-08-19 21:15	991,656	--a------	c:\windows\system32\drivers\btkrnl.sys
2008-11-18 14:56 . 2007-09-20 11:59	106,557	--a------	c:\windows\system32\btw_ci.dll
2008-11-18 14:32 . 2008-11-18 14:33	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nero
2008-11-18 14:19 . 2008-11-18 14:19	4,767	--a------	c:\windows\Irremote.ini
2008-11-18 14:17 . 2008-11-18 14:17	<DIR>	d--------	c:\programme\Windows Sidebar
2008-11-18 14:07 . 2008-11-18 14:18	<DIR>	d--------	c:\programme\Nero
2008-11-18 14:07 . 2008-11-18 14:26	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Nero
2008-11-18 14:07 . 2008-11-18 14:12	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2008-11-18 12:31 . 2008-11-18 12:31	<DIR>	dr-h-----	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SecuROM
2008-11-18 12:31 . 2008-11-18 12:32	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Bioshock
2008-11-18 12:30 . 2008-11-18 12:30	108,144	--a------	c:\windows\system32\CmdLineExt.dll
2008-11-18 12:20 . 2008-11-18 12:30	<DIR>	d--------	c:\programme\2K Games
2008-11-18 12:07 . 2008-11-18 12:07	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Leadertech
2008-11-18 12:01 . 2008-11-18 12:01	<DIR>	d--------	c:\programme\EA Sports
2008-11-18 11:50 . 2008-08-15 20:12	11,520	--a------	c:\windows\system32\drivers\ANC.sys
2008-11-18 11:50 . 2008-08-15 20:12	4,224	--a------	c:\windows\system32\drivers\IBMBLDID.sys
2008-11-18 09:20 . 2008-11-18 09:20	<DIR>	d--------	c:\programme\Skype
2008-11-18 09:20 . 2008-11-18 09:22	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2008-11-18 09:16 . 2008-11-18 09:16	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-11-18 09:09 . 2008-11-18 09:09	<DIR>	d--------	c:\windows\Logs
2008-11-18 09:09 . 2008-11-18 09:09	<DIR>	d--------	c:\programme\Electronic Arts
2008-11-18 09:09 . 2008-05-30 14:11	3,850,760	--a------	c:\windows\system32\D3DX9_38.dll
2008-11-18 09:09 . 2008-05-30 14:11	1,491,992	--a------	c:\windows\system32\D3DCompiler_38.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-19 21:07	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-11-18 13:57	---------	d-----w	c:\programme\Lenovo
2008-11-18 13:56	---------	d-----w	c:\programme\ThinkPad
2008-11-17 23:39	---------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2008-11-17 23:00	---------	d-----w	c:\programme\Intel
2008-11-17 22:59	21,361	----a-w	c:\windows\system32\drivers\AegisP.sys
2008-11-17 22:59	21,361	----a-w	c:\windows\AegisP.sys
2008-11-17 22:59	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2008-11-17 22:38	---------	d-----w	c:\programme\Gemeinsame Dateien\Lenovo
2008-11-17 22:28	---------	d-----w	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Avaya
2008-11-17 22:28	---------	d-----w	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avaya
2008-11-17 22:14	---------	d-----w	c:\programme\Avira
2008-11-17 22:14	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-17 22:05	---------	d-----w	c:\programme\microsoft frontpage
2008-11-17 22:03	---------	d-----w	c:\programme\Online-Dienste
2008-11-17 22:02	---------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2008-11-17 21:58	---------	d-----w	c:\programme\CONEXANT
2008-11-17 21:58	---------	d-----w	c:\programme\Analog Devices
2008-11-17 21:57	---------	d-----w	c:\programme\Synaptics
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-09-25 00:47	16,384	------w	c:\windows\PWMBTHLP.EXE
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\dokumente und einstellungen\Administrator\(null) ----

2008-11-26 23:33	127	--a------	c:\dokumente und einstellungen\Administrator\(null)\tvtsched.log 


(((((((((((((((((((((((((((((   snapshot@2008-11-28_17.28.47.81   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-28 21:49:13	16,384	----atw	c:\windows\Temp\Perflib_Perfdata_280.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-16 13537280]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-07-03 1323008]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2008-04-24 1036288]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-03-24 68464]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2008-09-25 331776]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2008-09-25 208896]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 868352]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2008-08-15 425984]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2008-08-15 143360]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-19 136600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-16 86016]
"nwiz"="nwiz.exe" [2008-07-16 c:\windows\system32\nwiz.exe]
"TpShocks"="TpShocks.exe" [2008-06-06 c:\windows\system32\TpShocks.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2008-06-24 17:31 95496 c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 16:37 34344 c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2008-03-17 16:02 34080 c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2008-08-15 21:37 32768 c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnmkJyV]
 [BU]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli ACGina psqlpwd

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PHOTOfunSTUDIO -viewer-.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PHOTOfunSTUDIO -viewer-.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO -viewer-.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Wireless USB Control Center.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Wireless USB Control Center.lnk
backup=c:\windows\pss\Wireless USB Control Center.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
--a------ 2006-10-22 23:24 620152 c:\programme\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2008-11-18 02:01 454144 c:\programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
--a------ 2007-10-11 08:45 31232 c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
--a------ 2007-04-03 17:50 1603152 c:\programme\Canon\MyPrinter\BJMYPRT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
--a------ 2007-05-14 17:01 644696 c:\programme\Canon\SolutionMenu\CNSLMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-08-08 13:11 490952 c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSQLLauncher]
--a------ 2008-06-24 16:46 49928 c:\programme\ThinkVantage Fingerprint Software\launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\CambridgeSoft\\ChemOffice2005\\ChemDraw\\ChemDraw.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2008-11-18 39472]
R0 Shockprf;Shockprf;c:\windows\system32\DRIVERS\Apsx86.sys [2008-05-14 114728]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\DRIVERS\ApsHM86.sys [2008-05-14 19496]
R1 ANC;ANC;c:\windows\system32\drivers\ANC.SYS [2008-11-18 11520]
R1 IBMTPCHK;IBMTPCHK;\??\c:\windows\system32\Drivers\IBMBLDID.sys [2008-11-18 4224]
R1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\DRIVERS\smiif32.sys [2008-05-12 13480]
R2 ACDaemon;ArcSoft Connect Daemon;c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe [2008-11-19 51712]
R2 IJPLMSVC;PIXMA Extended Survey Program;c:\programme\Canon\IJPLM\IJPLMSVC.EXE [2008-11-19 101528]
R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0;c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe [2008-09-24 935208]
R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [2008-11-17 94208]
R2 smihlp;SMI Helper Driver (smihlp);\??\c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [2008-06-24 12560]
S1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\Tppwrif.sys []
S3 NETw5x32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows XP 32 Bit;c:\windows\system32\DRIVERS\NETw5x32.sys [2008-06-25 3630080]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{314cdfc5-16f5-4619-bc55-c06cce53c372} - (no file)
BHO-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
BHO-{75DCD274-641A-4BB5-B93A-EE521E015712} - (no file)
BHO-{BAC3A09F-7577-483B-87D8-35016144662D} - (no file)



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-28 22:49:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(968)
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infql2.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\qlbase.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll
         


Alt 28.11.2008, 23:05   #6
psychoaki
 
Smitfraud-C. & Virtumonde & Virtumonde.generic - Standard

Smitfraud-C. & Virtumonde & Virtumonde.generic



Und hier der 2. Teil

Code:
ATTFilter
- - - - - - - > 'lsass.exe'(1024)
c:\programme\ThinkPad\ConnectUtilities\ACGina.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACON.dll
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgr.dll
c:\programme\ThinkPad\ConnectUtilities\AcCryptHlpr.dll
c:\programme\ThinkPad\ConnectUtilities\ACTurinSupport.dll
c:\programme\ThinkPad\ConnectUtilities\AcSmBiosHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcAdaptersInfo.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infql2.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\system32\TPHDEXLG.exe
c:\windows\system32\TpKmpSvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Lenovo\System Update\SUService.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\rundll32.exe
c:\programme\Synaptics\SynTP\SynTPLpr.exe
c:\windows\system32\rundll32.exe
c:\programme\Lenovo\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\ZOOM\TpScrex.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-28 22:51:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-28 21:51:39
ComboFix2.txt  2008-11-28 16:29:02

Vor Suchlauf: 13 Verzeichnis(se), 62.836.957.184 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 62,821,412,864 Bytes frei

354	--- E O F ---	2008-11-19 01:05:48
         
Vielen Dank für die Mühe!

PS: Kurz nach dem Ausführen der ComboFix.exe öffnen sich immer ein paar Fenster von Programmen, die sich a) nicht schließen lassen oder b) nicht im Speicher ausgeführt werden können. Ich hoffe das hat nichts zu bedeuten...

Alt 30.11.2008, 21:17   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Smitfraud-C. & Virtumonde & Virtumonde.generic - Standard

Smitfraud-C. & Virtumonde & Virtumonde.generic



Zitat:
Ehrlich gesagt,, weiß ich auch nicht so genau wie ich den De-Installieren kann ohne Spybot komplett zu deinstallieren. Über die Systemsteuerung geht es jedenfalls nicht.
Ist doch kein Problem. Selbst wenn man den Teatimer nicht separat deinstallieren kann, deinstallierst Du eben komplett Spybot und spielst ihn hinterher wieder ein (nat. ohne Teatimer )

Gibts ansonsten noch Probleme?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.12.2008, 10:13   #8
psychoaki
 
Smitfraud-C. & Virtumonde & Virtumonde.generic - Standard

Smitfraud-C. & Virtumonde & Virtumonde.generic



Hi,

vielen Dank nochmals für Deine Hilfe. Mein System scheint jetzt einwandfrei zu sein (bis auf ein agressives Doubleclick Cookie (iGoogle?)).

Danke!

Thema geschlossen

Themen zu Smitfraud-C. & Virtumonde & Virtumonde.generic
ad-aware, adobe, antivir, antivirus, avg, avira, canon, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, lenovo, malware, monitor, mozilla, neu aufgesetzt, object, pdf-datei, registry, rundll, senden, software, symantec, temp, thinkvantage registry monitor service, virtumonde, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Smitfraud-C. & Virtumonde & Virtumonde.generic


  1. Virtumonde und Smitfraud-c
    Plagegeister aller Art und deren Bekämpfung - 27.10.2009 (6)
  2. VIRTUMONDE und SMITFRAUD ENTFERNEN
    Log-Analyse und Auswertung - 02.02.2009 (8)
  3. Virtumonde/Virtumonde.prx nicht entfernbar !!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2009 (29)
  4. Smitfraud C, virtumonde, virtumonde generic
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (11)
  5. Virtumonde und Co...?
    Log-Analyse und Auswertung - 07.01.2009 (2)
  6. Virtumonde
    Plagegeister aller Art und deren Bekämpfung - 06.01.2009 (6)
  7. Virtumonde und smitfraud.c kombinieren sich miteinander
    Plagegeister aller Art und deren Bekämpfung - 29.12.2008 (0)
  8. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  9. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  10. Spybot meldet Smitfraud-C. Virtumonde & Virtumonde.generic Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (1)
  11. smitfraud & virtumonde
    Log-Analyse und Auswertung - 03.12.2008 (1)
  12. Smitfraud-C./Virtumonde/Virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 25.11.2008 (22)
  13. Virtumonde
    Mülltonne - 30.09.2008 (0)
  14. virtumonde, smitfraud und "windows security alert"
    Plagegeister aller Art und deren Bekämpfung - 15.09.2008 (8)
  15. zlob/virtumonde/win32.fraudload/smitfraud-c.generic
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (1)
  16. zlob/virtumonde/win32.fraudload/smitfraud-c.generic
    Log-Analyse und Auswertung - 13.09.2008 (1)
  17. Virtumonde
    Log-Analyse und Auswertung - 25.06.2008 (10)

Zum Thema Smitfraud-C. & Virtumonde & Virtumonde.generic - Hallo, ich habe laut Spybot und AdAware die Malware Smitfraud-C. sowie Virtumonde. Ich bekomme beides nicht herunter von meinem System. Ich habe mich schon versucht schlau zu machen, aber mit - Smitfraud-C. & Virtumonde & Virtumonde.generic...
Archiv
Du betrachtest: Smitfraud-C. & Virtumonde & Virtumonde.generic auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.