Trojaner Virtumonde

master1988 · 14.01.2009, 12:42

Hallo und guten Tag ihr Lieben.

Ich habe ein großes Problem mit dem Trojaner Virtumonde und das schon seit längerer Zeit.
Ich bekomme ihn einfach nicht wieder von meinem System herrunter egal ob mit Malewarebytes, Spyware S&D , a-squared free oder Spyware Doctor.

Bin da mittlerweile echt am verzweifeln möchte nur ungern mein System neu aufsetzten da dies in letzter Zeit schon desöfteren vollzogen wurde.
Darum wollte ich mich bei euch einmal schlau machen ob ihr da vielleicht mir helfen könntet.

Anbei nun mal das hijacklogfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:34:38, on 14.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CV3ZEK1T\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230143039251
O20 - AppInit_DLLs: phkqmm.dll xbqdck.dll , ,
O20 - Winlogon Notify: cbXRHbaA - cbXRHbaA.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5514 bytes

Hier auch nochmal ein log von Maleware bytes weis net ob ihr damit was anfangen könnt. :

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1638
Windows 5.1.2600 Service Pack 2

12.01.2009 00:00:46
mbam-log-2009-01-12 (00-00-46).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 45363
Laufzeit: 2 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\sefoseyo.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\nukavuso.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{173972b4-4cc2-49c8-997a-3ca9874d069e} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{173972b4-4cc2-49c8-997a-3ca9874d069e} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4c3aa6d7 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kivabeyipo (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm4f09954b (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\nukavuso.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\nukavuso.dll -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\sefoseyo.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\oyesofes.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\nukavuso.dll (Trojan.Vundo.H) -> Delete on reboot.

Nun gut hoffe das ist alles was ihr braucht um mir weiter helfen zu können.

Bedanke mich schon mal im vorraus.

Lieben Gruß phil

Haengdichweg · 14.01.2009, 14:35

Moin Master,

kann im Log leider nichts sehen

Aggro Berlin · 14.01.2009, 14:39

Bitte bei Virustotal (http://www.virustotal.com/de/) auswerten lassen:

Code:

ATTFilter

C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

Bitte deinstalliere:

Code:

ATTFilter

Spyware S&D
a-squared free
Spyware Doctor.

Lass mal bitte SUPERAntiSpyware drüber laufen.

Dann einen neuen HijackThis Log

master1988 · 15.01.2009, 11:30

Guten Morgen,
Sorry hat etwas gedauert war leider nicht zu Hause.
Habe aber alles soweit gemacht.

Hier die überprüfte Datei:

Zitat:

Datei AcroIEHelper.dll empfangen 2009.01.15 10:19:27 (CET)
Status: Beendet

Ergebnis: 0/39 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.15 -
AhnLab-V3 2009.1.15.0 2009.01.15 -
AntiVir 7.9.0.54 2009.01.15 -
Authentium 5.1.0.4 2009.01.14 -
Avast 4.8.1281.0 2009.01.14 -
AVG 8.0.0.229 2009.01.14 -
BitDefender 7.2 2009.01.15 -
CAT-QuickHeal 10.00 2009.01.15 -
ClamAV 0.94.1 2009.01.15 -
Comodo 932 2009.01.15 -
DrWeb 4.44.0.09170 2009.01.15 -
eSafe 7.0.17.0 2009.01.14 -
eTrust-Vet 31.6.6309 2009.01.15 -
F-Prot 4.4.4.56 2009.01.14 -
F-Secure 8.0.14470.0 2009.01.15 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.15 -
Ikarus T3.1.1.45.0 2009.01.15 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.15 -
McAfee 5495 2009.01.14 -
McAfee+Artemis 5495 2009.01.14 -
Microsoft 1.4205 2009.01.15 -
NOD32 3767 2009.01.15 -
Norman 5.93.01 2009.01.13 -
nProtect 2009.1.8.0 2009.01.15 -
Panda 9.5.1.2 2009.01.14 -
PCTools 4.4.2.0 2009.01.14 -
Prevx1 V2 2009.01.15 -
Rising 21.12.32.00 2009.01.15 -
SecureWeb-Gateway 6.7.6 2009.01.15 -
Sophos 4.37.0 2009.01.15 -
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.15 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.15 -
VBA32 3.12.8.10 2009.01.14 -
ViRobot 2009.1.14.1559 2009.01.15 -
VirusBuster 4.5.11.0 2009.01.14 -
weitere Informationen
File size: 50376 bytes
MD5...: 0c0e1b2bcaed8df401be94d538bcb412
SHA1..: e3fda937f2e56ac310e34088c3cf32a5d372447f
SHA256: 5ee3bbba28b3fd6ce07cea286140134a79c045b5fad950856f9cacfc92a9ff1e
SHA512: 40327a3428aa9196f321896f9abc7e743d696eb83af6a63dd3c8a4d3734632b2
9ee33a94e457ad526f59c312b8027428e9993c605c223e48b68dd4e6b5c1b8c7

ssdeep: 768:/p2OIvpBefd61hbZvHnqb/+cYl2BXTW0gLBAV:MrxLJ+GX2VW0gLBAV

PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
DirectShow filter (52.6%)
Windows OCX File (32.2%)
Win32 Executable MS Visual C++ (generic) (9.8%)
Win32 Executable Generic (2.2%)
Win32 Dynamic Link Library (generic) (1.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000426d
timedatestamp.....: 0x3ec3461b (Thu May 15 07:47:39 2003)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x351e 0x4000 5.65 b173ca9cdc2bcf47287885bd092bd62f
.rdata 0x5000 0x1027 0x2000 2.96 93ddefad455493bda1f3efd4736cdfec
.data 0x7000 0x398 0x1000 1.06 8a3a11a1c62601617bfb6bf3d25f3673
.rsrc 0x8000 0x1020 0x2000 2.66 2e4bbb5e0abb48f0683929b5a4aabb67
.reloc 0xa000 0x5c0 0x1000 2.45 2cdfb032e5fa4ed677aca4fbff15b443

( 6 imports )
> KERNEL32.dll: GetShortPathNameA, GetModuleHandleA, GetModuleFileNameA, WideCharToMultiByte, FreeLibrary, SizeofResource, LoadResource, FindResourceA, GetLastError, LoadLibraryExA, lstrcmpiA, lstrcpynA, lstrlenA, HeapDestroy, GetProcAddress, LoadLibraryA, lstrcpyA, lstrcatA, GlobalDeleteAtom, GlobalGetAtomNameA, lstrcmpA, FlushInstructionCache, GetCurrentProcess, LocalFree, MultiByteToWideChar, lstrlenW, InterlockedDecrement, EnterCriticalSection, InterlockedIncrement, LeaveCriticalSection, DeleteCriticalSection, DisableThreadLibraryCalls, InitializeCriticalSection, IsDBCSLeadByte
> USER32.dll: CreateWindowExA, GetClassNameA, SetWindowLongW, CallWindowProcW, DestroyWindow, DefWindowProcA, GetWindowLongA, SetWindowLongA, IsWindowUnicode, RegisterClassA, GetParent, CallWindowProcA, CharNextA
> ADVAPI32.dll: RegDeleteValueA, RegCreateKeyExA, RegCloseKey, RegOpenKeyExA, RegEnumKeyExA, RegSetValueExA, RegQueryInfoKeyA, RegEnumValueA, RegDeleteKeyA
> ole32.dll: CoTaskMemAlloc, CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree
> OLEAUT32.dll: -, -, -, -, -, -, -, -
> MSVCRT.dll: memcpy, realloc, malloc, free, __CxxFrameHandler, __1type_info@@UAE@XZ, _onexit, __dllonexit, _adjust_fdiv, _initterm, _terminate@@YAXXZ, _except_handler3, _CxxThrowException, wcstombs, strstr, memcmp, memset, __2@YAPAXI@Z, __3@YAXPAX@Z, _purecall

( 6 exports )
AcroBrwSetCallbacks, AcroBrwSubclassWindow, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Hier der Log von Super antispyware:

Zitat:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/15/2009 at 11:17 AM

Application Version : 4.24.1004

Core Rules Database Version : 3710
Trace Rules Database Version: 1685

Scan type : Complete Scan
Total Scan Time : 00:40:43

Memory items scanned : 386
Memory threats detected : 0
Registry items scanned : 3426
Registry threats detected : 7
File items scanned : 66771
File threats detected : 93

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@msnaccountservices.112.2o7[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads-dev.youporn[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@pcsecurityscanner[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@media6degrees[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ad.adfill[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@rambler[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@yadro[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@stats.united-domains[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@professional-virus-scanner[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@weborama[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.googleadservices[4].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@overture[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@a3.adserver01[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@a2.adserver01[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@tracking.quisma[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@kunden.wundermedia[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@serials[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@apmebf[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@eas.apm.emediate[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.etracker[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@stats.n3po[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads.superweb[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@de.sitestat[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@m1.webstats.motigo[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@media.brandreachsys[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads.planetactive[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@zanox-affiliate[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ad.salebroker[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@rotator.adjuggler[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads.heias[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@bestantivirusscanner[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@zanox[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@4stats[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@mycounter.counterstation[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads.radio[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@stats.n3po[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@tacoda[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ad.71i[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@media.funpic[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@doubleclick[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@stat.onestat[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@arcor.122.2o7[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.serials[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@atdmt[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@gotoyourclicks[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@bridge1.admarketplace[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@komtrack[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@de2.komtrack[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@de.at.atwola[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@becometrueclick[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.googleadservices[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.traffictrack[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@online-pc-virus-scanner[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adserver.piqs[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@traffictrack[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@aolde.122.2o7[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@atwola[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@indextools[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adtech[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@advertising[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.zanox-affiliate[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@advanced-anti-virus-scanner[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.active-tracking[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adsrv.admediate[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@tracking.3gnet[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.googleadservices[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@serving-sys[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@avgtechnologies.112.2o7[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adserver.trojaner-info[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@unitymedia[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@admarketplace[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@youporn[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@mediaplex[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@2o7[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads.quartermedia[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@fsecure.122.2o7[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@euros4click[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ssl-cdn.euroclick[1].txt

Rogue.Component/Trace
HKLM\Software\Microsoft\4C3AB459
HKLM\Software\Microsoft\4C3AB459#4c3ab459
HKLM\Software\Microsoft\4C3AB459#Version
HKLM\Software\Microsoft\4C3AB459#4c3a19d9
HKLM\Software\Microsoft\4C3AB459#4c3a703c
HKU\S-1-5-21-861567501-1767777339-725345543-1003\Software\Microsoft\CS41275
HKU\S-1-5-21-861567501-1767777339-725345543-1003\Software\Microsoft\FIAS4018

Adware.Vundo Variant/LVL
C:\WINDOWS\SYSTEM32\PIWOGOME.DLL
C:\WINDOWS\SYSTEM32\SIVERAJA.DLL

Und hier das neue hijack

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:24:52, on 15.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CV3ZEK1T\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230143039251
O20 - AppInit_DLLs: phkqmm.dll xbqdck.dll , ,
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: cbXRHbaA - cbXRHbaA.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5120 bytes

Danke für die schnelle Antwort.

Gruß Phil

master1988 · 15.01.2009, 16:40

Ist mein helfer gesperrt ???

john.doe · 15.01.2009, 16:58

Keine Panik, da er mein Freund ist, werde ich übernehmen. Deinstalliere:

Code:

ATTFilter

Acrobat Reader (total veraltet)
Superantispyware (oder deaktiviere den Guard)
Onlinescanner von Bitdefender

1.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

2.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

master1988 · 15.01.2009, 22:25

Hey danke das du weiter machst

Sorry wurd bisschen später aber nun kanns losgehen bei mir.

Kurze Frage ``Onlinescanner von Bitdefender`` wo fonde ich den ?
Unter Installierte programme finde ich nix.
Kann mich erinnern da eine datei runtergeladen zuhaben nur weiß ich nicht mehr wohin =/

Gruß Phil

john.doe · 15.01.2009, 22:37

Suche bei den installierten Programmen nach Bitdefender. Wie er genau heisst, weiß ich nicht.

ciao, andreas

master1988 · 15.01.2009, 23:08

soo hab soweit alles erledig.
Leider hab ich aber nix direkt von Bitdefender finden können auch nicht über suche bzw. installierte programme habe zwar ne datei gelöscht aber weis nicht obs Bitdefender war =/

von Combofix:

Zitat:

ComboFix 09-01-13.04 - Philipp 2009-01-15 22:52:53.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1023.623 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Philipp\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\eyapagev.ini
c:\windows\system32\ibiyuloh.ini
c:\windows\system32\ufuvibar.ini
c:\windows\system32\umidomav.ini
c:\windows\system32\unenimon.ini

----- BITS: Eventuell infizierte Webseiten -----

hxxp://77.74.48.105
.
((((((((((((((((((((((( Dateien erstellt von 2008-12-15 bis 2009-01-15 ))))))))))))))))))))))))))))))
.

2009-01-15 22:44 . 2009-01-15 22:44 <DIR> d-------- c:\programme\CCleaner
2009-01-15 14:25 . 2009-01-15 14:25 <DIR> d-------- c:\dokumente und einstellungen\Philipp\.thumbnails
2009-01-15 14:23 . 2009-01-15 17:16 <DIR> d-------- c:\dokumente und einstellungen\Philipp\.gimp-2.6
2009-01-15 14:23 . 2009-01-15 14:23 <DIR> d-------- c:\dokumente und einstellungen\Philipp\.gegl-0.0
2009-01-15 14:22 . 2009-01-15 14:22 <DIR> d-------- c:\programme\GIMP-2.0
2009-01-15 13:48 . 2009-01-15 13:48 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Anwendungsdaten\gtk-2.0
2009-01-15 13:41 . 2009-01-15 13:41 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Anwendungsdaten\Inkscape
2009-01-15 13:39 . 2009-01-15 13:41 <DIR> d-------- c:\programme\Inkscape
2009-01-15 10:33 . 2009-01-15 10:33 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-01-15 10:33 . 2009-01-15 10:33 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-15 10:33 . 2009-01-15 10:33 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-15 10:33 . 2009-01-15 10:33 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-14 11:53 . 2009-01-14 11:55 <DIR> d-------- c:\programme\RegCleaner
2009-01-12 00:34 . 2009-01-12 00:55 <DIR> d-------- c:\windows\BDOSCAN8
2009-01-11 16:11 . 2009-01-11 16:11 <DIR> d-------- c:\programme\TuneUp Utilities 2009
2009-01-11 16:11 . 2009-01-11 16:11 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Anwendungsdaten\TuneUp Software
2009-01-11 16:11 . 2009-01-11 16:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-01-11 16:11 . 2009-01-11 16:11 603,904 --a------ c:\windows\system32\TUProgSt.exe
2009-01-11 16:11 . 2009-01-11 16:11 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2009-01-11 16:11 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll
2009-01-11 16:10 . 2009-01-11 16:10 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-01-10 17:41 . 2009-01-10 17:41 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-10 17:41 . 2009-01-10 17:41 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Anwendungsdaten\Malwarebytes
2009-01-10 17:41 . 2009-01-10 17:41 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-10 17:41 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-10 17:41 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-07 17:29 . 2009-01-15 10:26 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-06 18:41 . 2009-01-07 15:59 754 --a------ c:\windows\WORDPAD.INI
2009-01-05 21:35 . 2009-01-05 21:35 <DIR> d--h----- c:\windows\PIF
2009-01-04 18:41 . 2009-01-04 18:42 <DIR> d-------- c:\programme\Lame
2009-01-04 18:25 . 2009-01-04 18:25 <DIR> d-------- c:\programme\Audacity
2009-01-02 13:23 . 2009-01-10 16:11 790 --a------ c:\windows\wininit.ini
2009-01-02 12:57 . 2009-01-15 10:25 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-01-02 12:57 . 2009-01-15 10:25 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-01 22:37 . 2009-01-15 10:25 <DIR> d-------- c:\programme\a-squared Free
2009-01-01 22:09 . 2009-01-01 22:13 <DIR> d-------- c:\dokumente und einstellungen\Philipp\.housecall6.6
2009-01-01 21:15 . 2009-01-01 21:15 <DIR> d-------- c:\programme\Lavasoft
2009-01-01 21:15 . 2009-01-01 22:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-01-01 20:51 . 2009-01-15 22:55 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Tracing
2009-01-01 20:50 . 2009-01-01 20:50 <DIR> d-------- c:\programme\Windows Live SkyDrive
2009-01-01 20:50 . 2009-01-01 20:51 <DIR> d-------- c:\programme\Windows Live
2009-01-01 20:50 . 2009-01-01 20:50 <DIR> d-------- c:\programme\Microsoft
2009-01-01 20:46 . 2009-01-01 20:46 <DIR> d-------- c:\programme\Gemeinsame Dateien\Windows Live
2008-12-31 02:50 . 2008-12-31 02:50 <DIR> d-------- c:\windows\system32\de-de
2008-12-31 02:17 . 2008-08-14 14:42 2,182,656 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-12-31 02:17 . 2008-08-14 14:42 2,138,624 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-12-31 02:17 . 2008-08-14 14:42 2,060,032 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-12-31 02:17 . 2008-08-14 14:42 2,018,304 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-12-31 02:16 . 2008-06-14 18:57 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2008-12-31 02:16 . 2008-08-14 10:51 138,368 -----c--- c:\windows\system32\dllcache\afd.sys
2008-12-31 02:14 . 2007-08-13 18:54 3,578,368 --a--c--- c:\windows\system32\dllcache\mshtml.dll
2008-12-31 02:14 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-12-31 02:14 . 2008-05-01 15:30 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2008-12-31 02:13 . 2008-09-04 17:43 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-12-31 02:13 . 2008-04-11 19:50 683,520 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2008-12-31 02:13 . 2008-10-15 17:57 332,800 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-12-31 02:13 . 2008-10-03 11:15 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll
2008-12-30 21:40 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-12-30 21:40 . 2004-08-03 23:08 31,616 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-12-30 20:57 . 2008-12-30 20:57 2,422 --a------ c:\windows\system32\wpa.bak
2008-12-30 20:46 . 2008-12-30 20:46 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2008-12-30 20:45 . 2009-01-13 08:57 2,422 --a------ c:\windows\system32\wpa.dbl
2008-12-30 20:37 . 2008-12-30 20:37 <DIR> d-------- c:\windows\provisioning
2008-12-30 20:36 . 2008-12-30 20:36 <DIR> d-------- c:\windows\ServicePackFiles
2008-12-30 20:33 . 2006-09-06 17:42 22,752 --a------ c:\windows\system32\spupdsvc.exe
2008-12-30 20:33 . 2004-07-17 11:40 19,528 --a------ c:\windows\002531_.tmp
2008-12-30 20:32 . 2008-12-30 20:38 <DIR> d-------- c:\windows\EHome
2008-12-30 20:25 . 2001-08-23 14:00 116,736 --a------ c:\windows\system32\dpcdll.dll.wga
2008-12-30 20:25 . 2001-08-23 14:00 27,136 --a------ c:\windows\system32\pidgen.dll.wga
2008-12-30 19:16 . 2008-12-30 19:16 <DIR> d-------- c:\programme\Avira
2008-12-30 19:16 . 2008-12-30 19:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-30 19:04 . 2008-12-30 19:04 <DIR> d-------- C:\Application Data
2008-12-30 18:57 . 2008-12-30 18:57 <DIR> d---s---- c:\windows\system32\Microsoft
2008-12-25 00:36 . 2008-12-25 00:36 <DIR> d-------- c:\windows\Sun
2008-12-25 00:35 . 2008-12-25 00:35 <DIR> d-------- c:\programme\Java
2008-12-25 00:35 . 2008-12-25 00:35 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-25 00:35 . 2008-12-25 00:35 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-24 21:27 . 2004-08-04 00:57 614,912 --a------ c:\windows\system32\h323msp.dll
2008-12-24 21:27 . 2004-08-04 00:57 334,336 --a------ c:\windows\system32\ipnathlp.dll
2008-12-24 21:27 . 2004-08-04 00:58 266,240 --a------ c:\windows\system32\h323.tsp
2008-12-24 21:27 . 2004-08-04 00:57 77,312 --a------ c:\windows\system32\browser.dll
2008-12-24 21:26 . 2008-12-24 21:26 <DIR> d-------- c:\programme\Common Files
2008-12-24 21:26 . 2004-08-04 00:57 33,792 --a------ c:\windows\system32\msgsvc.dll
2008-12-24 21:24 . 2004-08-04 00:57 715,776 --a------ c:\windows\system32\sxs.dll
2008-12-24 21:14 . 2004-08-04 00:57 280,064 --a------ c:\windows\system32\mstask.dll
2008-12-24 21:14 . 2004-08-04 00:57 192,000 --a------ c:\windows\system32\schedsvc.dll
2008-12-24 21:14 . 2004-08-04 00:57 134,144 --a------ c:\windows\system32\itss.dll
2008-12-24 21:14 . 2004-08-04 00:58 12,288 --a------ c:\windows\system32\mstinit.exe
2008-12-24 21:13 . 2008-12-31 02:50 <DIR> d--h----- c:\windows\$hf_mig$
2008-12-24 20:49 . 2008-12-31 02:45 <DIR> d-------- c:\windows\system32\CatRoot_bak
2008-12-24 20:15 . 2008-12-24 21:27 <DIR> d--h-c--- c:\windows\$xpsp1hfm$
2008-12-24 20:15 . 2004-08-04 00:57 242,176 --a------ c:\windows\system32\srrstr.dll
2008-12-24 19:33 . 2008-12-31 02:47 1,038,742 --a------ c:\windows\setupapi.log.1.old
2008-12-24 19:27 . 2008-12-24 19:27 <DIR> d-------- c:\windows\system32\bits
2008-12-24 19:27 . 2004-08-04 00:57 351,232 --a------ c:\windows\system32\winhttp.dll
2008-12-24 19:27 . 2004-08-04 00:57 18,944 --a------ c:\windows\system32\qmgrprxy.dll
2008-12-24 19:27 . 2004-08-04 00:57 8,192 --------- c:\windows\system32\bitsprx2.dll
2008-12-24 19:27 . 2004-08-04 00:57 7,168 --------- c:\windows\system32\bitsprx3.dll
2008-12-24 19:24 . 2008-10-16 14:12 561,688 --a------ c:\windows\system32\wuapi.dll
2008-12-24 19:24 . 2008-10-16 14:12 323,608 --a------ c:\windows\system32\wucltui.dll
2008-12-24 19:24 . 2008-10-16 14:12 213,528 --a------ c:\windows\system32\wuaucpl.cpl
2008-12-24 19:24 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2008-12-24 19:24 . 2008-10-16 14:08 34,328 --a------ c:\windows\system32\wups.dll
2008-12-24 19:24 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2008-12-24 19:24 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2008-12-24 19:24 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-12-24 19:24 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2008-12-24 19:23 . 2008-12-24 19:23 <DIR> d--hs---- c:\dokumente und einstellungen\Philipp\UserData

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-15 16:18 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-12-31 01:43 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-31 01:42 --------- d-----w c:\dokumente und einstellungen\Philipp\Anwendungsdaten\Petroglyph
2008-12-10 16:42 681,980 ----a-w c:\windows\unins000.exe
2008-12-10 16:07 --------- d-----w c:\programme\X Plugin Manager
2008-11-26 20:58 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-11-26 20:46 --------- d-----w c:\programme\Alcohol Soft
2008-11-26 17:45 --------- d-----w c:\programme\EA Games
2008-11-26 16:14 --------- d--h--r c:\dokumente und einstellungen\Philipp\Anwendungsdaten\SecuROM
2008-11-26 14:08 --------- d-----w c:\programme\GameData
2008-11-26 13:55 --------- d-----w c:\programme\LucasArts
2008-11-26 10:29 --------- d-----w c:\dokumente und einstellungen\Philipp\Anwendungsdaten\AdobeUM
2008-11-25 10:36 --------- d-----w c:\programme\EGOSOFT
2008-11-24 14:36 --------- d-----w c:\programme\avmwlanstick
2008-11-24 13:36 --------- d-----w c:\programme\microsoft frontpage
2008-11-24 13:35 --------- d-----w c:\programme\Online-Dienste
2008-11-24 13:34 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
1601-01-01 00:12 92,160 --sha-w c:\windows\system32\dezogewi.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-12-22 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-25 136600]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"C-Media Mixer"="Mixer.exe" [2003-03-20 c:\windows\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"kivabeyipo"=Rundll32.exe "c:\windows\system32\doguzeri.dll",s
"AVMWlanClient"=c:\programme\avmwlanstick\wlangui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\sched.exe"=
"c:\\Programme\\avmwlanstick\\WLanNetService.exe"=
"c:\\Programme\\Java\\jre6\\bin\\jqs.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avguard.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-30 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-30 45376]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2008-12-22 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2008-12-22 55024]
R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\drivers\ousb2hub.sys [2008-11-24 55808]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-12-22 7408]
R4 ousbehci;OrangeWare USB Enhanced Host Controller Service;c:\windows\system32\drivers\ousbehci.sys [2008-11-24 44928]
R4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-01-11 603904]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2008-11-24 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2008-11-24 265088]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-01-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]

2009-01-15 c:\windows\Tasks\kbfpcgzn.job
- c:\windows\system32\rundll32.exe [2004-08-04 00:58]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-cbXRHbaA - cbXRHbaA.dll

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-15 22:55:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(968)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\avmwlanstick\WLanNetService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Windows Live\Contacts\wlcomm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-15 22:57:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-15 21:57:23

Vor Suchlauf: 9 Verzeichnis(se), 14.655.868.928 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 14,978,117,632 Bytes frei

257 --- E O F --- 2008-12-31 01:50:24

hijack:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:02:42, on 15.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Philipp\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6A9C0XRV\qlketzd[1].com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230143039251
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5057 bytes

Gruß Phil

john.doe · 15.01.2009, 23:15

Seit wann hast du Probleme?

Zeigt der Rechner noch Auffälligkeiten?

ciao, andreas

master1988 · 15.01.2009, 23:18

begonnen hatte das vor ca. 3 Wochen mit ständig aufpoppender werbung von Antivir 2009 usw.

Im moment hatte ich nix auffälliges bemerkt.=)

Heisst das das es soweit alles runter ist wieder ?

Vielen Dank für deine Hilfe.=)

Gruß Phil

john.doe · 15.01.2009, 23:25

Zitat:

Heisst das das es soweit alles runter ist wieder ?

Noch nicht ganz, aber die Logs schauen schon viel freundlicher aus.

Schau mal in der Menüleiste vom MSIE in Tools, ob sich der Bitdefender dort entfernen lässt.

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

master1988 · 16.01.2009, 00:49

Soo Bitdefender ist runter hat geklappt.

Hier der Log von Panda:

Zitat:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-01-16 00:46:57
PROTECTIONS: 1
MALWARE: 9
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition 8.0.1.30 No Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@atdmt[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ad.yieldmanager[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@bs.serving-sys[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@weborama[2].txt
01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{0E48DEAB-5A84-4488-8C45-0B44380C1486}\RP74\A0010352.EXE
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{0E48DEAB-5A84-4488-8C45-0B44380C1486}\RP74\A0010334.sys
04658173 Generic Trojan Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Philipp\Desktop\ComboFix.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location '
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description '
;===================================================================================================================================================== ==============================
184379 MEDIUM MS08-001 '
182048 HIGH MS07-069 '
182043 HIGH MS07-064 '
176382 HIGH MS07-057 '
170907 HIGH MS07-046 '
170906 HIGH MS07-045 '
170904 HIGH MS07-043 '
164913 HIGH MS07-033 '
160623 HIGH MS07-027 '
157262 HIGH MS07-022 '
150253 HIGH MS07-016 '
133387 MEDIUM MS06-065 '
133386 MEDIUM MS06-064 '
133385 MEDIUM MS06-063 '
129976 MEDIUM MS06-052 '
123420 HIGH MS06-035 '
120825 MEDIUM MS06-032 '
108743 MEDIUM MS06-007 '
93394 HIGH MS05-050 '
;===================================================================================================================================================== ==============================

Gruß phil

john.doe · 16.01.2009, 08:29

1.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

File::
c:\windows\Tasks\kbfpcgzn.job
c:\windows\system32\doguzeri.dll
c:\windows\wininit.ini

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

2.) Deaktiviere die Systemwiederherstellung=>Neustart=>Aktiviere die Systemwiederherstellung und erstelle einen neuen Wiederherstellungspunkt

3.) Start => Ausführen => combofix /u (aufs Leerzeichen achten) => OK

4.) Alle Programme, die wir eingesetzt haben, können deinstalliert/gelöscht werden.

Falls du SUPERAntiSpyware behalten möchtest, dann deaktiviere den Wächter. TuneUp würde ich deinstallieren.

ciao, andreas

master1988 · 16.01.2009, 10:55

Teil 1: Combo Fix Log

Zitat:

ComboFix 09-01-13.04 - Philipp 2009-01-16 9:24:15.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1023.708 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Philipp\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Philipp\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\windows\system32\doguzeri.dll
c:\windows\Tasks\kbfpcgzn.job
c:\windows\wininit.ini
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Tasks\kbfpcgzn.job
c:\windows\wininit.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-16 bis 2009-01-16 ))))))))))))))))))))))))))))))
.

2009-01-15 23:42 . 2007-07-09 14:11 584,192 -----c--- c:\windows\system32\dllcache\rpcrt4.dll
2009-01-15 23:36 . 2009-01-15 23:36 <DIR> d-------- c:\programme\Panda Security
2009-01-15 23:36 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2009-01-15 23:20 . 2009-01-16 00:17 1,374 --a------ c:\windows\imsins.BAK
2009-01-15 23:16 . 2008-10-16 21:04 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-01-15 23:16 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-01-15 23:16 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-01-15 23:16 . 2008-10-16 21:04 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-01-15 23:16 . 2008-10-16 21:04 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-01-15 23:16 . 2008-10-16 21:04 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-01-15 23:16 . 2008-10-16 21:04 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-01-15 23:16 . 2008-10-16 21:04 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-01-15 23:16 . 2008-10-16 14:11 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-01-15 22:56 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-01-15 22:56 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-01-15 22:56 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-01-15 22:44 . 2009-01-15 22:44 <DIR> d-------- c:\programme\CCleaner
2009-01-15 14:25 . 2009-01-15 14:25 <DIR> d-------- c:\dokumente und einstellungen\Philipp\.thumbnails
2009-01-15 14:23 . 2009-01-15 17:16 <DIR> d-------- c:\dokumente und einstellungen\Philipp\.gimp-2.6
2009-01-15 14:23 . 2009-01-15 14:23 <DIR> d-------- c:\dokumente und einstellungen\Philipp\.gegl-0.0
2009-01-15 14:22 . 2009-01-15 14:22 <DIR> d-------- c:\programme\GIMP-2.0
2009-01-15 13:48 . 2009-01-15 13:48 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Anwendungsdaten\gtk-2.0
2009-01-15 13:41 . 2009-01-15 13:41 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Anwendungsdaten\Inkscape
2009-01-15 13:39 . 2009-01-15 13:41 <DIR> d-------- c:\programme\Inkscape
2009-01-15 10:33 . 2009-01-15 23:29 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-01-15 10:33 . 2009-01-15 10:33 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-15 10:33 . 2009-01-15 10:33 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-15 10:33 . 2009-01-15 10:33 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-14 11:53 . 2009-01-14 11:55 <DIR> d-------- c:\programme\RegCleaner
2009-01-11 16:11 . 2009-01-11 16:11 <DIR> d-------- c:\programme\TuneUp Utilities 2009
2009-01-11 16:11 . 2009-01-11 16:11 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Anwendungsdaten\TuneUp Software
2009-01-11 16:11 . 2009-01-11 16:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-01-11 16:11 . 2009-01-11 16:11 603,904 --a------ c:\windows\system32\TUProgSt.exe
2009-01-11 16:11 . 2009-01-11 16:11 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2009-01-11 16:11 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll
2009-01-11 16:10 . 2009-01-11 16:10 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-01-10 17:41 . 2009-01-10 17:41 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-10 17:41 . 2009-01-10 17:41 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Anwendungsdaten\Malwarebytes
2009-01-10 17:41 . 2009-01-10 17:41 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-10 17:41 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-10 17:41 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-07 17:29 . 2009-01-15 10:26 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-06 18:41 . 2009-01-07 15:59 754 --a------ c:\windows\WORDPAD.INI
2009-01-05 21:35 . 2009-01-05 21:35 <DIR> d--h----- c:\windows\PIF
2009-01-04 18:41 . 2009-01-04 18:42 <DIR> d-------- c:\programme\Lame
2009-01-04 18:25 . 2009-01-04 18:25 <DIR> d-------- c:\programme\Audacity
2009-01-02 12:57 . 2009-01-15 10:25 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-01-02 12:57 . 2009-01-15 10:25 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-01 22:37 . 2009-01-15 10:25 <DIR> d-------- c:\programme\a-squared Free
2009-01-01 22:09 . 2009-01-01 22:13 <DIR> d-------- c:\dokumente und einstellungen\Philipp\.housecall6.6
2009-01-01 21:15 . 2009-01-01 21:15 <DIR> d-------- c:\programme\Lavasoft
2009-01-01 21:15 . 2009-01-01 22:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-01-01 20:51 . 2009-01-16 09:26 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Tracing
2009-01-01 20:50 . 2009-01-01 20:50 <DIR> d-------- c:\programme\Windows Live SkyDrive
2009-01-01 20:50 . 2009-01-01 20:51 <DIR> d-------- c:\programme\Windows Live
2009-01-01 20:50 . 2009-01-01 20:50 <DIR> d-------- c:\programme\Microsoft
2009-01-01 20:46 . 2009-01-01 20:46 <DIR> d-------- c:\programme\Gemeinsame Dateien\Windows Live
2008-12-31 02:50 . 2009-01-15 23:20 <DIR> d-------- c:\windows\system32\de-de
2008-12-31 02:17 . 2008-08-14 14:42 2,182,656 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-12-31 02:17 . 2008-08-14 14:42 2,138,624 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-12-31 02:17 . 2008-08-14 14:42 2,060,032 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-12-31 02:17 . 2008-08-14 14:42 2,018,304 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-12-31 02:16 . 2008-06-14 18:57 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2008-12-31 02:16 . 2008-08-14 10:51 138,368 -----c--- c:\windows\system32\dllcache\afd.sys
2008-12-31 02:14 . 2008-12-13 07:36 3,593,216 --a--c--- c:\windows\system32\dllcache\mshtml.dll
2008-12-31 02:14 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-12-31 02:14 . 2008-05-01 15:30 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2008-12-31 02:13 . 2008-09-04 17:43 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-12-31 02:13 . 2008-04-11 19:50 683,520 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2008-12-31 02:13 . 2008-10-15 17:57 332,800 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-12-31 02:13 . 2008-10-03 11:15 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll
2008-12-30 21:40 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-12-30 21:40 . 2004-08-03 23:08 31,616 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-12-30 20:57 . 2008-12-30 20:57 2,422 --a------ c:\windows\system32\wpa.bak
2008-12-30 20:46 . 2008-12-30 20:46 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2008-12-30 20:45 . 2009-01-16 00:21 2,422 --a------ c:\windows\system32\wpa.dbl
2008-12-30 20:37 . 2008-12-30 20:37 <DIR> d-------- c:\windows\provisioning
2008-12-30 20:36 . 2008-12-30 20:36 <DIR> d-------- c:\windows\ServicePackFiles
2008-12-30 20:33 . 2005-06-28 10:21 22,752 --a------ c:\windows\system32\spupdsvc.exe
2008-12-30 20:33 . 2004-07-17 11:40 19,528 --a------ c:\windows\002531_.tmp
2008-12-30 20:32 . 2008-12-30 20:38 <DIR> d-------- c:\windows\EHome
2008-12-30 20:25 . 2001-08-23 14:00 116,736 --a------ c:\windows\system32\dpcdll.dll.wga
2008-12-30 20:25 . 2001-08-23 14:00 27,136 --a------ c:\windows\system32\pidgen.dll.wga
2008-12-30 19:16 . 2008-12-30 19:16 <DIR> d-------- c:\programme\Avira
2008-12-30 19:16 . 2008-12-30 19:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-30 19:04 . 2008-12-30 19:04 <DIR> d-------- C:\Application Data
2008-12-30 18:57 . 2008-12-30 18:57 <DIR> d---s---- c:\windows\system32\Microsoft
2008-12-25 00:36 . 2008-12-25 00:36 <DIR> d-------- c:\windows\Sun
2008-12-25 00:35 . 2008-12-25 00:35 <DIR> d-------- c:\programme\Java
2008-12-25 00:35 . 2008-12-25 00:35 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-25 00:35 . 2008-12-25 00:35 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-24 21:27 . 2004-08-04 00:57 614,912 --a------ c:\windows\system32\h323msp.dll
2008-12-24 21:27 . 2004-08-04 00:57 334,336 --a------ c:\windows\system32\ipnathlp.dll
2008-12-24 21:27 . 2004-08-04 00:58 266,240 --a------ c:\windows\system32\h323.tsp
2008-12-24 21:27 . 2004-08-04 00:57 77,312 --a------ c:\windows\system32\browser.dll
2008-12-24 21:26 . 2008-12-24 21:26 <DIR> d-------- c:\programme\Common Files
2008-12-24 21:26 . 2004-08-04 00:57 33,792 --a------ c:\windows\system32\msgsvc.dll
2008-12-24 21:24 . 2006-10-20 02:38 715,776 --a------ c:\windows\system32\sxs.dll
2008-12-24 21:14 . 2004-08-04 00:57 280,064 --a------ c:\windows\system32\mstask.dll
2008-12-24 21:14 . 2004-08-04 00:57 192,000 --a------ c:\windows\system32\schedsvc.dll
2008-12-24 21:14 . 2005-05-27 03:04 137,216 --a------ c:\windows\system32\itss.dll
2008-12-24 21:14 . 2004-08-04 00:58 12,288 --a------ c:\windows\system32\mstinit.exe
2008-12-24 21:13 . 2009-01-16 00:17 <DIR> d--h----- c:\windows\$hf_mig$
2008-12-24 20:49 . 2008-12-31 02:45 <DIR> d-------- c:\windows\system32\CatRoot_bak
2008-12-24 20:15 . 2008-12-24 21:27 <DIR> d--h-c--- c:\windows\$xpsp1hfm$
2008-12-24 20:15 . 2004-08-04 00:57 242,176 --a------ c:\windows\system32\srrstr.dll
2008-12-24 19:33 . 2008-12-31 02:47 1,038,742 --a------ c:\windows\setupapi.log.1.old
2008-12-24 19:27 . 2008-12-24 19:27 <DIR> d-------- c:\windows\system32\bits
2008-12-24 19:27 . 2004-08-04 00:57 351,232 --a------ c:\windows\system32\winhttp.dll
2008-12-24 19:27 . 2004-08-04 00:57 18,944 --a------ c:\windows\system32\qmgrprxy.dll
2008-12-24 19:27 . 2004-08-04 00:57 8,192 --------- c:\windows\system32\bitsprx2.dll
2008-12-24 19:27 . 2004-08-04 00:57 7,168 --------- c:\windows\system32\bitsprx3.dll
2008-12-24 19:24 . 2008-10-16 14:12 561,688 --a------ c:\windows\system32\wuapi.dll
2008-12-24 19:24 . 2008-10-16 14:12 323,608 --a------ c:\windows\system32\wucltui.dll
2008-12-24 19:24 . 2008-10-16 14:12 213,528 --a------ c:\windows\system32\wuaucpl.cpl
2008-12-24 19:24 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2008-12-24 19:24 . 2008-10-16 14:08 34,328 --a------ c:\windows\system32\wups.dll
2008-12-24 19:24 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2008-12-24 19:24 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2008-12-24 19:24 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-12-24 19:24 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2008-12-24 19:23 . 2008-12-24 19:23 <DIR> d--hs---- c:\dokumente und einstellungen\Philipp\UserData

Trojaner Virtumonde

Plagegeister aller Art und deren Bekämpfung: Trojaner Virtumonde