Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ist mein System wieder sauber? - TR/Trash.gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.02.2009, 23:40   #1
fresh569
 
Ist mein System wieder sauber? - TR/Trash.gen - Beitrag

Ist mein System wieder sauber? - TR/Trash.gen



Hallo, ich habe/hatte folgendes Problem:
1. Die Suchergebnisse in Google waren falsch verlinkt, oder wurden "umgeleitet".
2. Avira zeigt öfters mal ein Trojaner an, den Trash.gen in "System Volume Information".

Habe dann ein paar Sachen drüberlaufen lassen, und war der Meinung, das wieder alles OK war.

Kam dann aber doch wieder!

Dann hab ich die Systemwiederherstellung deaktiviert und eine alte Anleitung aus diesem Forum teilweise abgearbeitet (hatte schon einmal ein größeres Problem) und jetzt macht es auf mich einen sauberen Eindruck!

Edit: Nach einem Neustart von Firefox, nicht dem System, tritt das Problem mit Google wieder auf!
Was ist das für ein nervendes Ding?


Könnte sich das vielleicht mal jemand genauer anschauen?
Vielen Dank schonmal!

So, hier nun die Ergebnisse:
HJT
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:53, on 02.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe
C:\Programme\Hotkey Management\FuncKey.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 3\program\swriter.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1cb20bf0-bbae-40a7-93f4-6435ff3d0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [fscp] C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe
O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey Management\FuncKey.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O4 - Global Startup: Logitech SetPoint.lnk.disabled
O8 - Extra context menu item: crawler search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233417182937
O16 - DPF: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FspadSvc - Unknown owner - C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 7652 bytes
         
MBR
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
Blacklight
Code:
ATTFilter
02/02/09 22:28:24 [Info]: BlackLight Engine 2.2.1092 initialized
02/02/09 22:28:24 [Info]: OS: 5.1 build 2600 (Service Pack 3)
02/02/09 22:28:24 [Note]: 7019 4
02/02/09 22:28:24 [Note]: 7005 0
02/02/09 22:28:33 [Note]: 7006 0
02/02/09 22:28:33 [Note]: 7011 2248
02/02/09 22:28:33 [Note]: 7035 0
02/02/09 22:28:33 [Note]: 7026 0
02/02/09 22:28:33 [Note]: 7026 0
02/02/09 22:28:37 [Note]: FSRAW library version 1.7.1024
02/02/09 22:38:04 [Note]: 2000 1012
02/02/09 22:38:04 [Note]: 2000 1012
02/02/09 22:51:24 [Note]: 7007 0
         
Malwarebytes Anti-Malware
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1712
Windows 5.1.2600 Service Pack 3

02.02.2009 22:26:28
mbam-log-2009-02-02 (22-26-28).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 166431
Laufzeit: 1 hour(s), 26 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Hoffe , dass ich sauber bin!

Grüße fresh569

Geändert von fresh569 (02.02.2009 um 23:58 Uhr)

Alt 04.02.2009, 19:11   #2
fresh569
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Hallo?

Kann mir niemand helfen? Weiß niemand einen Rat, an was das liegt, dass Google fast nur falsche Links aufruft?

Ich hoffe mir kann jemand helfen!!!

Grüße
fresh569
__________________


Alt 04.02.2009, 19:28   #3
john.doe
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Hallo,

GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Doppelklick auf gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas
__________________

Alt 04.02.2009, 20:06   #4
fresh569
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Danke für die Antwort!!!

Hier nun das Ergebnis von gmer:

Code:
ATTFilter
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-04 19:58:48
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT    sptd.sys                                                                                                         ZwCreateKey [0xBA6D10B0]
SSDT    sptd.sys                                                                                                         ZwEnumerateKey [0xBA6D684C]
SSDT    sptd.sys                                                                                                         ZwEnumerateValueKey [0xBA6D6BEC]
SSDT    sptd.sys                                                                                                         ZwOpenKey [0xBA6D1090]
SSDT    sptd.sys                                                                                                         ZwQueryKey [0xBA6D6CC4]
SSDT    sptd.sys                                                                                                         ZwQueryValueKey [0xBA6D6B44]
SSDT    sptd.sys                                                                                                         ZwSetValueKey [0xBA6D6D56]

---- Kernel code sections - GMER 1.0.14 ----

?       C:\WINDOWS\system32\drivers\sptd.sys                                                                             Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text   USBPORT.SYS!DllUnload                                                                                            B97D08AC 5 Bytes  JMP 8A3991B8 

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT     atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                               [BA6D1ABA] sptd.sys
IAT     atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                       [BA6D1C00] sptd.sys
IAT     atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                              [BA6D1B82] sptd.sys
IAT     atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                      [BA6D272E] sptd.sys
IAT     atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                              [BA6D2604] sptd.sys
IAT     \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                               [BA6E4B9A] sptd.sys

---- Devices - GMER 1.0.14 ----

Device  \FileSystem\Ntfs \Ntfs                                                                                           8A5C61D8
Device  \Driver\usbohci \Device\USBPDO-0                                                                                 8A3941D8
Device  \Driver\usbehci \Device\USBPDO-1                                                                                 8A3881D8
Device  \Driver\Ftdisk \Device\HarddiskVolume1                                                                           8A5CA1D8
Device  \Driver\NetBT \Device\NetBT_Tcpip_{D9E5808D-00BF-4710-A23F-4009833FB252}                                         89833980
Device  \Driver\Cdrom \Device\CdRom0                                                                                     8A37C1D8
Device  \Driver\NetBT \Device\NetBt_Wins_Export                                                                          89833980
Device  \Driver\NetBT \Device\NetbiosSmb                                                                                 89833980
Device  \Driver\NetBT \Device\NetBT_Tcpip_{861288CA-B143-4744-A7E4-09EB651C25F0}                                         89833980
Device  \Driver\usbohci \Device\USBFDO-0                                                                                 8A3941D8
Device  \Driver\usbehci \Device\USBFDO-1                                                                                 8A3881D8
Device  \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                89831980
Device  \FileSystem\MRxSmb \Device\LanmanRedirector                                                                      89831980
Device  \Driver\Ftdisk \Device\FtControl                                                                                 8A5CA1D8
Device  \FileSystem\Cdfs \Cdfs                                                                                           8A2CD980

---- Registry - GMER 1.0.14 ----

Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                               1153889231
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                               -1717688986
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                               1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                 
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                              0
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                           0xDE 0xFC 0xF4 0xAA ...
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             2
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             7
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             4
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             4
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             4
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             7
Reg     HKLM\SYSTEM\controlset002\control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg     HKLM\SYSTEM\controlset002\Services\MRxDAV\EncryptedDirectories@                                                  
Reg     HKLM\SYSTEM\controlset002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg     HKLM\SYSTEM\controlset002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  0
Reg     HKLM\SYSTEM\controlset002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                               0xDE 0xFC 0xF4 0xAA ...
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  0
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                               0xDE 0xFC 0xF4 0xAA ...
Reg     HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start                                                                1
Reg     HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type                                                                 1
Reg     HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath                                                            \systemroot\system32\drivers\TDSSserv.sys

---- EOF - GMER 1.0.14 ----
         
Und, ist es sehr schlimm?

Alt 04.02.2009, 20:08   #5
john.doe
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Nö, da ist nichts.

Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas


Alt 04.02.2009, 20:19   #6
fresh569
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Bin erstmal erleichtert!
Auch wenn das ja noch lange nicht heißt!

hier die info.txt
File-Upload.net - info.txt

und die log.txt
File-Upload.net - log.txt

Und wie siehts aus?

Alt 04.02.2009, 20:35   #7
john.doe
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Boah, starten wir erstmal eine Deinstallationsorgie:
  • Ad-Aware (Schrott)
  • Adobe Reader (veraltet)
  • Ask Toolbar (Adware)
  • Catchme
  • Crawler Toolbar with Web Security Guard (Adwareverdächtig)
  • Java(TM) 6 Update 7 (du hast Update 11)
  • Gmer
  • Spybot (Schrott)
  • Spyware Terminator (Schrott)

http://www.trojaner-board.de/51871-a...tispyware.html Ausführen und Log posten.

Zitat:
======Scheduled tasks folder======

C:\WINDOWS\tasks\fakesurfen.job
C:\WINDOWS\tasks\fakeultra.job
Wasndas?

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\drivers\senekaklphmeqe.sys
C:\DOKUME~1\marc01\LOKALE~1\Temp\mbr.sys
         
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte die Datei nicht zu finden sein, markiere jeweils eine Zeile, kopiere und füge sie bei Virustotal ein.

ciao, andreas

Geändert von john.doe (04.02.2009 um 20:51 Uhr)

Alt 05.02.2009, 06:52   #8
fresh569
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Ok, hab fast alles deinstalliert, aber wie bokomme ich die zwei weg, bzw. wo finde ich die?
  • Catchme
  • Gmer

Die geplanten Tasks, hab ich selbst erstellt, sollte ich die lieber löschen?
Die zwei Dateien konnte ich nicht finden, und auch die zeile nicht bei virustotal einfügen, die wollen eine Datei.
Bin ich zu blöd?
Zitat:
Code:
ATTFilter
C:\WINDOWS\system32\drivers\senekaklphmeqe.sys
C:\DOKUME~1\marc01\LOKALE~1\Temp\mbr.sys
         
SUPERAntiSpyware hab ich über Nacht durchlaufen lassen.
Aber ausversehen ohne Deine anweisung die 43 Funde entfernen lassen.
War das falsch?
Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/05/2009 at 06:20 AM

Application Version : 4.25.1012

Core Rules Database Version : 3743
Trace Rules Database Version: 1711

Scan type       : Complete Scan
Total Scan Time : 07:57:38

Memory items scanned      : 477
Memory threats detected   : 0
Registry items scanned    : 6344
Registry threats detected : 2
File items scanned        : 119848
File threats detected     : 41

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@adrevolver[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@eas.apm.emediate[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@apm.emediate[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@tacoda[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@webmasterplan[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@atdmt[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@arcor.122.2o7[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@zanox-affiliate[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@fastclick[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@zanox[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@adsrv.admediate[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@dynamic.media.adrevolver[4].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@ad.trackbar[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@casalemedia[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@advertising[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@ads.fastclick24[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@mediaplex[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@www.etracker[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@adopt.euroclick[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@komtrack[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@track.webgains[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@tradedoubler[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@apmebf[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@a6.adserver01[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@ad.zanox[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@www.zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@atwola[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@adtech[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@azjmp[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@ad.yieldmanager[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@rotator.adjuggler[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@adserver.easyad[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@tto2.traffictrack[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@ads.heias[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@questionmarket[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@www.active-tracking[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@doubleclick[1].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@statse.webtrendslive[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@traffictrack[2].txt
	C:\Dokumente und Einstellungen\marc01\Cookies\marc01@electronicarts.112.2o7[1].txt

Adware.MyWebSearch/FunWebProducts
	HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
	HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs
         
Der Scan wurde von AntiVir unterbrochen, der einen TR/Drop...gefunden hat, hab ich auch gelöscht, dann ging weiter.
Antivir:
Code:
ATTFilter
In der Datei 'C:\WINDOWS\system32\chert11-303350.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Agent.mmo' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
         
Und, wie gehts jetzt weiter?
Wie es für mich scheint, bin/war ich ziemlich verseucht, oder?

ciao Marc

Alt 05.02.2009, 16:55   #9
john.doe
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Zitat:
Die geplanten Tasks, hab ich selbst erstellt, sollte ich die lieber löschen?
Nein.
Zitat:
Die zwei Dateien konnte ich nicht finden, und auch die zeile nicht bei virustotal einfügen, die wollen eine Datei.
Bin ich zu blöd?
Nein. Das sind Rootkits und solange Windows läuft sind die nur sehr schwer zu erwischen. Du brauchst eine Live-CD, bootest mit der, dann kannst du die beiden Dateien kopieren und anschliessend auswerten lassen.

Zitat:
SUPERAntiSpyware hab ich über Nacht durchlaufen lassen.
Aber ausversehen ohne Deine anweisung die 43 Funde entfernen lassen.
War das falsch?
Nein.

Zitat:
Wie es für mich scheint, bin/war ich ziemlich verseucht, oder?
Naja, du hattest einen Backdoor, den du zwar teilweise beseitigt hast, aber da ist noch immer etwas am Werkeln. Vertrauen kannst du dem Rechner nie mehr. Selbst wenn wir scheinbar alles beseitigt haben, heißt das nicht, dass er tatsächlich sauber wird.

Wenn du Zeit sparen und einen sicheren Rechner haben möchtest, dann gibt es nur einen Weg: http://www.trojaner-board.de/51262-a...sicherung.html

Wenn du die Neuinstallation wählst, möchte ich dich trotzdem bitten, die Dateien auswerten zu lassen, um so weiteren Kandidaten zu helfen.

ciao, andreas

Alt 05.02.2009, 23:03   #10
fresh569
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



OK, das mit Virustotal versuch ich auf jeden Fall, aber wo bekomme ich so eine Live-CD? Oder welche eignet sich dazu?


Ich werde auf längere Sicht auf jeden Fall mal eine Neuinstallation machen, aber im Moment würd ich gern versuchen so alles/fast alles wegzubekommen!

Noch was zu SUPERAntiSpyware, unter Präferenzen/Reparaturen steht eine ziemlich lange Liste, sollte man diese Reparaturen durchführen?

Und was ist mit dem GMER und catchme?
Oder hat sich das erledigt?

Gruß MArc

Alt 05.02.2009, 23:41   #11
john.doe
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Zitat:
wo bekomme ich so eine Live-CD?
KNOPPIX Linux Live CD
Computerhilfen.de Video-Anleitung: Daten retten mit Knoppix
oder
TestDisk DE - CGSecurity
ComputerBase - Beratung: Datenrettung mit ?TestDisk? (Drucken)

Kopiere die beiden Dateien irgendwo hin. Boote anschliessend von Festplatte und lade die kopierten Dateien bei Virustotal hoch.
Zitat:
Noch was zu SUPERAntiSpyware, unter Präferenzen/Reparaturen steht eine ziemlich lange Liste, sollte man diese Reparaturen durchführen?
Kann ich nicht nachvollziehen, das Programm lässt sich bei mir nicht installieren. Mache bitte ein Screenshot, lade die Datei bei einem Imagehoster (z.B. PiC.LEECH.iT - FREE iMAGE HOSTiNG) hoch und poste hier den Link.

Zitat:
Und was ist mit dem GMER und catchme?
Oder hat sich das erledigt?
Da es nur eine zeitweise Reparatur ist, ja.

ciao, andreas

Alt 07.02.2009, 14:55   #12
fresh569
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Ich kann die Dateien auch nicht mit Knoppix finden!
Und was jetzt?

Hier zu den Reparaturen die Screenshots:


und das steht auch noch in der Liste...

Sollte ich die Reparaturen ausführen?


Das Problem mit den Verlinkungen bei Google besteht leider immer noch! Aber nur im Mozilla Firefox. Was nun?

ciao Marc

Alt 07.02.2009, 15:14   #13
john.doe
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Alt 07.02.2009, 17:04   #14
fresh569
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Soo, alles abgearbeitet!
ComboFix wollte dass ich die Wiederherstellungskonsole von Microsoft installiere, hab ich gemacht, war das richtig?

Jetzt ist mir noch aufgefallen, dass auf dem Desktop der Internetexplorer da ist, der vorher nicht da war! Liegt das jetzt an ComboFix, oder dass ich ihn vorher das erstmal ausm Startmenü gestartet habe?
Oder ist das eigentlich unwichtig?

So hier nun das ComboFix Log:
Code:
ATTFilter
ComboFix 09-02-06.02 - marc01 2009-02-07 16:38:31.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.2047.1638 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\marc01\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\senekarrhsaltr.dat
c:\windows\system32\senekauxgxytls.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_seneka


(((((((((((((((((((((((   Dateien erstellt von 2009-01-07 bis 2009-02-07  ))))))))))))))))))))))))))))))
.

2009-02-04 22:17 . 2009-02-04 22:17	<DIR>	d--------	c:\programme\SUPERAntiSpyware
2009-02-04 22:17 . 2009-02-04 22:17	<DIR>	d--------	c:\dokumente und einstellungen\marc01\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-04 22:17 . 2009-02-04 22:17	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-04 20:11 . 2009-02-04 20:11	<DIR>	d--------	C:\rsit
2009-02-04 19:44 . 2009-02-04 19:44	250	--a------	c:\windows\gmer.ini
2009-02-02 20:03 . 2008-10-16 21:04	6,066,176	-----c---	c:\windows\system32\dllcache\ieframe.dll
2009-02-02 20:03 . 2007-04-17 10:32	2,455,488	-----c---	c:\windows\system32\dllcache\ieapfltr.dat
2009-02-02 20:03 . 2007-03-08 06:09	1,040,384	-----c---	c:\windows\system32\dllcache\ieframe.dll.mui
2009-02-02 20:03 . 2008-10-16 21:04	459,264	-----c---	c:\windows\system32\dllcache\msfeeds.dll
2009-02-02 20:03 . 2008-10-16 21:04	383,488	-----c---	c:\windows\system32\dllcache\ieapfltr.dll
2009-02-02 20:03 . 2008-10-16 21:04	267,776	-----c---	c:\windows\system32\dllcache\iertutil.dll
2009-02-02 20:03 . 2008-10-16 21:04	63,488	-----c---	c:\windows\system32\dllcache\icardie.dll
2009-02-02 20:03 . 2008-10-16 21:04	52,224	-----c---	c:\windows\system32\dllcache\msfeedsbs.dll
2009-02-02 20:03 . 2008-10-16 14:11	13,824	-----c---	c:\windows\system32\dllcache\ieudinit.exe
2009-01-31 18:30 . 2008-09-15 16:24	1,846,528	-----c---	c:\windows\system32\dllcache\win32k.sys
2009-01-31 18:29 . 2008-08-14 14:19	2,191,488	-----c---	c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-31 18:29 . 2008-08-14 14:19	2,147,840	-----c---	c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-31 18:29 . 2008-08-14 14:19	2,068,352	-----c---	c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-31 18:29 . 2008-08-14 14:19	2,026,496	-----c---	c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-31 18:28 . 2008-10-24 12:21	455,296	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2009-01-31 18:27 . 2008-12-11 11:57	333,952	-----c---	c:\windows\system32\dllcache\srv.sys
2009-01-31 18:24 . 2008-09-04 18:15	1,106,944	-----c---	c:\windows\system32\dllcache\msxml3.dll
2009-01-31 18:24 . 2008-10-15 17:35	337,408	-----c---	c:\windows\system32\dllcache\netapi32.dll
2009-01-31 17:36 . 2009-01-31 17:39	<DIR>	d--------	c:\windows\ServicePackFiles
2009-01-31 17:06 . 2004-08-04 00:38	701,952	---------	c:\windows\system32\drivers\ati2mtag.sys
2009-01-31 16:54 . 2008-10-16 14:08	27,672	--a------	c:\windows\system32\wuapi.dll.mui
2009-01-27 10:29 . 2009-01-27 10:32	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-01-24 21:15 . 2008-04-14 02:58	14,720	--a------	c:\windows\system32\drivers\kbdhid.sys
2009-01-19 23:24 . 2009-01-19 23:24	<DIR>	d--------	c:\programme\Mp3 File Editor
2009-01-19 23:24 . 2009-01-19 23:24	286,720	--a------	c:\windows\iun506.exe
2009-01-19 23:20 . 2009-01-19 23:20	<DIR>	d--------	c:\dokumente und einstellungen\marc01\Anwendungsdaten\OpenOffice.org
2009-01-19 23:03 . 2009-01-19 23:03	<DIR>	d--------	c:\programme\OpenOffice.org 3
2009-01-12 20:53 . 2009-01-12 20:53	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Common Share
2009-01-12 20:53 . 2008-12-18 13:38	719,872	--a------	c:\windows\system32\devil.dll
2009-01-12 20:53 . 2008-12-18 13:38	351,744	--a------	c:\windows\system32\avisynth.dll
2009-01-12 20:52 . 2009-01-12 20:52	<DIR>	d--------	c:\programme\OJOsoft

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-07 13:11	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-04 21:17	---------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-04 20:51	---------	d-----w	c:\programme\Spybot - Search & Destroy
2009-02-04 20:51	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-04 19:57	---------	d-----w	c:\programme\Java
2009-01-31 15:31	---------	d-----w	c:\programme\CCleaner
2009-01-31 12:42	---------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-01-27 09:32	---------	d-----w	c:\programme\Microsoft Works
2009-01-19 22:02	---------	d-----w	c:\programme\OpenOffice.org 2.1
2009-01-19 21:56	---------	d-----w	c:\dokumente und einstellungen\marc01\Anwendungsdaten\OpenOffice.org2
2009-01-14 15:11	38,496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-14 15:11	15,504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-01-12 20:06	---------	d-----w	c:\programme\Gemeinsame Dateien\DVDVIDEOSOFT
2009-01-12 20:06	---------	d-----w	c:\programme\DVDVideoSoft
2009-01-06 19:18	---------	d-----w	c:\programme\Sony Ericsson
2009-01-06 19:18	---------	d-----w	c:\programme\Sony
2009-01-06 19:08	---------	d--h--w	c:\programme\InstallShield Installation Information
2009-01-06 19:08	---------	d-----w	c:\programme\Avanquest update
2009-01-06 19:08	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2009-01-06 19:06	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2009-01-06 19:05	---------	d-----w	c:\dokumente und einstellungen\marc01\Anwendungsdaten\InstallShield
2008-12-25 17:43	---------	d-----w	c:\programme\Microsoft.NET
2008-12-22 11:20	---------	d-----w	c:\programme\Microsoft ActiveSync
2008-12-22 11:19	---------	d-----w	c:\programme\Windows Mobile-Ressourcen
2008-12-11 10:57	333,952	----a-w	c:\windows\system32\drivers\srv.sys
2007-06-27 18:05	0	----a-w	c:\dokumente und einstellungen\marc01\Anwendungsdaten\wklnhst.dat
2007-11-17 07:01	8,192	--sha-w	c:\windows\o2cLicStore.bin
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-01-25 53248]
"fscp"="c:\programme\AVC Finger-sensing Pad Driver\fscp.exe" [2006-08-31 995328]
"FuncKey"="c:\programme\Hotkey Management\FuncKey.exe" [2006-09-05 139264]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7585792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-06-29 286720]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-27 136600]
"nwiz"="nwiz.exe" [2006-08-16 c:\windows\system32\nwiz.exe]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk.disabled [2006-09-15 1743]
Logitech SetPoint.lnk.disabled [2006-12-12 1657]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk.disabled]
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.disabledCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk.disabled]
backup=c:\windows\pss\HP Image Zone Schnellstart.lnk.disabledCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Pml Driver HPZ12"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe
"Yahoo! Pager"=c:\programme\Yahoo!\Messenger\ypager.exe -quiet
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe"
"Alcmtr"=ALCMTR.EXE
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe
"SkyTel"=SkyTel.EXE
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"nwiz"=nwiz.exe /install
"RTHDCPL"=RTHDCPL.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.5\\cnc3game.dat"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\Packet Tracer 5.0\\bin\\PacketTracer5.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22600:UDP"= 22600:UDP:azureus
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R2 FspadSvc;FspadSvc;c:\programme\AVC Finger-sensing Pad Driver\fspadsvr.exe [2006-09-15 520704]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2006-09-15 217600]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [2006-09-15 1527900]
S3 fspad;AVC Finger-sensing Pad Driver for Windows 2000/XP;c:\windows\system32\drivers\fspad.sys [2006-09-15 22912]
S3 s3017bus;Sony Ericsson Device 3017 driver (WDM);c:\windows\system32\drivers\s3017bus.sys [2009-01-06 83880]
S3 s3017mdfl;Sony Ericsson Device 3017 USB WMC Modem Filter;c:\windows\system32\drivers\s3017mdfl.sys [2009-01-06 15016]
S3 s3017mdm;Sony Ericsson Device 3017 USB WMC Modem Driver;c:\windows\system32\drivers\s3017mdm.sys [2009-01-06 110632]
S3 s3017mgmt;Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s3017mgmt.sys [2009-01-06 104616]
S3 s3017nd5;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS);c:\windows\system32\drivers\s3017nd5.sys [2009-01-06 25512]
S3 s3017obex;Sony Ericsson Device 3017 USB WMC OBEX Interface;c:\windows\system32\drivers\s3017obex.sys [2009-01-06 100648]
S3 s3017unic;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM);c:\windows\system32\drivers\s3017unic.sys [2009-01-06 110120]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e865bb0-8265-11dc-a9d0-003005d82c32}]
\Shell\AutoRun\command - E:\laucher.exe
.
Inhalt des "geplante Tasks" Ordners

2009-01-05 c:\windows\Tasks\fakesurfen.job
- c:\dokumente und einstellungen\marc01\Desktop\Download - Mozilla\programme\mausemu4\fakesurfen.exe [2008-08-20 09:38]

2008-08-26 c:\windows\Tasks\fakeultra.job
- c:\dokumente und einstellungen\marc01\Desktop\Download - Mozilla\mausemu4\fakeultra.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com/fsc/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\marc01\Anwendungsdaten\Mozilla\Firefox\Profiles\663v4kdo.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-07 16:43:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3158491442-301954164-3250943381-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
   00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-3158491442-301954164-3250943381-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:b1,28,92,44,b1,d1,88,01,27,41,bd,f3,92,14,2d,02,77,b7,2c,a4,df,32,7b,
   f4,71,cf,c7,a6,b4,4f,46,d7,a2,93,54,9c,22,c6,6d,ca,9b,a2,33,3f,6e,6f,f7,64,\
"??"=hex:51,26,68,11,bc,f8,f9,83,2f,7f,08,b5,c7,73,36,4c

[HKEY_USERS\S-1-5-21-3158491442-301954164-3250943381-1007\Software\Zepter Software\RegLib*90c51fef\AnyDVD/1]
"1"=dword:46350ae2
"2"=dword:47769984
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(936)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-07 16:48:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-02-07 15:48:25
ComboFix2.txt  2008-09-02 18:07:16

Vor Suchlauf: 36 Verzeichnis(se), 47.473.172.480 Bytes frei
Nach Suchlauf: 36 Verzeichnis(se), 47,426,174,976 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

239	--- E O F ---	2009-02-03 21:55:35
         
ciao Marc

Alt 07.02.2009, 18:45   #15
john.doe
 
Ist mein System wieder sauber? - TR/Trash.gen - Standard

Ist mein System wieder sauber? - TR/Trash.gen



Zitat:
ComboFix wollte dass ich die Wiederherstellungskonsole von Microsoft installiere, hab ich gemacht, war das richtig?

Zitat:
Oder ist das eigentlich unwichtig?
Ja.
Zitat:
c:\windows\system32\senekarrhsaltr.dat
c:\windows\system32\senekauxgxytls.dat
Erwischt. Immer noch Umleitungen?
Code:
ATTFilter
2007-06-27 18:05	0	----a-w	c:\dokumente und einstellungen\marc01\Anwendungsdaten\wklnhst.dat
         
Eieiei. Supportnet Forum: wklnhst.dat

So. Jetzt nochmal mit MbAm und SAS scannen und ein letztes HJT-Log posten.

ciao, andreas

Antwort

Themen zu Ist mein System wieder sauber? - TR/Trash.gen
ad-aware, adobe, antivir, avira, bho, druck, excel, firefox, google, hijack, hijackthis, internet, internet explorer, logfile, magix, malwarebytes' anti-malware, mbr rootkit, mozilla, problem, realtek, registrierungsschlüssel, rootkit, rundll, server, software, spyware, spyware terminator, stealth mbr rootkit, system, trash.gen, trojaner, windows, windows xp



Ähnliche Themen: Ist mein System wieder sauber? - TR/Trash.gen


  1. Ist mein Rechner wieder sauber?
    Plagegeister aller Art und deren Bekämpfung - 27.07.2012 (2)
  2. BSI GVU Trojaner mit Webcam - ist mein System wieder sauber?
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (13)
  3. Win32/Bublik.b Trojaner entfernt - ist mein System jetzt wieder sauber?
    Log-Analyse und Auswertung - 01.02.2012 (26)
  4. mediashifting.com: system neu aufgesetzt - unsicher, ob system wieder sauber ist
    Plagegeister aller Art und deren Bekämpfung - 05.01.2012 (7)
  5. Ist mein System Sauber ?
    Log-Analyse und Auswertung - 27.09.2011 (0)
  6. System wieder sauber?
    Log-Analyse und Auswertung - 06.01.2011 (3)
  7. ist mein pc wieder sauber?
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (47)
  8. Mein HijackThis log, wie bekomm ich mein System sauber?
    Log-Analyse und Auswertung - 29.07.2010 (6)
  9. Unsicher, ob mein System wieder sauber ist?
    Log-Analyse und Auswertung - 24.04.2010 (23)
  10. Ist mein Rechner wieder sauber?
    Log-Analyse und Auswertung - 23.03.2009 (0)
  11. Ist mein PC wieder sauber?
    Plagegeister aller Art und deren Bekämpfung - 21.03.2009 (1)
  12. nach zlob ! Ist mein PC wieder sauber ?
    Mülltonne - 29.09.2008 (0)
  13. System wieder sauber?
    Log-Analyse und Auswertung - 15.06.2008 (6)
  14. Ist mein System wieder sauber?
    Log-Analyse und Auswertung - 15.06.2008 (2)
  15. Ist mein PC wieder sauber ?
    Plagegeister aller Art und deren Bekämpfung - 12.02.2008 (6)
  16. Ist mein System wieder sauber? Bitte um Hilfe!
    Log-Analyse und Auswertung - 26.07.2005 (1)
  17. Ist mein System sauber
    Log-Analyse und Auswertung - 20.05.2005 (9)

Zum Thema Ist mein System wieder sauber? - TR/Trash.gen - Hallo, ich habe/hatte folgendes Problem: 1. Die Suchergebnisse in Google waren falsch verlinkt, oder wurden "umgeleitet". 2. Avira zeigt öfters mal ein Trojaner an, den Trash.gen in "System Volume Information". - Ist mein System wieder sauber? - TR/Trash.gen...
Archiv
Du betrachtest: Ist mein System wieder sauber? - TR/Trash.gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.