TR/Dropper.Gen auch bei mir...

tegrity · 24.02.2009, 20:55

Das SPR/Hacktool.32768.C hab ich bereits gestern mit Avira entfernt.. Ich hab grad nochmal in den angegebenen Ordner geguckt und die Datei dort nicht gefunden. Um sicher zu gehen hab ich den PC neugestartet und nochmal nachgesehen - sie ist nicht mehr da.

Wenn ich das richtig verstanden habe, kann ich die Schritte mit F-Secure, CCleaner und Combofix überspringen?

Larusso · 24.02.2009, 21:10

Machen wir es Trotzdem
Ich trau dem Trojaner nicht der was noch angezeigt wird

tegrity · 24.02.2009, 22:29

Vorab schonmal F-Secure Blacklight:

Code:

ATTFilter

02/24/09 21:17:28 [Info]: BlackLight Engine 1.0.67 initialized
02/24/09 21:17:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/24/09 21:17:28 [Note]: 7019 4
02/24/09 21:17:28 [Note]: 7005 0
02/24/09 21:17:31 [Note]: 7006 0
02/24/09 21:17:32 [Note]: 7011 468
02/24/09 21:17:32 [Note]: 7026 0
02/24/09 21:17:32 [Note]: 7026 0
02/24/09 21:17:36 [Note]: FSRAW library version 1.7.1024
02/24/09 21:32:11 [Note]: 2000 1012
02/24/09 21:32:11 [Note]: 2000 1012
02/24/09 21:33:02 [Note]: 2000 1012
02/24/09 21:39:30 [Note]: 7007 0

Dann CCleaner

Code:

ATTFilter

REINIGUNG komplett - (113.127 Sek)
------------------------------------------------------------------------------------------
5,67MB entfernt.
------------------------------------------------------------------------------------------

Details der gelöschten Dateien
------------------------------------------------------------------------------------------
IE Temporären Internetdateien (16 Dateien) 5,07MB
Zum Löschen markiert: C:\Dokumente und Einstellungen\*****\Cookies\index.dat
C:\WINDOWS\system32\wbem\Logs\FrameWork.log 520 Byte
C:\WINDOWS\system32\wbem\Logs\wbemess.log 12,81KB
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 134 Byte
C:\WINDOWS\0.log 0 Byte
C:\WINDOWS\setupapi.log 2,55KB
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\drwtsn32.log 0,35MB
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp 37,87KB
C:\WINDOWS\Internet Logs\ZALog2009.02.23.txt 714 Byte
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\LOGFILES\avguard.log 0,21MB
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\LOGFILES\sched.log 650 Byte
------------------------------------------------------------------------------------------

Und nun folgendes Problem mit ComboFix:
Ich deaktiviere Zonealarm, Antivir und SUPERAntiSpyware, kappe die verbindung zum Netz und Starte ComboFix.exe - Das kleine Feld mit dem Ladebalken erscheint und dann die Meldung, dass ich AntiVir Personal Edition Classic beenden solle. Dabei hab ich den beendet, und er steht 6x in der Liste von Combofix. Nun, anschließend geh ich in den Task-Manager um sämtliche AntiVir-Prozesse zu beenden und versuche erneut, ComboFix zu starten: wieder das selbe, auch nach neustart und weiteren Versuchen..

Larusso · 24.02.2009, 23:31

Hallo

Alles der Reihe nach abarbeiten

Bitte lade dir SDFix.exe von Andy Manchster herunter

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus
* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn

Danach MalewareBytes laufen lassen

Systemwiederherstellung Deaktivieren

Start-->Ausführen-->cleanmgr(reinschreiben)
Häckchen bei-->Übertragbare Datein;Temporäre Internetdatein;Papierkörb;Temporäre Datein--->OK
Start-->Ausführen-->%temp%

CCleane starten--> Cleaner-->Analysieren-->Klick auf den Button Start CCleaner
"Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
Starte dein System neu auf

SuperAntiSpyware im Abgesicherten Modus verwenden

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Erstelle ein neues HJT-Log

Alle Files Posten,wenn möglich der Reihe nach posten

tegrity · 26.02.2009, 22:57

So.. nun:
SDFix

Code:

ATTFilter

SDFix: Version 1.240 
Run by ***** on 25.02.2009 at 17:58

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Name : 
rdriv

Path :
\??\C:\WINDOWS\system32\rdriv.sys 

rdriv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-25 18:06:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wbsys.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"F:\\Programme\\Last.fm\\LastFM.exe"="F:\\Programme\\Last.fm\\LastFM.exe:*:Enabled:Last.fm"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"F:\\Programme\\ICQLite\\ICQLite.exe"="F:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\Windows Media Player\\wmplayer.exe"="C:\\Programme\\Windows Media Player\\wmplayer.exe:*:Enabled:Windows Media Player"
"f:\\Programme\\BitTorrent\\bittorrent.exe"="f:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Programme\\BitTorrent_DNA\\dna.exe"="C:\\Programme\\BitTorrent_DNA\\dna.exe:*:Enabled:dna"
"F:\\Programme\\ICQ6\\ICQ.exe"="F:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\DNA\\btdna.exe"="C:\\Programme\\DNA\\btdna.exe:*:Enabled:DNA"
"F:\\Programme\\mIRC\\mirc.exe"="F:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"="C:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"F:\\Programme\\Anno 1701\\Anno1701.exe"="F:\\Programme\\Anno 1701\\Anno1701.exe:*:Enabled:Anno 1701"
"C:\\Programme\\Mozilla Firefox 3 Beta 3\\firefox.exe"="C:\\Programme\\Mozilla Firefox 3 Beta 3\\firefox.exe:*:Enabled:Firefox"
"F:\\~Guild Wars\\Diablo3-artworktrailer_de-DE-downloader.exe"="F:\\~Guild Wars\\Diablo3-artworktrailer_de-DE-downloader.exe:*:Enabled:Blizzard Downloader"
"F:\\~Guild Wars\\Diablo3-cinematictrailer_de-DE-downloader.exe"="F:\\~Guild Wars\\Diablo3-cinematictrailer_de-DE-downloader.exe:*:Enabled:Blizzard Downloader"
"F:\\~Guild Wars\\Diablo3-gameplaytrailer_de-DE-downloader.exe"="F:\\~Guild Wars\\Diablo3-gameplaytrailer_de-DE-downloader.exe:*:Enabled:Blizzard Downloader"
"F:\\Programme\\teeworlds-0.4.2-win32\\teeworlds_srv.exe"="F:\\Programme\\teeworlds-0.4.2-win32\\teeworlds_srv.exe:*:Enabled:teeworlds_srv"
"F:\\Programme\\iTunes\\iTunes.exe"="F:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Enabled:Microsoft Management Console"
"C:\\Programme\\Ventrilo\\Ventrilo.exe"="C:\\Programme\\Ventrilo\\Ventrilo.exe:*:Enabled:Ventrilo.exe"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Disabled:Bonjour"
"H:\\Programme\\eMule\\emule.exe"="H:\\Programme\\eMule\\emule.exe:*:Disabled:eMule"
"C:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"="C:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe:*:Disabled:Veoh Web Player "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 23 Aug 2006         4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon  4 Oct 2004       417,792 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.0\Maint.exe"
Thu 27 May 2004        61,440 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.0\uinstrsc.dll"
Thu  1 Feb 2007             0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"

Finished!

dann MBAM

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1788
Windows 5.1.2600 Service Pack 2

25.02.2009 19:36:48
mbam-log-2009-02-25 (19-36-48).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 139557
Laufzeit: 1 hour(s), 1 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

CCleaner

Code:

ATTFilter

REINIGUNG komplett - (1.596 Sek)
------------------------------------------------------------------------------------------
5,54MB entfernt.
------------------------------------------------------------------------------------------

Details der gelöschten Dateien
------------------------------------------------------------------------------------------
IE Temporären Internetdateien (9 Dateien) 5,31MB
C:\Dokumente und Einstellungen\***\Cookies\***@notifier.avira[2].txt 358 Byte
C:\Dokumente und Einstellungen\***\Cookies\***@blogs.msdn[1].txt 142 Byte
C:\Dokumente und Einstellungen\***\Cookies\***@microsoft[1].txt 127 Byte
Zum Löschen markiert: C:\Dokumente und Einstellungen\***\Cookies\index.dat
C:\WINDOWS\system32\wbem\Logs\FrameWork.log 519 Byte
C:\WINDOWS\system32\wbem\Logs\NTEVT.log 2 Byte
C:\WINDOWS\system32\wbem\Logs\wbemess.log 3,52KB
C:\WINDOWS\system32\wbem\Logs\wbemprox.log 102 Byte
C:\WINDOWS\system32\wbem\Logs\WBEMSNMP.log 2 Byte
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 201 Byte
C:\WINDOWS\0.log 0 Byte
C:\WINDOWS\setupact.log 60 Byte
C:\WINDOWS\setuperr.log 0 Byte
C:\WINDOWS\ntbtlog.txt 0,22MB
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\QTQ69N7Q\bin.clearspring.com\clearspring.sol 61 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\QTQ69N7Q\s.ytimg.com\soundData.sol 58 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\QTQ69N7Q\s.ytimg.com\videostats.sol 199 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com\settings.sol 89 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#s.ytimg.com\settings.sol 81 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 476 Byte
------------------------------------------------------------------------------------------

SUPERAntiSpyware

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 02/25/2009 bei 10:07 PM

Version der Applikation : 4.25.1012

Version der Kern-Datenbank : 3772
Version der Spur-Datenbank : 1731

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:53:01

Gescannte Speicherelemente  : 228
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5036
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 74476
Erfasste Datei-Elemente   : 0

Kaspersky-Online

Code:

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Donnerstag, 26. Februar 2009 22:42:46
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 26/02/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 1668576
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	C:\
	D:\
	E:\
	F:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 160756
	Viren gefunden: 0
	Infizierte Objekte gefunden: 0
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 03:42:16

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\content-prefs.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\cookies.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\downloads.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\formhistory.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\permissions.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\places.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\places.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\IETldCache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{296C3DE4-041B-11DE-87CD-000B6A1A806F}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{71F447DB-041B-11DE-87CD-000B6A1A806F}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sz9pjind.default\urlclassifier3.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\etilqs_UmvHEvHcQFiZrySSFFHS	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF2A25.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DFC69.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\SuggestedSites.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\**PC-NAME**.ldb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\fidbox.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\fidbox.idx	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\ZLT006de.TMP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\ZLT0504b.TMP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.

tegrity · 26.02.2009, 22:58

Über 25000 Zeichen.. hier gehts weiter:

HiJackThis

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:50:51, on 26.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\LClock\LClock.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rundll32.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
F:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = F:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = F:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {A1D886C6-4039-4451-97A9-515F5BE5D4C2} (mkdplusCtrl Class) - http://ahnlabdownload.nefficient.co.kr/asp/cab/mkdplus.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Update Service (gupdate1c986d1f21eb89a) (gupdate1c986d1f21eb89a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8713 bytes

tegrity · 28.02.2009, 12:44

Noch mal nen HJT von heute:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:43:25, on 28.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\LClock\LClock.exe
C:\Programme\Gemeinsame 

Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rundll32.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
F:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Dokumente und 

Einstellungen\Simon\Desktop\Virenbeseitigung\HiJackThis\HiJackThis.

exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

about:blank
R1 - HKLM\Software\Microsoft\Internet 

Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?

LinkId=69157
R1 - HKLM\Software\Microsoft\Internet 

Explorer\Main,Default_Search_URL = 

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = 

Windows Internet Explorer bereitgestellt von Yahoo! Deutschland
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558

-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-

0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} 

- C:\Programme\Gemeinsame 

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-

22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} 

- C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-

10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-

BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-

A2E2-585B10099BFC} - C:\Programme\Veoh 

Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32

\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition 

Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] 

KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame 

Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame 

Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] 

KHALMNPR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Zone 

Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32

\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32

\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32

\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32

\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = 

C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = 

F:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = F:\Programme\Microsoft 

Office\Office\OSA.EXE
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und 

Einstellungen\All Users\Anwendungsdaten\Winamp 

Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - 

res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - 

res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - 

res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste 

hinzufügen - res://C:\Programme\Canon\Easy-

WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-

00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-

11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-

12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe 

(file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-

9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe 

(file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-

A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-

A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-

f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088

-4134-82b7-f2ba38496583} - C:\WINDOWS\Network 

Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - 

f:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-

FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe
O10 - Broken Internet access because of LSP provider 

'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD 

Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan 

Object) - 

http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.c

ab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter 

Class) - 

http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510

.cab
O16 - DPF: {A1D886C6-4039-4451-97A9-515F5BE5D4C2} (mkdplusCtrl 

Class) - http://ahnlabdownload.nefficient.co.kr/asp/cab/mkdplus.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online 

Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash 

Object) - 

https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.

cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - 

http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} 

- C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - 

C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer 

(AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir 

PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard 

(AntiVirService) - Avira GmbH - C:\Programme\AntiVir 

PersonalEdition Classic\avguard.exe
O23 - Service: Google Update Service (gupdate1c986d1f21eb89a) 

(gupdate1c986d1f21eb89a) - Google Inc. - 

C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision 

Corporation - C:\Programme\Gemeinsame 

Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - 

C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, 

Inc. - C:\Programme\Gemeinsame 

Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - 

C:\WINDOWS\system32\npkcsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA 

Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC 

- C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8713 bytes

24.02.2009, 21:10	#32
Larusso /// Selecta Jahrusso	TR/Dropper.Gen auch bei mir... Machen wir es Trotzdem Ich trau dem Trojaner nicht der was noch angezeigt wird __________________ __________________

TR/Dropper.Gen auch bei mir...

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen auch bei mir...