Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber?

Truckbull · 21.04.2009, 09:09

Hallo zusammen.

Ich hatte den Trojaner-PSW.Win32.Agent.mrh bei mir drauf und wollte wissen ob mein Rechner nun wieder sauber ist.

Gruß Truckbull

P.S. Vielleicht könnt ihr mir ja auch sagen welche Programme bzw. Dateien unsinnig sind.

Hijackthis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:04:23, on 21.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\AI Gear\GearHelp.exe
C:\Program Files\ASUS\AI Nap\AiNap.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\aol\1203626123\ee\aolsoftware.exe
C:\Program Files\WebcamMax\wcmmon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Common Files\Logishrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe
C:\Program Files\pdfforge Toolbar\SearchSettings.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Logitech\Gaming Software\LWEMon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Users\Trucki\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Users\Trucki\AppData\Local\ukume.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\ComCenter\IWatch.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Program Files\Common Files\Marmiko Shared\MWLaMaS.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: (no name) - {F60E370A-71ED-4918-9F6C-A1ADA0FC5C30} - (no file)
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Program Files\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Ai Gear Help] "C:\Program Files\ASUS\AI Gear\GearHelp.exe"
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\AI Nap\AiNap.exe"
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Program Files\ASUS\AI Booster\OverClk.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1203626123\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [WebcamMaxMoniter] "C:\Program Files\WebcamMax\wcmmon.exe" /a
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BlackBerryAutoUpdate] C:\Program Files\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe /background
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Program Files\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [Google Update] "C:\Users\Trucki\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ukume] "c:\users\trucki\appdata\local\ukume.exe" ukume
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Program Files\ComCenter\IWatch.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - F:\Poker\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O13 - Gopher Prefix:
O15 - Trusted Zone: http://server1.webkicks.de
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/VistaMSNPUpldde-de.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{629CDC7E-76D6-44B0-9130-FE27534FC435}: NameServer = 192.168.121.252,192.168.121.253
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Program Files\Common Files\AVM\de_serv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\Mainboard\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Update Service (gupdate1c991203c7c6c2f) (gupdate1c991203c7c6c2f) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: MySQL - Unknown owner - E:\Program.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - E:\Mainboard\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Service.exe

--
End of file - 17048 bytes

Redwulf · 21.04.2009, 10:12

Hallo Truckbull und

Grüsse in die Nachbarschaft......

Ich habe keine Ahnung wie du den Virus beseitigt haben willst, da normalerweise bei diesem Befall ernsthaft über ein Neuaufsetzen deines Systems nachgedacht werden sollte. Da ich die Bereinigung nun in allen Einzelheiten nicht mehr nachvollziehen kann, sollten wir wie unten beschrieben vorgehen.

Bisher sehe ich in deinem PC noch mehrere Probleme.

Als erstes sei zunächst das fehlende SP 3 deines Windows XP zu bemängeln.

Du solltest folgende Schritte zunächst unternehmen:

Code:

ATTFilter

Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!
Download von Malwarebytes Anleitung:  Malwarebytes Anti-Malware  <--- dl Linkin der Erklärung LESEN !!!
Download von Gmer 
Download von MBR.exe 
Download von LSPFix

Hiernach deinstallierst du erst mal alles von Google und die pdfforge Toolbar. Letzere kann ein Sicherheitsrisiko darstellen, da diese unter anderem deine IP verschickt und sich ungefragt installiert..

Danach:

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall wahrscheinlich unbrauchbar..

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen
Gehts immer noch nicht, gehe zu Punkt 6.

Punkt 6.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um

Punkt 7:

Bitte lade folgende Files bei Virustotal.com hoch und lasse sie analysieren. Auch wenn dort schon beschrieben wurde, dass dieses file bereits analysiert wurde. Poste das Ergebnis hier inklusive der Hashes und Prüfsummen.

Code:

ATTFilter

c:\users\trucki\appdata\local\ukume.exe

Truckbull · 21.04.2009, 11:38

Ich habe nicht Windows Xp auf dem Rechner sondern Vista Business 32bit.

zu 1. War schon asgeschaltet (warum auch immer)

zu 2. erledigt

zu 3. erledigt und alles gelöscht (in der Regestry war kein Fehler vorhanden)

zu 4. es öffnet sich ein kleines DOS-Fenster und schließt sich sofort wieder. Es werden keine Log-Files erstellt.

zu 5. läuft noch

zu 6. Nachem ich Kaspersky ausgetrickst habe läuft es gerade durch. Kaspersky erkennt es direkt als Trojaner (Trojan.Win32.Agent.ccfc).

zu 7. Hier der Logfile:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.21 -
AhnLab-V3 5.0.0.2 2009.04.21 -
AntiVir 7.9.0.148 2009.04.21 TR/Dropper.Gen
Antiy-AVL 2.0.3.1 2009.04.21 -
Authentium 5.1.2.4 2009.04.20 -
Avast 4.8.1335.0 2009.04.20 -
AVG 8.5.0.287 2009.04.20 -
BitDefender 7.2 2009.04.21 -
CAT-QuickHeal 10.00 2009.04.21 -
ClamAV 0.94.1 2009.04.21 -
Comodo 1124 2009.04.21 -
DrWeb 4.44.0.09170 2009.04.21 -
eSafe 7.0.17.0 2009.04.20 -
eTrust-Vet 31.6.6440 2009.04.20 -
F-Prot 4.4.4.56 2009.04.20 -
F-Secure 8.0.14470.0 2009.04.21 -
Fortinet 3.117.0.0 2009.04.21 -
GData 19 2009.04.21 -
Ikarus T3.1.1.49.0 2009.04.21 -
K7AntiVirus 7.10.709 2009.04.20 -
Kaspersky 7.0.0.125 2009.04.21 -
McAfee 5590 2009.04.20 -
McAfee+Artemis 5590 2009.04.20 -
McAfee-GW-Edition 6.7.6 2009.04.21 Trojan.Dropper.Gen
Microsoft 1.4602 2009.04.21 -
NOD32 4024 2009.04.21 -
Norman 6.00.06 2009.04.20 -
nProtect 2009.1.8.0 2009.04.21 -
Panda 10.0.0.14 2009.04.20 -
PCTools 4.4.2.0 2009.04.21 -
Prevx1 V2 2009.04.21 High Risk Fraudulent Security Program
Rising 21.26.12.00 2009.04.21 -
Sophos 4.40.0 2009.04.21 -
Sunbelt 3.2.1858.2 2009.04.21 -
Symantec 1.4.4.12 2009.04.21 -
TheHacker 6.3.4.0.312 2009.04.21 -
TrendMicro 8.700.0.1004 2009.04.21 -
VBA32 3.12.10.2 2009.04.21 -
ViRobot 2009.4.21.1702 2009.04.21 -
VirusBuster 4.6.5.0 2009.04.20 -
weitere Informationen
File size: 290816 bytes
MD5...: 97303f8c5f36f78fdd43514a06073bb2
SHA1..: 2bfe32ea0056697a365b8c7b36b50f25b34ed2a9
SHA256: 2fbad8773f45b246400c6ae1987d4210695ae190e3f666517f2f7590729e02fa
SHA512: dc94c9de3f8761066bcaabaa0cf465a663c36c5d7ab5458261e04f5f72222ce8
f3991310e0d20d3f3c0a9b1c3a05bbbf77603452dd6a8988c9ef0b56f319f4c9
ssdeep: 6144:GBAcRn13EHUcGFelMkpf23I7adLwqQfOkih0mJ474:+XDEH1GF+Jpf247hq
QmkqH
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x367e6
timedatestamp.....: 0x40247e69 (Sat Feb 07 05:58:01 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3596c 0x36000 7.41 99acc3fc008252049300cc1dd46bb669
.rdata 0x37000 0xb292 0xc000 5.49 1bb54060c0e8e5a0be73519a08808b27
.data 0x43000 0x2410 0x3000 4.68 6bf63c7780e7a2f3bff3b67094ce4f82
.rsrc 0x46000 0x1c0 0x1000 0.46 526a4e3cc479b0358ed1a01b77695817

( 5 imports )
> comdlg32.dll: GetSaveFileNameW, GetOpenFileNameA, GetFileTitleA
> ADVAPI32.dll: LookupPrivilegeValueA, RegOpenKeyExA, GetAclInformation, RegSetValueExW, SetServiceStatus, GetAce, AllocateAndInitializeSid
> KERNEL32.dll: CopyFileA, GetModuleHandleA, GetStartupInfoA, GetFileAttributesExW, VirtualAlloc, SetWaitableTimer, GetLocaleInfoW, SetFileTime, CreateEventW, CreateFileA, GlobalHandle, SetThreadExecutionState, DeleteTimerQueueTimer, QueryPerformanceCounter, GetTimeFormatW, HeapSize, GetSystemTimeAsFileTime, DeviceIoControl, MoveFileA, GetStringTypeExA, LocalLock, MultiByteToWideChar, InterlockedDecrement, SetEndOfFile, GetConsoleCP, WaitForMultipleObjects, GetEnvironmentVariableA, FindFirstFileA, Beep, GetCPInfo, OpenMutexW, GetPrivateProfileIntA, UnhandledExceptionFilter, ResumeThread, SetConsoleCtrlHandler, GetProcessHeap, GlobalLock, GetCurrentDirectoryA, SuspendThread, OpenProcess, SetEvent, _llseek, Sleep, SetNamedPipeHandleState, GetDriveTypeA, CreateToolhelp32Snapshot, EnumResourceLanguagesW, TlsAlloc, FlushFileBuffers, CloseHandle, GetVersion, LockResource, SearchPathA, TlsFree, ReleaseSemaphore, QueryDosDeviceW, GlobalReAlloc, EnumCalendarInfoA, GetProcessAffinityMask, SetStdHandle, CreateTimerQueueTimer, lstrcpyA, DeleteCriticalSection, ExitProcess, GetComputerNameA, GetModuleFileNameW, WideCharToMultiByte, GetComputerNameW, GetTempFileNameW, DeleteFileW, InterlockedCompareExchange, LeaveCriticalSection, GetVersionExA, GetShortPathNameA, GlobalFindAtomA, TerminateProcess, RemoveDirectoryW, GetSystemTime, WinExec
> USER32.dll: UnhookWindowsHookEx, DdeCreateDataHandle, FindWindowExA, GetWindowPlacement, CharNextA, CharLowerBuffW, GetCaretBlinkTime, GetKeyNameTextA, GetDlgItem, SetDlgItemTextA, SetClipboardData, FindWindowExW, GetClassInfoExA, MapDialogRect, GetWindowWord, DdeConnect, OemToCharBuffA, DdeFreeStringHandle, LoadCursorA, GetScrollRange, MessageBeep, GetActiveWindow, ValidateRect, GetCursor, DrawIconEx, DefFrameProcA, ShowScrollBar, TabbedTextOutW, InvalidateRgn, InSendMessage, GetPropA, GetQueueStatus, ReleaseDC, ChildWindowFromPoint, DrawFocusRect, OpenClipboard, TranslateAcceleratorA, ClientToScreen, GetDCEx, DestroyAcceleratorTable, DrawTextExA
> MSVCRT.dll: _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _ltow, wcscspn, _wcsupr, _wtoi, _vsnprintf, strncpy, _itow, memmove, swprintf, _itoa, _msize, fread, calloc, wcscpy, _wcsnicmp, bsearch, atof, _controlfp, free, localtime, wcsncmp, _wtol, isspace, _wcslwr, wcstol, setlocale, toupper, wcspbrk, towupper, malloc, wcsncpy, _wtoi64, _wsplitpath, _iob, strstr

( 0 exports )
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=BAFA43EE00607E0E70A804086F27080023C4FFDC' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=BAFA43EE00607E0E70A804086F27080023C4FFDC</a>

Redwulf · 21.04.2009, 12:48

Ups ja klar, das kommt davon wenn man hin und her schaltet zwischen den Fällen... Warten wir mal auf Gmer...mal schaun ob wir was finden....

Truckbull · 21.04.2009, 14:54

Ergebnis von Malware:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2014
Windows 6.0.6001 Service Pack 1

21.04.2009 15:53:06
mbam-log-2009-04-21 (15-53-06).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 463113
Laufzeit: 3 hour(s), 19 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Truckbull · 21.04.2009, 21:23

Nach ewigen warten und durchlaufen lassen von GMER nun endlich das Ergebnis. Ich denke es war doch richtig alle Platten durchsuchen zu lassen. Oder?

Hier findet man das Logfile von gmer:

Truckbull · 21.04.2009, 21:24

Hier findet man die Logdatei von gmer:

File-Upload.net - Truckbull-gmer-09-04-21.log

Angel21 · 21.04.2009, 21:29

Du hast Navipromo drauf:

Zitat:

O4 - HKCU\..\Run: [ukume] "c:\users\trucki\appdata\local\ukume.exe" ukume

Infos dazu hier: Navipromo ist zurück

Folgendes durchführen:

Navilog
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

Truckbull · 21.04.2009, 22:02

Hier das Ergebnis von Navilog1 :

Search Navipromo version 3.7.6 began on 21.04.2009 at 22:38:04,10

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Business ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 6000+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Trucki ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:76 Go (Free:17 Go)
D:\ (CD or DVD) - CDFS - Total:4 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:48 Go (Free:10 Go)
F:\ (Local Disk) - NTFS - Total:184 Go (Free:18 Go)
G:\ (CD or DVD)

Search done in normal mode

*** Search folders in "C:\Windows" ***

*** Search folders in "C:\Program Files" ***

*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***

*** Search folders in "C:\ProgramData" ***

*** Search folders in "c:\users\trucki\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Search folders in "C:\Users\Trucki\AppData\Local\virtualstore\Program Files" ***

*** Search folders in "C:\Users\Trucki\AppData\Local" ***

*** Search folders in "C:\Users\BETZEB~1\AppData\Local" ***

*** Search folders in "C:\Users\Trucki\AppData\Roaming" ***

*** Search folders in "C:\Users\BETZEB~1\appdata\roaming" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\Trucki\AppData\Local\Microsoft" *

* Scan in "C:\Users\Trucki\AppData\Local" *

* Scan in "C:\Users\BETZEB~1\AppData\Local" *

*** Search files ***

*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ukume"="\"c:\\users\\trucki\\appdata\\local\\ukume.exe\" ukume"

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\Windows\system32" :

* In "C:\Users\Trucki\AppData\Local\Microsoft" :

* In "C:\Users\Trucki\AppData\Local" :

ukume.exe found !
ukume.dat found !
ukume_nav.dat found !
ukume_navps.dat found !

* In "C:\Users\BETZEB~1\AppData\Local" :

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :

*** Search completed on 21.04.2009 at 22:59:51,10 ***

Angel21 · 21.04.2009, 22:13

Navilog mit Option 2 durchführen, Log posten.

Truckbull · 21.04.2009, 22:27

Erledigt und hier Logdatei Nummer 2:

Navipromo Removal version 3.7.6 started on 21.04.2009 at 23:16:55,32

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Business ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 6000+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Trucki ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:76 Go (Free:17 Go)
D:\ (CD or DVD) - CDFS - Total:4 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:48 Go (Free:10 Go)
F:\ (Local Disk) - NTFS - Total:184 Go (Free:18 Go)
G:\ (CD or DVD)

Automatic removal
with Catchme and GNS results

Cleanning stage done on Reboot

*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\Windows\System32" *

* Deletion in "C:\Users\Trucki\AppData\Local\Microsoft" *

* Deletion in "C:\Users\Trucki\AppData\Local" *

* Deletion in "C:\Users\BETZEB~1\AppData\Local" *

*** Deleting folders in "C:\Windows" ***

*** Deleting folders in "C:\Program Files" ***

*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1" ***

*** Deleting folders in "C:\ProgramData" ***

*** Deleting folders in c:\users\trucki\appdata\roaming\micros~1\windows\startm~1\programs ***

*** Deleting folders in "C:\Users\BETZEB~1\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Deleting folders in "C:\Users\Trucki\AppData\Local\virtualstore\Program Files" ***

*** Deleting folders in "C:\Users\Trucki\AppData\Local" ***

*** Deleting folders in "C:\Users\BETZEB~1\AppData\Local" ***

*** Deleting folders in "C:\Users\Trucki\AppData\Roaming" ***

*** Deleting folders in "C:\Users\BETZEB~1\appdata\roaming" ***

*** Deleting files ***

*** Deleting temporary files ***

Cleaning of C:\Windows\Temp done !
Cleaning of C:\Users\Trucki\AppData\Local\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :

* In "C:\Windows\system32" *

* In "C:\Users\Trucki\AppData\Local\Microsoft" *

* In "C:\Users\Trucki\AppData\Local" *

ukume.exe found !
Copy ukume.exe done !
ukume.exe deleted !

ukume.dat found !
Copy ukume.dat done !
ukume.dat deleted !

ukume_nav.dat found !
Copy ukume_nav.dat done !
ukume_nav.dat deleted !

ukume_navps.dat found !
Copy ukume_navps.dat done !
ukume_navps.dat deleted !

* In "C:\Users\BETZEB~1\AppData\Local" *

*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned

*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***

*** Cleaning stage complete on 21.04.2009 at 23:24:13,37 ***

Redwulf · 21.04.2009, 22:31

Gute Nachrichten, kein rootkit im GMER zu sehen, Navipromo ist auch erledigt
Wie geht es jetzt deinem System?
Danke für deinen Einsatz Angel

Angel21 · 21.04.2009, 22:32

Navipromo ist weg.

Bitteschön Redwulf,jetzt kannst weitermachen

Truckbull · 21.04.2009, 22:33

Danke Angel für die schnelle Hilfe.

Redwulf · 21.04.2009, 22:36

Ok, lassen wir nochmal den CCleaner laufen bitte, danach postest du mir bitte ein frisches Hijack

Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber?

Log-Analyse und Auswertung: Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber?