Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.06.2009, 12:44   #1
obikenobi
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



Hallo zusammen.

bin wohl mit den oben genannten viren infiziert, bzw. der rechner. ;-) würd mich über hilfe sehr freuen...

hab leider wenig ahnung bei der bekämpfung und werd mich mal so gut ich's hinbekomme an die grundregeln halten...

laut AVG befinden sich die beiden in den anwendungsdaten. löschen bringt nix:
NaviPromo.AF laut AVG in:
c:\Dokumente und Einstellungen/***/Lokale Einstellungen/Anwendungsdaten/ikycc_navps.dat

NaviPromo.AA in:
c:\Dokumente und Einstellungen/***/Lokale Einstellungen/Anwendungsdaten/ikycc.dat

also, dann mal los, werde als nächstes den report von malwarebytes Anti-Malware posten, wenn es endlich durchgelaufen ist...

schon mal vielen dank!!!

Alt 16.06.2009, 13:25   #2
Chris4You
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



Hi,

Navilog
Folge folgender Anleitung: http://www.trojaner-board.de/69713-e...navipromo.html
oder
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sin zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatsich starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte English auswählen, ausser Du kannst eine der angegebenen Sprachen ;o)
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

chris
__________________

__________________

Geändert von Chris4You (16.06.2009 um 13:38 Uhr)

Alt 16.06.2009, 14:20   #3
obikenobi
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



so, hier schon mal der log von malwarebytes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2286
Windows 5.1.2600 Service Pack 3

16.06.2009 14:12:06
mbam-log-2009-06-16 (14-12-00).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 236091
Laufzeit: 2 hour(s), 25 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ikycc (Trojan.Agent.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ikycc.exe (Trojan.Agent.H) -> No action taken.
c:\dokumente und einstellungen\***\anwendungsdaten\macromedia\Common\701a00761.dll (Hijack.Sound) -> No action taken.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> No action taken.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> No action taken.
         
__________________

Geändert von obikenobi (16.06.2009 um 15:04 Uhr)

Alt 16.06.2009, 14:34   #4
obikenobi
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



so, jetzt auch navilog:

Code:
ATTFilter
Search Navipromo version 3.7.7 began on 16.06.2009 at 14:23:46,78

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3500+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : *** ( Administrator )
BOOT : Normal boot

Antivirus : AVG Anti-Virus Free 8.5 (Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:232 Go (Free:52 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (USB) - FAT - Total:124 Mo (Free:0 Go)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : 

ikycc.dat found !
ikycc_nav.dat found !
ikycc_navps.dat found !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 16.06.2009 at 14:30:02,59 ***
         

Geändert von obikenobi (16.06.2009 um 15:03 Uhr)

Alt 16.06.2009, 14:46   #5
obikenobi
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



HJT log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:30, on 16.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.netcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.netcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.netcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\701a007619.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1A4B626-994B-4332-9C55-E85D989B79AD}: NameServer = 81.173.194.68 213.168.112.60
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8023 bytes
         


Alt 16.06.2009, 15:18   #6
Chris4You
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



Hallo,

falls noch nicht erfolgt, MAM alles bereinigen lassen und danach Navilog:

Starte das Programm und wähle Option 2 aus!
Der Rechner wird nun neu gestartet, bestätige den ggf. den Neustart.
Beim Neustart läuft NaviFix automatisch an (nichts am Rechner machen bis der Scan zu Ende ist!).
Ist NaviFix beendet, öffnet sich wieder ein Editorfenster mit dem Log, das abkopieren und Posten ggf. Zwischenspeichern.

Was mir Sorgen macht, ist das hier:
701a00761.dll
Der hängt sich überall rein... zu finden sein müsste das u.a. auch hier:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll
c:\dokume~1\USER\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL
c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL
Wobei der zufällige Name 701a00761 ist und User Dein Benutzername ...

Prüfe mal noch ob Du das liebe Teil dort noch findest, dann hat MAM nicht alles gefunden und die Bereinigung bringt nichts...

Zusätzlich noch:
RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris
__________________
--> Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten

Alt 16.06.2009, 15:27   #7
obikenobi
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



vielen vielen dank erstmal!
aber die datei ist in der tat noch zu finden. und nun???

Alt 16.06.2009, 15:31   #8
Chris4You
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



Hi,

Hardcore:


Hier der Versuch einer "generischen" Lösung, bitte USER im Script gegen den richtigen Pfad tauschen (Benutzername) und
[zufälligerName] gegen den angegebenen Name (ohne "dll")!

Avenger:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll
c:\dokume~1\USER\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL
c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL

Folders to delete:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia
c:\dokume~1\USER\ANWEND~1\MACROM~1\Common
c:\dokume~1\USER\ANWEND~1\MACROM~1
C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp
c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common
c:\dokume~1\Default User\ANWEND~1\MACROM~1
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 16.06.2009, 15:52   #9
obikenobi
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



so:


Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open file "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\701a007619.dll"
Deletion of file "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\701a007619.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\701a007619.dll"
Deletion of file "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\701a007619.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  file "c:\dokume~1\***\ANWEND~1\MACROM~1\Common\701a007619.DLL" not found!
Deletion of file "c:\dokume~1\***\ANWEND~1\MACROM~1\Common\701a007619.DLL" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open file "c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common\701a007619.DLL"
Deletion of file "c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common\701a007619.DLL" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open folder "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common"
Deletion of folder "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  folder "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia" not found!
Deletion of folder "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open folder "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common"
Deletion of folder "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  folder "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia" not found!
Deletion of folder "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Folder "c:\dokume~1\***\ANWEND~1\MACROM~1\Common" deleted successfully.
Folder "c:\dokume~1\***\ANWEND~1\MACROM~1" deleted successfully.
Folder "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp" deleted successfully.
Folder "C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp" deleted successfully.

Error:  could not open folder "c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common"
Deletion of folder "c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  folder "c:\dokume~1\Default User\ANWEND~1\MACROM~1" not found!
Deletion of folder "c:\dokume~1\Default User\ANWEND~1\MACROM~1" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Alt 16.06.2009, 15:56   #10
Chris4You
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



Hi,

bitte noch RSIT...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 16.06.2009, 16:12   #11
obikenobi
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



kommt sofort

Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-06-16 15:56:19
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 54 GB (23%) free of 238 GB
Total RAM: 1023 MB (56% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:56:28, on 16.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.netcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.netcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.netcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\701a007619.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://w*w.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://w*w.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1A4B626-994B-4332-9C55-E85D989B79AD}: NameServer = 81.173.194.68 213.168.112.60
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8106 bytes
         

Alt 16.06.2009, 16:15   #12
obikenobi
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



teil 2:

Code:
ATTFilter
======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Google Software Updater.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2008-02-01 1377576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
AVG Safe Search - C:\Programme\AVG\AVG8\avgssie.dll [2009-06-11 1107224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
AVG Security Toolbar BHO - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll [2009-06-02 1004800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\programme\google\googletoolbar2.dll [2008-01-21 2427968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-03-24 668656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar2.dll [2008-01-21 2427968]
{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - AVG Security Toolbar - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll [2009-06-02 1004800]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-12-05 8523776]
"nwiz"=nwiz.exe /install []
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2004-12-01 77824]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"WinampAgent"=C:\Programme\Winamp\winampa.exe [2007-10-10 36352]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2007-12-11 286720]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2007-12-05 81920]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_05\bin\jusched.exe [2008-02-22 144784]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"Sony Ericsson PC Suite"=C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2006-11-24 487424]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-04-10 185896]
"AVG8_TRAY"=C:\PROGRA~1\AVG\AVG8\avgtray.exe [2009-06-11 1948440]
"UserFaultCheck"=C:\WINDOWS\system32\dumprep 0 -u []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Steam"=C:\Programme\Steam.exe [2009-05-19 1217784]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-01-30 68856]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"WAB"=C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\701a007619.exe []

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
Gigaset WLAN Adapter Monitor.lnk - C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\KEM.exe

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter]
C:\WINDOWS\system32\avgrsstx.dll [2009-06-11 11952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Winamp Remote\bin\Orb.exe"="C:\Programme\Winamp Remote\bin\Orb.exe:*:Enabled:Orb"
"C:\Programme\Winamp Remote\bin\OrbTray.exe"="C:\Programme\Winamp Remote\bin\OrbTray.exe:*:Enabled:OrbTray"
"C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe"="C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\Programme\SteamApps\***\day of defeat source\hl2.exe"="C:\Programme\SteamApps\***\day of defeat source\hl2.exe:*:Enabled:hl2"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Disabled:eMule"
"C:\Programme\LimeWire\LimeWire.exe"="C:\Programme\LimeWire\LimeWire.exe:*:Disabled:LimeWire"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Disabled:Skype. Take a deep breath "
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\AVG\AVG8\avgemc.exe"="C:\Programme\AVG\AVG8\avgemc.exe:*:Enabled:avgemc.exe"
"C:\Programme\AVG\AVG8\avgupd.exe"="C:\Programme\AVG\AVG8\avgupd.exe:*:Enabled:avgupd.exe"
"C:\Programme\AVG\AVG8\avgnsx.exe"="C:\Programme\AVG\AVG8\avgnsx.exe:*:Enabled:avgnsx.exe"
"C:\WINDOWS\Explorer.EXE"="C:\WINDOWS\Explorer.EXE:*:Enabled:enable"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d44339d-a69e-11dc-98d7-806d6172696f}]
shell\AutoRun\command - D:\Setup.exe


======List of files/folders created in the last 1 months======

2009-06-16 15:56:19 ----D---- C:\rsit
2009-06-16 15:47:47 ----A---- C:\avenger.txt
2009-06-16 15:41:38 ----D---- C:\Avenger
2009-06-16 14:23:46 ----A---- C:\fixnavi.txt
2009-06-16 13:33:23 ----D---- C:\Programme\Navilog1
2009-06-16 11:44:23 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2009-06-16 11:44:18 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2009-06-16 11:44:17 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-06-16 11:30:18 ----D---- C:\Programme\CCleaner
2009-06-11 16:09:50 ----AD---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2009-06-11 15:52:05 ----D---- C:\Programme\Trend Micro
2009-06-11 15:35:52 ----HD---- C:\$AVG8.VAULT$
2009-06-11 15:23:22 ----A---- C:\WINDOWS\system32\avgrsstx.dll
2009-06-11 15:23:12 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AVG Security Toolbar
2009-06-11 15:22:59 ----D---- C:\Programme\AVG
2009-06-11 15:22:59 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\avg8
2009-06-11 05:59:22 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-06-11 05:59:16 ----HDC---- C:\WINDOWS\$NtUninstallKB969897$
2009-06-11 05:59:12 ----HDC---- C:\WINDOWS\$NtUninstallKB969898$
2009-06-11 05:58:23 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-06-11 05:58:18 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2009-06-10 20:37:31 ----A---- C:\WINDOWS\rasqervy.dll
2009-06-10 20:37:30 ----A---- C:\WINDOWS\sdfinacs.dll
2009-06-05 21:42:08 ----A---- C:\WINDOWS\sdfixwcs.dll
2009-06-05 21:40:55 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2009-06-05 21:40:45 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-06-03 18:57:10 ----D---- C:\WINDOWS\Prefetch
2009-06-03 08:43:43 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$
2009-06-03 08:31:53 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-06-03 08:31:46 ----HDC---- C:\WINDOWS\$NtUninstallKB963027$
2009-06-03 08:31:41 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-06-03 08:31:36 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-06-03 08:31:29 ----HDC---- C:\WINDOWS\$NtUninstallKB960714$
2009-06-03 08:31:25 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2009-06-03 08:31:20 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-06-03 08:31:15 ----HDC---- C:\WINDOWS\$NtUninstallKB958690$
2009-06-03 08:31:10 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-06-03 08:31:05 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-06-03 08:30:58 ----HDC---- C:\WINDOWS\$NtUninstallKB958215$
2009-06-03 08:30:53 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-06-03 08:30:49 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$
2009-06-03 08:30:44 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
2009-06-03 08:30:39 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-06-03 08:30:35 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-06-03 08:30:26 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-06-03 08:30:17 ----HDC---- C:\WINDOWS\$NtUninstallKB956390$
2009-06-03 08:30:11 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-06-03 08:30:06 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-06-03 08:30:01 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$
2009-06-03 08:29:53 ----HDC---- C:\WINDOWS\$NtUninstallKB953838$
2009-06-03 08:29:48 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-06-03 08:29:44 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-06-03 08:29:38 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-06-03 08:29:33 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2009-06-03 08:29:28 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2009-06-03 08:29:23 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-06-03 08:29:19 ----HDC---- C:\WINDOWS\$NtUninstallKB951376$
2009-06-03 08:29:12 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-06-03 08:29:08 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-06-03 08:29:03 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-06-03 08:28:57 ----HDC---- C:\WINDOWS\$NtUninstallKB950759$
2009-06-03 08:28:51 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-06-03 08:28:48 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$
2009-06-03 08:28:43 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-06-03 08:26:33 ----D---- C:\WINDOWS\l2schemas
2009-06-03 08:26:32 ----D---- C:\WINDOWS\system32\de
2009-06-03 08:26:32 ----D---- C:\WINDOWS\system32\bits
2009-06-03 08:24:25 ----D---- C:\WINDOWS\ServicePackFiles
2009-06-03 08:20:53 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2009-06-03 08:20:52 ----D---- C:\WINDOWS\EHome
2009-05-26 11:43:03 ----D---- C:\Programme\7-Zip

======List of files/folders modified in the last 1 months======

2009-06-16 15:49:41 ----D---- C:\Programme\Mozilla Firefox
2009-06-16 15:49:27 ----D---- C:\WINDOWS\Temp
2009-06-16 15:49:25 ----SD---- C:\WINDOWS\Tasks
2009-06-16 15:48:43 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2009-06-16 15:48:35 ----RD---- C:\Programme
2009-06-16 15:47:47 ----D---- C:\WINDOWS\system32\drivers
2009-06-16 15:47:47 ----D---- C:\WINDOWS
2009-06-16 15:47:24 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-06-16 14:29:46 ----D---- C:\WINDOWS\system32
2009-06-16 11:32:13 ----D---- C:\WINDOWS\Debug
2009-06-16 11:32:12 ----D---- C:\WINDOWS\Minidump
2009-06-16 09:24:39 ----A---- C:\WINDOWS\NeroDigital.ini
2009-06-14 14:47:22 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater
2009-06-12 18:52:45 ----A---- C:\WINDOWS\PhotoSnapViewer.INI
2009-06-12 17:26:01 ----D---- C:\Programme\Gemeinsame Dateien
2009-06-11 15:22:56 ----SHD---- C:\WINDOWS\Installer
2009-06-11 15:22:55 ----D---- C:\WINDOWS\WinSxS
2009-06-11 15:22:03 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2009-06-11 14:18:58 ----D---- C:\WINDOWS\system32\CatRoot2
2009-06-11 13:12:23 ----HD---- C:\WINDOWS\inf
2009-06-11 13:11:57 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-06-11 05:59:23 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-06-11 05:59:12 ----HD---- C:\WINDOWS\$hf_mig$
2009-06-03 19:00:04 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-06-03 18:56:52 ----D---- C:\WINDOWS\system32\wbem
2009-06-03 18:56:52 ----D---- C:\WINDOWS\system32\Setup
2009-06-03 18:56:52 ----D---- C:\WINDOWS\AppPatch
2009-06-03 18:56:52 ----D---- C:\Programme\Messenger
2009-06-03 18:56:51 ----RSD---- C:\WINDOWS\Fonts
2009-06-03 08:43:52 ----D---- C:\WINDOWS\security
2009-06-03 08:32:49 ----D---- C:\WINDOWS\system32\CatRoot
2009-06-03 08:26:44 ----D---- C:\WINDOWS\network diagnostic
2009-06-03 08:26:44 ----D---- C:\WINDOWS\ime
2009-06-03 08:26:44 ----D---- C:\WINDOWS\Help
2009-06-03 08:26:34 ----D---- C:\WINDOWS\system32\usmt
2009-06-03 08:26:34 ----D---- C:\WINDOWS\system32\de-de
2009-06-03 08:26:33 ----D---- C:\Programme\Internet Explorer
2009-06-03 08:26:32 ----D---- C:\WINDOWS\PeerNet
2009-06-03 08:26:32 ----D---- C:\Programme\Movie Maker
2009-06-03 08:24:21 ----D---- C:\WINDOWS\system32\Restore
2009-06-03 08:24:20 ----D---- C:\WINDOWS\system32\npp
2009-06-03 08:24:19 ----D---- C:\WINDOWS\msagent
2009-06-03 08:24:18 ----D---- C:\WINDOWS\srchasst
2009-06-03 08:24:18 ----D---- C:\Programme\NetMeeting
2009-06-03 08:24:16 ----D---- C:\WINDOWS\system32\Com
2009-06-03 08:24:15 ----D---- C:\Programme\Windows NT
2009-06-03 08:24:15 ----D---- C:\Programme\Windows Media Player
2009-06-03 08:24:15 ----D---- C:\Programme\Outlook Express
2009-06-03 08:24:13 ----D---- C:\Programme\Gemeinsame Dateien\System
2009-06-03 08:24:02 ----D---- C:\WINDOWS\system32\oobe
2009-06-03 08:24:00 ----D---- C:\WINDOWS\system
2009-06-01 18:51:12 ----A---- C:\WINDOWS\system32\MRT.exe
2009-05-26 13:49:58 ----D---- C:\Program Files
2009-05-19 19:30:07 ----A---- C:\Programme\Steam.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD Athlon64 Processor Driver; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2004-10-21 35840]
R1 AvgLdx86;AVG Free AVI Loader Driver x86; C:\WINDOWS\System32\Drivers\avgldx86.sys [2009-06-11 327688]
R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86; C:\WINDOWS\System32\Drivers\avgmfx86.sys [2009-06-11 27784]
R1 AvgTdiX;AVG Free8 Network Redirector; C:\WINDOWS\System32\Drivers\avgtdix.sys [2009-06-11 108552]
R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS\system32\drivers\cdrbsdrv.sys [2004-03-08 13567]
R1 DumaNT;NVIDIA Stereo Helper Service; C:\WINDOWS\system32\DRIVERS\dumant.sys [2002-11-18 399700]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-12-01 2300928]
R3 L8042Kbd;Logitech SetPoint Keyboard Driver; C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys [2004-06-08 13105]
R3 L8042mou;Logitech SetPoint PS/2 Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\L8042mou.Sys [2004-06-08 54817]
R3 LMouKE;Logitech SetPoint Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouKE.Sys [2004-06-08 71533]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-12-05 7435392]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-04-14 34176]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-04-14 13056]
R3 odysseyIM4;Odyssey Network Agent Miniport; C:\WINDOWS\system32\DRIVERS\odysseyIM4.sys [2004-09-24 173056]
R3 PDDSLADP;ProDyne DSL Adapter; C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 15571]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 AR5523;Gigaset USB Adapter 108; C:\WINDOWS\system32\DRIVERS\ar5523.sys [2006-02-25 343904]
S3 catchme;catchme; \??\C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys []
S3 CBTNDIS5;CBTNDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\CBTNDIS5.SYS []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 GMSIPCI;GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS []
S3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 ovt519;%USB\vid_054c&pid_0155.DeviceDesc%; C:\WINDOWS\System32\Drivers\ov519vid.sys [2003-10-15 174530]
S3 PDNETCTL;ProDyne MicroPPPoE; C:\WINDOWS\system32\DRIVERS\pdnetctl.sys [2005-09-08 39936]
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\SE27bus.sys [2006-09-18 61600]
S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\SE27mdfl.sys [2006-09-18 9360]
S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\SE27mdm.sys [2006-09-18 97184]
S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\SE27mgmt.sys [2006-09-18 88688]
S3 se27nd5;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS); C:\WINDOWS\system32\DRIVERS\se27nd5.sys [2006-09-18 18704]
S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\SE27obex.sys [2006-09-18 86560]
S3 se27unic;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM); C:\WINDOWS\system32\DRIVERS\se27unic.sys [2006-09-18 90800]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 avg8emc;AVG Free8 E-mail Scanner; C:\PROGRA~1\AVG\AVG8\avgemc.exe [2009-06-11 908568]
R2 avg8wd;AVG Free8 WatchDog; C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2009-06-11 298776]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-12-05 155716]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 183280]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------
         

Alt 16.06.2009, 16:44   #13
Chris4You
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\rasqervy.dll
C:\WINDOWS\sdfinacs.dll
C:\WINDOWS\sdfixwcs.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Einen haben wir noch:
Code:
ATTFilter
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WAB"=C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\701a007619.exe
         
Der Starteintrag muss raus, kenns Du Dich mit regedit aus (Eintrag löschen)?

Sonst kopiere das und speichere es als wabweg.reg auf dem Desktop,
mit Doppelklick ausführen, Frage "..zusammenführen..." abnicken...
Code:
ATTFilter
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WAB"=-
         

Dein Adobe und Dein Java sind veraltet, bitte updaten;
Adobe:
Alten deinstallieren (Systemsteuerung->SW) und neuen Installieren:
http://www.adobe.com/de/products/reader/

JAVA
Download http://www.java.com/de/download/manual.jsp
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus die neue Version!

Abschließend noch ein Scan mit Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 16.06.2009, 18:38   #14
obikenobi
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



folgendes ergebnis:

Code:
ATTFilter
sdfinacs.dll

a-squared
4.5.0.18
2009.06.16
-
AhnLab-V3
5.0.0.2
2009.06.16
-
AntiVir
7.9.0.187
2009.06.16
-
Antiy-AVL
2.0.3.1
2009.06.16
-
Authentium
5.1.2.4
2009.06.15
-
Avast
4.8.1335.0
2009.06.15
-
AVG
8.5.0.339
2009.06.16
-
BitDefender
7.2
2009.06.16
-
CAT-QuickHeal
10.00
2009.06.16
-
ClamAV
0.94.1
2009.06.16
-
Comodo
1341
2009.06.16
-
DrWeb
5.0.0.12182
2009.06.16
-
eSafe
7.0.17.0
2009.06.16
-
eTrust-Vet
31.6.6563
2009.06.16
-
F-Prot
4.4.4.56
2009.06.15
-
F-Secure
8.0.14470.0
2009.06.16
-
Fortinet
3.117.0.0
2009.06.16
-
GData
19
2009.06.16
-
Ikarus
T3.1.1.59.0
2009.06.16
-
Jiangmin
11.0.706
2009.06.16
-
K7AntiVirus
7.10.765
2009.06.16
-
Kaspersky
7.0.0.125
2009.06.16
-
McAfee
5647
2009.06.15
-
McAfee+Artemis
5647
2009.06.15
-
McAfee-GW-Edition
6.7.6
2009.06.16
-
Microsoft
1.4701
2009.06.16
-
NOD32
4159
2009.06.16
-
Norman
6.01.09
2009.06.16
-
nProtect
2009.1.8.0
2009.06.16
-
Panda
10.0.0.14
2009.06.16
-
PCTools
4.4.2.0
2009.06.12
-
Prevx
3.0
2009.06.16
-
Rising
21.34.13.00
2009.06.16
-
Sophos
4.42.0
2009.06.16
-
Sunbelt
3.2.1858.2
2009.06.16
-
Symantec
1.4.4.12
2009.06.16
-
TheHacker
6.3.4.3.345
2009.06.15
-
TrendMicro
8.950.0.1094
2009.06.16
-
VBA32
3.12.10.7
2009.06.16
-
ViRobot
2009.6.16.1789
2009.06.16
-
VirusBuster
4.6.5.0
2009.06.16
-

weitere Informationen
File size: 8 bytes
MD5...: 81378fafd30e94654f7f45cfbd94d91a
SHA1..: ad885ccff7e655043f9c5e193cd4be6dcdc9be3c
SHA256: ef9ff111c748b759bff66531c8d5f42bbbc4da597a04f1ab89762795285ee2b8
ssdeep: -
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
         

Alt 16.06.2009, 18:39   #15
obikenobi
 
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Standard

Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten



und:

Code:
ATTFilter
sdfixwcs.dll

a-squared
4.5.0.18
2009.06.16
-
AhnLab-V3
5.0.0.2
2009.06.16
-
AntiVir
7.9.0.187
2009.06.16
-
Antiy-AVL
2.0.3.1
2009.06.16
-
Authentium
5.1.2.4
2009.06.15
-
Avast
4.8.1335.0
2009.06.15
-
AVG
8.5.0.339
2009.06.16
-
BitDefender
7.2
2009.06.16
-
CAT-QuickHeal
10.00
2009.06.16
-
ClamAV
0.94.1
2009.06.16
-
Comodo
1341
2009.06.16
-
DrWeb
5.0.0.12182
2009.06.16
-
eSafe
7.0.17.0
2009.06.16
-
eTrust-Vet
31.6.6563
2009.06.16
-
F-Prot
4.4.4.56
2009.06.15
-
F-Secure
8.0.14470.0
2009.06.16
-
Fortinet
3.117.0.0
2009.06.16
-
GData
19
2009.06.16
-
Ikarus
T3.1.1.59.0
2009.06.16
-
Jiangmin
11.0.706
2009.06.16
-
K7AntiVirus
7.10.765
2009.06.16
-
Kaspersky
7.0.0.125
2009.06.16
-
McAfee
5647
2009.06.15
-
McAfee+Artemis
5647
2009.06.15
-
McAfee-GW-Edition
6.7.6
2009.06.16
-
Microsoft
1.4701
2009.06.16
-
NOD32
4159
2009.06.16
-
Norman
6.01.09
2009.06.16
-
nProtect
2009.1.8.0
2009.06.16
-
Panda
10.0.0.14
2009.06.16
-
PCTools
4.4.2.0
2009.06.12
-
Prevx
3.0
2009.06.16
-
Rising
21.34.13.00
2009.06.16
-
Sophos
4.42.0
2009.06.16
-
Sunbelt
3.2.1858.2
2009.06.16
-
Symantec
1.4.4.12
2009.06.16
-
TheHacker
6.3.4.3.345
2009.06.15
-
TrendMicro
8.950.0.1094
2009.06.16
-
VBA32
3.12.10.7
2009.06.16
-
ViRobot
2009.6.16.1789
2009.06.16
-

weitere Informationen
File size: 5 bytes
MD5...: 2bc0b21360eab4a6023b09e4b3ec2f52
SHA1..: 86a6061cf84c5c620ea5ecddd993edc0eea75b75
SHA256: 68512974d742c8d72758eb2db486ae4105d906ab4f4f783d497e5a41dc511a93
ssdeep: -
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set

( Mail Handler Benefit Plan )

> MHBP 2007 Mail Handlers Benefit Plan: 47978
         

Antwort

Themen zu Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten
ahnung, anti-malware, anwendungsdaten, avg, befinden, bekämpfung, dokumente, freue, infiziert, löschen, malwarebytes, malwarebytes anti-malware, poste, posten, report, troja, trojaner, viren, wenig, wenig ahnung



Ähnliche Themen: Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten


  1. Trojaner Java/ClassLoader in Anwendungsdaten\Sun\Java\
    Log-Analyse und Auswertung - 23.04.2013 (9)
  2. Trojaner sirefef.j.637 unter Anwendungsdaten\2dbeed2f
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (7)
  3. BKA - Virus in Anwendungsdaten
    Plagegeister aller Art und deren Bekämpfung - 14.12.2011 (3)
  4. TR/Crypt.ZPACK.Gen und ADWARE/NaviPromo.2.93 entfernen
    Log-Analyse und Auswertung - 23.08.2011 (24)
  5. C:\Dokumente und Einstellungen\*****\Anwendungsdaten\jtNGXSbZSBhC.exe
    Plagegeister aller Art und deren Bekämpfung - 04.02.2011 (9)
  6. Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe
    Plagegeister aller Art und deren Bekämpfung - 14.07.2010 (13)
  7. Trojaner gefunden! - TR/NaviPromo.C
    Log-Analyse und Auswertung - 28.10.2009 (12)
  8. NaviPromo.AA und NaviPromo.AF lassen sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.07.2009 (0)
  9. Trojaner Navipromo.aa , eventl. noch weitere Viren....
    Plagegeister aller Art und deren Bekämpfung - 20.06.2009 (2)
  10. navipromo??? HILFE BITTE
    Plagegeister aller Art und deren Bekämpfung - 11.05.2009 (2)
  11. NaviPromo.AF
    Log-Analyse und Auswertung - 18.04.2009 (21)
  12. Entfernung von Navipromo!
    Anleitungen, FAQs & Links - 07.02.2009 (0)
  13. Navipromo ?
    Plagegeister aller Art und deren Bekämpfung - 25.09.2008 (13)
  14. Navipromo nicht vollständig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 17.06.2008 (16)
  15. Anwendungsdaten
    Alles rund um Windows - 28.08.2005 (2)
  16. Ordner Anwendungsdaten ist weg
    Log-Analyse und Auswertung - 01.04.2005 (8)
  17. anwendungsdaten/microsoft/sr64/........exe
    Plagegeister aller Art und deren Bekämpfung - 03.02.2005 (7)

Zum Thema Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten - Hallo zusammen. bin wohl mit den oben genannten viren infiziert, bzw. der rechner. ;-) würd mich über hilfe sehr freuen... hab leider wenig ahnung bei der bekämpfung und werd mich - Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten...
Archiv
Du betrachtest: Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.