Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.07.2009, 14:32   #1
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



Hallo liebe Helfer,

Ich habe mir auf sehr dumme Weise trotz AVG Backdoor.Generic11.ZNE eingefangen - über einen alten Mozi - :-(; weil ein Adobe download im IE nicht ging und ich A... dann im Mozi weitergesurft bin...

Ich bin nach der Anleitung im Forum unter dem Titel

Schädling BackDoor.Generic11.ZNE nicht weg zu bekommen / gelöst von chris4you

vorgegangen, aber leider sagt MAM und Prevx dass er noch da ist.

Bitte helft mir.

Wie kann ich ihn rückstandsfrei entfernen?

Leider kann ich meinen Rechner zwecks Arbeit in den nächsten Wochen nicht neu aufsetzen. Höchstens auf Internet verzichten.

(Einziges echtes Problem derzeit ist, dass meine CD und DVD Laufwerke nicht mehr gehen, weil's offenbar den ATAPI Treiber geschossen hat, aber das ist nicht so schlimm, ich habe noch nicht versucht es zu fixen)

Ich habe ComboFix zweimal laufen gelassen (der wollte das so) danach jeweils MAM.

Ich habe also je 2 ComboFix und 2 MAM logs.
cclean log und RSIT log habe ich auch - bitte sagt mir welche ich posten soll

Hier die Prevx-Meldung als Screenshot



Vielen Dank in voraus

LG, burnie

Alt 15.07.2009, 22:54   #2
kira
/// Helfer-Team
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



Hallo burnie

- Auf jeden Fall sieht nach Rootkit/wikipedia.org aus
Grundsätzlich muss ein infiziertes System als kompromittiert gelten, und man kann nie ganz sicher sein, dass man alle Folgen der Infektion beseitigen konnte.

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:
- Bitte unbedingt alle vorhandenen Ergebnisse/Logs posten!
1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert)
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.
  • lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  • nichts am Pc machen während der Scan läuft!
  • starte in diesem Ordner fsbl.exe
  • klicke auf "I accept the agreement" → "next" → "Scan"
  • wenn der Scan beendet ist, wähle Close.
  • der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]


** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow
__________________


Geändert von kira (15.07.2009 um 23:01 Uhr)

Alt 16.07.2009, 20:11   #3
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



Hi Coverflow,

Vielen Dank für Deine Hilfsbereitschaft!
Leider komme ich erst jetzt dazu, Deine Anleitung abzuarbeiten (Stress - ausgerechnet jetz wo's schön wird)

1. Ist bei mir immer so eingestellt.

2. filelist
Code:
ATTFilter
----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\

16.07.2009  20:28                43 filelist.txt
16.07.2009  20:19     1.072.484.352 hiberfil.sys
16.07.2009  20:19     2.147.483.648 pagefile.sys
15.07.2009  12:02            11.560 ComboFix.txt
15.07.2009  11:16               281 boot.ini

              31 Datei(en)  3.220.966.382 Bytes
               0 Verzeichnis(se),  9.012.723.712 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS

16.07.2009  20:21            13.662 KB971633.log
16.07.2009  20:21            13.652 KB961371.log
16.07.2009  20:21         1.634.312 WindowsUpdate.log
16.07.2009  20:20                 0 0.log
16.07.2009  20:20               159 wiadebug.log
16.07.2009  20:20                50 wiaservc.log
16.07.2009  20:19             2.048 bootstat.dat
16.07.2009  19:38           246.772 ntbtlog.txt
16.07.2009  19:24            32.622 SchedLgU.Txt
16.07.2009  15:43             4.831 setupapi.log
15.07.2009  14:05                65 Wininit.ini
15.07.2009  11:58               259 system.ini
14.07.2009  15:07             1.065 winamp.ini
14.07.2009  15:00            54.156 QTFont.qfn
13.07.2009  05:48           219.648 PEV.exe
06.07.2009  15:54                68 WinOnCD.ini
06.07.2009  11:18             1.409 QTFont.for
15.06.2009  16:38             1.057 win.ini
03.06.2009  15:44               341 Clony2.ini
03.06.2009  15:19                94 ClonyDrives.ini
03.06.2009  14:44               605 cddabase.ini
28.05.2009  14:22            11.966 EPISMG05.SWB
28.05.2009  14:22            12.222 EPISMG04.SWB
28.05.2009  14:22            11.710 EPISMG03.SWB
28.05.2009  14:22            12.350 EPISMG02.SWB
28.05.2009  14:22            11.966 EPISMG01.SWB
28.05.2009  14:22            12.862 EPISMG00.SWB
20.04.2009  12:56            31.232 NIRCMD.exe
06.03.2009  17:05             1.682 audiovie.ini

             145 Datei(en)     16.873.450 Bytes
               0 Verzeichnis(se),  9.012.711.424 Bytes frei
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS\system


              33 Datei(en)      1.901.838 Bytes
               0 Verzeichnis(se),  9.012.715.520 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS\system32

16.07.2009  20:22             2.206 wpa.dbl
15.07.2009  14:38            11.952 avgrsstx.dll
15.07.2009  10:20             3.986 zvcsur.txt
07.07.2009  08:10        24.539.592 MRT.exe
15.06.2009  15:15         1.352.328 FNTCACHE.DAT
28.05.2009  14:22            24.318 e_dd01ke.wat
13.05.2009  07:02           915.456 wininet.dll
13.05.2009  07:02         5.936.128 mshtml.dll
08.05.2009  11:30           392.296 perfh009.dat
08.05.2009  11:30           405.118 perfh007.dat
08.05.2009  11:30            58.596 perfc009.dat
08.05.2009  11:30            70.580 perfc007.dat
08.05.2009  11:30           938.224 PerfStringBackup.INI
07.05.2009  17:32           348.160 localspl.dll
30.04.2009  23:13         1.985.024 iertutil.dll
30.04.2009  23:13        11.064.832 ieframe.dll
30.04.2009  23:12         1.207.808 urlmon.dll
30.04.2009  23:12         1.469.440 inetcpl.cpl
30.04.2009  23:12            25.600 jsproxy.dll
30.04.2009  23:12           385.536 iedkcs32.dll
30.04.2009  13:21           173.056 ie4uinit.exe
29.04.2009  06:41           133.120 extmgr.dll
19.04.2009  21:46         1.847.296 win32k.sys
15.04.2009  16:51           585.216 rpcrt4.dll
21.03.2009  16:06         1.063.424 kernel32.dll
08.03.2009  14:29         1.302.528 ieframe.dll.mui
08.03.2009  14:29            57.344 msrating.dll.mui
08.03.2009  14:28             2.560 mshta.exe.mui
08.03.2009  14:27             4.096 ie4uinit.exe.mui
08.03.2009  14:27            12.288 advpack.dll.mui
08.03.2009  14:27            81.920 iedkcs32.dll.mui
08.03.2009  04:35           385.024 html.iec
08.03.2009  04:34           208.384 WinFXDocObj.exe
08.03.2009  04:34           236.544 webcheck.dll
08.03.2009  04:34            43.008 licmgr10.dll
08.03.2009  04:34           105.984 url.dll
08.03.2009  04:34           109.568 occache.dll
08.03.2009  04:34           193.536 msrating.dll
08.03.2009  04:33            18.944 corpol.dll
08.03.2009  04:33           726.528 jscript.dll
08.03.2009  04:33           229.376 ieaksie.dll
08.03.2009  04:33           420.352 vbscript.dll
08.03.2009  04:33           125.952 ieakeng.dll
08.03.2009  04:32            72.704 admparse.dll
08.03.2009  04:32            36.864 ieudinit.exe
08.03.2009  04:32           163.840 ieakui.dll
08.03.2009  04:32            55.808 iernonce.dll
08.03.2009  04:32            71.680 iesetup.dll
08.03.2009  04:32           128.512 advpack.dll
08.03.2009  04:32            94.720 inseng.dll
08.03.2009  04:32           594.432 msfeeds.dll
08.03.2009  04:32           611.840 mstime.dll
08.03.2009  04:31           183.808 iepeers.dll
08.03.2009  04:31            13.312 msfeedssync.exe
08.03.2009  04:31            59.904 icardie.dll
08.03.2009  04:31            55.296 msfeedsbs.dll
08.03.2009  04:31           348.160 dxtmsft.dll
08.03.2009  04:31            34.816 imgutil.dll
08.03.2009  04:31           216.064 dxtrans.dll
08.03.2009  04:31            46.592 pngfilt.dll
08.03.2009  04:31            66.560 mshtmled.dll
08.03.2009  04:31            48.128 mshtmler.dll
08.03.2009  04:31         1.638.912 mshtml.tlb
08.03.2009  04:31            45.568 mshta.exe
08.03.2009  04:30            66.560 tdc.ocx
08.03.2009  04:22           164.352 ieui.dll
08.03.2009  04:22           156.160 msls31.dll
08.03.2009  04:15            57.667 ieuinit.inf
08.03.2009  04:11           445.952 ieapfltr.dll
06.03.2009  16:19           286.720 pdh.dll
12.02.2009  22:20             6.873 IE8Eula.rtf
09.02.2009  13:21         2.026.496 ntkrnlpa.exe
09.02.2009  13:21         2.147.840 ntoskrnl.exe
09.02.2009  13:21           111.104 services.exe
09.02.2009  12:51           736.768 lsasrv.dll
09.02.2009  12:51           401.408 rpcss.dll
09.02.2009  12:51           678.400 advapi32.dll
09.02.2009  12:51           740.352 ntdll.dll
07.02.2009  17:58           836.966 TZLog.log
06.02.2009  21:07         3.698.584 ieapfltr.dat
06.02.2009  12:39            35.328 sc.exe
03.02.2009  21:57            56.832 secur32.dll
07.01.2009  18:21           121.856 xmllite.dll
07.01.2009  18:20            24.576 nlsdl.dll
07.01.2009  18:20            66.384 normnfkc.nls
07.01.2009  18:20            60.294 normnfkd.nls
07.01.2009  18:20            26.112 idndl.dll
07.01.2009  18:20            39.284 normnfd.nls
07.01.2009  18:20            59.342 normidna.nls
07.01.2009  18:20            45.794 normnfc.nls
07.01.2009  18:20            23.552 normaliz.dll
07.01.2009  18:20            18.464 spmsg.dll
07.01.2009  18:20            26.144 spupdsvc.exe
07.01.2009  18:20             8.798 icrav03.rat
07.01.2009  18:20           265.720 msdbg2.dll

            2303 Datei(en)    489.959.545 Bytes
               0 Verzeichnis(se),  9.012.531.200 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS\Prefetch

16.07.2009  20:28            54.864 CMD.EXE-137A0D53.pf
16.07.2009  20:25            16.804 RUNDLL32.EXE-5C5FFFE7.pf
16.07.2009  20:23            17.738 GOOGLEUPDATERSERVICE.EXE-0E046D53.pf
16.07.2009  20:23            84.034 ACRODIST.EXE-1A60EAFD.pf
16.07.2009  20:23            44.138 WUAUCLT.EXE-12D8E25E.pf
16.07.2009  20:22            83.600 CLI.EXE-19AD4AD7.pf
16.07.2009  20:22            23.572 AGENT.EXE-23C61307.pf
16.07.2009  20:22            19.308 GOOGLETOOLBARNOTIFIER.EXE-31999715.pf
16.07.2009  20:22            13.120 JUSCHED.EXE-12A0EFA7.pf
16.07.2009  20:22            20.586 SMAX4PNP.EXE-07C217A4.pf
16.07.2009  20:22            13.350 WINAMPA.EXE-1077910C.pf
16.07.2009  20:22            19.798 LIVENOTE.EXE-16EE37E7.pf
16.07.2009  20:22            23.390 TC.EXE-1F3A8B1D.pf
16.07.2009  20:22            21.062 ADOBEUPDATEMANAGER.EXE-1491E596.pf
16.07.2009  20:22            36.296 USERINIT.EXE-19714419.pf
16.07.2009  20:22            96.408 EXPLORER.EXE-05416907.pf
16.07.2009  20:22            13.676 ABBYYNEWSREADER.EXE-00580054.pf
16.07.2009  20:22            12.416 NEROCHECK.EXE-1E75D2F8.pf
16.07.2009  20:22            42.362 WGATRAY.EXE-2D836F35.pf
16.07.2009  20:22         1.157.658 NTOSBOOT-B00DFAAD.pf
16.07.2009  19:24            20.908 LOGONUI.EXE-3164D1CB.pf
16.07.2009  19:21           173.190 AVGSCANX.EXE-05821CE0.pf
16.07.2009  19:21           111.478 AVGCSRVX.EXE-239DEDAF.pf
16.07.2009  19:21            25.214 VIEWMGR.EXE-2446B895.pf
16.07.2009  19:21           100.162 AVGUI.EXE-18BB2638.pf
16.07.2009  19:21            39.456 WMIPRVSE.EXE-0E69CB0B.pf
16.07.2009  19:21            32.230 FNPLICENSINGSERVICE.EXE-2A3E4432.pf
16.07.2009  19:21            14.182 ADOBE GAMMA LOADER.EXE-1511DBE1.pf
16.07.2009  15:43            82.206 ACRORD32.EXE-28ED442E.pf
16.07.2009  15:43            90.158 ACROBATINFO.EXE-24782514.pf
16.07.2009  15:43            53.318 VERCLSID.EXE-3B227142.pf
16.07.2009  15:39            27.196 I_VIEW32.EXE-25FA8E7F.pf
16.07.2009  15:30            35.944 AVGCMGR.EXE-2BCD17DF.pf
16.07.2009  15:25            27.610 ADOBEUPDATER.EXE-21F889C3.pf
16.07.2009  15:25            30.586 SETUP.EXE-1166985C.pf
16.07.2009  15:25            27.796 AVGTRAY.EXE-3B4904C7.pf
16.07.2009  15:25            13.188 CLISTART.EXE-39080314.pf
16.07.2009  15:25            24.042 REALSCHED.EXE-02BAB9AC.pf
16.07.2009  11:54            18.586 SHUTDOWN.EXE-2A1B1547.pf
16.07.2009  11:52            15.494 RUNDLL32.EXE-3DCC3CBD.pf
16.07.2009  11:51            21.062 MAXMENUMGR.EXE-12A1CAD5.pf
16.07.2009  11:51            11.552 ISSCH.EXE-3647AD8E.pf
16.07.2009  11:51            15.172 ANVSHELL.EXE-02D8547D.pf
15.07.2009  18:13           106.048 ACROBAT.EXE-0F8E7430.pf
15.07.2009  18:08            18.530 NOTEPAD.EXE-08F3A979.pf
15.07.2009  18:05            84.304 IEXPLORE.EXE-03D33524.pf
15.07.2009  17:22            25.964 FIXCFG.EXE-2BB6D197.pf
15.07.2009  17:22            45.166 AVGUPD.EXE-1C6A223E.pf
15.07.2009  17:17            16.054 QTTASK.EXE-072D8A2B.pf
15.07.2009  15:04            29.554 AVGNSX.EXE-11491657.pf
15.07.2009  14:41            33.624 RUNDLL32.EXE-2F71E21A.pf
15.07.2009  14:41            23.356 CONTROL.EXE-01F9F0D0.pf
15.07.2009  14:38            37.094 AVGEMC.EXE-104E08DB.pf
15.07.2009  14:38            40.878 AVGWDSVC.EXE-057B59E8.pf
15.07.2009  14:38            55.824 MSIEXEC.EXE-0CCC6E74.pf
15.07.2009  14:16            13.798 WSCNTFY.EXE-314E7AE5.pf
15.07.2009  11:46            20.546 PING.EXE-30D22814.pf
15.07.2009  11:32            18.700 CTFMON.EXE-084DB373.pf
15.07.2009  11:32            19.198 E_SRCV03.EXE-1D6748DC.pf
15.07.2009  11:32            29.776 ADOBECOLLABSYNC.EXE-026911F1.pf
15.07.2009  11:09            18.844 ALG.EXE-2226CE17.pf
15.07.2009  10:59            72.278 JUCHECK.EXE-015EC347.pf
15.07.2009  09:20            18.796 READER_SL.EXE-1EAD454B.pf
14.07.2009  19:38            19.560 ACROBAT_SL.EXE-33E125CA.pf
14.07.2009  19:34            83.408 HELPSVC.EXE-281F45D0.pf
14.07.2009  19:29            74.314 MRT.EXE-00AAC00B.pf
14.07.2009  19:26            80.002 THUNDE~1.EXE-132AFC91.pf
14.07.2009  19:20            55.292 DRWTSN32.EXE-140B1585.pf
14.07.2009  19:20            58.452 DWWIN.EXE-002B6E58.pf
14.07.2009  18:19             5.160 RN.TMP-27EAA61C.pf
14.07.2009  18:17            22.904 CROENSMWXA.TMP-046403CF.pf
14.07.2009  18:16            31.562 MSHTA.EXE-24F9B295.pf
14.07.2009  17:46            84.444 FIREFOX.EXE-3425AEB8.pf
14.07.2009  16:45            29.654 FLASH.EXE-1A23CF71.pf
14.07.2009  16:44            30.010 WINZIP32.EXE-3297F1A6.pf
14.07.2009  15:11            25.758 SAFLASHPLAYER.EXE-125334DF.pf
14.07.2009  15:07            40.978 WINAMP.EXE-0DA1BB35.pf
14.07.2009  15:03            55.204 WINACE.EXE-336AA789.pf
14.07.2009  15:01            63.698 EXPORTCONTROLLER.EXE-0A2F3E84.pf
14.07.2009  15:01            93.228 QUICKTIMEPLAYER.EXE-1BE6CE30.pf
14.07.2009  15:01            84.882 VLC.EXE-143BB573.pf
14.07.2009  13:31           404.912 Layout.ini
14.07.2009  12:34            62.656 ILLUSTRATOR.EXE-157E8889.pf
14.07.2009  10:55           101.484 DFRGNTFS.EXE-0F55FCE5.pf
14.07.2009  10:55            16.682 DEFRAG.EXE-10D9C910.pf
14.07.2009  09:17            42.042 REALPLAY.EXE-085556AC.pf
14.07.2009  09:12            18.084 ISUSPM.EXE-036B5A6C.pf
14.07.2009  09:12            14.336 ACROTRAY.EXE-31D63E69.pf
08.07.2009  11:46            50.126 POWERPNT.EXE-25D3EC26.pf
06.07.2009  15:52            12.480 IMAPIROX.EXE-246C13C8.pf
06.07.2009  15:47            49.290 WINONCD.EXE-06F588B5.pf
06.07.2009  15:40            24.030 BITTORRENT.EXE-0DE7BA55.pf
06.07.2009  15:40            54.792 IEDW.EXE-1AF167CB.pf
06.07.2009  15:40            20.736 RUNDLL32.EXE-40B7E57D.pf
06.07.2009  13:26            16.944 NOTEPAD++.EXE-1801C185.pf
06.07.2009  13:26            16.248 NPPIEXPLORERSHELL.EXE-03BC1B3C.pf
06.07.2009  11:18            84.928 ADOBELMSVC.EXE-16AE11E4.pf
06.07.2009  11:18            11.314 ADOBELM_CLEANUP.0001-07112801.pf
06.07.2009  11:18            79.576 PHOTOSHOP.EXE-36A3A803.pf
06.07.2009  11:18            16.436 RUNDLL32.EXE-4B415718.pf
06.07.2009  09:57            63.146 WINWORD.EXE-041FEA28.pf
06.07.2009  09:14            10.834 SMAX4.EXE-1B347080.pf
03.07.2009  14:18            19.842 RUNDLL32.EXE-2A22BAF7.pf
03.07.2009  14:07            10.574 RUNDLL32.EXE-3306DA54.pf
02.07.2009  15:39            17.702 RUNDLL32.EXE-35C6E1A5.pf
02.07.2009  13:19            16.748 DIRECTCD.EXE-000A16DB.pf
01.07.2009  16:09            77.382 CORELDRW.EXE-12A2FC03.pf
01.07.2009  15:49            51.002 TRACE.EXE-02B6BE03.pf
01.07.2009  15:12            29.310 FLASH.EXE-27F866DB.pf
01.07.2009  15:12            23.320 RUNDLL32.EXE-3CB65546.pf
30.06.2009  22:00            20.320 MAXBACKSERVICEINT.EXE-2F0E2467.pf
29.06.2009  15:44            69.576 GOOGLEEARTH.EXE-09D28A7F.pf
29.06.2009  12:15            71.062 EXCEL.EXE-32DB6F48.pf
26.06.2009  13:24             7.800 JAVA.EXE-0ABD52E7.pf
26.06.2009  13:22            47.140 AVGRSX.EXE-1B4285AE.pf
25.06.2009  14:30            59.354 WMPLAYER.EXE-06A827DC.pf
19.06.2009  11:14            36.346 GOOGLETOOLBARMANAGER_9DE96A29-2CBFDC8A.pf
19.06.2009  11:14            10.284 SEARCHWITHGOOGLEUPDATE_4DE6AC-04416D28.pf
19.06.2009  11:14            17.002 GOOGLEUPDATERSERVICE_5898FABC-29F5A1EF.pf
19.06.2009  11:08            38.314 GTB3.TMP.EXE-0B47973B.pf
15.06.2009  16:38            44.204 AHC.EXE-0578C7DF.pf
15.06.2009  15:30            54.774 PHOTOSHOP.EXE-1DDDDE90.pf
15.06.2009  15:30            16.318 RUNDLL32.EXE-4226FF3E.pf
15.06.2009  15:13            83.502 UPDATE.EXE-3844AF39.pf
15.06.2009  15:12            87.838 UPDATE.EXE-161E06BF.pf
15.06.2009  15:10            25.218 WINDOWS-KB890830-V2.11-DELTA.-2AEAABFE.pf
15.06.2009  15:09            51.248 MRTSTUB.EXE-1CAA0D00.pf
15.06.2009  15:09            78.114 UPDATE.EXE-21A2B11F.pf
15.06.2009  15:09            75.308 UPDATE.EXE-120FCA68.pf
15.06.2009  15:08            84.370 UPDATE.EXE-022FF946.pf
             130 Datei(en)      6.886.800 Bytes
               0 Verzeichnis(se),  9.012.588.544 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS\tasks

16.07.2009  20:20                 6 SA.DAT
23.08.2001  14:00                65 desktop.ini
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se),  9.012.592.640 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS\Temp

16.07.2009  20:22               409 WGANotify.settings
16.07.2009  20:22               255 WGAErrLog.txt
15.07.2009  15:03                64 avg8info.id
               3 Datei(en)            728 Bytes
               0 Verzeichnis(se),  9.012.592.640 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\DOKUME~1\burnie\LOKALE~1\Temp

16.07.2009  20:27               513 jusched.log
15.07.2009  14:38            64.887 avg8inst.log
               2 Datei(en)         65.400 Bytes
               0 Verzeichnis(se),  9.012.592.640 Bytes frei
         
3. CCleaner
Code:
ATTFilter
7-Zip 4.57
ABBYY FineReader 7.0 Professional Edition
Acrobat.com
Adobe Acrobat 4.0
Adobe Acrobat 8 Professional - English, Français, Deutsch
Adobe After Effects 6.0
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin
Adobe Illustrator CS
Adobe InDesign CS2
Adobe Photoshop 7.0
Adobe Photoshop CS2
Adobe Reader 7.1.0
Adobe Shockwave Player
Adobe SVG Viewer 3.0
ArcSoft Panorama Maker 3
ArtIcons Pro
ASAPI Update
ASUS Display Drivers
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
ATI HYDRAVISION
Autodesk 3ds Max 8
Autodesk 3ds Max 8 Additional Maps and Materials
Autodesk 3ds Max 8 Architectural Materials
Autodesk 3ds Max 8 Reference Files
Autodesk DWF Viewer
AVG Free 8.5
AVIVO Codecs
BadCopy Pro
Bitmap Font Writer (remove only)
BitTorrent 6.0.2
Bryce(R) 5
CCleaner (remove only)
CDBurnerXP
Clean 3.0
Color Schemer 2.51
Compatibility Pack for the 2007 Office system
Cool Edit 2000
Corel Graphics Suite 11
CoreVorbis Audio Decoder (remove only)
Creative DVD Audio Plugin for Audigy Series
CrossFont version 5.1
DepthDither 2.0
Direct Show Ogg Vorbis Filter (remove only)
Director 8G Shockwave Studio
DivX Player
DivX Pro Trial
DNA
DVD Decrypter (Remove Only)
DVD Shrink 3.2
DVDx
EPSON-Drucker-Software
getPlus(R) for Adobe
Google Earth
Google Toolbar for Internet Explorer
HappyFoto Bestellsoftware
HijackThis 2.0.2
Huffyuv AVI lossless video codec (Remove Only)
InterVideo WinDVD 5
IrfanView (remove only)
IsoBuster 1.9.1
Java(TM) 6 Update 7
Kai's Power Tools 3
Kai's Power Tools 5
KPT 6
Macromedia Director MXG
Macromedia Dreamweaver 4
Macromedia Extension Manager
Macromedia Flash 8
Macromedia Flash 8 Video Encoder
Macromedia Flash MX
Macromedia Flash MX 2004
Macromedia FreeHand 10
Magic ISO Maker v5.4 (build 0251)
Malwarebytes' Anti-Malware
Maxtor Manager
MDI viewer 0.1
Microsoft .NET Framework 2.0
Microsoft Data Access Components KB870669
Microsoft Office PowerPoint Viewer 2007 (English)
Microsoft Office Word Viewer 2003
Microsoft Office XP Professional mit FrontPage
Microsoft Visual C++ 2005 Redistributable
mIRC
mmm/fb
MonKey Bilanz Kasse
Mozilla Thunderbird (1.0)
MSXML 6.0 Parser (KB933579)
Netscape Communicator 4.78
NetworkActiv PIAFCTM 1.5
Notepad++
OnlineGalerie
Opera 9.62
PGP 8.0.1
PyroBatchFTP
QuickTime
RealPlayer
Rhinoceros 2.0
SecuriDesign for CorelDRAW 11
Shockwave
SoundMAX
SSH Secure Shell
StuffIt 7.0.2
Suchen und ersetzen fuer HTML
TimeCalendar 1.6.7
V1 Golf
Viewpoint Manager (Remove Only)
Viewpoint Media Player
VLC media player 0.9.4
WaveLab 4.0e
WebCopier 3.3
WinAce Archiver
Winamp (remove only)
Windows Internet Explorer 8
Windows XP Service Pack 3
WinRAR archiver
WinVNC 3.3.3
WinZip
         
__________________

Alt 16.07.2009, 20:12   #4
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



4. gmer
Code:
ATTFilter
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-16 20:39:56
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

Code            87069C40                                                                                                                                                                       ZwEnumerateKey
Code            87069E98                                                                                                                                                                       ZwFlushInstructionCache
Code            87069286                                                                                                                                                                       ZwSaveKey
Code            8706941E                                                                                                                                                                       ZwSaveKeyEx
Code            8706906E                                                                                                                                                                       IofCallDriver
Code            86F2F2F6                                                                                                                                                                       IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!IofCallDriver                                                                                                                                                     804E13A7 5 Bytes  JMP 87069073 
.text           ntoskrnl.exe!IofCompleteRequest                                                                                                                                                804E17BD 5 Bytes  JMP 86F2F2FB 
PAGE            ntoskrnl.exe!ZwEnumerateKey                                                                                                                                                    80578E14 5 Bytes  JMP 87069C44 
PAGE            ntoskrnl.exe!ZwFlushInstructionCache                                                                                                                                           80587BFB 5 Bytes  JMP 87069E9C 
PAGE            ntoskrnl.exe!ZwSaveKey                                                                                                                                                         8065616E 5 Bytes  JMP 8706928A 
PAGE            ntoskrnl.exe!ZwSaveKeyEx                                                                                                                                                       80656259 5 Bytes  JMP 87069422 

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\CDBurnerXP\NMSAccessU.exe[452] ntdll.dll!LdrLoadDll                                                                                                               7C9263C3 5 Bytes  JMP 006C000A 
.text           C:\WINDOWS\System32\PGPsdkServ.exe[620] ntdll.dll!LdrLoadDll                                                                                                                   7C9263C3 5 Bytes  JMP 003B000A 
.text           C:\WINDOWS\system32\winlogon.exe[664] ntdll.dll!LdrLoadDll                                                                                                                     7C9263C3 5 Bytes  JMP 0066000A 
.text           C:\WINDOWS\system32\services.exe[712] ntdll.dll!LdrLoadDll                                                                                                                     7C9263C3 5 Bytes  JMP 003A000A 
.text           C:\WINDOWS\system32\Ati2evxx.exe[912] ntdll.dll!LdrLoadDll                                                                                                                     7C9263C3 5 Bytes  JMP 0096000A 
.text           ...                                                                                                                                                                            

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                                                                       avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                                                        PGPsdk.sys (PGP Software Development Kit NT Driver/PGP Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                                                                        PGPsdk.sys (PGP Software Development Kit NT Driver/PGP Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                                                      avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                                                                      avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                                                                    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                                                       fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Processes - GMER 1.0.15 ----

Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe [232]                     0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\CDBurnerXP\NMSAccessU.exe [452]                                                         0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\System32\PGPsdkServ.exe [620]                                                             0x00380000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [664]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\services.exe [712]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [724]                                                                  0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\Ati2evxx.exe [912]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\wuauclt.exe [976]                                                                0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1052]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Analog Devices\SoundMAX\SMAgent.exe [1128]                                              0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1176]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Viewpoint\Common\ViewpointService.exe [1216]                                            0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1224]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1240]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\Ati2evxx.exe [1280]                                                              0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\wdfmgr.exe [1304]                                                                0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\PROGRA~1\AVG\AVG8\avgemc.exe [1452]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1512]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [1644]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1772]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe [1832]                         0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [1872]                                                             0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Maxtor\Sync\SyncServices.exe [1928]                                                     0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\AVG\AVG8\avgcsrvx.exe [1944]                                                            0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\PROGRA~1\AVG\AVG8\avgrsx.exe [2020]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\PROGRA~1\AVG\AVG8\avgnsx.exe [2028]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\System32\alg.exe [2196]                                                                   0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe [2680]                                          0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [2812]                                                                       0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe [2884]                                             0x009E0000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Winamp\Winampa.exe [2940]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2996]                                  0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [3036]                         0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe [3052]                                            0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [3072]                                                 0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe [3096]                                           0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\TimeCalendar\TC.exe [3128]                                                              0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [3176]                           0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE [3216]                                                 0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\ctfmon.exe [3272]                                                                0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\ATI Technologies\ATI.ACE\cli.exe [3364]                                                 0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\WINDOWS\system32\wscntfy.exe [3444]                                                               0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\ATI Technologies\ATI.ACE\cli.exe [3592]                                                 0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [3640]  0x10000000                                                                
Library         \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (*** hidden *** ) @ C:\Dokumente und Einstellungen\burnie\Desktop\drr9svqr.exe [4064]                                    0x10000000                                                                

---- Registry - GMER 1.0.15 ----

Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8E9A9434-5B37-F3B9-2BE2-AB5608471345}                                                                
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8E9A9434-5B37-F3B9-2BE2-AB5608471345}@oaaajhjfadfalchchkalbgelmbndgj                                 0x6B 0x61 0x70 0x69 ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8E9A9434-5B37-F3B9-2BE2-AB5608471345}@nakppongfcmogllebmmeockfgbck                                   0x6B 0x61 0x70 0x69 ...

---- EOF - GMER 1.0.15 ----
         
5. blacklight
Code:
ATTFilter
07/16/09 20:48:31 [Info]: BlackLight Engine 2.2.1092 initialized
07/16/09 20:48:31 [Info]: OS: 5.1 build 2600 (Service Pack 3)
07/16/09 20:48:31 [Note]: 7019 4
07/16/09 20:48:31 [Note]: 7005 0
07/16/09 20:48:40 [Note]: 7006 0
07/16/09 20:48:40 [Note]: 7011 2812
07/16/09 20:48:40 [Note]: 7035 0
07/16/09 20:48:40 [Note]: 7026 0
07/16/09 20:48:40 [Note]: 7026 0
07/16/09 20:48:43 [Note]: FSRAW library version 1.7.1024
07/16/09 20:49:02 [Note]: 2000 1012
07/16/09 20:49:02 [Note]: 2000 1012
07/16/09 20:49:02 [Note]: 2000 1012
07/16/09 20:49:32 [Note]: 7007 0
         
PS: Ich habe AVGfree Resident Shield deaktiviert und den tray geschlossen, und die Windows Firewall deaktiviert. Vor meinen letzten Versuchen habe ich AVG komplett deinstalliert.

Die Proggies im System-Tray habe ich laufen gelassen (ATI, Maxtor, TimeCalendar, Winamp-Agent) Ich hoffe das hat gepasst.

PPS: Ich habe mir den Trojaner am Dienstag, 14.7. um ca 18:25 eingefangen.

Hoffnungsvolle Grüsse,
burnie

Alt 17.07.2009, 16:36   #5
kira
/// Helfer-Team
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



hi

1.
poste mir noch auch:
ComboFix.txt
Log v. Malwarebytes Anti-Malware


2.
CombiFix entfernen:
Start → Ausführen → Kopiere rein Combofix /u → OK
Entferne auf C:\ Qoobox (falls noch vorhanden) → Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen→ Papierkorb leeren

3.
den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw

4.
Ausführung im normalen Modus:
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und gleichhier posten

5.
starte dein system neu auf

6.
den Quarantine-Inhalt löschen danach update Malwarebytes Anti-Malware , lass es nochmal laufen, lösche alles, was gefunden wird,Log posten

7.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"


Geändert von kira (17.07.2009 um 16:42 Uhr)

Alt 19.07.2009, 10:36   #6
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



Hallo Coverflow,

... erst jetzt - Projektstress, musste mir nen tmp-compi herrichten.

Hier das Combifix log (das 2., beim ersten Durchlauf sagte CF ich soll es nochmal laufen lassen)

Code:
ATTFilter
ComboFix 09-07-14.07 - burnie 15.07.2009 11:48.2.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.43.1031.18.1023.646 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\burnie\Desktop\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2009-06-15 bis 2009-07-15  ))))))))))))))))))))))))))))))
.

2009-07-15 09:01 . 2009-07-15 09:01	--------	d-sh--w-	c:\dokumente und einstellungen\burnie\PrivacIE
2009-07-15 07:22 . 2009-07-15 07:22	--------	d-----w-	c:\dokumente und einstellungen\burnie\Anwendungsdaten\Malwarebytes
2009-07-15 07:22 . 2009-07-13 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-15 07:22 . 2009-07-15 08:19	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-07-15 07:22 . 2009-07-15 07:22	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-07-15 07:22 . 2009-07-13 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-14 17:46 . 2009-07-14 17:46	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2009-07-14 17:37 . 2009-07-14 17:37	--------	d-sh--w-	c:\dokumente und einstellungen\burnie\IETldCache
2009-07-14 17:33 . 2009-06-02 10:12	102912	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2009-07-14 17:32 . 2009-07-14 17:32	--------	d-----w-	c:\windows\ie8updates
2009-07-14 17:32 . 2009-04-30 21:13	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2009-07-14 17:32 . 2009-04-30 21:12	246272	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2009-07-14 17:31 . 2009-07-14 17:31	--------	dc-h--w-	c:\windows\ie8
2009-07-14 16:26 . 2009-07-15 08:20	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\13812344
2009-07-14 15:48 . 2009-07-14 15:48	--------	d-----w-	c:\dokumente und einstellungen\burnie\Anwendungsdaten\Download Manager

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-14 17:04 . 2003-12-14 15:06	--------	d-----w-	c:\programme\Gemeinsame Dateien\ROXIO
2009-07-06 13:41 . 2006-09-25 15:41	--------	d-----w-	c:\dokumente und einstellungen\burnie\Anwendungsdaten\BitTorrent
2009-05-13 05:02 . 2004-08-23 18:35	915456	----a-w-	c:\windows\system32\wininet.dll
2009-05-08 09:30 . 2001-08-23 12:00	70580	----a-w-	c:\windows\system32\perfc007.dat
2009-05-08 09:30 . 2001-08-23 12:00	405118	----a-w-	c:\windows\system32\perfh007.dat
2009-05-07 15:32 . 2001-08-23 12:00	348160	----a-w-	c:\windows\system32\localspl.dll
2009-05-07 10:55 . 2004-10-01 10:13	271128	-c--a-w-	c:\dokumente und einstellungen\burnie\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-19 19:46 . 2001-08-23 12:00	1847296	----a-w-	c:\windows\system32\win32k.sys
2005-12-19 17:29 . 2005-03-29 09:41	152	-csh--r-	c:\windows\system32\AE6D7C37A7.sys
2005-12-19 17:29 . 2005-03-29 09:41	1890	-csha-w-	c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((   SnapShot@2009-07-15_09.32.02   )))))))))))))))))))))))))))))))))))))))))
.
+ 2003-11-28 18:08 . 2009-07-15 09:43	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2003-11-28 18:08 . 2009-07-15 08:53	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2003-11-28 18:08 . 2009-07-15 09:43	49152              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2003-11-28 18:08 . 2009-07-15 08:53	49152              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2003-11-28 18:08 . 2009-07-15 09:43	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2003-11-28 18:08 . 2009-07-15 08:53	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TimeCalendar"="c:\programme\TimeCalendar\TC.exe" [2003-08-06 1872384]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-04 68856]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2009-05-13 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]
"WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-02 12288]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"FineReader7NewsReaderPro"="c:\programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" [2003-12-09 278528]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-11-19 180269]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"mxomssmenu"="c:\programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"anvshell"="anvshell.exe" - c:\windows\anvshell.exe [2003-05-29 348160]
"LiveNote"="livenote.exe" - c:\windows\livenote.exe [2002-07-11 40960]

c:\dokumente und einstellungen\burnie\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-11-28 110592]
Verknpfung mit TC.lnk - c:\programme\TimeCalendar\TC.exe [2003-8-6 1872384]

c:\dokume~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2009-5-5 295606]
Adobe Acrobat Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-11-28 110592]
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
EPSON Status Monitor 3 Environment Check.lnk - c:\windows\system32\spool\drivers\W32X86\3\E_SRCV03.EXE [1999-10-22 217600]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"aawservice"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"c:\\Programme\\Macromedia\\Flash MX\\Flash.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Dokumente\\sim_V8\\L6_Server.exe"=
"c:\\Programme\\InterVideo\\DVD5\\WinDVD.exe"=
"c:\\Programme\\PyroBatchFTP\\pyrobatchftp.exe"=
"c:\\Programme\\Autodesk\\3dsMax8\\3dsmax.exe"=
"c:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\Autodesk\\backburner\\manager.exe"=
"c:\\Programme\\Autodesk\\backburner\\monitor.exe"=
"c:\\Programme\\Autodesk\\backburner\\server.exe"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [11.12.2003 17:33 11264]
R2 PGPdisk;PGPdisk;c:\windows\system32\drivers\PGPdisk.sys [30.03.2004 18:05 141536]
R2 PGPsdkDriver;PGPsdkDriver;c:\windows\system32\drivers\PGPsdk.sys [30.03.2004 18:05 26624]
R2 PGPsdkServ;PGPsdkService;c:\windows\system32\PGPsdkServ.exe [30.03.2004 18:05 77824]
R2 Viewpoint Manager Service;Viewpoint Manager Service;c:\programme\Viewpoint\Common\ViewpointService.exe [15.01.2007 17:04 24652]
S1 ANVIOCTL;ANVIOCTL;c:\windows\system32\drivers\anvioctl.sys [19.05.2003 17:12 233280]
S3 Asmomfwd;Asmomfwd; [x]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [23.09.2008 13:38 33752]
S3 mgau;mgau;c:\windows\system32\drivers\mgaum.sys [29.11.2003 02:59 320384]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: {60F5C72D-84E8-445A-94E7-F84C3A33E924} - hxxp://haserv1.liveglobalbid.com/lgbmpr.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-15 11:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(676)
geyekrvfmegxyi.dll 10000000    36864 \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3800)
geyekrvfmegxyi.dll 10000000    36864 \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2009-07-15 12:02
ComboFix-quarantined-files.txt  2009-07-15 10:02
ComboFix2.txt  2009-07-15 09:37

Vor Suchlauf: 9.548.308.480 Bytes frei
Nach Suchlauf: 9.551.355.904 Bytes frei

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
155	--- E O F ---	2009-07-14 17:33
         
und das Malwarebytes log (nach dem Combofix 2. Durchlauf)

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2432
Windows 5.1.2600 Service Pack 3

15.07.2009 12:46:52
mbam-log-2009-07-15 (12-46-42).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|)
Durchsuchte Objekte: 260228
Laufzeit: 41 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
\\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (Trojan.TDSS) -> No action taken.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (Trojan.TDSS) -> No action taken.
         
Ich werde jetzt Deine 2. Anleitung abarbeiten.

Liebe Grüsse, burnie
__________________
--> Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da

Alt 19.07.2009, 11:01   #7
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



reHi,

Combifix liess sich deinstallieren, aber Qoobox nicht löschen.
Hier die Fehlermeldung.



Ich werde versuchen den Ordner im abgesicherten Modus zu löschen und dann weiterzumachen.

LG, b
__________________
AEQUAM MEMENTO REBUS IN ARDUIS SERVARE MENTEM.

Alt 19.07.2009, 11:21   #8
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



... Qoobox lässt sich mit derselben Felhermeldung auch im abgesicherten Modus nicht löschen ;-(

Was soll ich tun?

Ich habe noch eine Frage: Über externe Festplatten und Sticks scheint sich da ja nix fortzupflanzen. Kann ich auf diese Weise eine Datensicherung machen. ... Und wie schaut das mit den anderen internen Platten aus? Die Scanner finden nur Probleme auf C: - könnte ich im Fall einer Neuaufsetzung (die ich vermeiden möchte - bzw. sowieso erst in ein paar Wochen machen kann) die andern internen Platten gefahrlos so lassen wie sie sind?

LG, b
__________________
AEQUAM MEMENTO REBUS IN ARDUIS SERVARE MENTEM.

Alt 19.07.2009, 19:13   #9
kira
/// Helfer-Team
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



- Wenn schon, dann Daten sichern und eine komplette Formatierung und Neuinstallation (sollte man alle 2 oder 3 Jahren sowieso machen). Innerhalb kurzer zeit sammelt sich nämlich schon ziemlich viel Mist - das ständige installieren und deinstallieren von Programmen, die tägliche Nutzung usw. Eine Auffrischung schadet bestimmt nicht

Nun ich hätte gerne die erste Ergebnisse von ComboFix...


- fahre mit SUPERAntiSpyware FREE Edition fort, dann noch die fehlenden Schritte abarbeiten

- auch mit filelist.bat ein neues Log erstellen und posten

Alt 20.07.2009, 08:27   #10
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



reHi,

Hier also das Combofix Log vom ersten Durchlauf.
Code:
ATTFilter
ComboFix 09-07-14.07 - burnie 15.07.2009 11:18.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.43.1031.18.1023.561 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\burnie\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

Überschreibung abgebrochen ... Bitte führe Combofix erneut aus 
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\burnie\x.exe
c:\programme\WinPCap
c:\programme\WinPCap\rpcapd.exe
c:\windows\Installer\1584a2.msi
c:\windows\Installer\7c0ff8.msi
c:\windows\Installer\7c1000.msi
c:\windows\system32\Drivers\lbfvv.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\UACaeokntgqqawrjddjp.dat
c:\windows\system32\UACrragyylduwupfpbab.db
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_npf
-------\Service_UACd.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-06-15 bis 2009-07-15  ))))))))))))))))))))))))))))))
.

2009-07-15 09:01 . 2009-07-15 09:01	--------	d-sh--w-	c:\dokumente und einstellungen\burnie\PrivacIE
2009-07-15 07:22 . 2009-07-15 07:22	--------	d-----w-	c:\dokumente und einstellungen\burnie\Anwendungsdaten\Malwarebytes
2009-07-15 07:22 . 2009-07-15 07:22	--------	d-----w-	c:\dokume~1\burnie\ANWEND~1\Malwarebytes
2009-07-15 07:22 . 2009-07-13 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-15 07:22 . 2009-07-15 08:19	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-07-15 07:22 . 2009-07-15 07:22	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-07-15 07:22 . 2009-07-13 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-14 17:46 . 2009-07-14 17:46	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2009-07-14 17:37 . 2009-07-14 17:37	--------	d-sh--w-	c:\dokumente und einstellungen\burnie\IETldCache
2009-07-14 17:33 . 2009-06-02 10:12	102912	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2009-07-14 17:32 . 2009-07-14 17:32	--------	d-----w-	c:\windows\ie8updates
2009-07-14 17:32 . 2009-04-30 21:13	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2009-07-14 17:32 . 2009-04-30 21:12	246272	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2009-07-14 17:31 . 2009-07-14 17:31	--------	dc-h--w-	c:\windows\ie8
2009-07-14 16:26 . 2009-07-15 08:20	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\13812344
2009-07-14 15:48 . 2009-07-14 15:48	--------	d-----w-	c:\dokumente und einstellungen\burnie\Anwendungsdaten\Download Manager
2009-07-14 15:48 . 2009-07-14 15:48	--------	d-----w-	c:\dokume~1\burnie\ANWEND~1\Download Manager

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-14 17:07 . 2008-11-04 11:43	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\avg8
2009-07-14 17:04 . 2003-12-14 15:06	--------	d-----w-	c:\programme\Gemeinsame Dateien\ROXIO
2009-07-06 13:41 . 2006-09-25 15:41	--------	d-----w-	c:\dokumente und einstellungen\burnie\Anwendungsdaten\BitTorrent
2009-07-06 13:41 . 2006-09-25 15:41	--------	d-----w-	c:\dokume~1\burnie\ANWEND~1\BitTorrent
2009-06-19 09:05 . 2008-11-04 11:43	27784	----a-w-	c:\windows\system32\drivers\avgmfx86.sys
2009-06-12 09:38 . 2008-11-04 11:44	327688	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2009-05-13 05:02 . 2004-08-23 18:35	915456	----a-w-	c:\windows\system32\wininet.dll
2009-05-08 09:30 . 2001-08-23 12:00	70580	----a-w-	c:\windows\system32\perfc007.dat
2009-05-08 09:30 . 2001-08-23 12:00	405118	----a-w-	c:\windows\system32\perfh007.dat
2009-05-08 09:15 . 2008-11-04 11:44	11952	----a-w-	c:\windows\system32\avgrsstx.dll
2009-05-08 09:15 . 2008-11-04 11:44	108552	----a-w-	c:\windows\system32\drivers\avgtdix.sys
2009-05-07 15:32 . 2001-08-23 12:00	348160	----a-w-	c:\windows\system32\localspl.dll
2009-05-07 10:55 . 2004-10-01 10:13	271128	-c--a-w-	c:\dokumente und einstellungen\burnie\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-07 10:55 . 2004-10-01 10:13	271128	-c--a-w-	c:\dokume~1\burnie\LOKALE~1\ANWEND~1\GDIPFONTCACHEV1.DAT
2009-04-19 19:46 . 2001-08-23 12:00	1847296	----a-w-	c:\windows\system32\win32k.sys
2005-12-19 17:29 . 2005-03-29 09:41	152	-csh--r-	c:\windows\system32\AE6D7C37A7.sys
2005-12-19 17:29 . 2005-03-29 09:41	1890	-csha-w-	c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TimeCalendar"="c:\programme\TimeCalendar\TC.exe" [2003-08-06 1872384]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-04 68856]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2009-05-13 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]
"WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-02 12288]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"FineReader7NewsReaderPro"="c:\programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" [2003-12-09 278528]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-11-19 180269]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"mxomssmenu"="c:\programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-06-12 1948440]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"anvshell"="anvshell.exe" - c:\windows\anvshell.exe [2003-05-29 348160]
"LiveNote"="livenote.exe" - c:\windows\livenote.exe [2002-07-11 40960]

c:\dokumente und einstellungen\burnie\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-11-28 110592]
Verknpfung mit TC.lnk - c:\programme\TimeCalendar\TC.exe [2003-8-6 1872384]

c:\dokume~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2009-5-5 295606]
Adobe Acrobat Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-11-28 110592]
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
EPSON Status Monitor 3 Environment Check.lnk - c:\windows\system32\spool\drivers\W32X86\3\E_SRCV03.EXE [1999-10-22 217600]

c:\dokume~1\burnie\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-11-28 110592]
Verknpfung mit TC.lnk - c:\programme\TimeCalendar\TC.exe [2003-8-6 1872384]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-05-08 09:15	11952	----a-w-	c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"aawservice"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"c:\\Programme\\Macromedia\\Flash MX\\Flash.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Dokumente\\sim_V8\\L6_Server.exe"=
"c:\\Programme\\InterVideo\\DVD5\\WinDVD.exe"=
"c:\\Programme\\PyroBatchFTP\\pyrobatchftp.exe"=
"c:\\Programme\\Autodesk\\3dsMax8\\3dsmax.exe"=
"c:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\Autodesk\\backburner\\manager.exe"=
"c:\\Programme\\Autodesk\\backburner\\monitor.exe"=
"c:\\Programme\\Autodesk\\backburner\\server.exe"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [11.12.2003 17:33 11264]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [04.11.2008 13:44 327688]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [04.11.2008 13:44 108552]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [04.11.2008 13:43 906520]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [04.11.2008 13:43 298776]
R2 PGPdisk;PGPdisk;c:\windows\system32\drivers\PGPdisk.sys [30.03.2004 18:05 141536]
R2 PGPsdkDriver;PGPsdkDriver;c:\windows\system32\drivers\PGPsdk.sys [30.03.2004 18:05 26624]
R2 PGPsdkServ;PGPsdkService;c:\windows\system32\PGPsdkServ.exe [30.03.2004 18:05 77824]
R2 Viewpoint Manager Service;Viewpoint Manager Service;c:\programme\Viewpoint\Common\ViewpointService.exe [15.01.2007 17:04 24652]
S1 ANVIOCTL;ANVIOCTL;c:\windows\system32\drivers\anvioctl.sys [19.05.2003 17:12 233280]
S3 Asmomfwd;Asmomfwd; [x]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [23.09.2008 13:38 33752]
S3 mgau;mgau;c:\windows\system32\drivers\mgaum.sys [29.11.2003 02:59 320384]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: {60F5C72D-84E8-445A-94E7-F84C3A33E924} - hxxp://haserv1.liveglobalbid.com/lgbmpr.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-15 11:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(668)
geyekrvfmegxyi.dll 10000000    36864 \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2428)
geyekrvfmegxyi.dll 10000000    36864 \\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
c:\programme\Maxtor\Sync\SyncServices.exe
c:\programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wdfmgr.exe
c:\programme\AVG\AVG8\avgcsrvx.exe
c:\windows\system32\wscntfy.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
c:\programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-15 11:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-07-15 09:37

Vor Suchlauf: 9.057.308.672 Bytes frei
Nach Suchlauf: 9.232.842.752 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
219	--- E O F ---	2009-07-14 17:33
         
__________________
AEQUAM MEMENTO REBUS IN ARDUIS SERVARE MENTEM.

Alt 20.07.2009, 10:14   #11
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



rereHi,

... und hier das SAS Log
Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/20/2009 at 11:00 AM

Application Version : 4.26.1006

Core Rules Database Version : 4004
Trace Rules Database Version: 1944

Scan type       : Complete Scan
Total Scan Time : 00:49:55

Memory items scanned      : 664
Memory threats detected   : 0
Registry items scanned    : 6703
Registry threats detected : 8
File items scanned        : 25891
File threats detected     : 12

Adware.IST/ISTBar (Slotch Bar)
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll#.Owner
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll#{7C559105-9ECF-42B8-B3F7-832E75EDD959}
	HKU\S-1-5-21-606747145-1563985344-839522115-1003\Software\Microsoft\Internet Explorer\Main#BandRest
	HKLM\SOFTWARE\Microsoft\Internet Explorer\Main#BandRest

Adware.IST/YourSiteBar
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ysbactivex.dll
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ysbactivex.dll#.Owner
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ysbactivex.dll#{42F2C9BA-614F-47C0-B3E3-ECFD34EED658}

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@2o7[2].txt
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@ads.bleepingcomputer[1].txt
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@adtech[1].txt
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@avgtechnologies.112.2o7[1].txt
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@doubleclick[1].txt
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@eas4.emediate[2].txt
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@edsa.122.2o7[1].txt
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@tracking.quisma[2].txt
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@tradedoubler[1].txt
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@tribalfusion[2].txt
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\burnie\Cookies\burnie@zanox[1].txt
         
__________________
AEQUAM MEMENTO REBUS IN ARDUIS SERVARE MENTEM.

Alt 20.07.2009, 11:51   #12
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



.. und das MAM Log nach dem 1. Durchlauf

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2465
Windows 5.1.2600 Service Pack 3

20.07.2009 12:46:41
mbam-log-2009-07-20 (12-46-41).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|)
Durchsuchte Objekte: 251973
Laufzeit: 41 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
\\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (Trojan.TDSS) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
         
__________________
AEQUAM MEMENTO REBUS IN ARDUIS SERVARE MENTEM.

Alt 20.07.2009, 12:53   #13
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



.. und nach dem 2. Durchlauf (keine Veränderung) :-(

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2465
Windows 5.1.2600 Service Pack 3

20.07.2009 13:49:18
mbam-log-2009-07-20 (13-49-18).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|)
Durchsuchte Objekte: 252025
Laufzeit: 41 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
\\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (Trojan.TDSS) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\\?\globalroot\systemroot\system32\geyekrvfmegxyi.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
         
__________________
AEQUAM MEMENTO REBUS IN ARDUIS SERVARE MENTEM.

Alt 20.07.2009, 13:00   #14
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



der HijackThis Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:54:36, on 20.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\TimeCalendar\TC.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\burnie\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\berni\prefs.js)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [TimeCalendar] "C:\Programme\TimeCalendar\TC.exe" auto
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Verknüpfung mit TC.lnk = C:\Programme\TimeCalendar\TC.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\W32X86\3\E_SRCV03.EXE
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab
O16 - DPF: {60F5C72D-84E8-445A-94E7-F84C3A33E924} (LgbMediaPlayer Control) - http://haserv1.liveglobalbid.com/lgbmpr.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.0/Installer.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: PGPsdkService (PGPsdkServ) - PGP Corporation - C:\WINDOWS\System32\PGPsdkServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe
O24 - Desktop Component 1: INNOCAD - http://www.innocad.at/flash.asp

--
End of file - 12352 bytes
         
__________________
AEQUAM MEMENTO REBUS IN ARDUIS SERVARE MENTEM.

Alt 20.07.2009, 13:07   #15
burnie
 
Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Standard

Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da



und schliesslich filelist:

Code:
ATTFilter
----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\

20.07.2009  14:01                43 filelist.txt
20.07.2009  13:51     1.072.484.352 hiberfil.sys
20.07.2009  13:51     2.147.483.648 pagefile.sys
15.07.2009  12:02            11.560 ComboFix.txt
15.07.2009  11:16               281 boot.ini
04.11.2008  16:44               211 Boot.bak
04.11.2008  16:43           251.712 ntldr
21.10.2008  14:45               216 temp.txt
27.05.2008  16:46            13.030 PDOXUSRS.NET
26.01.2008  19:36                88 cmmcfg.dat
15.06.2007  12:12               455 os792636.bin
15.03.2007  20:10             3.391 edid.txt
09.11.2005  18:56                24 np.tmp
12.07.2005  16:20            31.232 untermieteMuster7.doc
13.04.2005  11:51            78.182 hcwclear.txt
27.12.2004  19:35               305 log.txt
25.10.2004  09:51            47.564 NTDETECT.COM
20.08.2004  18:35             6.610 audiodvd_burn.log
03.08.2004  23:00           262.448 cmldr
28.07.2004  17:45               192 BcBtRmv.log
10.05.2004  14:46             1.114 VETlog.txt
10.05.2004  14:46            80.498 VETlog.dmp
11.03.2004  16:37             5.373 CLDMA.LOG
14.12.2003  17:16           100.536 3547.waf
14.12.2003  17:10            97.216 2495.waf
02.12.2003  20:28             1.149 INSTALL.LOG
28.11.2003  20:06                 0 AUTOEXEC.BAT
28.11.2003  20:06                 0 MSDOS.SYS
28.11.2003  20:06                 0 IO.SYS
28.11.2003  20:06                 0 CONFIG.SYS
23.08.2001  14:00             4.952 bootfont.bin
              31 Datei(en)  3.220.966.382 Bytes
               0 Verzeichnis(se),  8.955.805.696 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS

20.07.2009  13:52         1.725.509 WindowsUpdate.log
20.07.2009  13:52                 0 0.log
20.07.2009  13:51               159 wiadebug.log
20.07.2009  13:51                50 wiaservc.log
20.07.2009  13:51             2.048 bootstat.dat
20.07.2009  13:50            32.622 SchedLgU.Txt
19.07.2009  12:57           590.962 ntbtlog.txt
16.07.2009  20:21            13.662 KB971633.log
16.07.2009  20:21            13.652 KB961371.log
16.07.2009  15:43             4.831 setupapi.log
15.07.2009  14:05                65 Wininit.ini
15.07.2009  11:58               259 system.ini
14.07.2009  15:07             1.065 winamp.ini
14.07.2009  15:00            54.156 QTFont.qfn
06.07.2009  15:54                68 WinOnCD.ini
06.07.2009  11:18             1.409 QTFont.for
15.06.2009  16:38             1.057 win.ini
03.06.2009  15:44               341 Clony2.ini
03.06.2009  15:19                94 ClonyDrives.ini
03.06.2009  14:44               605 cddabase.ini
28.05.2009  14:22            11.966 EPISMG05.SWB
28.05.2009  14:22            12.222 EPISMG04.SWB
28.05.2009  14:22            11.710 EPISMG03.SWB
28.05.2009  14:22            12.350 EPISMG02.SWB
28.05.2009  14:22            11.966 EPISMG01.SWB
28.05.2009  14:22            12.862 EPISMG00.SWB
06.03.2009  17:05             1.682 audiovie.ini

             137 Datei(en)     16.299.657 Bytes
               0 Verzeichnis(se),  8.955.777.024 Bytes frei
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS\system


              33 Datei(en)      1.901.838 Bytes
               0 Verzeichnis(se),  8.955.781.120 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS\system32

20.07.2009  13:52             2.206 wpa.dbl
15.07.2009  14:38            11.952 avgrsstx.dll
15.07.2009  10:20             3.986 zvcsur.txt
07.07.2009  08:10        24.539.592 MRT.exe
15.06.2009  15:15         1.352.328 FNTCACHE.DAT
28.05.2009  14:22            24.318 e_dd01ke.wat
13.05.2009  07:02           915.456 wininet.dll
13.05.2009  07:02         5.936.128 mshtml.dll
08.05.2009  11:30           392.296 perfh009.dat
08.05.2009  11:30           405.118 perfh007.dat
08.05.2009  11:30            58.596 perfc009.dat
08.05.2009  11:30            70.580 perfc007.dat
08.05.2009  11:30           938.224 PerfStringBackup.INI
07.05.2009  17:32           348.160 localspl.dll
30.04.2009  23:13         1.985.024 iertutil.dll
30.04.2009  23:13        11.064.832 ieframe.dll
30.04.2009  23:12         1.207.808 urlmon.dll
30.04.2009  23:12         1.469.440 inetcpl.cpl
30.04.2009  23:12            25.600 jsproxy.dll
30.04.2009  23:12           385.536 iedkcs32.dll
30.04.2009  13:21           173.056 ie4uinit.exe
29.04.2009  06:41           133.120 extmgr.dll
19.04.2009  21:46         1.847.296 win32k.sys
15.04.2009  16:51           585.216 rpcrt4.dll
21.03.2009  16:06         1.063.424 kernel32.dll
08.03.2009  14:29         1.302.528 ieframe.dll.mui
08.03.2009  14:29            57.344 msrating.dll.mui
08.03.2009  14:28             2.560 mshta.exe.mui
08.03.2009  14:27             4.096 ie4uinit.exe.mui
08.03.2009  14:27            12.288 advpack.dll.mui
08.03.2009  14:27            81.920 iedkcs32.dll.mui
08.03.2009  04:35           385.024 html.iec
08.03.2009  04:34           208.384 WinFXDocObj.exe
08.03.2009  04:34           236.544 webcheck.dll
08.03.2009  04:34            43.008 licmgr10.dll
08.03.2009  04:34           105.984 url.dll
08.03.2009  04:34           109.568 occache.dll
08.03.2009  04:34           193.536 msrating.dll
08.03.2009  04:33            18.944 corpol.dll
08.03.2009  04:33           726.528 jscript.dll
08.03.2009  04:33           229.376 ieaksie.dll
08.03.2009  04:33           420.352 vbscript.dll
08.03.2009  04:33           125.952 ieakeng.dll
08.03.2009  04:32            72.704 admparse.dll
08.03.2009  04:32            36.864 ieudinit.exe
08.03.2009  04:32           163.840 ieakui.dll
08.03.2009  04:32            55.808 iernonce.dll
08.03.2009  04:32            71.680 iesetup.dll
08.03.2009  04:32           128.512 advpack.dll
08.03.2009  04:32            94.720 inseng.dll
08.03.2009  04:32           594.432 msfeeds.dll
08.03.2009  04:32           611.840 mstime.dll
08.03.2009  04:31           183.808 iepeers.dll
08.03.2009  04:31            13.312 msfeedssync.exe
08.03.2009  04:31            59.904 icardie.dll
08.03.2009  04:31            55.296 msfeedsbs.dll
08.03.2009  04:31           348.160 dxtmsft.dll
08.03.2009  04:31            34.816 imgutil.dll
08.03.2009  04:31           216.064 dxtrans.dll
08.03.2009  04:31            46.592 pngfilt.dll
08.03.2009  04:31            66.560 mshtmled.dll
08.03.2009  04:31            48.128 mshtmler.dll
08.03.2009  04:31         1.638.912 mshtml.tlb
08.03.2009  04:31            45.568 mshta.exe
08.03.2009  04:30            66.560 tdc.ocx
08.03.2009  04:22           164.352 ieui.dll
08.03.2009  04:22           156.160 msls31.dll
08.03.2009  04:15            57.667 ieuinit.inf
08.03.2009  04:11           445.952 ieapfltr.dll
06.03.2009  16:19           286.720 pdh.dll
12.02.2009  22:20             6.873 IE8Eula.rtf
09.02.2009  13:21         2.026.496 ntkrnlpa.exe
09.02.2009  13:21         2.147.840 ntoskrnl.exe
09.02.2009  13:21           111.104 services.exe
09.02.2009  12:51           736.768 lsasrv.dll
09.02.2009  12:51           401.408 rpcss.dll
09.02.2009  12:51           678.400 advapi32.dll
09.02.2009  12:51           740.352 ntdll.dll
07.02.2009  17:58           836.966 TZLog.log
06.02.2009  21:07         3.698.584 ieapfltr.dat
06.02.2009  12:39            35.328 sc.exe
03.02.2009  21:57            56.832 secur32.dll
07.01.2009  18:21           121.856 xmllite.dll
07.01.2009  18:20            24.576 nlsdl.dll
07.01.2009  18:20            66.384 normnfkc.nls
07.01.2009  18:20            60.294 normnfkd.nls
07.01.2009  18:20            26.112 idndl.dll
07.01.2009  18:20            39.284 normnfd.nls
07.01.2009  18:20            59.342 normidna.nls
07.01.2009  18:20            45.794 normnfc.nls
07.01.2009  18:20            23.552 normaliz.dll
07.01.2009  18:20            18.464 spmsg.dll
07.01.2009  18:20            26.144 spupdsvc.exe
07.01.2009  18:20             8.798 icrav03.rat
07.01.2009  18:20           265.720 msdbg2.dll

            2303 Datei(en)    489.959.545 Bytes
               0 Verzeichnis(se),  8.955.596.800 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS\Prefetch

20.07.2009  14:01            14.978 FIND.EXE-0F127430.pf
20.07.2009  14:01            17.968 CMD.EXE-137A0D53.pf
20.07.2009  14:00            16.380 AVGCMGR.EXE-2BCD17DF.pf
20.07.2009  13:59            18.034 RUNDLL32.EXE-5C5FFFE7.pf
20.07.2009  13:54            62.682 NOTEPAD.EXE-08F3A979.pf
20.07.2009  13:54            23.386 HIJACKTHIS.EXE-0942FA3C.pf
20.07.2009  13:53            59.072 VIEWMGR.EXE-2446B895.pf
20.07.2009  13:52            64.536 WUAUCLT.EXE-12D8E25E.pf
20.07.2009  13:52            80.628 CLI.EXE-19AD4AD7.pf
20.07.2009  13:52            81.076 ACRODIST.EXE-1A60EAFD.pf
20.07.2009  13:52            28.234 FNPLICENSINGSERVICE.EXE-2A3E4432.pf
20.07.2009  13:52            31.794 REALPLAY.EXE-085556AC.pf
20.07.2009  13:52            18.536 SETUP.EXE-1166985C.pf
20.07.2009  13:52            21.598 TC.EXE-1F3A8B1D.pf
20.07.2009  13:52            13.976 ADOBE GAMMA LOADER.EXE-1511DBE1.pf
20.07.2009  13:52           678.928 NTOSBOOT-B00DFAAD.pf
20.07.2009  13:50            20.682 LOGONUI.EXE-3164D1CB.pf
20.07.2009  13:50            29.478 WSCNTFY.EXE-314E7AE5.pf
20.07.2009  13:50            15.802 MBAM-DOR.EXE-27647F1C.pf
20.07.2009  12:52            56.226 MBAM.EXE-123253AA.pf
20.07.2009  12:51            17.098 READER_SL.EXE-1EAD454B.pf
20.07.2009  12:51            15.572 E_SRCV03.EXE-1D6748DC.pf
20.07.2009  12:51            26.140 ADOBECOLLABSYNC.EXE-026911F1.pf
20.07.2009  12:14            60.872 HELPSVC.EXE-281F45D0.pf
20.07.2009  12:14            82.134 WMIPRVSE.EXE-0E69CB0B.pf
20.07.2009  12:13            29.692 DFRGNTFS.EXE-0F55FCE5.pf
20.07.2009  12:13            19.622 DEFRAG.EXE-10D9C910.pf
20.07.2009  12:13           331.038 Layout.ini
20.07.2009  11:22            22.708 RUNDLL32.EXE-49BF1036.pf
20.07.2009  11:20            35.826 RUNDLL32.EXE-2F71E21A.pf
20.07.2009  11:20            22.230 CONTROL.EXE-01F9F0D0.pf
20.07.2009  11:20            39.912 AVGUI.EXE-18BB2638.pf
20.07.2009  11:17            16.964 VERCLSID.EXE-3B227142.pf
20.07.2009  10:07            27.702 UPDATECHECK.EXE-010E0E79.pf
20.07.2009  10:07            36.336 MAXUTILITIES.EXE-23BC71D8.pf
20.07.2009  10:05            33.500 RUNDLL32.EXE-5050D391.pf
20.07.2009  10:04            29.440 SUPERANTISPYWARE.EXE-1D5E3641.pf
20.07.2009  10:04            31.852 MSIEXEC.EXE-0CCC6E74.pf
20.07.2009  10:03            41.870 SUPERANTISPYWARE.EXE-178B8A4E.pf
20.07.2009  09:48            36.130 FIXCFG.EXE-2BB6D197.pf
20.07.2009  09:48            55.738 AVGUPD.EXE-1C6A223E.pf
20.07.2009  09:20            31.078 ACROBATINFO.EXE-24782514.pf
20.07.2009  09:10            15.850 ACROBAT_SL.EXE-33E125CA.pf
20.07.2009  09:10            15.946 GOOGLETOOLBARNOTIFIER.EXE-31999715.pf
20.07.2009  09:10            12.346 CLISTART.EXE-39080314.pf
20.07.2009  09:10            31.052 AVGTRAY.EXE-3B4904C7.pf
20.07.2009  09:10            13.350 WINAMPA.EXE-1077910C.pf
20.07.2009  09:10            20.586 SMAX4PNP.EXE-07C217A4.pf
20.07.2009  09:10            35.806 USERINIT.EXE-19714419.pf
20.07.2009  09:10            91.964 EXPLORER.EXE-05416907.pf
20.07.2009  09:10            14.730 ANVSHELL.EXE-02D8547D.pf
20.07.2009  09:10            12.428 NEROCHECK.EXE-1E75D2F8.pf
20.07.2009  09:10            42.370 WGATRAY.EXE-2D836F35.pf
19.07.2009  12:02            14.968 SHUTDOWN.EXE-2A1B1547.pf
19.07.2009  11:55            16.564 ADOBELM_CLEANUP.0001-07112801.pf
19.07.2009  11:54            12.230 ADOBELMSVC.EXE-16AE11E4.pf
19.07.2009  11:54            67.822 PHOTOSHOP.EXE-36A3A803.pf
19.07.2009  11:54            19.276 RUNDLL32.EXE-4B415718.pf
19.07.2009  11:54            17.984 I_VIEW32.EXE-25FA8E7F.pf
19.07.2009  11:53            23.072 MSPAINT.EXE-3AA7BA9F.pf
19.07.2009  11:45            15.182 NIRCMD.EXE-29179F0E.pf
19.07.2009  11:45            11.948 GREP.CFEXE-1C874EAB.pf
19.07.2009  11:45            13.660 SWREG.CFEXE-2907302B.pf
19.07.2009  11:45            12.094 NIRCMDB.EXE-1668E28C.pf
19.07.2009  11:45            15.420 REGEDIT.EXE-17A382F4.pf
19.07.2009  11:45            29.686 PV.CFEXE-05710F5F.pf
19.07.2009  11:45            12.466 NIRCMD.CFEXE-18867DC3.pf
19.07.2009  11:45            17.496 CF10218.EXE-15BDF466.pf
19.07.2009  11:45            31.288 CSCRIPT.EXE-1CE24927.pf
19.07.2009  11:45            11.796 SWXCACLS.CFEXE-01BF3FA5.pf
19.07.2009  11:45            11.590 SED.CFEXE-29C473D8.pf
19.07.2009  11:45            13.192 PEV.CFEXE-26AA69C1.pf
19.07.2009  11:45            11.496 ATTRIB.CFEXE-224EB076.pf
19.07.2009  11:45            16.078 ATTRIB.EXE-2385B0F4.pf
19.07.2009  11:45            12.222 SWREG.EXE-323E6DFD.pf
19.07.2009  11:45            12.290 NIRCMDC.CFEXE-1E23065C.pf
19.07.2009  11:45            11.652 CHCP.COM-17C61B40.pf
19.07.2009  11:45            47.876 PEV.CFEXE-0DF66311.pf
19.07.2009  11:45            30.530 PV.CFEXE-313AAEDE.pf
19.07.2009  11:44            16.350 NIRCMD.CFEXE-22737D72.pf
19.07.2009  11:44            12.262 SED.CFEXE-11106D28.pf
19.07.2009  11:44            11.742 GREP.CFEXE-09FE8EB6.pf
19.07.2009  11:44            13.900 SWREG.EXE-023D2D3E.pf
19.07.2009  11:44            12.362 CMD.EXECF-302F6C5D.pf
19.07.2009  11:44            12.248 NIRCMDB.EXE-148C06D3.pf
19.07.2009  11:43            13.434 PEV.EXE-0E8DC6BE.pf
19.07.2009  11:43            30.518 PV.EXE-09907C1A.pf
19.07.2009  11:43            19.316 N.PIF-17B8EEDE.pf
19.07.2009  11:43            66.372 COMBOFIX.EXE-1501CD36.pf
19.07.2009  11:43            12.522 GSAR.CFEXE-040F55C1.pf
19.07.2009  11:43            11.736 HIDEC.EXE-1913C471.pf
19.07.2009  11:43            18.534 RUNDLL32.EXE-3626B3F7.pf
19.07.2009  11:43            20.738 RUNONCE.EXE-246F7E39.pf
19.07.2009  11:43            15.448 GRPCONV.EXE-2B3A22DD.pf
19.07.2009  11:26            11.456 ISSCH.EXE-3647AD8E.pf
17.07.2009  11:48            66.712 THUNDE~1.EXE-132AFC91.pf
16.07.2009  20:23            17.738 GOOGLEUPDATERSERVICE.EXE-0E046D53.pf
16.07.2009  20:22            23.572 AGENT.EXE-23C61307.pf
16.07.2009  20:22            19.798 LIVENOTE.EXE-16EE37E7.pf
16.07.2009  20:22            21.062 ADOBEUPDATEMANAGER.EXE-1491E596.pf
16.07.2009  20:22            13.676 ABBYYNEWSREADER.EXE-00580054.pf
16.07.2009  19:21           173.190 AVGSCANX.EXE-05821CE0.pf
16.07.2009  19:21           111.478 AVGCSRVX.EXE-239DEDAF.pf
16.07.2009  15:43            82.206 ACRORD32.EXE-28ED442E.pf
15.07.2009  18:05            84.304 IEXPLORE.EXE-03D33524.pf
             105 Datei(en)      4.126.428 Bytes
               0 Verzeichnis(se),  8.955.662.336 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS\tasks

20.07.2009  13:51                 6 SA.DAT
23.08.2001  14:00                65 desktop.ini
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se),  8.955.662.336 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\WINDOWS\Temp

20.07.2009  13:52               409 WGANotify.settings
20.07.2009  13:52               255 WGAErrLog.txt
15.07.2009  15:03                64 avg8info.id
               3 Datei(en)            728 Bytes
               0 Verzeichnis(se),  8.955.662.336 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 647D-5427

 Verzeichnis von C:\DOKUME~1\burnie\LOKALE~1\Temp

20.07.2009  13:57             1.710 jusched.log
20.07.2009  10:07            10.565 autoupdxml2.xml
19.07.2009  11:54            59.964 Adobelm_Cleanup.0001
19.07.2009  11:54               893 TWAIN.LOG
19.07.2009  11:54                 2 Twain001.Mtx
19.07.2009  11:54               156 Twunk001.MTX
19.07.2009  11:54                 0 Twunk002.MTX
15.07.2009  14:38            64.887 avg8inst.log
               8 Datei(en)        138.177 Bytes
               0 Verzeichnis(se),  8.955.658.240 Bytes frei
         
__________________
AEQUAM MEMENTO REBUS IN ARDUIS SERVARE MENTEM.

Antwort

Themen zu Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da
adobe, anleitung, avg, backdoor.generic, combofix, download, dumme, dvd, eingefangen, entfernen, forum, gelöst, helft, internet, laufwerke, neu, nicht mehr, posten, problem, rechner, rsit, treiber, trojaner, trotz, woche, wochen



Ähnliche Themen: Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da


  1. Windows 8: Trojaner PSW.Generic11.CIZG gefunden, lässt sich nicht entfernen
    Log-Analyse und Auswertung - 03.10.2014 (7)
  2. GVU Trojaner entfernt - doch noch Backdoor?
    Plagegeister aller Art und deren Bekämpfung - 23.03.2013 (3)
  3. Ihr Computer ist gesperrt. Ich kriege es trotz guter Anleitung nicht weg
    Plagegeister aller Art und deren Bekämpfung - 28.12.2012 (5)
  4. GVU Trojaner (sperrt Computer) und ist trotz Kaspersky Rescue noch aktiv
    Log-Analyse und Auswertung - 14.08.2012 (9)
  5. XP Anti-Spyware lässt sich, trotz Anleitung, nicht entfernen.
    Plagegeister aller Art und deren Bekämpfung - 19.04.2011 (8)
  6. Kann Security Tool trotz Anleitung nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (34)
  7. Antispywar soft trotz Eurer Anleitung nicht zu entfernen!
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (13)
  8. I-Explorer öffnet selbstständig Werbung - TROTZ zwizzor-anleitung
    Log-Analyse und Auswertung - 13.01.2010 (6)
  9. trojan horse backdoor generic11 ALPI
    Plagegeister aller Art und deren Bekämpfung - 15.11.2009 (1)
  10. Bitte um Hilfe wegen BackDoor Generic11.AKNN
    Plagegeister aller Art und deren Bekämpfung - 31.08.2009 (1)
  11. Werde autochk.dll nicht mehr los (Trojan horse BackDoor.Generic11.HUH)
    Plagegeister aller Art und deren Bekämpfung - 04.05.2009 (14)
  12. Trotz Anleitung kann ich Trojaner nicht löschen...brauche dringend Hilfe!
    Log-Analyse und Auswertung - 05.06.2008 (7)
  13. iexplore.exe trotz Entfernung nach Swizzor-A-Anleitung
    Plagegeister aller Art und deren Bekämpfung - 06.01.2008 (2)
  14. Trotz neu Installation noch Trojaner?
    Log-Analyse und Auswertung - 18.10.2007 (2)
  15. trotz Entfernung mit Virenprogramm immer noch Trojaner?
    Log-Analyse und Auswertung - 16.11.2006 (2)
  16. Trotz Shreddern-Backdoor Trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.10.2005 (2)
  17. !!!! Backdoor.Win32.Rbot.gen trotz Neuansetzung immer noch da !!!!!
    Plagegeister aller Art und deren Bekämpfung - 16.01.2005 (1)

Zum Thema Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da - Hallo liebe Helfer, Ich habe mir auf sehr dumme Weise trotz AVG Backdoor.Generic11.ZNE eingefangen - über einen alten Mozi - :-(; weil ein Adobe download im IE nicht ging und - Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da...
Archiv
Du betrachtest: Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.